Menu

Données personnelles et assurances : quel danger les consommateurs courent-ils ?

La CNIL a mis en demeure de cinq sociétés d’assurances pour détournement de données personnelles.

En octobre 2018, la CNIL, l’autorité chargée de la protection des données, a mis en demeure cinq sociétés d’assurances françaises des groupes Malakoff-Médéric et Humanis. La cause ? Le détournement des données de leurs clientèles à des fins commerciales. Un problème qui dépasse le domaine de l’assurance à l’ère du tout connecté.

Détournements de données et assurances : qu’a révélé la CNIL ?

Il y a quelques semaines, la Commission nationale de l’informatique et des libertés – ou CNIL – a mis en lumière un problème très actuel : l’utilisation de données personnelles à des fins commerciales. Et le secteur des assurances n’échappe pas à cette situation. L’autorité administrative a en effet accusé cinq sociétés d’assurances des groupes Malakoff-Médéric et Humanis de détourner les datas de leur clientèle.

C’est lors de contrôles effectués en février et mars 2018 que la CNIL a constaté des agissements des cinq sociétés d’assurance de Malakoff-Médéric et Humanis. « La CNIL a constaté que les sociétés des groupes Humanis et Malakoff-Médéric utilisent les données personnelles qu’elles détiennent dans le cadre de leur mission d’intérêt général de mise en œuvre des régimes de retraite complémentaires afin de faire de la prospection commerciale pour des produits et services de ces groupes », a expliqué la Commission dans son communiqué du 18 octobre 2018. Les données personnelles 16 millions d’assurés sont concernés.

Parmi leurs activités, ces groupes et les sociétés qui les composent sont chargés de mettre en œuvre les régimes de retraite complémentaire en réalisant des opérations de gestion. À ce titre, ils ont accès à des données personnelles mises à disposition par les fédérations AGIRC-ARRCO aux fins de recouvrer les cotisations et payer les allocations retraite, explique plus longuement la CNIL dans son communiqué.

Cette accusation a abouti à une mise en demeure de la CNIL – rendue publique au vu de la gravité de la situation. L’autorité française a précisé que cette « mise en demeure [n’était] pas une sanction », même si cette pratique appelée « détournement de finalité » est en soi une infraction pénale. La CNIL a donné un mois aux différentes sociétés pour cesser cette activité. Dans le cas où elles répondraient positivement à cette mise en demeure, cette dernière ne devrait pas faire l’objet d’une suite.


Comment s’assurer de la protection des données personnelles ?

Peu après la révélation de cette situation, les deux groupes ont déclaré prendre en compte cette mise en demeure. Leurs déclarations ont été relayées par l’Agence France Presse – ou AFP. Humanis a déclaré que tout avait été pris en charge, et que « toutes les opérations concernées » avaient été stoppées. De son côté, Malakoff Médéric a affirmé prendre « toutes les mesures nécessaires au respect de cette mise en demeure ».

Si les deux groupes se conforment à la loi, la CNIL l’affirme : « la clôture de la procédure sera elle aussi rendue publique ». À ce jour, aucune nouvelle information n’a été dévoilée.

Détournement des données dans l’assurance : quid de la sécurité des données ?Chez Malakoff-Médéric, on l’affirme : la sécurité des données des personnes n’a pas été compromise dans le procédé. Le groupe a déclaré à l’AFP que « les faits en question n’impactent aucunement la sécurité des données de [leurs] assurés, cotisants et allocataires ».

Détournement de données : un problème très actuel

La problématique liée au détournement de données confiées à des entités privées dépasse le simple secteur des assurances. Le Règlement Général sur la Protection des Données – ou RGPD, applicable depuis mai 2018, est né de la volonté de protéger les utilisateurs de cet abus des datas personnelles, et ce sur l’ensemble du territoire européen. C’est pour cela que depuis plusieurs mois, les internautes ont vu apparaître des messages les informant de la mise à jour des politiques de confidentialité des plateformes qu’ils utilisent en ligne.


En 2018, tout reste à faire concernant la protection des données personnelles.

Pour les entreprises, le RGPD est un moyen d’établir un cadre légal, lequel définit les conditions d’utilisation des données personnelles qui leur parviennent. Évidemment, l’actualité prouve que le plus gros du travail reste à faire. Dans son rapport intitulé « Violations de données personnelles : 1er bilan après l’entrée en application du RGPD », publié le 16 octobre 2018, la CNIL explique avoir « reçu 742 notifications de violations (entre le 25 mai et le 1er octobre) qui concerneraient les données de 33 727 384 personnes situées en France ou ailleurs ». Dans l’ordre, les secteurs les plus touchés par ces notifications sont l’hôtellerie, les sciences techniques, les commerces auto-moto, l’information et la communication et, en cinquième position, la finance et les assurances.

Alors que dans le milieu de la domotique certains voient le RGPD comme une menace pour l’innovation européenne, il s’agit à ce jour de l’une des seules réglementations en vigueur assurant aux particuliers une protection basique des informations qu’ils confient – parfois sans s’en rendre compte – à des entreprises privées.

Mise à jour le