Sanction de 1,75 million d’euros à l’encontre d'AG2R LA MONDIALE

22 juillet 2021

La formation restreinte de la CNIL a sanctionné la SGAM AG2R LA MONDIALE pour avoir manqué aux obligations du RGPD relatives aux durées de conservation et à l’information des personnes.

La CNIL a effectué un contrôle en 2019 auprès du groupe AG2R LA MONDIALE. Celui-ci visait à vérifier la conformité des traitements mis en œuvre dans le cadre de sa mission de gestion des retraites complémentaires de salariés du secteur privé ainsi que de son activité assurantielle.

À cette occasion, la CNIL a constaté que la société de Groupe d’Assurance Mutuelle AG2R LA MONDIALE (la SGAM AG2R LA MONDIALE), en charge de coordonner l’activité assurantielle de prévoyance, dépendance, santé, épargne et retraite supplémentaire du groupe, conservait les données de millions de personnes pendant une durée excessive et ne respectait pas les obligations d’information dans le cadre de campagnes de démarchage téléphonique.

Sur la base de ces éléments, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que la société avait manqué à deux obligations fondamentales prévues par le RGPD. Elle a ainsi a prononcé une amende de 1 750 000 euros et a décidé de rendre publique sa décision.

La formation restreinte a par ailleurs pris acte des mesures de mise en conformité adoptées par la société concernant la limitation de la durée de conservation et l’information des personnes.

Un manquement à l’obligation de limiter la durée de conservation des données (article 5.1.e du RGPD)

La société n’avait pas mis en œuvre dans ses systèmes les durées de conservation qu’elle avait définies dans son référentiel. En conséquence, elle conservait les données personnelles de ses prospects et clients sur des durées excessives.

S’agissant des données des prospects, la société ne respectait pas la durée maximale de conservation de trois ans fixée dans son référentiel et dans le registre des traitements du groupe. Les données de près de 2 000 clients n’ayant pas eu de contact avec la société depuis plus de trois ans, et parfois de cinq ans, étaient ainsi conservées.

S’agissant des données des clients, la société ne respectait pas les durées maximales de conservation légales prévues notamment par le Code des assurances et le Code de commerce. En l’occurrence, la société conservait les données de plus de 2 millions de clients, dont certaines de nature sensible (santé) ou particulière (coordonnées bancaires), au-delà des durées légales de conservation autorisées après la fin du contrat.

Des mesures ont été prises par la société à la suite du contrôle, puis au cours de la procédure pour atteindre la mise en conformité. La conformité est acquise s’agissant des données des prospects. S’agissant des données des clients, la société a pris des engagements fermes et documentés de la démarche de mise en conformité qu’elle a engagée et dont la réalisation partielle a été démontrée. Elle a également pris un engagement s’agissant de la date à laquelle elle sera entièrement en conformité sur ce point.

Un manquement à l’obligation d’information des personnes (articles 13 et 14 du RGPD)

L’information fournie aux personnes démarchées téléphoniquement par des sous-traitants de la société ne comportait pas l’ensemble des éléments exigés par le RGPD. En effet, les appels téléphoniques passés par les sous-traitants pouvaient être enregistrés sans que la personne contactée ne soit informée du principe de l’enregistrement ou de son droit à s’y opposer. De plus, aucune autre information n’était fournie aux personnes démarchées concernant les traitements relatifs à leurs données personnelles ou leurs autres droits. Enfin, les personnes ne se voyaient pas offrir la possibilité d’accéder à une information plus complète, par exemple en activant une touche sur leur téléphone ou par l’envoi d’un e-mail.

La société a cependant mis en place des mesures pour procéder aux modifications nécessaires à sa mise en conformité avec le RGPD, après le contrôle puis au cours de la procédure.