Un peu plus de trois ans après la mise en œuvre effective du RGPD, certaines entreprises ont toujours du mal à se mettre en conformité. La CNIL se rappelle à eux lors de contrôles qui peuvent aboutir à des sanctions. C’est le cas du groupe d’assurances AG2R La Mondiale qui vient d’écoper d’une amende de 1,75 million d’euros pour ne pas avoir respecté certains éléments du RGPD.

Réunie en formation restreinte, sans la totalité de ses membres, la Cnil a mis en avant deux fautes principales. La première concerne la durée de rétention des données personnelles. Sur la partie prospect, la société avait indiqué dans son référentiel que la rétention des informations était de 3 ans, mais elle les garde plus longtemps. « Les données de près de 2 000 clients n’ayant pas eu de contact avec la société depuis plus de trois ans, et parfois de cinq ans, étaient ainsi conservées », observe le régulateur. De même, les données de plus de 2 millions de clients « dont certaines sont sensibles (santé) ou particulière (coordonnées bancaires) » étaient conservées au-delà du délai légal après la fin du contrat.

Le démarchage par les sous-traitants épinglée

Autre point d’achoppement, le manque d’information lors du démarchage téléphonique. En effet, lors des contrôles, la Cnil a constaté des manquements de la part des sous-traitants d’AG2R La Mondiale. Par exemple, l’enregistrement des appels ne peut se faire sans en informer le client et en lui offrant la possibilité de le refuser. De plus, aucune information n’était donnée aux personnes démarchées sur les traitements relatifs à leurs données personnelles ou leurs autres droits. Enfin, les sous-traitants n’avaient pas mis en place un moyen pour avoir des informations plus complètes comme l’activation d’une touche sur le téléphone ou l’envoi d’un e-mail.

Au regard des différents manquements aux obligations du RGPD, la Cnil a donc infligé une amende de 1,75 M€. Elle a pris en compte le chiffre d’affaires et le revenu net, en constatant une baisse d’activité pour 2020. « Si la formation restreinte constate le résultat net a diminué de manière assez significative, elle souligne que celui-ci reste largement positif ». En conséquence, le niveau de la sanction financière est justifié « compte tenu notamment de la nécessité de sanctionner des manquements à des principes élémentaires du RGPD, commis par un acteur majeur de la protection sociale en France, concernant plusieurs millions de personnes et portant sur des données de nature sensible ou particulière, comme les coordonnées bancaires. »