Le 20 juillet 2021, la CNIL a sanctionné la SGAM AG2R LA MONDIALE d’une amende de 1,75 millions d’euros pour avoir manqué aux obligations du RGPD relatives aux durées de conservation et à l’information des personnes.
En effet, la CNIL avait constaté que la société de Groupe d’Assurance Mutuelle AG2R LA MONDIALE (la Société) conservait les données de millions de personnes pendant une durée excessive et ne respectait pas les obligations d’information dans le cadre de campagnes de démarchage téléphonique.
L’AG2R conservait les données de ses clients et prospects plus longtemps que la durée prévues par la loi et son référentiel interne (article 5.1.e du RGPD)
La société conservait les données personnelles de ses prospects et clients pour des durées excessives du fait qu’elle n’avait pas mis en œuvre dans ses systèmes les durées de conservation qu’elle avait définies dans son référentiel.
Ainsi, la société conservait les données de prospects plus longtemps que la durée de trois ans fixée dans son référentiel et dans le registre des traitements du groupe. A cet effet, la CNIL a constaté que les données de près de 2 000 prospects n’ayant pas eu de contact avec la société depuis plus de trois ans étaient conservées.
S’agissant des données des clients, la société ne respectait pas les durées maximales de conservation légales applicables en fonction du type de contrat. La CNIL a notamment constaté que la société conservait les données de plus de 2 millions de clients, dont certaines de nature sensible (santé) ou particulière (coordonnées bancaires), au-delà des durées légales de conservation autorisées après la fin du contrat.
L’AG2R ne fournissait pas une information suffisante dans le cadre du démarchage téléphonique
L’information fournie aux personnes démarchées téléphoniquement par des sous-traitants de la société ne comportait pas l’ensemble des éléments exigés par le RGPD.
En effet, les appels téléphoniques passés par les sous-traitants pouvaient être enregistrés sans que la personne contactée ne soit informée du principe de l’enregistrement ou de son droit à s’y opposer.
De plus, aucune autre information n’était fournie aux personnes démarchées concernant les traitements relatifs à leurs données personnelles ou leurs autres droits. Enfin, les personnes ne se voyaient pas offrir la possibilité d’accéder à une information plus complète, par exemple en activant une touche sur leur téléphone ou par l’envoi d’un e-mail.
Pour une lecture de la décision cliquer ici,
Pour toute question, n’hésitez pas à contacter Arnaud Blanc, avocat.