RGPD : la Cnil inflige une amende de 1,75 M€ à AG2R La Mondiale
Le groupe d'assurance AG2R La Mondiale vient de se voir signifier par la Cnil une amende de 1,75 M€ pour non-respect du RGPD. Le régulateur met en avant la durée excessive de conservation des données personnelles et un manque d'information lors du démarchage téléphonique par des sous-traitants.
PublicitéUn peu plus de trois ans après la mise en oeuvre effective du RGPD, certaines entreprises ont toujours du mal à se mettre en conformité. La Cnil se rappelle à eux lors de contrôles qui peuvent aboutir à des sanctions. C'est le cas du groupe d'assurances AG2R La Mondiale qui vient d'écoper d'une amende de 1,75 millions d'euros pour ne pas avoir respecter certains éléments du RGPD.
Réunie en formation restreinte, sans la totalité de ses membres, la Cnil a mis en avant deux fautes principales. La première concerne la durée de rétention des données personnelles. Sur la partie prospect, la société avait indiqué dans son référentiel que la rétention des informations était de 3 ans, mais elle les garde plus longtemps. « Les données de près de 2 000 clients n'ayant pas eu de contact avec la société depuis plus de trois ans, et parfois de cinq ans, étaient ainsi conservées », observe le régulateur. De même, les données de plus de 2 millions de clients « dont certaines sont sensibles (santé) ou particulière (coordonnées bancaires) » étaient conservées au-delà du délai légal après la fin du contrat.
Le démarchage par les sous-traitants épinglé
Autre point d'achoppement, le manque d'information lors du démarchage téléphonique. En effet, lors des contrôles, la Cnil a constaté des manquements de la part des sous-traitants d'AG2R La Mondiale. Par exemple, l'enregistrement des appels ne peut se faire sans en informer le client et en lui offrant la possibilité de le refuser. De plus, aucune information n'était donnée aux personnes démarchées sur les traitements relatifs à leurs données personnelles ou leurs autres droits. Enfin, les sous-traitants n'avaient pas mis en place un moyen pour avoir des informations plus complètes comme l'activation d'une touche sur le téléphone ou l'envoi d'un e-mail.
Au regard des différents manquements aux obligations du RGPD, la Cnil a donc infligé une amende de 1,75 M€. Elle a pris en compte le chiffre d'affaires et le revenu net, en constatant une baisse d'activité pour 2020. « Si la formation restreinte constate le résultat net a diminué de manière assez significative, elle souligne que celui-ci reste largement positif ». En conséquence, le niveau de la sanction financière est justifié « compte tenu notamment de la nécessité de sanctionner des manquements à des principes élémentaires du RGPD, commis par un acteur majeur de la protection sociale en France, concernant plusieurs millions de personnes et portant sur des données de nature sensible ou particulière, comme les coordonnées bancaires. »
Article rédigé par
Jacques Cheminat, Rédacteur en chef LMI
Suivez l'auteur sur Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire