La CNIL[1] a sanctionné le groupe AG2R LA MONDIALE, le 20 juillet 2021, pour avoir conservé les données à caractère personnel de ses clients et prospects pendant une période trop longue et pour n’avoir pas informé les prospects que les appels téléphoniques étaient enregistrés, contrairement aux exigences du RGPD[2].

Le spécialiste de l’assurance mutuelle qui assure 15 millions de personnes et 150 000 entreprises avait bien défini des durées de conservation pour les données de ses clients, mais ses systèmes informatiques ne les appliquaient pas, à quelques exceptions[3] près. Par exemple :

  • des milliers de clients titulaires de contrats incidents ou accidents étaient conservés pendant plus de dix ans après leur résiliation, alors que la législation impose une durée maximale de deux ans pour certains documents du contrat et de cinq ans pour d’autres ;
  • deux millions de clients titulaires de contrats de santé étaient conservés pendant une durée allant de cinq à trente ans après leur résiliation, alors que la législation permet de garder ces contrats uniquement cinq ans.

Ces contrats contenaient de nombreuses informations personnelles sur les personnes, notamment : l’identité des assurés, les coordonnées personnelles, professionnelles et bancaires des assurés, des informations sur la vie personnelle et professionnelle des assurés et des informations relatives à la santé des assurés.

La CNIL a rappelé à AG2R que les données à caractère personnel des clients et prospects devaient être conservées « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées[4] », c’est-à-dire pendant la durée prévue par la législation, puis supprimées. Un mécanisme d’archivage aurait pu également être implémenté pour conserver les données des contrats résiliés. Ce mécanisme aurait permis de conserver les données « à des fins comptables, fiscales ou contentieuses » et de restreindre l’accès à ces données uniquement à certaines personnes habilitées.

Par ailleurs, la société AG2R réalisait aussi des appels téléphoniques de prospection, appels qui étaient enregistrés « à des fins d’amélioration de la qualité du service ». Les interlocuteurs n’étaient cependant pas informés de cette pratique.

La CNIL a considéré, à ce sujet, que les personnes auraient dû savoir que les appels étaient enregistrés et aurait dû avoir la possibilité de s’y opposer. Des informations[5] relatives au traitement de leurs données personnelles, notamment de leur voix[6], auraient également dû être communiquées.

Une sanction de 1,75 million d’euros a été prononcée à l’encontre du groupe AG2R LA MONDIALE, soit 0,02 % de leur chiffre d’affaires[7] ou 0,79 % de leurs bénéfices.

Lire :

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  3. Le groupe AG2R n’appliquait pas les durées de conservation sauf aux traitements relatifs à « la lutte contre le blanchiment, aux actions locales et aux données de santé ».
  4. Le RGPD demande de conserver les données personnelles « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » (source : RGPD, article 5-1-e). Le groupe AG2R ne pouvait donc pas conserver les données au-delà de la période définie par la règlementation. Voir « Combien de temps peut-on conserver des données à caractère personnel ? ».
  5. Le RGPD demande aux responsables de traitement de données personnelles de communiquer des informations sur les traitements effectués sur les données (source : RGPD, article 13 et 14). Le groupe AG2R devait donc informer ses prospects que les appels téléphoniques étaient enregistrés et devait aussi communiquer un certain nombre d’informations obligatoires. Voir « Quelles informations communiquer lorsque des données à caractère personnel sont traitées ? ».
  6. Le RGPD définit une donnée personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable » (source : RGPD, article 4-1). La voix peut identifier une personne. Elle doit donc être considérée comme une donnée personnelle. Voir « La voix d’une personne est-elle une donnée à caractère personnel ? ».
  7. En 2019, la société SGAM AG2R LA MONDIALE a déclaré un chiffre d’affaires de 9,6 milliards d’euros et un résultat net de 350 millions d’euros. En 2020, 9,3 milliards d’euros pour un résultat net de 222 millions d’euros (source : CNIL, SAN-2021-010, 20 juillet 2021, AG2R, §4).