Données personnelles : l’assurance sous surveillance de la Cnil

14 143. C’est le nombre de plaintes reçues par la Commission nationale informatique et libertés (Cnil) sur l’année 2021 émanant de nombreux acteurs de la société (particuliers, entreprises, pouvoirs publics, associations, médias). Les manquements constatés à l’occasion de certaines des instructions menées ont conduit le régulateur à prononcer 135 mises en demeure et 18 sanctions pour un montant cumulé d’amendes historiques qui dépasse les 214 millions d’euros. « L’année 2021 a été synonyme de renouveau, d’intensité et d’innovation », synthétise Marie-Laure Denis, présidente de la Cnil, à l’annonce de ces chiffres en hausse par rapport à 2020.

Accompagnement spécifique

Parmi les nombreuses requêtes traitées par la Cnil, 25% ont concerné le secteur bancaire/crédit/assurance, le plaçant en tête devant le secteur de la téléphonie et d’internet (20%) et le secteur santé/social (15%). Les principales thématiques de ces demandes de plus en plus complexes concernent les cookies, le déréférencement, l’utilisation des données des salariés par les employeurs, les données traitées dans le secteur bancaire ou encore les recueils des données effectués dans le cadre de la lutte contre le Covid.

Le secteur assurantiel bénéficie depuis de nombreuses années d’un accompagnement spécifique de la Cnil, compte tenu des enjeux liés aux traitements mis en œuvre impliquant souvent des données de santé. Dans ce cadre, la Cnil anime régulièrement des clubs conformité avec les principaux représentants du secteur : France Assureurs, le Centre technique des institutions de prévoyance (Ctip) ou encore la Fédération nationale de la Mutualité française (FNMF). Afin de mettre à jour les principes inscrits dans son pack de conformité assurance de 2014, la Cnil a publié en juillet 2021 des fiches pratiques pour aider les organismes à comprendre les principaux enjeux en matière de protection des données depuis l’entrée en vigueur du RGPD. Ces contenus reprennent l’essentiel du contenu du guide élaboré par le secteur de l’assurance, en association avec France Assureurs : qualification des acteurs, minimisation des données, bases légales, durée de conservation….

Axes de développement

Le régulateur a également abordé ses axes stratégiques de développement pour la période 2022-2024 : favoriser le respect des droits des citoyens, promouvoir le RGPD comme atout des entreprises et cibler la régulation des sujets à enjeux pour la vie privée. « Un des objectifs de la Cnil est d’apporter de la sécurité juridique à l’ensemble des professionnels vis-à-vis du RGPD, quel que soit leur secteur d’activité et leur taille », explique la présidente. Pour ce faire, le gendarme des données personnelles a ainsi publié des nouveaux guides et ressources, notamment, entre autres, pour le secteur de l'assurance.

Malgré cet accompagnement marqué de la Cnil envers les acteurs économiques, les risques liés aux données personnelles demeurent. Le monde de l'assurance doit plus que jamais rester vigilant sur ces problématiques, à l'instar des autres secteurs. Au mois de juillet dernier, AG2R La Mondiale écopait d’une sanction d’un montant 1,75 M€ , prononcée par la Cnil. Pour rappel, le régulateur avait constaté que la société de groupe d'assurance mutuelle AG2R La Mondiale (la SGAM AG2R La Mondiale), en charge de coordonner l'activité assurantielle de prévoyance, de dépendance, de santé, d'épargne et retraite supplémentaire du groupe, conservait les données de millions de personnes pendant une durée excessive et ne respectait pas les obligations d'information dans le cadre de campagnes de démarchage téléphonique.