La CNIL met en demeure Humanis et Malakoff-Médéric pour détournement des fichiers assurés

La CNIL met en demeure Humanis et Malakoff-Médéric pour détournement des fichiers assurés

Besoin d'une assurance RGPD ?

Avatar de l'auteur
Marc Rees

Publié dans

Droit

18/10/2018 2 minutes
48

La CNIL met en demeure Humanis et Malakoff-Médéric pour détournement des fichiers assurés

Ce rappel à l’ordre, sous forme de mise en demeure, devrait intéresser voire inquiéter bon nombre d’entreprises qui se mélangent parfois les fichiers. Deux groupes d’assurance ont été épinglés par la CNIL pour détournement de finalité des données des assurés, parce que réutilisées pour leurs prospections commerciales.

En février et mars 2018, Humanis et Malakoff-Médéric, deux groupes d’assurance et de retraite complémentaire, ont fait l’objet de contrôles de la CNIL dans les locaux de plusieurs de leurs structures.

À cette occasion, les agents de la commission ont relevé que les données des clients, fournies par l’AGIRC et ARRCO, fédérations regroupant des institutions de retraite, étaient utilisées à des fins de prospections commerciales : campagnes téléphoniques, courriers postaux, etc.

Or, ces flux ont toujours été transmis dans le cadre d’une mission d’intérêt général de gestion des complémentaires. L’instruction AGIRC-ARRCO 2008/94 prévoit à ce titre que « l’utilisation des applicatifs de l’usine retraite à d’autres fins que les besoins de gestion de la retraite complémentaire n’est pas envisageable ». La CNIL relève d’ailleurs que les professionnels du secteur avaient déjà été spécialement alertés en 2017 par les deux fédérations, là encore en vain.

Des faits antérieurs à la mise en application du RGPD

Face à un tel détournement des finalités incompatible avec la loi de 1978, l’autorité a décidé de rendre publiques ses cinq mises en demeure. Elles ne constituent pas pour autant une sanction. Les entreprises ont un mois pour se remettre dans les rails. Ce n’est qu’à défaut d’une telle rédemption qu’une procédure de sanction pourra être envisagée.

Les faits sont antérieurs au règlement général sur la protection des données personnelles.  Voilà pourquoi la commission leur applique la procédure jusqu’alors en vigueur. Postérieurs au 25 mai 2018, ils auraient pu faire l’objet d’une sanction beaucoup plus directement, comme le prévoit le point III de l’article 45 de la loi de 1978 modifiée.

48

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Des faits antérieurs à la mise en application du RGPD

Commentaires (48)


“Vous aimer avec 2 “M”” <img data-src=" />


Ils ne l’ont pas fait qu’avec&nbsp;AGIRC et ARRCO.&nbsp;Je suis indépendant, donc au RSI et la CIPAV et ces enculés m’ont démarché. J’ai fais un signalement à la CNIL en leur précisant&nbsp;que la prochaine fois c’était une plainte.


Pas mal comme procédé mais malheureusement qui ne m’étonne pas …





Mais je suis assez mal placé pour faire de genre de commentaire&nbsp; : je viens de faire cet après midi une chose moyennement conforme a la RGPD … mais chut, ne dites rien !!! <img data-src=" />


« Les entreprises ont un mois pour se remettre dans les rails. »



Bordel que ça m’énerve ça ! Si je fais un trafic de viol de petite fille et que je me fais chopper, on va vraiment me dire « ah ça va pas du tout ça ! Fermez tout d’ici 4 semaines ».


