AG2R LA MONDIALE sanctionnée à 1,75 millions d’euros par la CNIL pour non-respect du principe de conservation limitée des données et du principe d’information des personnes.
#rgpd #cnil
AG2R est un organisme de protection sociale qui a une activité de gestion des retraites complémentaires du secteur privé et également une activité assurantielle. Elle traite les données de 15 millions de personnes en France.
La CNIL a opéré un contrôle sur place afin de vérifier la conformité des traitements de données des clients et prospects de la société.
Elle a constaté deux manquements concernant le respect des durées de conservation des données et l’information des données.
1. Sur le non-respect de la durée de conservation des données
La société disposait d’un référentiel fixant les durées de conservation des données des prospects et des clients. Les durées définies dans le référentiel n’étaient toutefois pas effectives dans le système d’information sauf pour certains traitements. Un plan de mise en œuvre devait débuter au 1er semestre 2020.
Concernant les prospects, le référentiel prévoyait une durée de conservation de 3 ans mais la CNIL a constaté que 1917 prospects étaient conservés alors qu’ils n’avaient pas eu de contact avec la société depuis plus de 3 ans.
Postérieurement au contrôle, la société a mis en place des requêtes en suppression de données et des purges mensuelles des données et en a justifié auprès de la CNIL.
Concernant les clients, la CNIL constatait une conservation d’un volume important de données (concernant la vie personnelle, la vie professionnelle, les coordonnées bancaires et la santé) pour des durées supérieures à celles fixées dans le référentiel de la société, dans les dispositions légales et le référentiel de la CNIL relatif aux opérations d’assurances (Norme simplifiée 56 abrogée).
Cette conservation excessive concernait 1,3 millions de clients pour des durées supérieures à 10 ans voire 30 ans.
Au-delà de l’absence de respect des durées de conservation en base active, la CNIL constate que la société n’avait pas mis en place de mécanisme d’archivage des données à des fins comptables, fiscales ou contentieuses dans une base d’archive dédiée.
La société justifie le retard dans le déploiement de son plan de conformité en raison de la complexité de son système d’information et l’initialisation d’un plan de suppression des données échelonné sur 3 ans de 2020 à 2023.
Cette explication n’a pas convaincu la CNIL pour laquelle le manquement était toujours caractérisé au jour de l’audience.
2. Sur l’obligation d’information des personnes dans le cadre des appels sortants :
La société effectuait des campagnes de prospection par téléphone pour lesquels 30% des conversations téléphoniques étaient enregistrées.
La CNIL, qui a écouté les 50 derniers appels émis par la société et vérifié les scripts d’appels, a constaté les manquements suivants :
- Pas d’information des personnes par l’opérateur sur l’enregistrement des appels et sur les traitements de données mis en œuvre par la société ;
- Pas de possibilité pour les personnes de taper sur une touche de leur clavier téléphonique pour en savoir plus ;
- Pas d’instruction donnée par AG2R à ses sous-traitants pour s’assurer de la conformité des traitements sur ce point.
3. Sur la justification de la sanction :
Pour la CNIL, ces deux manquements constituent une négligence grave de la société et ont concerné un nombre très important de clients (plus de deux millions) pour des durées parfois supérieures à 30 ans et concernant parfois des données sensibles ou bancaires.
Elle indique : « c’est précisément le manque d’anticipation qui a contribué à des échecs dans la mise en œuvre des durées de conservation des données des clients de la société au sein de ses systèmes et, partant, à l’absence de mise en conformité avec le RGPD plus de trois ans après son entrée en application. »
Le chiffre d’affaires de la société en 2020, s’élèvait à 9,3 milliards d’euros avec un résultat net de 222 millions d’euros.
La société a tenté de justifier de sa bonne foi en produisant le montant de ses investissements financiers pour la mise en conformité RGPD depuis plusieurs années.
Toutefois, la CNIL a décidé de prononcer une sanction de 1,75 millions d’euros et de la rendre publique en raison du non-respect de principes qu’elle considère comme élémentaires.
Le maximum prononçable était de 8,64 millions d’euros (4% du chiffre d’affaires).
Edouard Verbecq
Avocat Associé
Mayance Avocats
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000043829617?isSuggest=true