Conformité RGPD insuffisante pour l’assureur AG2R La Mondiale. La Cnil sanctionne publiquement l’entreprise à hauteur d’1,75 million d’euros. Toutefois, l’assureur a pris des mesures correctives s’est engagé sur une date pour une conformité totale.
Les données client représentent un patrimoine à forte valeur ajoutée pour les entreprises, notamment les compagnies d’assurance. Celles-ci constituent une composante majeure des stratégies Data et IA des assureurs.
Toutefois, l’exploitation de ces Data doit s’opérer en conformité avec la réglementation, et en particulier le RGPD. Les étapes des projets IA intègrent d’ailleurs des contrôles en termes de conformité.
La Data de 2 millions de clients conservée trop longtemps
Des améliorations peuvent néanmoins encore s’imposer. C’est le cas au sein d’un des principaux assureurs français, AG2R La Mondiale. L’entreprise est cependant engagée dans un processus d’amélioration.
Elle n’en échappe pas pour autant à une sanction de la Cnil pour deux manquements aux obligations du RGPD. Le gendarme des données personnelles prononçait fin juillet une sanction publique à l’encontre de l’assureur de 1,75 million d’euros.
L’autorité avait identifié deux manquements à des obligations « fondamentales » du RGPD à l’occasion d’un contrôle en 2019. C’est l’activité assurantielle de prévoyance, dépendance, santé, épargne et retraite supplémentaire du groupe qui est ici épinglée.
La sanction vise plus spécifiquement la SGAM AG2R LA MONDIALE, l’entité du groupe en charge de coordonner cette activité. La Cnil lui reproche des durées de conservation des données client excessives et un défaut d’information lors des opérations de démarchage téléphonique.
Si un référentiel prévoyait des limitations des durées de conservation, celles-ci n’étaient cependant pas mises en œuvre effectivement dans les systèmes de l’assureur. En conséquence, les données de près de 2.000 prospects ont été conservées plus de 3 ans, voire parfois 5 ans.
Les mesures RGPD s’appliquent aux sous-traitants
En outre, ce sont les données de plus de 2 millions de clients qui étaient stockées plus longtemps qu’il n’est autorisé. Or, souligne la Cnil, ces données étaient pour « certaines de nature sensible (santé) ou particulière (coordonnées bancaires). »
Théoriquement, AG2R La Mondiale s’exposait à une amende pouvant atteindre 4% de son chiffre d’affaires. Mais la Cnil a tenu compte de la volonté de conformité de l’assureur. Le régulateur précise ainsi que des mesures étaient adoptées dès le contrôle de 2019. D’autres étaient déployées durant la procédure.
De fait, la conformité est d’ores et déjà acquise en ce qui concerne les données des prospects. S’agissant des données des clients, « la société a pris des engagements fermes et documentés de la démarche de mise en conformité qu’elle a engagée et dont la réalisation partielle a été démontrée. »
L’assureur s’est enfin engagé sur une date de conformité complète dans le domaine des données client. Il en va de même en matière d’information des personnes lors du démarche téléphonique par ses sous-traitants.
Le RGPD impose aux entreprises le respect de plusieurs devoirs en termes d’information. Les personnes démarchées doivent notamment être informées de l’enregistrement des appels et de leur droit d’opposition.
Des assureurs matures, mais au SI complexe
Ces obligations sont désormais respectées. AG2R La Monde a « mis en place des mesures pour procéder aux modifications nécessaires à sa mise en conformité avec le RGPD, après le contrôle puis au cours de la procédure », note la Cnil.
Cette condamnation de l’autorité de protection ne doit pas jeter pas l’opprobre sur un secteur ou une entreprise en particulier. Elle illustre avant tout la complexité de la conformité au sein de ces acteurs.
Comme le constate Capgemini Invent, la mise en conformité est « la plupart du temps bien engagée » dans l’assurance. En matière de RGPD, la maturité n’est de fait pas équivalente à tous les niveaux et des écarts demeurent sur différents chantiers.
Le « fractionnement et la complexité des SI, du fait de croissance souvent organique par rachats successifs, exacerbe les difficultés de mise en place du RGPD », commente également Capgemini. L’ESN préconise notamment la mise en place d’une « gouvernance solide et centralisée ».
« Cette gouvernance et ce réseau [de DPO] sont d’autant plus nécessaires que certains sujets porteurs de risques sont difficiles à encadrer, notamment la gestion des sous-traitants », préconise-t-elle encore. Un commentaire qui fait écho à la condamnation d’AG2R, sanctionnée notamment pour les actions de démarchage de ses sous-traitants.