Manque un smiley dans ton commentaire on dirait.


tiens, y’a 30min j’ai reçu un appel d’ENI pour faire une comparaison de factures d’énergie.

jamais eu de contact avec ENI. je les ai envoyés bouler, sans penser à leur demander d’où ils avaient eu mes coordonnées (le con).








hellmut a écrit :



tiens, y’a 30min j’ai reçu un appel d’ENI pour faire une comparaison de factures d’énergie.

jamais eu de contact avec ENI. je les ai envoyés bouler, sans penser à leur demander d’où ils avaient eu mes coordonnées (le con)



&nbsp;

La plupart&nbsp; jouent rarement le jeu de toute façon… Quand tu exiges, soit ils disent “numéro pris au hasard” soit ils te raccroche au nez…



Sans commentaire pour certaines réactions ! <img data-src=" />





Disons que dans la cadre de mes fonctions, je m’occupe de gérer les amendes émises par la sécurité rentière. Et pour ca j’ai besoin des permis de conduire des intéressé (Chose hautement personnelle quoi).



Normalement, c’est l’irresponsable de la sécurité qui as le permis de conduire de tous le monde. Pour éviter de l’emmerder a chaque fois que quelqu’un se fait choper, je me suis constitué une “collection privée de permis” si vous voyer ce que je veux dire …



Et ca je doute que ce soit très catholique ! <img data-src=" />


Ça tombe bien, avec le RGPD, ça devrait changer comme dit dans l’article.



Mais ta comparaison à la con mérite ceci :









Liara T’soni a écrit :



Sombre merde






Bah il a pas tort quelque part (pour la comparaison). Qu’en est-il du dura lex sed lex ? Pourquoi on tolère la “négligence” des entreprises alors qu’un concept comme la négligence de sécurisation de sa connexion Internet est passé ?



Et pour le “sombre merde”, c’était de l’humour… nan ?


Donc pour toi, l’organisation de viol de petites filles et le détournement de fichiers à des fins commerciales, c’est pareil ? Je me demande dans quel monde tu vis !



Sinon, je ne pense pas qu’il ait fait de l’humour dans son second message.


Tu devrais au minimum te couvrir et demander une autorisation écrite de ta boîte pour ce que tu fais. Sans cela, et bien emmerde le responsable sécurité, il est payé pour cela.








fred42 a écrit :



Tu devrais au minimum te couvrir et demander une autorisation écrite de ta boîte pour ce que tu fais. Sans cela, et bien emmerde le responsable sécurité, il est payé pour cela.





Le grand patron est au courant et l’as autorisé.



De plus, seul moi y&nbsp; a accès : c’est un conteneur crypté avec veracrypt dont le mot de passe fait plus de 20 caractères …



ben là ils risquaient pas de faire le coup du hasard puisqu’ils m’ont appelé par mon nom. ^^


Bah, euh… non. C’est pas la même chose. Aaaaaah mais je vois d’où peut venir la confusion ! Parce que dans un cas on kidnappe des enfants afin de les forcer à des pratiques sexuelles traumatisantes et dans l’autre on partage un fichier clientèle, tu as cru que j’avais cru que c’était la même chose ? <img data-src=" /> <img data-src=" />



Mais les deux sont illégaux. Donc… Question légitime : pourquoi les agents de la Loi traitent ces infractions à la Loi différemment ? Et là j’parle même pas de dureté de la peine ou de la punition. Dans un cas on sévit, dans l’autre on “prévient” après incident.



WTF ? Ai-je envie de dire… La Loi n’est-elle donc pas censée être la même pour tous ? Demande-je d’un air exagérément candide …



P.S. : Comme tu as pu le deviner, je suis pour l’allègement des peines concernant* le viol de petites filles car je privilégie la pédagogie et la prévention comme le fait la CNIL <img data-src=" /> <img data-src=" />


Si l’autorisation est écrite, tu es couvert, sinon, il ne faudrait pas que tu sois le fusible qui a mal fait son boulot et que tu sois licencié pour faute grave.


t’as une preuve écrite du patron? j’imagine que non? (ou il est un peu c.. <img data-src=" />)


ah je vois qu’on a les mêmes réflexes au sujet des “accords” du management. <img data-src=" />


Perso c’est free, j’y ai le droit tous les mois, et tous les mois ils se font bouler, y’aurais pas un moyen de leurs faire comprendre qu’ils me cassent les couilles et que si je vais chez eux un jour ce sera pas grâce à leur campagne téléphoniques moisie ?

