29 Juil AG2R La Mondiale : Sanctionnée à 1,75 millions d’euros d’amende par la CNIL
Dans sa délibération du 20 juillet 2021, la CNIL a condamné la société SGAM AG2R La Mondiale à une amende de 1,75 millions d’euros pour plusieurs manquements au Règlement européen sur la protection des données (« RGPD »). Si les manquements relevés concernent des obligations bien connues du RGPD, ils permettent toutefois un certain nombre de rappels utiles alors que le RGPD est en application depuis maintenant plus de trois ans.
En octobre 2019, la CNIL a effectué un contrôle dans les locaux du groupe AG2R La Mondiale, un organisme français de protection sociale, visant à vérifier la conformité des traitements de données personnelles de ses clients et prospects.
À l’issue du contrôle, la CNIL a relevé des manquements au principe de conservation limitée des données personnelles des clients et prospects (article 5(1)(e) du RGPD) et à l’obligation d’informer ces mêmes clients et prospects des traitements les concernant (articles 13 et 14 du RGPD).
Sur le manquement au principe de conservation limitée des données personnelles
Lors du contrôle effectué par la CNIL, la société a indiqué qu’elle disposait d’un référentiel fixant les durées de conservation des données personnelles des prospects et des clients (ainsi que d’un registre des traitements qui reprenait les durées définies), mais a admis que ces durées n’étaient, pour la plupart, pas encore mises en œuvre.
La CNIL a donc constaté un écart entre le référentiel et le système d’information de la société. Ainsi, les données de prospects étaient présentes en base active depuis 5 ans, alors que le référentiel, suivant les recommandations de la CNIL en la matière, prévoyait une conservation de 3 ans en base active. De même, certaines données des clients étaient conservées en base active après le terme du contrat d’assurance conclu avec ces clients, alors que cela dépassait les durées légales applicables en matière assurantielle.
S’agissant des données des clients, la CNIL souligne qu’il n’existait pas au jour du contrôle de système permettant un archivage intermédiaire des données, ce manquement étant aggravé par le fait que certaines des données traitées avaient un caractère sensible (données de santé).
La sanction souligne donc l’importance de mettre en œuvre les documents de conformité : avoir un référentiel est une chose, appliquer les durées qu’il contient aux données traitées en est une autre. Ainsi pour la CNIL, même si la société a entrepris des démarches pour garantir une conservation adéquate et proportionnée des données personnelles de ses clients et prospects (définition d’un plan d’action, mise en œuvre d’une solution informatique), il ne faut pas négliger le fait qu’au jour du contrôle et au jour de la délibération, son système d’information n’était pas conforme au RGPD.
La décision est également l’occasion pour la CNIL de revenir sur l’utilité de ses anciennes normes simplifiées. Ces documents publiés par la CNIL avant l’entrée en vigueur du RGPD permettaient aux organismes, si les caractéristiques des traitements qui y étaient listées étaient remplies, de simplifier la déclaration de leurs traitements à la CNIL préalablement à leur mise en œuvre. Dans sa délibération du 20 juillet 2021, la CNIL rappelle ainsi que « si depuis l’entrée en application du RGPD le 25 mai 2018, les normes simplifiées n’ont plus de valeur juridique, elles constituent toujours un point de repère pour les responsables de traitement, leur permettant de s’assurer de leur conformité » (point 21).
Sur le manquement à l’obligation d’informer les personnes concernées
Lors du contrôle, la CNIL a relevé que la société confiait à des sous-traitants une partie de ses opérations de prospection téléphonique auprès de ses clients et prospects. La société établissait les scripts d’appel ensuite fournis aux sous-traitants, et plusieurs de ces appels étaient enregistrés à des fins d’amélioration de la qualité du service.
Or, les scripts ne prévoyaient pas l’information des clients et prospects à propos de l’enregistrement de l’appel et de leur droit à s’y opposer. La société n’avait pas non plus donné pour instruction à ses sous-traitant de porter à la connaissance des personnes concernées les mentions obligatoires plus globales prévues par le RGPD (indication des finalités, des durées de conservation, des droits etc.). L’information à propos de ces appels téléphoniques n’était pas non plus prévue dans la politique de protection des données présente sur le site internet de la société.
Ces informations doivent être fournies que les données soient collectées directement auprès des personnes concernées ou indirectement auprès de sociétés tierces, comme c’était le cas pour la SGAM AG2R La Mondiale. La CNIL précise par ailleurs des bonnes pratiques applicables à la prospection commerciale téléphonique : la société aurait dû offrir la possibilité aux personnes démarchées d’accéder à une information plus complète, par exemple en activant une touche sur leur téléphone ou par l’envoi d’un e-mail.
Immédiatement après le contrôle et pendant la durée de la procédure CNIL, la société a engagé des actions correctives en appliquant les durées de conservation prévues et en informant les prospects démarchés par téléphone. Toutefois, la CNIL rappelle que « les mesures de mise en conformité adoptées n’exonèrent pas la société de sa responsabilité pour le passé » (point 52) et que « c’est précisément le manque d’anticipation qui a contribué à des échecs dans la mise en œuvre des durées de conservation des données des clients de la société au sein de ses systèmes et, partant, à l’absence de mise en conformité avec le RGPD plus de trois ans après son entrée en application » (point 53).
La mise en conformité de la société pendant la procédure n’a donc pas influencé le prononcé de la sanction administrative, pour laquelle la CNIL a également pris en compte la nature élémentaire des manquements relevés, le rôle majeur de la société dans le secteur de la protection sociale en France, le nombre important de personnes concernées par le manquement, et le caractère sensible de plusieurs données. Toutefois, remédier aux manquements préalablement au prononcé de la sanction a permis à la société d’échapper aux injonctions de mise en conformité proposées par la rapporteuse de la CNIL dans son rapport. Pour rappel, ces injonctions peuvent désormais être assortie d’une astreinte dont le montant peut atteindre 100 000 euros par jour de retard.