Décision n° MED 2018-037 du 25 septembre 2018 mettant en demeure la société Humanis Assurances
Décision n° MED 2018-036 du 25 septembre 2018 mettant en demeure la société AUXIA
Le 25 septembre 2018, la présidente de la CNIL a décidé de mettre en demeure cinq sociétés (Grand Est Mutuelle, Humanis Assurances, Mutuelle Humanis Nationale, Auxia, Malakoff Médéric Mutuelle) appartenant aux groupes Humanis et Malakoff-Médéric.
Pour rappel, ces sociétés ont pour activité principale la mise en œuvre des régimes de retraite complémentaires en réalisant des opérations de gestion. En raison de ces missions, celles-ci ont accès à des données personnelles mises à disposition par les fédérations AGIRC-ARRCO aux fins de recouvrer les cotisations et payer les allocations retraite.
Cependant, à la suite de contrôles réalisés en février et mars 2018 dans les locaux de ces sociétés, la CNIL a constaté que les bases de données à des fins de prospection commerciale, notamment pour les produits d’assurance de personne, étaient alimentées par des données issues des bases informatiques de l’AGIRC-ARRCO transmises par flux pour des finalités initiales de gestion de la retraite complémentaire.
Ces sociétés ont été mises en demeure au motif que :
- sous-traitantes de l’AGIRC-ARRCO, elles ont décidé, sans l’aval de leur responsable de traitement, de modifier les finalités pour lesquelles la collecte était réalisée ;
- placées dans une situation de responsable de traitement de fait, elles disposaient de données sans que les personnes concernées ne soient informées de la finalité de ce traitement et ne puissent exercer leurs droits ;
- plusieurs centaines de milliers de personnes sont concernées.
La présidente de la CNIL a laissé à ces sociétés un délai d’un mois pour que celles-ci mettent fin à la violation de la loi informatique et liberté.