Car malheureusement je suis un ancien client donc je sais comment ils ont mes coordonnées, mais j’aimerais qu’ils me laisse tranquille.


dans un cas tu peux dé-détourner les fichiers (en gros purger les fichiers commerciaux des infos issues des fichiers clients).

dans l’autre tu peux pas vraiment dévioler la gamine, en fait.



sans compter qu’on a une infraction d’un côté et un crime de l’autre.

bref. ça n’a vraiment, mais vraiment rien à voir.


ah c’est lourds mais c’est pas pareil: moi j’ai jamais eu affaire à eux, ni de près ni de loin.

j’ai aussi Bouygues qui me les brise pour mon accès internet parce que je suis chez B&You sur le mobile. là je peux comprendre.








AltreX a écrit :



Perso c’est free, j’y ai le droit tous les mois, et tous les mois ils se font bouler, y’aurais pas un moyen de leurs faire comprendre qu’ils me cassent les couilles et que si je vais chez eux un jour ce sera pas grâce à leur campagne téléphoniques moisie ?

Car malheureusement je suis un ancien client donc je sais comment ils ont mes coordonnées, mais j’aimerais qu’ils me laisse tranquille.





Porte plainte pour harcelement téléphonique



c’est pas un peu extrême ? <img data-src=" />



La prochaine fois j’essaierais de leur demander intelligiblement et gentiment que j’aimerais qu’ils arrêtent de m’appeler (au moins ça avant de passer a la plainte éventuellement).


Ah bah merci pour la réponse, sérieuse.



J’vois pas* en quoi le fait de pouvoir “défaire” une faute serait un argument à la non sanction. Au yeux de la Loi, je précise. En toute logique je comprends ton argument mais ça ne joue pas en la faveur de la Loi, censée être impartiale et toute puissante et bla bla bla.



Puis bon. On peut pas défaire le détournement, puisque c’est fait. Et on peut pas défaire les appels relous que l’on a reçu, la conséquence finale de l’infraction.



Nan, vraiment… sans parler de petites filles, je ne vois pas ce qui justifierai la clémence quasi systématique de la CNIL. Ses statuts, peut-être ?


J’interviens sur sa comparaison à la con avec le viol de petites filles et tu dis que tu es d’accord. D’où ma fausse interrogation à ton sujet.



Sinon, La CNIL applique la loi (du 6 janvier 1978 dans ce cas) comme expliqué dans son article 45 dans sa version avant le 25 mai 2018. Ce n’est qu’après le non respect du délai de correction du problème que la CNIL peut lancer une procédure de sanction (C’est sa formation restreinte qui est considéré comme une juridiction qui peut prononcer des sanctions).



Et comme je l’ai dit dans mon premier message, cela a changé depuis le RGPD.








AltreX a écrit :



c’est pas un peu extrême ? <img data-src=" />



La prochaine fois j’essaierais de leur demander intelligiblement et gentiment que j’aimerais qu’ils arrêtent de m’appeler (au moins ça avant de passer a la plainte éventuellement).





Non, rien d’extrême, l’extrême ce serait de les menacer de leur péter les genous à la batte de base-ball.









fred42 a écrit :



J’interviens sur sa comparaison à la con avec le viol de petites filles et tu dis que tu es d’accord. D’où ma fausse interrogation à ton sujet.



Sinon, La CNIL applique la loi (du 6 janvier 1978 dans ce cas) comme expliqué dans son article 45 dans sa version avant le 25 mai 2018. Ce n’est qu’après le non respect du délai de correction du problème que la CNIL peut lancer une procédure de sanction (C’est sa formation restreinte qui est considéré comme une juridiction qui peut prononcer des sanctions).



Et comme je l’ai dit dans mon premier message, cela a changé depuis le RGPD.







J’étais en parti d’accord avec l’usage d’une telle comparaison. Nuance <img data-src=" />



Merci pour le lien, j’ai été zieuter un peu cette loi et effectivement la CNIL est très limitée et il est question de mise en conformité et pas vraiment d’infraction (l’infraction intervenant après le délai de mise en conformité).







