Camille Gruhier
Données personnellesLa Cnil met en demeure Malakoff Médéric et Humanis
La Commission nationale de l’informatique et des libertés (Cnil) vient de mettre en demeure Malakoff Médéric et Humanis de se conformer à la loi. L’autorité de contrôle a en effet constaté que les deux groupes de retraite complémentaire utilisaient des fichiers de bénéficiaires à des fins de prospection commerciale, ce qui est interdit. Les deux groupes ont un mois pour rectifier le tir.
Mise à jour du 21 février 2019
La Cnil vient de clore les procédures lancées en octobre 2018 à l’encontre de Malakoff Médéric et Humanis. Les deux sociétés ont en effet modifié leur système informatique afin que les données en lien avec la retraite ne soient plus connues ni utilisées par les services en charge de l’assurance. Elles ont également supprimé les données illégalement acquises par ce biais. Elles sont donc désormais en conformité avec le RGPD (Règlement général sur la protection des données), estime l’autorité.
Si les données personnelles et les risques qui leur sont liés vous semblent abstraits, voilà un exemple de débordement très concret. Celui de deux grands groupes, Malakoff Médéric et Humanis (près de 17 millions de personnes couvertes et 12 300 salariés à eux deux), qui piochaient tranquillement dans la base de données des bénéficiaires d’une retraite complémentaire pour faire du démarchage commercial. Cette pratique est formellement interdite par la loi (1), qui exige qu’une base de données ne soit exploitée qu’aux seules fins pour lesquelles elle a été constituée (c’est le principe de « finalité » : le responsable d’un fichier ne peut enregistrer et utiliser des informations sur des personnes physiques que dans un but bien précis, légal et légitime).
C’est la Cnil (Commission nationale de l’informatique et des libertés) qui a découvert ces pratiques lors de contrôles réalisés en février et mars 2018. En tant que gestionnaires de régimes de retraite complémentaire, Malakoff Médéric et Humanis ont accès aux bases de données des fédérations Agirc-Arrco (2) pour recouvrer les cotisations et verser les allocations retraite. Les contrôles ont révélé que Malakoff Médéric avait procédé à une campagne de prospection en démarchant les bénéficiaires par courrier, puis en les recontactant ensuite par téléphone. En outre, le logiciel de gestion des clients de l’entreprise était aussi alimenté par des flux provenant de l’Agirc-Arrco. Même type de pratiques chez Humanis, qui a envoyé des courriers aux bénéficiaires dans le cadre d’une campagne de prospection fin 2017. Au total, plusieurs centaines de milliers de personnes sont concernées. La Cnil a donné un mois aux deux groupes pour se conformer à la loi. « Nous avons pris les mesures nécessaires au respect de cette mise en demeure », explique Stéphane Dupont, de la direction de la communication de Malakoff Médéric, qui tient à ajouter « qu’il ne s’agit pas d’une sanction, et qu’à aucun moment la sécurité des données n’a été atteinte ». Nous voilà rassurés.
(1) Loi Informatique et libertés ou loi du 6 janvier 1978 modifiée.
(2) Agirc : Association générale des institutions de retraite complémentaire des cadres. Arrco : Association pour le régime de retraite complémentaire des salariés.