AG2R La Mondiale condamnée à une amende de 1,75 million d'euros pour violation du RGPD
La SGAM AG2R La Mondiale est condamnée à une amende de 1,75 million d'euros pour la violation de deux obligations du RGPD : la limitation des durées de conservation des données et la transmission d'informations à ses adhérents. Depuis le contrôle effectué par la Cnil, le groupe a pris des mesures correctives pour se mettre en conformité avec la législation en vigueur.
La Commission nationale de l'informatique et des libertés (Cnil) annonce par voie de communiqué la condamnation à une amende de 1,75 million d'euros la société de groupe d'assurance mutuelle (SGAM) AG2R La Mondiale, appartenant au groupe éponyme chargée de coordonner l'activité assurantielle de prévoyance, dépendance, santé, épargne et retraite complémentaire.
L'autorité française a effectué un contrôle en octobre 2019 visant à vérifier la conformité des traitements mis en œuvre dans le cadre de sa mission de gestion des retraites complémentaires des salariés du secteur privé ainsi que de son activité assurantielle.
Manquements à deux obligations du RGPD
Sur la base de ces éléments, la formation restreinte de la Cnil a conclu que la SGAM AG2R La Mondiale avait manqué à deux obligations du Règlement général sur la protection des données (RGDP). La première concerne l'obligation de limiter la durée de conservation des données.
Dans les détails, la SGAM AG2R La Mondiale conservait les données personnelles de ses prospects et clients sur des durées excessives. Concernant les données des prospects, elle ne respectait pas la durée maximale de conservation de trois ans fixée dans son référentiel et dans le registre des traitements du groupe. Ainsi, les données de près de 2000 clients n'ayant pas eu de contact avec la société depuis plus de trois ans, et parfois de cinq ans, étaient conservées.
S’agissant des données des clients, la société conservait les données de plus de deux millions de clients, dont certaines de nature sensible comme des données de santé ou des coordonnées bancaires, au-delà des durées légales de conservation autorisées après la fin du contrat.
Un défaut d'information pour les personnes démarchées
La Cnil note également que la SGAM AG2R La Mondiale a manqué à l'obligation d'information des personnes. En effet, l'information fournie aux personnes démarchées par téléphone par des sous-traitants de la société ne comportait pas l'ensemble des éléments exigés par le RGPD. En effet, les appels téléphoniques pouvaient être enregistrés sans que la personne contactée ne soit informée du principe de l’enregistrement ou de son droit à s’y opposer.
Par ailleurs, aucune autre information n’était fournie aux personnes à propos des traitements relatifs à leurs données personnelles et elles ne se voyaient pas offrir la possibilité d’accéder à une information plus complète, par exemple en activant une touche sur leur téléphone ou par l’envoi d’un e-mail.
Des mesures correctives ont été adoptées
La Commission précise qu'à la suite de ces contrôles, la société a pris des mesures pour atteindre la mise en conformité. S’agissant des données des clients, elle a pris "des engagements fermes et documentés" de la démarche de mise en conformité qu’elle a engagée et dont la réalisation partielle a été démontrée. Elle a également pris un engagement s’agissant de la date à laquelle elle sera entièrement en conformité sur ce point.
SUR LE MÊME SUJET
AG2R La Mondiale condamnée à une amende de 1,75 million d'euros pour violation du RGPD
Tous les champs sont obligatoires
0Commentaire
Réagir