FunnyD a écrit :



Non, rien d’extrême, l’extrême ce serait de les menacer de leur péter les genous à la batte de base-ball.







Non, rien d’extrême. L’extrême ce serait de le faire :p









Kevsler a écrit :



Mais les deux sont illégaux. Donc… Question légitime : pourquoi les agents de la Loi traitent ces infractions à la Loi différemment ? Et là j’parle même pas de dureté de la peine ou de la punition. Dans un cas on sévit, dans l’autre on “prévient” après incident.



Heu… Qu’est-ce que tu entends exactement par sévir?

Parce que vu certaines décisions de justice en matière de viol, la CNIL semble violente à coté…

&nbsp;





hellmut a écrit :



t’as une preuve écrite du patron? j’imagine que non? (ou il est un peu c.. <img data-src=" />)



Concernant les patrons, peu importe la question, la dernière réponse est souvent la bonne…<img data-src=" />



&nbsp;



AltreX a écrit :



Perso c’est free, j’y ai le droit tous les mois, et tous les mois ils se font bouler, y’aurais pas un moyen de leurs faire comprendre qu’ils me cassent les couilles et que si je vais chez eux un jour ce sera pas grâce à leur campagne téléphoniques moisie ?

Car malheureusement je suis un ancien client donc je sais comment ils ont mes coordonnées, mais j’aimerais qu’ils me laisse tranquille.





Tu dois leur dire clairement et à haute voix que tu exerces ton droit de suppression de la base de données et que tu exiges qu’ils te suppriment de leurs bases et cessent de te rappeler.

Si le gars te dit que c’est pas de son ressort, demande-lui le contact du service en charge des données personnelles.

Ensuite tu envoies un mail à l’adresse donnée récapitulant ta demande.



Si tu reçois encore des appels, à ce moment-là, c’est&nbsp; ceci =&gt;https://www.cnil.fr/fr/agir .

Si tu ne fais rien, tu peux être sur qu’ils t’emmerderont encore et encore…

&nbsp;





Kevsler a écrit :



Nan, vraiment… sans parler de petites filles, je ne vois pas ce qui justifierai la clémence quasi systématique de la CNIL. Ses statuts, peut-être ?





L’absence de moyens.

Le manque de personnel.

L’absence de volonté.



J’ai kiffé quand j’ai vu leur tweet, j’avais averti une de leur commerciales que si elle continuait à me spammer, je déposerai une plainte à la CNIL, je n’en aurai pas besoin finalement <img data-src=" />








Vilainkrauko a écrit :



Sans commentaire pour certaines réactions ! <img data-src=" />





Disons que dans la cadre de mes fonctions, je m’occupe de gérer les amendes émises par la sécurité rentière. Et pour ca j’ai besoin des permis de conduire des intéressé (Chose hautement personnelle quoi).



Normalement, c’est l’irresponsable de la sécurité qui as le permis de conduire de tous le monde. Pour éviter de l’emmerder a chaque fois que quelqu’un se fait choper, je me suis constitué une “collection privée de permis” si vous voyer ce que je veux dire …



Et ca je doute que ce soit très catholique ! <img data-src=" />





C’est pas encore parfaitement clair. <img data-src=" />



J’ai été harcelé par vingin mobile à une époque… Le dernier coup de fil à été bref:”




  • oui, Mr ?

  • ah non, Mr est décédé, il ne pourra vous répondre!

  • ah mais?!? C’etait pour lui proposer un forfait mobile avec-

  • à ben la ou il est, il en a plus grand chose à faire!”



    Depuis calme plat. Du jour au lendemain.



    Et sinon j’ai trouvé la parade avec free qui m’a appelé régulièrement pour leur box, j’ai répondu “que je vis dans un camion aménagé et que donc la box, voilà quoi.”



    Radical également.








Vilainkrauko a écrit :



Le grand patron est au courant et l’as autorisé.



