Par délibérations du 11 octobre 2018, la CNIL a décidé de rendre publique les mises en demeure de cinq compagnies d’assurance, pour détournement de finalité de traitement de données personnelles. La décision de publication est motivée par la gravité du manquement constaté et par le nombre très important de personnes concernées (plusieurs centaines de milliers d’assurés).
Ces sociétés avaient utilisé pour faire de la prospection commerciale des données personnelles d’assurés qu’elles détiennent dans le cadre de leur mission d’intérêt général de mise en œuvre de régimes de retraite complémentaire.
Cette pratique constitutive d’un détournement de finalité est contraire à l’article 6 de la loi Informatique et Libertés dans sa version applicable au jour du contrôle (février 2018). Comme rappelé dans les mises en demeure de la CNIL, le fait, pour une personne morale de détourner des données à caractère personnel de leur finalité est puni d’une peine d’amende pouvant atteindre 1.500 000 euros, en application des articles 226-21 et 131-41 du Code pénal combinés.
Les sociétés d’assurance concernées devront avoir cessé cette pratique dans un délai d’un mois suivant leurs mises en demeure, soit pour le 25 octobre prochain.
