Afin de réaliser la mission d’intérêt général de gestion de la retraite complémentaire des salariés, la fédération AGIRC-ARRCO met en œuvre plusieurs traitements de données à caractère personnel rassemblés dans un système appelé « l’usine retraite ». Ces traitements compilent des données personnelles d’actifs et d’anciens actifs collectées indirectement, notamment à travers la Déclaration Sociale Nominative. L’usine-retraite est une application informatique destinée à être utilisée par les groupes français d’assurance pour l’exercice du métier de la retraite complémentaire.
Aux termes d’enquêtes sur place menées au sein des sociétés des groupes d’assurance HUMANIS et MALAKOFF-MEDERIC, la CNIL a pu constater que ces sociétés avaient procédé, directement ou par l’intermédiaire de sous-traitants, à des campagnes de prospection commerciale par téléphone, en utilisant des informations personnelles issues de l’usine retraite, notamment l’adresse postale et le numéro de téléphone des personnes concernées.
Dans de telles situations, la CNIL commence par identifier parmi les entités en cause le responsable du traitement de données litigieux.
En l’occurrence, l’AGIRC-ARRCO se présente comme le responsable du traitement l’usine retraite, les institutions de retraite complémentaire chargées de la mise en œuvre des traitements étant en principe des sous-traitants au titre de la loi Informatique et Libertés.
Or, en utilisant à des fins commerciales des données à caractère personnel qu’elles devaient traiter aux fins de mission d’intérêt général déterminées par l’AGIRC-ARRCO, les sociétés d’assurance ont déterminé de nouvelles finalités et de nouveaux moyens de traitement et se sont donc comportées comme responsables de traitement.
Dans un second temps, la CNIL identifie l’existence ou non d’un manquement à l’article 6 2° de la loi Informatique et Libertés du 6 janvier 1978, modifiée par la loi du 20 juin 2018, qui dispose que les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.
En l’espèce, la CNIL a pu constater que les sociétés d’assurance n’ont pas été autorisées par l’AGIRC-ARRCO à réutiliser les données personnelles de l’usine retraite, la fédération ayant précisé par écrit à plusieurs reprises qu’une utilisation de ces données à d’autres fins que la gestion de la retraite complémentaire n’était pas envisageable, sans l’accord individuel des personnes concernées.
Le manquement à l’interdiction de traiter ultérieurement, d’une manière incompatible avec la finalité initiale, des données collectées pour des finalités déterminées a donc été caractérisé.
En conséquence, la CNIL a décidé de mettre en demeure publiquement les sociétés d’assurance concernées par les enquêtes de cesser de traiter ces données pour des finalités incompatibles avec celles définies par l’AGIRC-ARRCO, notamment à des fins de prospection commerciale et d’en référer sous un mois.
A défaut, les sociétés d’assurance encourent, conformément aux articles 226-21 et 131-41 du Code pénal combinés, une peine d’amende pouvant atteindre 1.500.000 euros.
Virginie PERDRIEUX
Vivaldi-Avocats