De plus, seul moi y  a accès : c’est un conteneur crypté avec veracrypt dont le mot de passe fait plus de 20 caractères …





Il faut placer le conteneur crypté sur une clé usb, sans copie sur le réseau ni sur aucun disque ; puis mettre la clé dans une amphore avec 2-3 serpents à sonnettes, puis refermer l’amphore.

C’est plus sur ! <img data-src=" />







menehan a écrit :



Et sinon j’ai trouvé la parade avec free qui m’a appelé régulièrement pour leur box, j’ai répondu “que je vis dans un camion aménagé et que donc la box, voilà quoi.”





ça marche aussi de leur dire que tu n’as pas l’électricité et pour les curieux, que tu recharges ton téléphone au boulot <img data-src=" />









rjloup a écrit :



Ils ne l’ont pas fait qu’avec&nbsp;AGIRC et ARRCO.&nbsp;Je suis indépendant, donc au RSI et la CIPAV et ces enculés m’ont démarché. J’ai fais un signalement à la CNIL en leur précisant&nbsp;que la prochaine fois c’était une plainte.





Euh… Non.



Tu relèves du RSI SSI ou la CIPAV pour les cotisations sociales.



Néanmoins dès sa création, chaque entreprise même individuelle DOIT adhérer à un groupe de retraite complémentaire pour ses salariés MEME si tu n’en as pas à ce moment là et que tu comptes ne jamais en prendre. Cela fait qu’il n’y aura rien de plus à faire en cas d’embauche, tout étant déjà signé “pour ordre”.



Donc tu es enregistré quelque part chez AGIRC&ARRCO. Ça peut être via Humanis, via GIE AG2R, etc. Le démarchage doit donc venir de là…



Si tu ne connais pas l’organisme, il faudra te renseigner. J’ignore si tu as crée de toi-même l’activité ou si ce fut fait par une association ou autre structure qui s’est occupé des papiers.









menehan a écrit :



[…]



Et sinon j’ai trouvé la parade avec free qui m’a appelé régulièrement pour leur box, j’ai répondu “que je vis dans un camion aménagé et que donc la box, voilà quoi.”



Radical également.





Puis un jour tu es appelé par Bouygues, et eux peuvent te proposer une box 4G parfaitement adapté pour ton “cas” <img data-src=" />









fred42 a écrit :



Si l’autorisation est écrite, tu es couvert, sinon, il ne faudrait pas que tu sois le fusible qui a mal fait son boulot et que tu sois licencié pour faute grave.



<img data-src=" />

Toujours préparer les parapluies, pour les ouvrir en cas de pépin. C’est devenu ma spécialité au boulot, vu l’absence totale de soutien de ma hiérarchie quelque soit le sujet…



Mes parents morts. Je réponds “il ne me faut rien, merci et au revoir” et je raccroche (il y a intérêt que je n’envoie pas bouler une personne importante)<img data-src=" />


Mais comment on jugerait une personne qui détourne l’attention d’une gamine en l’amenant dans un coin isolé , puis appel un violeur et lui garanti discrétion et impunité ?



Parce qu’un vol d’identité c’est pas un viol mais ça doit être sympa dans le genre traumatisme et ça peu commencer par un fichier client “&nbsp;perdu&nbsp;” remplis par des gens “&nbsp;négligent&nbsp;” …



Il reste cependant un peu d’espoir pour rendre la CNIL inutile&nbsp;: on peu compter sur la bienveillance des entreprises qui se dénonceront d’elle même rapidement, permettant aux personnes concernées de réagir avant toute utilisation malveillante.



Mais non je plaisante , elles feront comme d’habitude et compteront sur le bordel ambiant pour que ça passe inaperçu.<img data-src=" />







…vivement des vrais amendes!


Idem comme situation.

Je comprends mieux d’où venait les infos.








Kevsler a écrit :



Non, rien d’extrême. L’extrême ce serait de le faire :p





Le problème est de les retrouver aprés.



