La Cnil multiplie les mises en demeure d’assureurs complémentaires santé et retraite, leur reprochant une réutilisation inappropriée de données à caractère personnel.
Par cinq décisions en date du 11 octobre 2018, la CNIL a décidé de rendre publiques 5 mises en demeure visant des complémentaires santé et retraites[1]. Précisons immédiatement que des mises en demeure ne sont pas des sanctions. On pourrait toutefois s’interroger quant à l’aspect comminatoire de la publication d’une mise en demeure, mais ce n’est pas le plus important, ici. Que faut-il retenir, donc ?
Étaient reprochés aux complémentaires une réutilisation de données à caractère personnel placées sous la responsabilité de l’AGIRC et l’AARCO. Ces fédérations assurent une mission de contrôle de leurs adhérents et la compensation des opérations réalisées par ces institutions. Dans ce cadre, l’AGIRC-ARRCO met en œuvre des traitements de données nécessaires à la gestion de la retraite complémentaire des salariés, les institutions de retraite complémentaire pouvant les utilisées ès qualités de sous-traitant. Pour mémoire, un sous-traitant ne peut agir, en droit des données, « que sur instruction du responsable du traitement ». Or, en l’occurrence, les institutions mises en demeure par la CNIL ont réutilisé ces données à leurs fins propres, plus précisément dans le cadre de campagnes de prospection.
Ce qui est intéressant, en premier lieu, est de voir que pour retenir l’infraction de détournement de finalité, dans les cinq décisions, la CNIL les a requalifiées en responsable de traitement. Cette forme de « sanction », qui a été mise en œuvre pour la première fois au niveau européen, il y a plusieurs années, dans l’affaire SWIFT, a été consacrée par le RGPD. Sa mise en œuvre dans un modèle aussi établi que celui des relations AGIRC-ARRCO laisse envisager – espérer, dirons certains – une utilisation plus large, notamment dans le cadre des relations entre les professionnels et établissements de santé et les éditeurs de logiciels et équipements biomédicaux. Dans le RGPD figurent en effet d’autres fondements que le détournement de finalité, susceptible, de justifier une telle requalification. Les concepts de Privacy by Design et de Privacy by Default tendent en effet à responsabiliser ces éditeurs et fabricants et à leur laisser la main dans la détermination des « moyens du traitement ».
Autre point intéressant, c’est la constance de la CNIL à mettre au ban l’utilisation commerciale de données à caractère personnel. L’adjectif est utilisé à trois ou quatre reprises dans chaque mise en demeure, notamment pour justifier la requalification en responsable de traitement : « En utilisant à des fins commerciales des données à caractère personnel qu’elle détient dans le cadre de sa mission d’intérêt général, (…) a déterminé de nouvelles finalités et de nouveaux moyens au traitement visé, et s’est comportée comme le responsable du traitement ». La précision du caractère commercial de la réutilisation était ici parfaitement superflue, les mises en demeure rappelant qu’une instruction AGIRC-ARRCO 2008/94 précise « que l’utilisation des applicatifs de l’usine retraite à d’autres fins que les besoins de gestion de la retraite complémentaire n’est pas envisageable ». La précision est-elle donc là pour stigmatiser le lucre ou suggère-t-elle que la position de la Commission eut pu être différente à propos d’organismes sans but lucratif ? Les quelques affaires recensées de détournement de finalité à des fins politiques et syndicales et la lecture du Cahier IP n° 02 de la CNIL semblent orienter vers la première branche de l’alternative[2].
[1] https://www.cnil.fr/fr/mise-en-demeure-de-cinq-societes-dassurance-pour-detournement-de-finalite-des-donnees-des-assures
[2] https://www.cnil.fr/sites/default/files/typo/document/CNIL_CAHIERS_IP2_WEB.pdf
Pierre Desmarais
Avocat
IS027001LI / ISO27005RM
Article publié précédemment sur le site de mind Health