Cnil : mise en demeure publique de 2 groupes de protection sociale pour détournement de finalité de données personnelles

Sur décision spécifique, la Cnil a décidé de rendre publique la mise en demeure de deux grands groupes œuvrant dans le domaine de la protection sociale, pour le détournement de la finalité des données personnelles qu'ils étaient amenés à gérer.

Plus de 16 millions de personnes concernées

Selon la Cnil, "Parmi leurs activités, ces groupes et les sociétés qui les composent sont chargés de mettre en œuvre les régimes de retraite complémentaire en réalisant des opérations de gestion. À ce titre, ils ont accès à des données personnelles mises à disposition par les fédérations AGIRC-ARRCO aux fins de recouvrer les cotisations et payer les allocations retraite". La Commission précise encore que vu le champ d'activité de ces deux groupes, le détournement couvre potentiellement "plus de 16 millions de personnes".

Détournements visant plusieurs centaines de milliers de personnes

Lors d'un contrôle auprès de ces deux groupes, la Cnil a pu constater que ces entreprises "utilisent les données personnelles qu’elles détiennent dans le cadre de leur mission d’intérêt général de mise en œuvre des régimes de retraite complémentaire afin de faire de la prospection commerciale pour des produits et services de ces groupes. Cet usage a concerné plusieurs centaines de milliers de personnes."

La Présidente de la Cnil ayant mis en demeure ces deux compagnies de cesser ce détournement, la Commission a estimé que cette décision devait être rendue publique "Compte tenu du grand nombre de personnes concernées et de la gravité du manquement relevé".

Rappel : un traitement est toujours limité aux finalités prévues et annoncées aux personnes

Rappelons qu'en Europe, tout type de traitement de données personnelles ne peut être effectué que dans les limites autorisées par des textes officiels, ou par des finalités poursuivies clairement définies et portées à la connaissance des personnes concernées (articles 6, 2° et 32 de la loi du 6 janvier 1978 – articles 6, point 1, f et 13, point 1, c, du RGPD). C'est ce qui constitue la force du système européen, par opposition au système des États-Unis, où dès que des données sont recueillies, elles peuvent servir pour tout type d'usage, sous quelques réserves bien moins solides que de ce côté de l'Atlantique.

Un contentieux encore sous l'empire de la loi de 1978

Les faits ayant été constatés lors qu'un contrôle de la Cnil antérieur au 25 mai 2018, le RGPD n'était pas encore applicable. Rappelons que depuis le 25 mai, outre les amendes pénales et les risques d'emprisonnement des dirigeants, le RGPD prévoit des amendes administratives qui peuvent aller jusqu'à 20 millions d'euros ou représenter jusqu'à 4% du chiffre d'affaires mondial de l'entreprise en faute (article 83, points 4 et 5 du RGPD).

En savoir plus

Lire l'article public faisant état de la mise en demeure sur le site de la Cnil :
https://www.cnil.fr/fr/mise-en-demeure-de-cinq-societes-dassurance-pour-detournement-de-finalite-des-donnees-des-assures
Cet article fournit tous les liens d'accès aux diverses délibérations de la Cnil, de mises en demeure et de publicité de celles-ci pour chacune des sociétés concernées.

Didier FROCHOT