Il fallait rajouter une ligne dans ta lettre de résiliation pour les obligés à supprimer tes données personnelles:




  • “Je vous prie de supprimer de vos fichiers toute information relative à mes coordonnées postales et bancaires. Je m’oppose en particulier à toute utilisation, ou mise à disposition à des organismes extérieurs, de mes coordonnées personnelles à des fins commerciales (Loi Informatique et Libertés du 6 janvier 1978).”





    Et logiquement derrière tu es tranquille. Cela dit tu dois pouvoir le faire encore maintenant. Pense bien à envoyer en AR.


Ces gros pénibles de spammeurs m’ont appelé ce matin. Et j’ai beau eu leur demander de me supprimer de leurs fichiers et de ne plus me rappeler, ils ont insisté. C’est vraiment lourd. Je propose de punir les responsables au supplice du “non” de leur propre centre d’appel : ils doivent refuser poliment autant d’appels que leur centre a émis.








Sans intérêt a écrit :



Ces gros pénibles de spammeurs m’ont appelé ce matin. Et j’ai beau eu leur demander de me supprimer de leurs fichiers et de ne plus me rappeler, ils ont insisté. C’est vraiment lourd. Je propose de punir les responsables au supplice du “non” de leur propre centre d’appel : ils doivent refuser poliment autant d’appels que leur centre a émis.



Plainte à la CNIL. C’est le meilleur moyen pour qu’ils se calment.



Bonjour.



Merci pour l’info c’est bon à savoir.



Perso j’ai la technique 2 numéros de téléphones. Un perso, un pour les trucs dont je n’ai pas confiance (livraison etc).

Ce numéro n’étant presque jamais allumé (sauf besoin ou pour checker de temps en temps), ils peuvent essayer de me joindre…. <img data-src=" />



De toute façon, vu que ce n’est pas mon portable pro, je ne réponds qu’aux numéros que je connais. Si c’est important on laisse un message, si pas de message c’est que ce n’est pas important… Et si ça insiste, op blacklisté et on en entend plus parler. <img data-src=" />


J’ai été démarché par Bouygues récemment. J’ai demandé au gars comment ils avaient eu mes coordonnées, il m’a indiqué que c’était dans le cadre d’un échange de base de données entre opérateurs, mais que que c’était ultra-sécurisé et tout ça. Puis je lui ai dit que je voulais en être radié et que j’allais intenter des actions. Il a raccroché en s’excusant. J’ai bien ri.








Tsinpen a écrit :



Il faut placer le conteneur crypté sur une clé usb, sans copie sur le réseau ni sur aucun disque ; puis mettre la clé dans une amphore avec 2-3 serpents à sonnettes, puis refermer l’amphore.

C’est plus sur ! <img data-src=" />



&nbsp;

C’est ce que je viens de faire … mais pour l’option amphore avec serpent&nbsp; a sornette, c’est un peu trop complexe a faire <img data-src=" />





Le conteneur crypté est lui même dans un autre conteneur crypté pour plus de sureté !



Ne pas confondre serpent à sonnettes et serpent à sornettes !? <img data-src=" />

En fait le gros avantage du serpent sur les mygales, c’est qu’on peut charmer les serpents, et donc récupérer la clef ; alors qu’avec les mygales c’est plus dur.



Mais ceci dit, il y avait plus simple, il te faut juste un seul permis, celui de « l’irresponsable de la sécurité » (ou de son n+1), et ensuite tu utilises toujours celui-là. Des fois ça suffit pour faire bouger les choses !



(Notice légale : le paragraphe précédent est fourni « en l’état », sans garantie d’aucune sorte, expresse ou implicite, y compris, sans limitation, les garanties de qualité marchande, d’adéquation à un usage particulier et de non-violation. En aucun cas, les auteurs ou les détenteurs des droits d’auteur du paragraphe précédent ne pourront être tenus pour responsables de quelque réclamation, réparation que ce soit, que ce soit dans le cadre d’une action contractuelle, délictuelle ou autre, découlant du paragraphe précédent, de son lien avec le paragraphe précédent ou de l’utilisation du paragraphe précédent.) <img data-src=" />