Le 22 juillet 2021, la CNIL a annoncé publiquement avoir infligé une lourde sanction à AG2R La Mondiale. Le montant de l’amende s’élève à 1,75 million d’euros. Une enquête est en cours depuis 2019 auprès de la société de groupe d’assurance mutuelle (SGAM). La Commission estime qu’AG2R La Mondiale a : « manqué aux obligations du RGPD relatives aux durées de conservation et à l’information des personnes ».

AG2R La Mondiale écope d’une amende de 1,75 million d’euros

Depuis 2019, la Commission nationale de l’informatique et des libertés s’intéresse à AG2R La Mondiale. Comme on peut le lire sur un récent billet de blog posté sur le site de la CNIL, l’organe de régulation cherche : « à vérifier la conformité des traitements mis en œuvre dans le cadre de sa mission de gestion des retraites complémentaires de salariés du secteur privé ainsi que de son activité assurantielle ». C’est en effectuant ce contrôle que la Commission s’est aperçue que la SGAM ne respectait pas le règlement général sur la protection des données (RGPD).

En effet, dans le résumé de son enquête, la CNIL précise que : « AG2R La Mondiale conservait les données de millions de personnes pendant une durée excessive et ne respectait pas les obligations d’information dans le cadre de campagnes de démarchage téléphonique ». C’est à partir de ce constat que la Commission a estimé que la SGAM a manqué à deux obligations essentielles du RGPD. Une sanction de 1 750 000 euros a ainsi été prononcée. Depuis la découverte de ces manquements, la société de groupe d’assurance mutuelle a évidemment pris des mesures pour se mettre en conformité.

La CNIL a retenu deux manquements aux obligations du RGPD

Premier manquement relevé par la CNIL : AG2R La Mondiale n’a pas limité la durée de conservation des données (article 5.1.e du RGPD). Les durées de conservation définies dans son référentiel n’étaient pas réellement appliquées. Cela signifie que la SGAM conservait les données personnelles de ses clients et prospects sur des durées illégales. Pour les prospects, la durée de conservation maximale est de trois ans. Dans son enquête, la CNIL a découvert que les données de près de 2 000 clients n’ayant pas eu de contact avec la société depuis plus de trois ans, étaient conservées.

Second manquement : AG2R La Mondiale n’a pas tenu ses clients et prospects informés que leurs données seraient conservées (articles 13 et 14 du RGPD). En effet, une action de démarchage téléphonique réalisée par des sous-traitants de la société, ne respectait pas l’ensemble des éléments exigés par le RGPD. Les appels étaient enregistrés alors que les prospects n’étaient pas au courant et ne pouvaient donc pas s’y opposer. Comme le précise la CNIL : « de plus, aucune autre information n’était fournie aux personnes démarchées concernant les traitements relatifs à leurs données personnelles ou leurs autres droits ».