La CNIL a sanctionné la SGAM AG2R LA MONDIALE (gestion des retraites complémentaires de salariés du secteur privé et activité assurantielle) pour avoir manqué aux obligations du RGPD relatives aux durées de conservation et à l’information des personnes.
Le groupe conservait les données de millions de personnes pendant une durée excessive et ne respectait pas les obligations d’information dans le cadre de campagnes de démarchage téléphonique. La CNIL a ainsi prononcé une amende de 1 750 000 euros.
Obligation de limiter la durée de conservation des données
La société n’avait pas mis en œuvre dans ses systèmes les durées de conservation qu’elle avait définies dans son référentiel. En conséquence, elle conservait les données personnelles de ses prospects et clients sur des durées excessives.
S’agissant des données des prospects, la société ne respectait pas la durée maximale de conservation de trois ans fixée dans son référentiel et dans le registre des traitements du groupe. Les données de près de 2 000 clients n’ayant pas eu de contact avec la société depuis plus de trois ans, et parfois de cinq ans, étaient ainsi conservées.
S’agissant des données des clients, la société ne respectait pas les durées maximales de conservation légales prévues notamment par le Code des assurances et le Code de commerce. En l’occurrence, la société conservait les données de plus de 2 millions de clients, dont certaines de nature sensible (santé) ou particulière (coordonnées bancaires), au-delà des durées légales de conservation autorisées après la fin du contrat.
Des mesures ont été prises par la société à la suite du contrôle, puis au cours de la procédure pour atteindre la mise en conformité. La conformité est acquise s’agissant des données des prospects. S’agissant des données des clients, la société a pris des engagements fermes et documentés de la démarche de mise en conformité qu’elle a engagée et dont la réalisation partielle a été démontrée. Elle a également pris un engagement s’agissant de la date à laquelle elle sera entièrement en conformité sur ce point.
Manquement à l’obligation d’information des personnes
L’information fournie aux personnes démarchées téléphoniquement par des sous-traitants de la société ne comportait pas l’ensemble des éléments exigés par le RGPD. En effet, les appels téléphoniques passés par les sous-traitants pouvaient être enregistrés sans que la personne contactée ne soit informée du principe de l’enregistrement ou de son droit à s’y opposer.
De plus, aucune autre information n’était fournie aux personnes démarchées concernant les traitements relatifs à leurs données personnelles ou leurs autres droits. Enfin, les personnes ne se voyaient pas offrir la possibilité d’accéder à une information plus complète, par exemple en activant une touche sur leur téléphone ou par l’envoi d’un e-mail.
La société a cependant mis en place des mesures pour procéder aux modifications nécessaires à sa mise en conformité avec le RGPD, après le contrôle puis au cours de la procédure.