LA CNIL PRONONCE UNE SANCTION D'1,75 M€ DANS LE SECTEUR DE L'ASSURANCE

LES FAITS

2. La SGAM AG2R LA MONDIALE appartient au groupe AG2R LA MONDIALE (ci-après "le groupe"), organisme français de protection sociale et patrimoniale remplissant, d’une part, une mission de gestion administrative des retraites complémentaires des salariés du secteur privé et, d’autre part, une activité assurantielle.

Le groupe assure environ 15 millions personnes en France, à titre individuel ou à titre collectif, et accompagne plus de cinq-cent-mille entreprises. Le groupe emploie environ dix-mille collaborateurs.

3. Au sein du groupe, la SGAM AG2R LA MONDIALE est chargée de coordonner l’activité assurantielle de prévoyance, dépendance, santé, épargne et retraite supplémentaire. Elle compte plusieurs filiales, parmi lesquelles figurent notamment les sociétés […] et […].

4. En 2019, le chiffre d’affaires généré par l’activité assurantielle menée par la SGAM AG2R LA MONDIALE s’élevait à 9,6 milliards d’euros pour un résultat net de 350 millions d’euros. En 2020, son chiffre d’affaires s’élevait à 9,3 milliards d’euros pour un résultat net de 222 millions d’euros.

LA VIOLATION DES DISPOSITIONS DU RGPD SUR LES DUREES DE CONSERVATION

LA VIOLATION DES DISPOSITIONS DU RGPD SUR LES DUREES DE CONSERVATION DES DONNEES DES PROSPECTS

POSITION DE LA RAPPORTEURE DE LA CNIL

16. Lors du contrôle, les sociétés du groupe AG2R LA MONDIALE disposaient d’un référentiel fixant les durées de conservation des données à caractère personnel des prospects (issus de fichiers tiers loués) et des clients (personnes titulaires d’un contrat individuel assurantiel auprès de la société ou de ses filiales).

Mais les durées de conservation définies dans ce référentiel n’étaient effectivement pas mises en œuvre au sein de ses systèmes d’information, à l’exception des traitements relatifs à la lutte contre le blanchiment, aux actions locales et aux données de santé.

Un plan de mise en œuvre de la politique de confidentialité était prévu et aurait dû débuter au cours du premier semestre 2020.

17. Le référentiel relatif aux durées de conservation et le registre des traitements du groupe prévoyaient, pour la prospection visant le réseau de vente à distance, la conservation des données à caractère personnel des prospects pour une durée maximale de trois ans après l’enregistrement en base de données ou le dernier contact à l’initiative du prospect.

Or, une extraction provenant de l’application dédiée à la prospection commerciale pour la vente à distance, démontre la présence des données de prospects n’ayant pas eu de contact avec la société depuis plus de trois ans, parfois depuis plus de cinq ans.

L’ARGUMENTATION EN DEFENSE

18. un référentiel relatif aux durées de conservation des données à caractère personnel des clients et prospects ayant bien été défini, aucun manquement ne pouvait lui être reproché au titre de la définition des durées de conservation.

19. des actions avaient été entreprises afin de respecter la durée de conservation maximale des données à caractère personnel des prospects telle que définie à la fois dans son référentiel et dans le registre des traitements du groupe.

LA DECISION DE LA FORMATION RESTREINTE DE LA CNIL

20. Au jour du contrôle, un référentiel relatif aux durées de conservation des données des clients et prospects avait bien été établi pour les sociétés du groupe AG2R LA MONDIALE, mais que les durées de conservation y étant définies n’étaient, selon les déclarations faites par la société lors du contrôle, "pas effectivement implémentées dans le système d’information de la société, hormis s’agissant des traitements relatifs à la lutte contre le blanchiment, aux actions locales ainsi qu’aux données de santé" .

21. Lors du contrôle la base active comportait :

- 1917 prospects n’ayant pas eu de contact avec la société depuis plus de trois ans,

- dont 1405 prospects n’ayant pas eu de contact avec la société depuis plus de cinq ans, sans que la société soit en mesure de justifier de la nécessité d’appliquer des durées de conservation supérieures à la durée maximale de trois ans qu’elle avait elle-même fixée.

