Une société mutuelle a reçu une mise en demeure de la Cnil pour détournement de finalité. La Cnil a effectué une mission de contrôle dans les locaux de cette mutuelle.
Un détournement de la finalité des données traitées
La mutuelle avait utilisé à des fins de prospection commerciale des données personnelles collectées exclusivement pour le versement des allocations de retraite.
Elle a en effet accès aux traitements de données mis en œuvre par les fédérations AGIRC et ARRCO. C’est dans le cadre de sa mission d’intérêt général de gestion de la retraite complémentaire des salariés du secteur privé. Or la mutuelle a utilisé ces données à des fins commerciales pour des produits et services proposés par les sociétés du groupe mutualiste.
Il s’agit là d’un manquement aux obligations prévues par la loi du 6 janvier 1978 modifiée, dans sa version applicable aux faits de l’espèce. Les données sont collectées pour des finalités déterminées, explicites et légitimes. Elles ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités.
Par une décision du 25 septembre 2018 (1), la Présidente de la Cnil a mis la société mutuelle en demeure de cesser ce détournement de finalité sous un mois.
Une mise en demeure de la Cnil rendue publique
Par une délibération du 11 octobre 2018 (2), le bureau a décidé de rendre publique cette mise en demeure.
On retrouve dans cette délibération les motivations habituellement avancées par la Cnil pour justifier une mesure de publicité, à savoir : stigmatiser un comportement particulièrement grave d’une part, informer et anticiper d’autre part.
En effet, la décision de rendre publique la mise en demeure prononcée se justifie par :
- la nature du manquement constaté : traitement incompatible avec la finalité initiale
- sa gravité
- le nombre important de personnes concernées
Enfin, la publicité a vocation à informer les personnes concernées et à prévenir les professionnels du secteur en cause.
Encore faut-il préciser que cette mise en demeure de la Cnil, même assortie de publicité, ne constitue pas une sanction. Il n’y aura aucune suite si la société se conforme à la loi dans le délai prescrit. Et dans ce cas, la clôture de la procédure sera elle aussi rendue publique. A l’inverse, si la société ne se conforme pas à la mise en demeure de la Cnil, cette dernière pourra prononcer à son encontre l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée à l’issue d’une procédure contradictoire devant la formation restreinte de la Cnil.
Alexis Chauveau Maulini
Lexing Data Protection Officer (DPO) secteur privé
(1) Décision n°MED-2018-038 du 25-9-2018
(2) Délibération n°2018-331 du 11-10-2018