{"id":15740,"date":"2021-07-29T18:00:19","date_gmt":"2021-07-29T16:00:19","guid":{"rendered":"https:\/\/ubiquity-avocats.com\/ag2r-la-mondiale-sanctionnee-a-175-millions-deuros-damende-par-la-cnil\/"},"modified":"2021-07-29T18:00:19","modified_gmt":"2021-07-29T16:00:19","slug":"ag2r-la-mondiale-sanctionnee-a-175-millions-deuros-damende-par-la-cnil","status":"publish","type":"post","link":"http:\/\/ubiquity-avocats.com\/en\/ag2r-la-mondiale-sanctionnee-a-175-millions-deuros-damende-par-la-cnil\/","title":{"rendered":"AG2R La Mondiale\u00a0: Sanctionn\u00e9e \u00e0 1,75 millions d\u2019euros d\u2019amende par la CNIL"},"content":{"rendered":"

Dans sa <\/strong>d\u00e9lib\u00e9ration du 20 juillet 2021<\/strong><\/a>, la CNIL a condamn\u00e9 la soci\u00e9t\u00e9 SGAM AG2R La Mondiale \u00e0 une amende de 1,75 millions d\u2019euros pour plusieurs manquements au R\u00e8glement europ\u00e9en sur la protection des donn\u00e9es (\u00ab RGPD \u00bb). Si les manquements relev\u00e9s concernent des obligations bien connues du RGPD, ils permettent toutefois un certain nombre de rappels utiles alors que le RGPD est en application depuis maintenant plus de trois ans. <\/strong><\/p>\n

En octobre 2019, la CNIL a effectu\u00e9 un contr\u00f4le dans les locaux du groupe AG2R La Mondiale, un organisme fran\u00e7ais de protection sociale, visant \u00e0 v\u00e9rifier la conformit\u00e9 des traitements de donn\u00e9es personnelles de ses clients et prospects.<\/p>\n

\u00c0 l\u2019issue du contr\u00f4le, la CNIL a relev\u00e9 des manquements au principe de conservation limit\u00e9e des donn\u00e9es personnelles des clients et prospects (article 5(1)(e) du RGPD) et \u00e0 l\u2019obligation d\u2019informer ces m\u00eames clients et prospects\u00a0des traitements les concernant (articles 13 et 14 du RGPD).<\/p>\n

 <\/p>\n

Sur le manquement au principe de conservation limit\u00e9e des donn\u00e9es personnelles <\/strong><\/p>\n

Lors du contr\u00f4le effectu\u00e9 par la CNIL, la soci\u00e9t\u00e9 a indiqu\u00e9 qu\u2019elle disposait d\u2019un r\u00e9f\u00e9rentiel fixant les dur\u00e9es de conservation des donn\u00e9es personnelles des prospects et des clients (ainsi que d\u2019un registre des traitements qui reprenait les dur\u00e9es d\u00e9finies), mais a admis que ces dur\u00e9es n\u2019\u00e9taient, pour la plupart, pas encore mises en \u0153uvre.<\/p>\n

La CNIL a donc constat\u00e9 un \u00e9cart entre le r\u00e9f\u00e9rentiel et le syst\u00e8me d\u2019information de la soci\u00e9t\u00e9. Ainsi, les donn\u00e9es de prospects<\/strong> \u00e9taient pr\u00e9sentes en base active depuis 5 ans, alors que le r\u00e9f\u00e9rentiel, suivant les recommandations de la CNIL en la mati\u00e8re<\/a>, pr\u00e9voyait une conservation de 3 ans en base active. De m\u00eame, certaines donn\u00e9es des clients<\/strong> \u00e9taient conserv\u00e9es en base active apr\u00e8s le terme du contrat d\u2019assurance conclu avec ces clients, alors que cela d\u00e9passait les dur\u00e9es l\u00e9gales applicables en mati\u00e8re assurantielle.<\/p>\n

S\u2019agissant des donn\u00e9es des clients, la CNIL souligne qu\u2019il n\u2019existait pas au jour du contr\u00f4le de syst\u00e8me permettant un archivage interm\u00e9diaire des donn\u00e9es, ce manquement \u00e9tant aggrav\u00e9 par le fait que certaines des donn\u00e9es trait\u00e9es avaient un caract\u00e8re sensible (donn\u00e9es de sant\u00e9).<\/p>\n

