Près de cinq mois après l'entrée en vigueur du RGPD, le Règlement européen de protection des données personnelles, qui a défini le cadre dans lequel les entreprises peuvent exploiter les données personnelles en leur possession, certaines peinent encore à se conformer aux règles. Dans un communiqué publié ce jeudi 18 octobre, la Commission nationale Informatique et Libertés (Cnil) a indiqué avoir mis en demeure cinq sociétés des groupes de protection sociale Humanis et Malakoff-Médéric de cesser d'utiliser des données personnelles pour faire de la prospection commerciale, constituant alors un détournement de finalité.
Les sociétés concernées sont Grand Est Mutuelle, Humanis Assurance, Mutuelle Humanis Nationale, Auxia, et Malakoff Médéric Mutuelle.
« La Cnil a constaté que les sociétés des groupes Humanis et Malakoff-Médéric utilisent les données personnelles qu'elles détiennent dans le cadre de leur mission d'intérêt général de mise en œuvre des régimes de retraite complémentaire afin de faire de la prospection commerciale pour des produits et services de ces groupes », a révélé la Commission dans un communiqué.
Parmi leurs activités, les mutuelles Humanis et Malakoff-Médéric, qui s'apprêtent à fusionner, et les sociétés qui les composent sont chargées de mettre en œuvre les régimes de retraite complémentaire en réalisant des opérations de gestion. A ce titre, elles ont accès aux données personnelles mises à disposition par les fédérations AGIRC-ARRCO, qui doivent déterminer les finalités et les moyens des traitements de données à caractère personnel au titre de la loi Informatique et Libertés. Or, en utilisant ces données à des fins commerciales, les cinq sociétés, qui devaient s'en servir exclusivement pour payer les allocations retraites et recouvrer les cotisations, ont « déterminé de nouvelles finalités et de nouveaux moyens au traitement visé », selon la Cnil.
Près de 16 millions de personnes concernées
Suite aux contrôles réalisés dans les locaux des groupes en février et mars 2018, la Commission a estimé que cet usage des données personnelles a concerné 16 millions de personnes.
« Compte tenu du grand nombre de personnes concernées et de la gravité du manquement relevé, la Cnil a décidé de rendre publique cette mise en demeure », a-t-elle ajouté.
Bien que le détournement de finalité constitue une infraction pénale, l'autorité a précisé que cette « mise en demeure n'est pas une sanction » et a accordé un délai d'un mois aux sociétés des groupes Humanis et Malakoff-Médéric pour se conformer à la loi.
Les effets du RGPD commencent tout juste à être perceptibles, du moins à travers les chiffres de plaintes et de notifications. Dans un premier bilan publié le 16 octobre, la Cnil a indiqué avoir reçu, entre le 25 mai et le 1er octobre 2018, un total de 742 notifications de violations de données personnelles, qui concerneraient les données de 33,7 millions de personnes « situées en France ou ailleurs ». La finance (y compris) assurance est le cinquième secteur cumulant le plus de notifications. L'hôtellerie est en première position avec au total 185 notifications.
Plan d'urbanisme à Paris : les professionnels dénoncent « une aberration », le premier adjoint d'Hidalgo leur répond
Sujets les + commentés