Actualités

🇫🇷 Assurance et durées de conservation excessives

Droits des Personnes, Durées & Minimisation | 29/03/2025

📢 1,75 million d’euros d’amende pour une compagnie d’assurance française

Source : SAN 2021-010

👉 La CNIL a sanctionné une compagnie d’assurance pour deux graves manquements au RGPD, portant sur la durée de conservation des données personnelles et l’information des personnes.

💾 Des données conservées… pendant 30 ans !
🔍 Lors d’un contrôle, la CNIL a découvert que :

  • Les données de prospects étaient conservées plus de 5 ans, au lieu des 3 ans recommandés.
  • Les données de plus de 2 millions de clients étaient conservées plus de 5 ans après résiliation.
  • Pour 1,3 million de clients, ces données étaient stockées plus de 10 ans.

·       Et pour plusieurs milliers d’entre eux, plus de 30 ans !

Manquement à l’article 5-1 e du RGPD qui précise que les données sont conservées pendant une durée n’excédant pas celle nécessaire.

⚠️Rappel des obligations légales (comptabilité ou assurance-vie) :
Certains documents comptables doivent être conservés 10 ans, en vertu de l’article L123-22 du code de commerce. 

Les données des contrats d’assurance-vie doivent être conservées 30 ans à des fins probatoires en cas de contentieux selon l'article L114-1 du code des assurances.

😬 Même en invoquant des obligations légales, les durées dépassaient les exigences réglementaires.

📞 Manquement à l'information lors du démarchage téléphonique
L’article 12 RGPD impose aux responsables de traitement de fournir aux personnes concernées lors de la collecte une information claire, concise, transparente, intelligible et aisément accessible, sur entre autre l’objet de la collecte, son cadre, les droits des personnes concernées etc..

➡️ Sur 50 appels échantillonnés, 30% étaient enregistrés sans informer les personnes.
➡️ Deux sous-traitants agissaient sans donner d’information en lien avec le RGPD : aucune information sur les droits, la finalité ou la conservation.

📉 Pourquoi une sanction « modérée » ?
💡 La compagnie a activement coopéré avec la CNIL.
➡️ Résultat : une amende de 1,75 M€, soit 0,02% de son chiffre d’affaires.

📌 À retenir pour tous les organismes traitant des données :
✔️ Respecter les durées de conservation prévues par les obligations légales et suivre les recommandations de la Cnil.
✔️ Informer clairement les personnes, y compris par téléphone.
✔️ Documenter chaque traitement, même sous-traité.
✔️ Coopérer avec la CNIL, pour limiter le montant des sanctions.

Retour vers la liste des actualités

Découvrez toutes nos expertises :

Gouvernance et Stratégie Qualité des données MDM / PIM Conformité