L’autorité de contrôle espagnole a sanctionné un assureur pour s’être connecté sur une plateforme informatique au nom de ses assurés sans avoir obtenu leur consentement, quand bien même le traitement avait pour but de proposer une réduction du montant de la prime d’assurance.
1/ Un traitement ayant pour finalité la révision à la baisse des primes d’assurance
Un assureur a pris l’initiative d’accéder à une plateforme informatique mise en œuvre par l’Etat espagnol afin de collecter les données personnelles de ses assurés.
L’objectif était de proposer à certains de ses clients une remise sur le montant de leur prime d’assurance (calculée, en l’espèce, en fonction du nombre de points sur le permis de conduire).
Pour ce faire, l’assureur avait mandaté un sous-traitant chargé d’appeler les clients afin de leur demander les informations nécessaires pour se connecter sur la plateforme (en l’occurrence, le numéro de permis de conduire et sa date de délivrance).
Un assuré, constatant que l’assureur avait accédé à ses données personnelles via la plateforme, a déposé une plainte auprès de l’autorité de contrôle espagnole.
2/ Un traitement réalisé sans base légale
Pour sa défense, l’assureur soutenait que le traitement reposait sur la base légale de l’exécution du contrat.
L’autorité de contrôle espagnole a considéré que cette base légale n’était pas applicable en l’espèce, puisque la véritable finalité du traitement était l’octroi d’une remise sur le montant de la prime d’assurance, finalité distincte de la finalité initiale, à savoir la conclusion du contrat d’assurance.
L’assureur soutenait, subsidiairement, que le traitement reposait sur le consentement des assurés. Selon l’assureur, le contexte et les questions posées aux personnes concernées lors de l’appel téléphonique démontraient que les clients avaient consenti à ce que l’assureur se connecte sur la plateforme informatique pour, in fine, proposer une réduction sur le montant de la prime d’assurance.
L’autorité de contrôle espagnole a considéré que cette base légale n’était pas non plus applicable, estimant, après analyse des transcriptions des appels téléphoniques, que le consentement n’était pas suffisamment éclairé ni suffisamment univoque, dans la mesure où les informations données étaient parcellaires et qu’il n’y avait pas d’acte positif clair au traitement.
Compte tenu de ce qui précède, l’autorité de contrôle espagnole a infligé à l’assureur une amende de 300 000 €.
Source : AEPD (Espagne), 5 février 2025, ps-00221-2022 (EXP202202567)