23. Dès lors, si la formation restreinte prend note de ce que la SGAM AG2R LA MONDIALE met désormais en œuvre les durées de conservation définies dans le référentiel précité et le registre des traitements du groupe, permettant ainsi que les données à caractère personnel des prospects ne sont pas conservées pour des durées excédant celles nécessaires au regard des finalités pour lesquelles elles sont traitées, elle relève qu’au jour du contrôle, les durées de conservation que la société avait définies, et qui correspondent aux durées nécessaires à l’atteinte des finalités poursuivies, n’étaient pas respectées.

La société a ainsi conservé les données à caractère personnel de ses prospects pendant des durées excessives, en l’absence de justification particulière, et alors que ceux-ci n’avaient montré aucun intérêt pour les produits et services proposés par la société durant plus de trois, voire de cinq ans.

LA VIOLATION DES DISPOSITIONS DU RGPD SUR LES DUREES DE CONSERVATION DES DONNEES DES CLIENTS

LA POSITION DE LA RAPPORTEURE

25. Il doit être tenu compte de la spécificité de la matière assurantielle lors de l’appréciation du caractère proportionné de la durée de conservation des données des clients par une société d’assurance.

En particulier, les durées de conservation des données des clients en matière assurantielle doivent permettre de respecter les délais légaux prévus, notamment, par le code des assurances et le code de commerce.

Cependant, en l’espèce, la société avait fourni des documents montrant la conservation en base active des données à caractère personnel d’un grand nombre de clients, après le terme du contrat d’assurance, pour des durées supérieures à celles fixées par les dispositions légales applicables.

Les données conservées étaient relatives, notamment, à l’identité, aux coordonnées personnelles, professionnelles et bancaires, à la vie personnelle et professionnelle, à l’assurance, ainsi que, dans le cadre de certains contrats, à la santé des personnes.

L’ARGUMENTA-TION EN DEFENSE

26. En défense, la société a indiqué avoir engagé des actions correctives depuis le contrôle et a produit des justifications en vue d’attester de ses démarches de mise en conformité.

LA DECISION DE LA FORMATION RESTREINTE DE LA CNIL

27. La formation restreinte relève que :

• les données de milliers de clients titulaires de contrats de type incendies, accidents et risques divers, lesquelles peuvent être conservées entre deux ans après la fin du contrat (article L. 1141 du code des assurances, fixant les délais de prescription des actions dérivant d’un contrat d’assurance,
• aucune autre finalité n’ayant été mise en avant par la société pour justifier d’une conservation à l’issue de l’expiration des contrats) et dix ans pour certaines pièces comptables (article L. 12322 du code de commerce), l’ont été pour des durées excédant dix ans et parfois supérieures à trente ans.

28. les données à caractère personnel de près de cent-mille clients titulaires de contrats épargne, épargne patrimoniale, retraite supplémentaire, obsèques et prévoyance, lesquelles peuvent être conservées pour des durées variables pouvant aller jusqu’à trente ans après le dénouement du contrat pour la finalité de gestion des contentieux (article L. 114-1, dernier alinéa, du code des assurances), l’ont été pour une durée supérieure. En outre, aucune autre finalité n’avait été mise en avant pour les traitements postérieurs au contrat.

29. les données à caractère personnel de plus de deux millions de clients, collectées dans le cadre des contrats santé, ont été conservées pour des durées excédant la durée légale de cinq ans suivant la résiliation du contrat (délai calqué sur celui de l’article 2224 du code civil, repris dans le référentiel de la société). Elle relève également que la durée de conservation des données de 1,3 million de clients titulaires d’un contrat santé excède dix ans tandis que celle de milliers de clients excède trente ans.

30. hormis pour les données concernant les prestations de santé, il n’existait pas, au jour du contrôle, de mécanisme d’archivage permettant la conservation des données des clients à des fins comptables, fiscales ou contentieuses dans la limite des délais de prescription que ce soit en les transférant au sein d’une base d’archives dédiée ou en mettant en place des restrictions d’accès à ces données pour qu’elles ne puissent être consultées que par des personnes spécialement habilitées, ayant un intérêt à en connaître en raison de leurs fonctions (par exemple, le service en charge du contentieux).

31. en défense, la société n’a pas apporté d’éléments de nature à justifier de telles durées de conservation des données.

A l’inverse, elle a indiqué avoir engagé un large plan de mise en conformité.

