le 22/11/2018

La CNIL réagit face aux détournements de finalités

Décision n° MED 2018-035 du 25 septembre 2018 mettant en demeure la société Grand Est Mutuelle

Décision n° MED 2018-037 du 25 septembre 2018 mettant en demeure la société Humanis Assurances 

Décision n° MED 2018-038 du 25 septembre 2018 mettant en demeure la société Mutuelle Humanis Nationale 

Décision n° MED 2018-036 du 25 septembre 2018 mettant en demeure la société AUXIA 

Décision n° MED 2018-034 du 25 septembre 2018 mettant en demeure la société MALAKOFF MÉDÉRIC MUTUELLE 

Le 25 septembre 2018, la présidente de la CNIL a décidé de mettre en demeure cinq sociétés (Grand Est Mutuelle, Humanis Assurances, Mutuelle Humanis Nationale, Auxia, Malakoff Médéric Mutuelle) appartenant aux groupes Humanis et Malakoff-Médéric.

Pour rappel, ces sociétés ont pour activité principale la mise en œuvre des régimes de retraite complémentaires en réalisant des opérations de gestion. En raison de ces missions, celles-ci ont accès à des données personnelles mises à disposition par les fédérations AGIRC-ARRCO aux fins de recouvrer les cotisations et payer les allocations retraite.

Cependant, à la suite de contrôles réalisés en février et mars 2018 dans les locaux de ces sociétés, la CNIL a constaté que les bases de données à des fins de prospection commerciale, notamment pour les produits d’assurance de personne, étaient alimentées par des données issues des bases informatiques de l’AGIRC-ARRCO transmises par flux pour des finalités initiales de gestion de la retraite complémentaire.

Ces sociétés ont été mises en demeure au motif que :

  • sous-traitantes de l’AGIRC-ARRCO, elles ont décidé, sans l’aval de leur responsable de traitement, de modifier les finalités pour lesquelles la collecte était réalisée ;
  • placées dans une situation de responsable de traitement de fait, elles disposaient de données sans que les personnes concernées ne soient informées de la finalité de ce traitement et ne puissent exercer leurs droits ;
  • plusieurs centaines de milliers de personnes sont concernées.

La présidente de la CNIL a laissé à ces sociétés un délai d’un mois pour que celles-ci mettent fin à la violation de la loi informatique et liberté.