La CNIL met en demeure Humanis et Malakoff-Médéric pour détournement des fichiers assurés

Besoin d'une assurance RGPD ? 48
En bref
image dediée
Crédits : Marc Rees (licence CC-BY-SA 3.0)
Justice
Marc Rees

Ce rappel à l’ordre, sous forme de mise en demeure, devrait intéresser voire inquiéter bon nombre d’entreprises qui se mélangent parfois les fichiers. Deux groupes d’assurance ont été épinglés par la CNIL pour détournement de finalité des données des assurés, parce que réutilisées pour leurs prospections commerciales.

En février et mars 2018, Humanis et Malakoff-Médéric, deux groupes d’assurance et de retraite complémentaire, ont fait l’objet de contrôles de la CNIL dans les locaux de plusieurs de leurs structures.

À cette occasion, les agents de la commission ont relevé que les données des clients, fournies par l’AGIRC et ARRCO, fédérations regroupant des institutions de retraite, étaient utilisées à des fins de prospections commerciales : campagnes téléphoniques, courriers postaux, etc.

Or, ces flux ont toujours été transmis dans le cadre d’une mission d’intérêt général de gestion des complémentaires. L’instruction AGIRC-ARRCO 2008/94 prévoit à ce titre que « l’utilisation des applicatifs de l’usine retraite à d’autres fins que les besoins de gestion de la retraite complémentaire n’est pas envisageable ». La CNIL relève d’ailleurs que les professionnels du secteur avaient déjà été spécialement alertés en 2017 par les deux fédérations, là encore en vain.

Des faits antérieurs à la mise en application du RGPD

Face à un tel détournement des finalités incompatible avec la loi de 1978, l’autorité a décidé de rendre publiques ses cinq mises en demeure. Elles ne constituent pas pour autant une sanction. Les entreprises ont un mois pour se remettre dans les rails. Ce n’est qu’à défaut d’une telle rédemption qu’une procédure de sanction pourra être envisagée.

Les faits sont antérieurs au règlement général sur la protection des données personnelles.  Voilà pourquoi la commission leur applique la procédure jusqu’alors en vigueur. Postérieurs au 25 mai 2018, ils auraient pu faire l’objet d’une sanction beaucoup plus directement, comme le prévoit le point III de l’article 45 de la loi de 1978 modifiée.


chargement
Chargement des commentaires...