• diane Ouandji

La CNIL prononce une sanction de 1,75 million d'euros à l'encontre d'AG2R LA MONDIALE


Le 22 Juillet 2021, la CNIL a prononcé une sanction de 1,75 millions d'euros à l'encontre d'AG2R LA MONDIALE, au terme de la procédure de sanction qui a été initiée suite à un contrôle, par la CNIL, du groupe du même nom en 2019.


Les manquements retenus contre AG2R LA MONDIALE sont :

  • Manquement à l'obligation de limiter la durée de conservation des données : les durées de conservation étaient pour la plupart définies, mais celles-ci n'étaient pas effectivement mise en œuvre.

  • Manquement à l'obligation d'information des personnes : Les sous-traitants de la société, en charge du démarchage téléphonique n'informait pas correctement les personnes démarchées.


Au-delà des motifs de la sanction, il est intéressant de se pencher sur les arguments avancées par AG2R LA MONDIALE pour "éviter" cette sanction, et qui n'ont pas été retenues.


Les arguments d'AG2R LA MONDIALE qui ont été inefficaces


Lors de la séance de la formation restreinte, à laquelle ont participé le rapport de la CNIL et des représentants d'AG2R LA MONDIALE, ces derniers ont avancées plusieurs arguments qui ont été réfutés par la formation restreinte.


Plan de mise en conformité


L'un des arguments qui retient l'attention est le large plan de mise en conformité qui incluait un projet informatique initié en 2017. Ce projet informatique qui devait se terminer en mai 2018 n'est pas achevé en raison de la complexité des systèmes d'information du groupe AG2R LA MONDIALE et des interdépendance applicatives, selon ce même groupe. Le groupe a indiqué avoir défini une nouvelle stratégie de suppressions des données des clients, le projet devant s'achever en 2022.


Ce point a fait l'objet de débat et la conclusion de la CNIL, sur la base des éléments fournis par AG2R LA MONDIALE et de sa confirmation des faits constatés lors du contrôles, a été que le manquement à l'article 5-1-e) du RGPD était caratérisé.

Extrait de l'article 5-1-e du RGPD
Les données à caractère personnel doivent être conservées sus une forme permettant l'identification des personnes concernées pendant une durée n'excédent pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

Rectification immédiate dès l'issue du contrôle sur place


Concernant les manquements relatifs à l'information des personnes démarchées, le groupe AG2R LA MONDIALE a indiqué, lors de la formation restreinte avoir procédé à des rectifications immédiates, dès l'issue du contrôle sur place. Le groupe a détaillé les rectifications effectuées en précisant que cela était effectif depuis la fin de l'année 2019.


Mais la formation restreinte a relevé :

  • Qu'à la date du contrôle, les personnes démarchées téléphoniquement n'étaient pas correctement informées des traitements de données à caractère personnel mis en œuvre.

  • Que AG2R LA MONDIALE n'avait pas donné d'instruction à ses sous traitants concernant ce devoir d'information; en particulier, les scripts d'appels téléphonique transmis par le groupe à ses sous-traitants ne contenaient aucune mention relative à l'information des personnes.


Que retenir de cette sanction ?


Cette sanction nous rappelle, à juste titre :

  • Que tout responsable de traitement se doit de donner des instructions à ses sous-traitant quant aux traitements des données à caractère personnel fait pour son compte.

  • Qu'un manquement constaté par la CNIL lors d'un contrôle peut être sanctionné même si la société l'a rectifié immédiatement après le contrôle.

  • Qu'il ne suffit pas de définir des règles, politiques et d'avoir des référentiels à jour. Encore faut-il que cela soit effectivement mis en œuvre (dans des délais raisonnables).


Concernant le montant de l'amende administrative


Compte-tenu de la nature des manquements relevés, le montant de l'amende administrative pouvait aller jusqu'à 4% du chiffre d'affaires annuel mondial ou 20 millions d'euros.

La formation restreinte a considéré qu'une amende de 1 750 000 euros était justifié compte-tenu de la "nécessité de sanctionner des manquements à des principes élémentaires du RGPD, commis par un acteur majeur de la protection sociale en France, concernant plusieurs millions de personnes et portant sur des données de nature sensible ou particulière, comme les coordonnées bancaires".


Pour aller plus loin