La sanction souligne donc l\u2019importance de mettre en \u0153uvre les documents de conformit\u00e9\u00a0: avoir un r\u00e9f\u00e9rentiel est une chose, appliquer les dur\u00e9es qu\u2019il contient aux donn\u00e9es trait\u00e9es en est une autre<\/strong>. Ainsi pour la CNIL, m\u00eame si la soci\u00e9t\u00e9 a entrepris des d\u00e9marches pour garantir une conservation ad\u00e9quate et proportionn\u00e9e des donn\u00e9es personnelles de ses clients et prospects (d\u00e9finition d\u2019un plan d\u2019action, mise en \u0153uvre d\u2019une solution informatique), il ne faut pas n\u00e9gliger le fait qu\u2019au jour du contr\u00f4le et au jour de la d\u00e9lib\u00e9ration, son syst\u00e8me d\u2019information n\u2019\u00e9tait pas conforme au RGPD.<\/p>\n

La d\u00e9cision est \u00e9galement l\u2019occasion pour la CNIL de revenir sur l\u2019utilit\u00e9 de ses anciennes normes simplifi\u00e9es. Ces documents publi\u00e9s par la CNIL avant l\u2019entr\u00e9e en vigueur du RGPD permettaient aux organismes, si les caract\u00e9ristiques des traitements qui y \u00e9taient list\u00e9es \u00e9taient remplies, de simplifier la d\u00e9claration de leurs traitements \u00e0 la CNIL pr\u00e9alablement \u00e0 leur mise en \u0153uvre. Dans sa d\u00e9lib\u00e9ration du 20 juillet 2021, la CNIL rappelle ainsi que \u00ab\u00a0si depuis l\u2019entr\u00e9e en application du RGPD le 25 mai 2018, les normes simplifi\u00e9es n\u2019ont plus de valeur juridique, elles constituent toujours un point de rep\u00e8re pour les responsables de traitement, leur permettant de s\u2019assurer de leur conformit\u00e9\u00a0<\/em><\/strong>\u00bb (point 21).<\/p>\n

 <\/p>\n

Sur le manquement \u00e0 l\u2019obligation d\u2019informer les personnes concern\u00e9es<\/strong><\/p>\n

Lors du contr\u00f4le, la CNIL a relev\u00e9 que la soci\u00e9t\u00e9 confiait \u00e0 des sous-traitants une partie de ses op\u00e9rations de prospection t\u00e9l\u00e9phonique aupr\u00e8s de ses clients et prospects. La soci\u00e9t\u00e9 \u00e9tablissait les scripts d\u2019appel ensuite fournis aux sous-traitants, et plusieurs de ces appels \u00e9taient enregistr\u00e9s \u00e0 des fins d\u2019am\u00e9lioration de la qualit\u00e9 du service.<\/p>\n

Or, les scripts ne pr\u00e9voyaient pas l\u2019information des clients et prospects \u00e0 propos de l\u2019enregistrement de l\u2019appel et de leur droit \u00e0 s\u2019y opposer. La soci\u00e9t\u00e9 n\u2019avait pas non plus donn\u00e9 pour instruction \u00e0 ses sous-traitant de porter \u00e0 la connaissance des personnes concern\u00e9es les mentions obligatoires plus globales pr\u00e9vues par le RGPD (indication des finalit\u00e9s, des dur\u00e9es de conservation, des droits etc.). L\u2019information \u00e0 propos de ces appels t\u00e9l\u00e9phoniques n\u2019\u00e9tait pas non plus pr\u00e9vue dans la politique de protection des donn\u00e9es pr\u00e9sente sur le site internet de la soci\u00e9t\u00e9.<\/p>\n

Ces informations doivent \u00eatre fournies que les donn\u00e9es soient collect\u00e9es directement aupr\u00e8s des personnes concern\u00e9es ou indirectement aupr\u00e8s de soci\u00e9t\u00e9s tierces, comme c\u2019\u00e9tait le cas pour la SGAM AG2R La Mondiale. La CNIL pr\u00e9cise par ailleurs des bonnes pratiques applicables \u00e0 la prospection commerciale t\u00e9l\u00e9phonique\u00a0: la soci\u00e9t\u00e9 aurait d\u00fb offrir la possibilit\u00e9 aux personnes d\u00e9march\u00e9es d\u2019acc\u00e9der \u00e0 une information plus compl\u00e8te, par exemple en activant une touche sur leur t\u00e9l\u00e9phone ou par l\u2019envoi d\u2019un e-mail<\/strong>.<\/p>\n

