LA CNIL PRONONCE UNE SANCTION D’1,75 M€ A L’ENCONTRE D’UNE ENTREPRISE DU SECTEUR DE L’ASSURANCE

Le 20 juillet dernier la CNIL a prononcé une sanction d’1,75 million d’euros à l’encontre d’une entreprise du secteur de l’assurance pour :

• Conservation de données à caractère personnel pendant une durée excessive,
• Information incomplète des personnes concernées.

Le non-respect des règles sur les durées de conservation

Lors du contrôle, la CNIL a relevé que certaines données étaient conservées pendant une durée excessive alors même que l’entreprise avait rédigé un référentiel fixant les durées de conservation des données à caractère personnel des prospects et des clients, cependant les règles de conservation posées par ce référentiel n’était pas systématiquement respectées.

En effet, à la suite de l’adoption du RGPD, l’entreprise avait mis en œuvre un projet informatique pour respecter les dispositions légales en matière de durées de conservation, mais ce projet, qui devait être terminé en 2018 a pris du retard compte tenu de la complexité du système d’information.

La CNIL a donc prononcé une sanction dans la mesure où le manquement ne serait pas corrigé avant la fin de l’année 2022.

Le non-respect des règles sur l’information des personnes

Par ailleurs, le contrôle de la CNIL a également porté sur l’information des personnes qui étaient contactées par le centre d’appels de l’entreprise dont les opérations étaient confiées à 2 sous-traitants.

La délégation de contrôle de la CNIL a pu constater que l’information qui était donnée aux personnes au cours des conversations téléphoniques était incomplète dans la mesure où elle ne comportait pas l’information sur l’enregistrement des conversations téléphoniques.

La CNIL a également relevé que les scripts d’appels transmis par l’entreprise aux sous-traitants en charge des campagnes d’appels ne contenaient aucune mention relative à la fourniture d’une quelconque information relative à la protection de leurs données à caractère personnel aux personnes concernées.

La sanction prononcée par la CNIL est-elle réellement sévère ?

Bien entendu, le montant de la sanction financière est important cependant :

• Les manquements relevés par la CNIL concernaient les règles concernant les durées de conservation des données et l’information des personnes. Or ces règles ne sont pas nouvelles puisqu’elles existaient déjà dans la loi informatique et libertés. Donc en indiquant à la CNIL qu’un chantier informatique avait été mis en œuvre lors de l’adoption du RGPD afin de respecter les obligations en matière de durée de conservation, l’entreprise a avoué implicitement qu’elle n’était pas conforme à la loi informatique et libertés.

• Par ailleurs, le chiffre d’affaires indiqué par la CNIL dans sa délibération était de 9,3 milliards d’euros en 2020 pour un résultat net de 222 millions d’euros, la sanction encourue était très importante.

En conséquence, même si le montant de la sanction est objectivement important, la sanction prononcée est peu importante au regard de la sanction encourue.