Le 20 juillet 2021, la CNIL a prononcé une amende administrative d’un montant de 1 750 000 € à l’encontre de la SGAM AG2R LA MONDIALE, pour manquements (i) à l’obligation de conserver les données à caractère personnel pour une durée n’excédant pas celle nécessaire au regard des finalités du traitement, et (ii) à l’obligation d’informer les personnes concernées.
La CNIL a mené une opération de contrôle sur place dans les locaux de la société d’assurance mutuelle AG2R LA MONDIALE, afin de vérifier le respect, par cette société, des dispositions du RGPD, notamment s’agissant du traitement des données à caractère personnel des clients et prospects.
Au cours de ce contrôle, la société d’assurance mutuelle a indiqué disposer d’un référentiel fixant les durées de conservation des données à caractère personnel des clients et prospects, mais que ces durées n’étaient pas effectivement mises en œuvre dans ses systèmes d’information.
La CNIL a ainsi pu relever que certaines données de clients pouvant théoriquement être conservées entre 2 ans à compter de la fin du contrat, et jusqu’à dix ans, s’agissant de certaines pièces comptables, étaient en réalité conservées pour des durées parfois supérieures à trente ans.
Par ailleurs, la CNIL a relevé que les sous-traitants de la société d’assurance mutuelle procédaient à des opérations de prospection téléphonique pour son compte, au cours desquelles les appels étaient enregistrés à des fins d’amélioration du service. Or, les personnes prospectées n’étaient pas informées de cet enregistrement, ni du fait qu’elles pouvaient s’y opposer.
A la suite du contrôle, la société a procédé à des actions de mise en conformité, d’une part, en mettant en œuvre son référentiel en matière de durée de conservation, et, d’autre part, en fournissant une information complète aux personnes démarchées téléphoniquement.
Malgré les actions de mise en conformité déployées par la société d’assurance mutuelle, la CNIL a prononcé une amende administrative d’un montant de 1 750 000 €, compte tenu des manquements constatés au jour du contrôle, étant précisé, comme l’a rappelé la CNIL dans sa délibération, que « les mesures de mise en conformité adoptées n’exonèrent pas la société de sa responsabilité pour le passé. »
Lien vers la décision : https://bit.ly/3iznYS4
