La Cnil a rendu publique la mise en demeure d’Humanis et de Malakoff-Médéric. L’institution leur reproche d’avoir détourné à des fins commerciales les données de 16 millions d’assurés.
Alors que le Règlement européen de protection des données personnelles (RGPD) a été mis en place il y a quelques mois seulement, la Commission nationale de l’informatique et des libertés (Cnil) a indiqué avoir mis en demeure cinq sociétés des groupes de protection sociale Humanis et Malakoff-Médéric, révèle Le Parisien ce vendredi.
Il s’agit de Grand Est Mutuelle, d’Humanis Assurance, de Mutuelle Humanis Nationale, d’Auxia et de Malakoff Médéric Mutuelle. La Cnil les somme d’arrêter d’utiliser les données personnelles des assurés pour faire de la prospection commerciale. Dans un communiqué, l’autorité a révélé avoir constaté « que les sociétés des groupes Humanis et Malakoff-Médéric utilisent les données personnelles qu’elles détiennent dans le cadre de leur mission d’intérêt général de mise en œuvre des régimes de retraite complémentaire afin de faire de la prospection commerciale pour des produits et services de ces groupes ».
Plus de 700 notifications en 2018
Les mutuelles Humanis et Malakoff-Médéric sont en effet chargées de mettre en place des régimes de retraite complémentaire, précise La Tribune. Ainsi, elles ont accès aux données personnelles mises à disposition par les fédérations Agirc-Arrco (caisses de retraite complémentaire du privé qui complètent la retraite de base), qu’elles ont ensuite détournées. La Commission a ainsi estimé, à la suite de contrôles réalisés en début d’année, que cet usage a concerné 16 millions de personnes. « Compte tenu du grand nombre de personnes concernées et de la gravité du manquement relevé, la Cnil a décidé de rendre publique cette mise en demeure », a-t-elle expliqué.
Ce détournement, même s’il s’agit d’une infraction pénale, ne sera pas directement sanctionné par l’autorité. Elle a en effet accordé un délai d’un mois aux sociétés des groupes Humanis et Malakoff-Médéric pour se conformer à la loi, informe le journal économique. Cette décision s’explique du fait du grand nombre de notifications de violations de données personnelles : 742 au total, qui ont été envoyés à la Cnil depuis la mise en œuvre du RGPD en mai 2018.
Source : Capital