La société Auxia a reçu une mise en demeure de la Cnil pour un manquement à la loi Informatique et libertés.
Cette mise en demeure de la Cnil fait suite à une mission de contrôle effectuée le 14 mars 2018 dans les locaux de cette société d’assurance du groupe de protection sociale Malakoff Médéric.
Un détournement de la finalité des données traitées
A l’issue de ce contrôle, la Cnil a constaté que la société Auxia avait utilisé à des fins de prospection commerciale des données personnelles collectées exclusivement pour le versement des allocations de retraite.
En effet, la société Auxia a accès aux traitements de données à caractère personnel mis en œuvre par les fédérations AGIRC et ARRCO pour réaliser leur mission d’intérêt général de gestion de la retraite complémentaire des salariés du secteur privé. Or, la société Auxia a utilisé ces données à des fins commerciales, et plus précisément pour proposer des produits d’assurance de personnes.
Il s’agit là d’un manquement aux obligations prévues au 2° de l’article 6 de la loi 78-17 du 6 janvier 1978 modifiée, dans sa version applicable aux faits de l’espèce, qui dispose que les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.
La Cnil a également constaté, l’enregistrement de certaines conversations lors d’une campagne de prospection téléphonique, sans information des personnes contactées.
Il s’agit là d’un manquement au I de l’article 32 de la loi Informatique et Libertés, dans sa version applicable aux faits de l’espèce, qui impose de fournir à la personne concernée une information en cas d’enregistrement d’une conversation téléphonique.
Par une décision du 25 septembre 2018 (1), la Présidente de la Cnil a mis la société Auxia en demeure de :
- cesser le détournement de finalité précité ainsi que
- procéder à l’information des personnes dont les données avaient été traitées, notamment en ce qui concerne les enregistrements téléphoniques, sous un mois.
Une mise en demeure de la Cnil rendue publique
Par une délibération du 11 octobre 2018 (2), le bureau a décidé de rendre publique cette mise en demeure.
On retrouve dans cette délibération les motivations habituellement avancées par la Cnil pour justifier une mesure de publicité, à savoir : stigmatiser un comportement particulièrement grave d’une part, informer et anticiper d’autre part.
En effet, la décision du bureau de la Cnil de rendre publique la mise en demeure prononcée à l’encontre de la société Auxia se justifie par :
- la nature du manquement constaté : un traitement incompatible avec la finalité initiale, ce qui est constitutif d’une atteinte aux droits et libertés des personnes
- sa gravité.
- le nombre important de personnes concernées.
Enfin, la publicité a vocation à informer les personnes concernées et à prévenir les professionnels du secteur en cause.
Encore faut-il préciser que cette mise en demeure de la Cnil, même assortie de publicité, ne constitue pas une sanction. Aucune suite à donner si la société Auxia se conforme à la loi dans le délai prescrit. Et dans ce cas, la Cnil rend publique la clôture de la procédure. A l’inverse, si la société ne se conforme pas à la mise en demeure de la Cnil, cette dernière pourra prononcer à son encontre l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée à l’issue d’une procédure contradictoire devant la formation restreinte de la Cnil.
Alexis Chauveau Maulini
Lexing Data Protection Officer (DPO) secteur privé
(1) Décision n°MED-2018-036 du 25-9-2018
(2) Délibération n°2018-332 du 11-10-2018