Imm\u00e9diatement apr\u00e8s le contr\u00f4le et pendant la dur\u00e9e de la proc\u00e9dure CNIL, la soci\u00e9t\u00e9 a engag\u00e9 des actions correctives en appliquant les dur\u00e9es de conservation pr\u00e9vues et en informant les prospects d\u00e9march\u00e9s par t\u00e9l\u00e9phone. Toutefois, la CNIL rappelle que \u00ab\u00a0les mesures de mise en conformit\u00e9 adopt\u00e9es n\u2019exon\u00e8rent pas la soci\u00e9t\u00e9 de sa responsabilit\u00e9 pour le pass\u00e9<\/em><\/strong>\u00a0\u00bb (point 52) et que \u00ab\u00a0c\u2019est pr\u00e9cis\u00e9ment le manque d\u2019anticipation qui a contribu\u00e9 \u00e0 des \u00e9checs dans la mise en \u0153uvre des dur\u00e9es de conservation des donn\u00e9es des clients de la soci\u00e9t\u00e9 au sein de ses syst\u00e8mes et, partant, \u00e0 l\u2019absence de mise en conformit\u00e9 avec le RGPD plus de trois ans apr\u00e8s son entr\u00e9e en application<\/em>\u00a0\u00bb (point 53).<\/p>\n

La mise en conformit\u00e9 de la soci\u00e9t\u00e9 pendant la proc\u00e9dure n\u2019a donc pas influenc\u00e9 le prononc\u00e9 de la sanction administrative, pour laquelle la CNIL a \u00e9galement pris en compte la nature \u00e9l\u00e9mentaire des manquements relev\u00e9s, le r\u00f4le majeur de la soci\u00e9t\u00e9 dans le secteur de la protection sociale en France, le nombre important de personnes concern\u00e9es par le manquement, et le caract\u00e8re sensible de plusieurs donn\u00e9es<\/strong>. Toutefois, rem\u00e9dier aux manquements pr\u00e9alablement au prononc\u00e9 de la sanction a permis \u00e0 la soci\u00e9t\u00e9 d\u2019\u00e9chapper aux injonctions de mise en conformit\u00e9 propos\u00e9es par la rapporteuse de la CNIL dans son rapport. Pour rappel, ces injonctions peuvent d\u00e9sormais \u00eatre assortie d\u2019une astreinte dont le montant peut atteindre 100 000 euros par jour de retard.<\/p>\n","protected":false},"excerpt":{"rendered":"

Dans sa d\u00e9lib\u00e9ration du 20 juillet 2021, la CNIL a condamn\u00e9 la soci\u00e9t\u00e9 SGAM AG2R La Mondiale \u00e0 une amende de 1,75 millions d\u2019euros pour plusieurs manquements au R\u00e8glement europ\u00e9en sur la protection des donn\u00e9es (\u00ab RGPD \u00bb). Si les manquements relev\u00e9s concernent des obligations…<\/p>\n","protected":false},"author":2,"featured_media":15665,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[115],"tags":[],"class_list":["post-15740","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"http:\/\/ubiquity-avocats.com\/en\/wp-json\/wp\/v2\/posts\/15740","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/ubiquity-avocats.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/ubiquity-avocats.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/ubiquity-avocats.com\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/ubiquity-avocats.com\/en\/wp-json\/wp\/v2\/comments?post=15740"}],"version-history":[{"count":0,"href":"http:\/\/ubiquity-avocats.com\/en\/wp-json\/wp\/v2\/posts\/15740\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/ubiquity-avocats.com\/en\/wp-json\/wp\/v2\/media\/15665"}],"wp:attachment":[{"href":"http:\/\/ubiquity-avocats.com\/en\/wp-json\/wp\/v2\/media?parent=15740"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/ubiquity-avocats.com\/en\/wp-json\/wp\/v2\/categories?post=15740"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/ubiquity-avocats.com\/en\/wp-json\/wp\/v2\/tags?post=15740"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}