Cinq sociétés d’assurance, trois filiales d’Humanis et deux de Malakoff-Médéric, ont été mises en demeure par la Cnil. Le gendarme des données personnelles leur reproche d’utiliser les données personnelles qu’elles détiennent dans le cadre de leur mission d’intérêt général de mise en oeuvre des retraites complémentaires à des fins de prospection commerciale.
Humanis Assurances, Grand Est Mutuelle, Mutuelle Humanis Nationale, filiales du groupe Humanis, et Auxia et Malakoff-Médéric Mutuelle, filiales de Malakoff-Médéric, ont reçu en février et mars derniers la visite de la Cnil dans le cadre de son programme annuel de contrôle. La délégation a alors constaté dans ces différentes sociétés que des campagnes de prospection commerciale étaient menées sur la base des données issues de l’Usine Retraite.
L’Usine Retraite est un logiciel unifiant les processus métier de gestion de la retraite complémentaire, mis en chantier par les fédérations, l'ARRCO (Association pour le régime de retraite complémentaire des salariés) et l'AGIRC (Association générale des institutions de retraite des cadres). Y sont traitées « des données personnelles d’actifs ou d’anciens actifs collectées indirectement (principalement à travers la Déclaration Sociale Nominative) », nous apprend la Cnil, l’AGIRC-ARRCO étant le responsable desdits traitements.
Détournées de leur finalité
Les caisses membres de ces fédérations ont accès dans le cadre de leur mission de mise en œuvre des régimes de retraite complémentaire aux données personnelles de l’Usine Retraite, données qu’elles doivent « traiter aux fins déterminées par l’AGIRC-ARRCO ». Mais interrogées par la Cnil à ce sujet, les fédérations ont nié avoir autorisé les sociétés mises en cause à « réutiliser les données à caractère personnel issues du système d’information de la retraite complémentaire ».
« Conformément à la réglementation en vigueur, une utilisation des données personnelles de la retraite complémentaire ne saurait être envisagée à d’autres fins que celle pour laquelle elles ont été initialement collectées sans l’accord individuel de chacune des personnes concernées réutiliser les données à caractère personnel issues du système d’information de la retraite complémentaire » expliquaient les présidents des deux fédérations en 2017.
En conséquence de quoi l’utilisation desdites données à des fins de prospection publicitaire, téléphonique ou postale constitue un manquement aux obligations légales de ces sociétés, d’autant qu’elle concerne selon la Cnil « plusieurs centaines de milliers de personnes ». Les filiales de Malakoff-Médéric et d’Humanis ont un mois pour se mettre en conformité, sans quoi les sanctions, pouvant grimper jusqu’à 1,5 million d’euros, ne manqueront pas de tomber.