01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

#RGPD, Assurances mises en demeure par la CNIL pour détournement de finalité des données

détournement finalité des données
  • Actualité juridique, Base de données, CNIL, Data, Données de santé, Données personnelles, Droit de la santé, Information et libertés, Loi Informatique et libertés, RGPD, Vie privée

Des sociétés d’assurances viennent d’être mises en demeure par la CNIL pour détournement de finalité des données des assurés.

Parmi leurs activités, ces groupes et les sociétés qui les composent sont chargés de mettre en œuvre les régimes de retraite complémentaire en réalisant des opérations de gestion. À ce titre, ils ont accès à des données personnelles mises à disposition par les fédérations AGIRC-ARRCO aux fins de recouvrer les cotisations et payer les allocations retraite.

Au titre du programme annuel des contrôles défini par la CNIL en 2017, des contrôles ont été réalisés dans les locaux de ces groupes en février et mars 2018.

À cette occasion, la CNIL a constaté que les sociétés des groupes Humanis et Malakoff-Médéric utilisent les données personnelles qu’elles détiennent dans le cadre de leur mission d’intérêt général de mise en œuvre des régimes de retraite complémentaire afin de faire de la prospection commerciale pour des produits et services de ces groupes. Cet usage a concerné plusieurs centaines de milliers de personnes.

L’intérêt de cette mise en demeure réside dans un rappel de la règlementation sur la protection des données personnelles et notamment dans certaines notions essentielles qui régissent l’ensemble des traitements de données. Tel est le cas de la notion de finalité. En effet, sur les 6 conditions de licéité d’un traitement, 3 font directement référence à la notion de finalité.

La finalité est la raison d’être du traitement. C’est la raison pour laquelle l’entreprise collecte des données.

Le principe est le suivant, les données ne peuvent pas être traitées ultérieurement d’une manière incompatible avec les finalités pour lesquelles les personnes ont été initialement informées.

Le RGPD prévoit un régime d’information obligatoire en cas de nouvelle finalité qui n’est pas le même selon que les données aient été collectées directement ou indirectement auprès des personnes concernées.

En l’espèce, les données étaient confiées aux entreprises citées pour une finalité bien précise, à savoir, la mise en œuvre des régimes de retraite complémentaire.

En utilisant ces mêmes données afin de faire de la prospection commerciale pour des produits et des services autres, ces entreprises auraient dû préalablement informer et obtenir le consentement des personnes.

Compte tenu du grand nombre de personnes concernées et de la gravité du manquement relevé, la CNIL a décidé de rendre publique cette mise en demeure.

Cette mise en demeure n’est pas une sanction. En effet, aucune suite ne sera donnée si les sociétés des groupes Humanis et Malakoff-Médéric se conforment à la loi dans un délai d’un mois. Dans ce cas, la clôture de la procédure sera elle aussi rendue publique.

 

Triplement labélisé CNIL, Le Cabinet HAAS Avocats accompagne depuis plus de 20 ans ses clients dans leur transition digitale ainsi que dans la mise en conformité de leurs traitements.

Vous souhaitez en savoir plus sur nos prestations d’accompagnement en cette matière ? Contactez-nous en cliquant ICI.

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com