A cet égard, la société a notamment expliqué qu’un projet informatique avait été initié dès 2017 afin de parvenir à une mise en œuvre effective et intégrale des durées de conservation des données relatives à ses clients.

La société a précisé que le déploiement du projet informatique aurait dû s’achever en mai 2018, mais que le calendrier n’avait pu être tenu en raison de la complexité des systèmes d’information du groupe AG2R LA MONDIALE et de l’interdépendance des applications.

La société a ainsi indiqué avoir défini une nouvelle stratégie de suppression des données des clients sur trois années, fondée sur une approche par les risques et le cycle de vie des données, selon le calendrier suivant :

• 2020 : périmètre traitements sensibles (action sociale, lutte contre le blanchiment) ;

• 2021 : périmètre santéprévoyance ;

• Juin 2021 : échéance du processus d’anonymisation des données liées aux produits d’épargne ;

• 2022 : périmètre épargne et retraite supplémentaire (cycles de vie des données plus longs actions se prescrivant par trente ans).

33. Dès lors, si la formation restreinte prend note que la SGAM AG2R LA MONDIALE a fourni des éléments attestant des démarches entreprises pour garantir que les données à caractère personnel de ses clients ne sont plus conservées pour des durées excédant celles nécessaires au regard des finalités pour lesquelles elles sont traitées, elle estime qu’au jour du contrôle, ces données étaient conservées pour des durées excessives.

La formation restreinte constate par ailleurs que le manquement subsiste en partie à ce jour, dans la mesure où la mise en œuvre des durées de conservation des données des clients n’est pas entièrement déployée dans les systèmes d’information de la société.

En particulier, il ressort des pièces fournies par la société que la quasi-totalité du périmètre "Santé Prévoyance" serait en conformité d’ici la fin de l’année 2021 et que les travaux relatifs au périmètre "Epargne retraite" se poursuivraient en 2022.

La société a précisé dans ses observations en défense et confirmé lors de la séance de la formation restreinte que les travaux de mise en conformité relatifs à la mise en œuvre des durées de conservation des clients dans ses systèmes d’information s’achèveraient à la fin de l’année 2022.

34. Au regard de l’ensemble de ces éléments, la formation restreinte considère que le manquement à l’article 5-1-e) du RGPD est caractérisé.

NOTRE COMMENTAIRE :

Dans sa décision, la formation de la CNIL se base sur :

• Les durées de conservation excessives au jour du contrôle,
• Le fait qu’au jour de la décision, les violations entaient encore en cours (puisque certaines durées étaient toujours excessives).

Lors du contrôle :

• La société a mis en avant l’existence d’une procédure sur la gestion des durées de conservation, mais la formation restreinte considère que tant que cette procédure n’est pas mise en œuvre, ceci ne permet pas de démontrer la conformité au RGPD
• La société a mis en avant le fait que des actions de conformité avaient débutées avant l’entrée en application du RGPD, mais que cette mise en œuvre était très complexe, compte tenu de la complexité du système d’informations du Groupe.

Cet argument en défense a certainement permis de diminuer le montant de l’amende, mais il ne permet certainement pas d’entraîner une relaxe puisque la violation du RGPD a été constatée au jour du contrôle.

LA VIOLATION DES DISPOSITIONS DU RGPD SUR L’INFORMATION DES PERSONNES

LA POSITION DE LA RAPPORTEURE

37. Lors du contrôle sur place que :

• la SGAM AG2R LA MONDIALE confiait à ses soustraitants […] et […] une partie des opérations de prospection téléphonique à mener auprès de ses clients et prospects.

• des scripts d’appels étaient établis par la société ou ses filiales et que 30% des conversations téléphoniques sortantes effectuées par ses deux soustraitants étaient enregistrées à des fins d’amélioration de la qualité du service de la SGAM AG2R LA MONDIALE.

38. - l’écoute d’un échantillon des cinquante derniers appels téléphoniques passés par ces deux sous-traitants a permis de constater l’absence d’information des personnes contactées, soit du principe même de l’enregistrement de l’appel, soit de leur droit à s’y opposer.

