Options Mon compte Next INpact
Affichage
Modifications sauvegardées
  • Smileys
  • Images
  • Commentaires par actu
  • Commentaires sous les news
  • Désactiver la version mobile
  • Taille de police
Close

Vous consultez la version mobile de ce contenu.

Cliquez ici pour être redirigé vers la version complète, ou attendez 5 secondes. Fermez ce pop-up pour continuer sur la version mobile.

5
secondes
La CNIL met en demeure Humanis et Malakoff-Médéric pour détournement des fichiers assurés
Justice Crédits : Marc Rees (licence CC-BY-SA 3.0)

La CNIL met en demeure Humanis et Malakoff-Médéric pour détournement des fichiers assurés

Besoin d'une assurance RGPD ?
2 min

Ce rappel à l’ordre, sous forme de mise en demeure, devrait intéresser voire inquiéter bon nombre d’entreprises qui se mélangent parfois les fichiers. Deux groupes d’assurance ont été épinglés par la CNIL pour détournement de finalité des données des assurés, parce que réutilisées pour leurs prospections commerciales.

En février et mars 2018, Humanis et Malakoff-Médéric, deux groupes d’assurance et de retraite complémentaire, ont fait l’objet de contrôles de la CNIL dans les locaux de plusieurs de leurs structures.

À cette occasion, les agents de la commission ont relevé que les données des clients, fournies par l’AGIRC et ARRCO, fédérations regroupant des institutions de retraite, étaient utilisées à des fins de prospections commerciales : campagnes téléphoniques, courriers postaux, etc.

Or, ces flux ont toujours été transmis dans le cadre d’une mission d’intérêt général de gestion des complémentaires. L’instruction AGIRC-ARRCO 2008/94 prévoit à ce titre que « l’utilisation des applicatifs de l’usine retraite à d’autres fins que les besoins de gestion de la retraite complémentaire n’est pas envisageable ». La CNIL relève d’ailleurs que les professionnels du secteur avaient déjà été spécialement alertés en 2017 par les deux fédérations, là encore en vain.

Des faits antérieurs à la mise en application du RGPD

Face à un tel détournement des finalités incompatible avec la loi de 1978, l’autorité a décidé de rendre publiques ses cinq mises en demeure. Elles ne constituent pas pour autant une sanction. Les entreprises ont un mois pour se remettre dans les rails. Ce n’est qu’à défaut d’une telle rédemption qu’une procédure de sanction pourra être envisagée.

Les faits sont antérieurs au règlement général sur la protection des données personnelles.  Voilà pourquoi la commission leur applique la procédure jusqu’alors en vigueur. Postérieurs au 25 mai 2018, ils auraient pu faire l’objet d’une sanction beaucoup plus directement, comme le prévoit le point III de l’article 45 de la loi de 1978 modifiée.

Publiée le 18 octobre 2018 à 15:11


Chargement des commentaires