Le 25 septembre 2018, la Commission nationale de l’informatique et des libertés (Cnil) a mis en demeure cinq sociétés intervenant dans le secteur de la protection sociale de cesser toute utilisation à des fins de prospection commerciale des données à caractère personnel mises à leur disposition dans le cadre de la mission d’intérêt général qui leur est confiée.
Ces délibérations de la CNIL sont l’occasion d’illustrer l’un des principes de la protection des données à caractère personnel selon lequel « Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. » (Article 6,2° de la loi Informatique et Libertés, repris à l’article 5, b) du RGPD).
Quels sont les faits ?
Les cinq sociétés dont les pratiques ont été mises en cause sont notamment en charge de la mise en œuvre des régimes de retraite complémentaire en réalisant des opérations de gestion (recouvrer les cotisations, liquider les droits et payer les allocations de retraite, etc.).
Afin de réaliser sa mission d’intérêt général de gestion de la retraite complémentaire des salariés, l’AGIRC-ARRCO met en œuvre plusieurs traitements de données à caractère personnel rassemblés dans un système appelé « l’usine retraite », dont elle est le responsable du traitement.
Les cinq sociétés mises en demeure ont accès aux données à caractère personnel issues de l’usine retraite.
Lors d’un contrôle sur place réalisé le 13 février pour certaines, et le 14 mars 2018 pour les autres, la délégation de la CNIL a été informée que des opérations de prospection commerciale par téléphone et par courrier étaient réalisées à partir de données à caractère personnel issues du système de traitement de l’AGIRC-ARRCO afin de proposer des produits d’assurance de personnes aux allocataires.
Etant précisé que cette dernière a pu préciser à la délégation de la CNIL que la réutilisation des données à caractère personnel issues de son système de traitement à d’autres fins que la gestion de la retraite complémentaire n’a pas été autorisée.
Quel est le manquement constaté par la CNIL ?
Il résulte de la mise en demeure publique prononcée par la CNIL que l’utilisation des données à caractère personnel issues de l’usine retraite à des fins de prospection commerciale constitue un manquement au principe d’interdiction de traitement ultérieur des données pour une finalité incompatible.
En conséquence, la CNIL rappelle que la finalité ultérieure de prospection commerciale pour des produits assurantiels n’est pas compatible avec la finalité de gestion de la retraite complémentaire, laquelle s’inscrit dans le cadre d’une mission de service public. Ce manquement a d’ailleurs été qualifié de « particulièrement grave » par le bureau de la Commission nationale de l’informatique et des libertés ayant décidé de la publicité des délibérations.
Rappelons que dorénavant, l’article 6§4 du RGPD liste une série d’éléments à prendre en compte afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées.
A cet égard, le RGPD mentionne notamment :
- l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ;
- le contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;
- le contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement.
Dans un délai d’un mois à compter de la notification de la délibération de la CNIL, les cinq sociétés doivent donc prendre les mesures nécessaires à la cessation des opérations de prospection commerciale. Pour ce faire, l’identification notamment de la source des données à caractère personnel utilisées pour cette finalité et sa matérialisation en base de données semble impérative.