• dans le cadre de ces enregistrements, les personnes n’étaient rendues destinataires d’aucune information, même sommaire, relative au traitement de leurs données à caractère personnel ou aux autres droits dont elles disposent à l’égard de leurs données.
• ces personnes ne se voyaient pas offrir la possibilité d’obtenir une information plus complète relative à la protection de leurs données à caractère personnel, par exemple via l’envoi d’un courriel ou l’activation d’une touche sur leur clavier téléphonique.

L’ARGUMENTA-TION EN DEFENSE

39. Il a été procédé à des rectifications immédiates, dès l’issue du contrôle sur place, afin de délivrer aux personnes concernées une information conforme aux exigences du RGPD.

• depuis la fin de l’année 2019, des instructions écrites relatives à l’information des personnes concernées étaient remises aux soustraitants […] et […], tout comme des scripts d’appels téléphoniques actualisés contenant la plupart des mentions exigées par les articles 13 et 14 du RGPD.
• lesdits scripts avaient été complétés avec d’ultimes mentions manquantes en 2021.
• une notice d’information dédiée aux traitements mis en œuvre dans le cadre de l’enregistrement des appels téléphoniques sortants était désormais fournie au sein de la rubrique "protection des données" du site internet d’AG2R, indiquant la base légale du traitement et précisant les destinataires des enregistrements ainsi que les modalités d’exercice des droits.
• les personnes démarchées téléphoniquement étaient désormais informées, par le téléopérateur, du fait qu’elles pouvaient consulter cette notice d’information en se rendant sur le site internet d’AG2R.

LA DECISION DE LA FORMATION RESTREINTE

40. La formation restreinte relève :

• qu’à la date du contrôle, les personnes démarchées téléphoniquement par les sociétés […] et […] pour le compte de la SGAM AG2R LA MONDIALE n’étaient pas correctement informées des traitements de données à caractère personnel mis en œuvre, en méconnaissance des dispositions applicables du RGPD.

• d’une part, les informations essentielles relatives en particulier au principe même de l’enregistrement de l’appel ou, selon les cas, au droit de s’y opposer, aux finalités de l’enregistrement et à sa durée de conservation, n’étaient pas communiquées aux personnes concernées par les soustraitants de la SGAM AG2R LA MONDIALE.

• d’autre part, la formation restreinte souligne l’absence d’instructions données par la SGAM AG2R LA MONDIALE à ses soustraitants afin de porter à la connaissance des personnes concernées les mentions d’information obligatoires prévues par le RGPD.

• les scripts d’appels téléphoniques destinés au soustraitant […] ne contenaient aucune mention relative à la fourniture d’une quelconque information relative à la protection de leurs données à caractère personnel aux personnes concernées.

41. Au vu de ce qui précède, la formation restreinte considère qu’au jour du contrôle, la société ne respectait pas les dispositions des articles 13 et 14 du RGPD.

42. La formation restreinte relève néanmoins que, depuis le contrôle, la société s’est mise en conformité avec les exigences découlant des articles 13 et 14 du RGPD.

La formation restreinte constate que les téléconseillers des prestataires […] et […] délivrent de manière effective une information aux personnes démarchées téléphoniquement concernant l’identité du responsable de traitement, le principe et la finalité de l’enregistrement de la conversation, les destinataires des enregistrements, leur durée de conservation, l’existence des droits dont disposent les personnes concernées, ainsi que la possibilité d’obtenir des informations complémentaires relatives aux traitements de données à caractère personnel mis en œuvre par la société en consultant la rubrique "protection des données" du site internet d’AG2R (au sein de laquelle est disponible la notice d’information dédiée aux traitements mis en œuvre dans le cadre de l’enregistrement des appels téléphoniques sortants).

43. Dès lors, la formation restreinte considère que les faits précités constituent un manquement aux articles 13 et 14 du RGPD, mais que la société a justifié s’être mise en conformité en fournissant, à la date de clôture de l’instruction, une information complète aux personnes démarchées téléphoniquement au sens des dispositions précitées.

NOTRE COMMENTAIRE :

Ce passage est intéressant car les sous-traitants n’ont pas été sanctionnés, visiblement en cours de la procédure, il a été établi que les violations de l’obligation d’information étaient totalement imputables à l’assureur en qualité de responsable de traitement.

Ceci permet d’en déduire que les responsables de traitement doivent être particulièrement vigilants et précis dans les instructions qu’ils donnent aux sous-traitants.