Actualités

🇪🇸 Un contrat d’assurance santé … sans consentement !

Base légale | 26/03/2025

📢 Souscription erronée et prélèvements injustifiés : SANITAS et BBVA sanctionnés

Source : PS 00479-2023

📌 Faits :

🛡️ Un contrat d’assurance santé a été enregistré sans le consentement du plaignant auprès de SANITAS et BBVA Seguros.
💰 Des prélèvements bancaires ont été effectués entre mars et mai 2022 sur son compte chez BBVA.

📌 Origine du problème :
⚠️ Une "erreur humaine" d’un agent de BBVA Mediación Operador de Banca-Seguros (OBS) a conduit à l’enregistrement du contrat comme une souscription effective, au lieu d’une simple demande d’information.

📌 Implication des parties :
👥 SANITAS et BBVA sont co-responsables du traitement des données en vertu de leur contrat de coassurance.
🏦 L’OBS (Opérateur de Banque-Assurance) agit en tant que sous-traitant.

⚠️ Aucune signature ni consentement explicite du plaignant n’a été obtenu.

⚖️ Violations identifiées :

1️ Absence de consentement – Pas de base légale (Article 6 RGPD)
📌 L’assurance a été souscrite sans accord explicite du client.
📌 L’agent de l’OBS a enregistré la souscription à tort.

2️ Manque de contrôle interne
📌 Aucune vérification robuste avant l’activation du contrat.

3️ Lenteur des réponses de BBVA et SANITAS
📅 19 juillet 2022 – Réclamation écrite déposée auprès de BBVA (aucune réponse).
📅 27 septembre 2022 – Plainte déposée auprès de l’AEPD.
📅 14 novembre 2022 – L’AEPD transmet la réclamation à BBVA (aucune réponse).
📅 28 novembre 2022BBVA annule enfin le contrat rétroactivement au 1er mars 2022 et rembourse les prélèvements.

L’affaire a duré plus de 8 mois avant d’être résolue.

🚨 Conséquences et mesures correctives :

🔴 Gravité de la violation :
🔹 Données sensibles – SANITAS a traité illégalement des données de santé, une catégorie particulièrement protégée (Article 9 RGPD).
🔹 Durée de l’infraction – Le traitement illicite a duré plus de 8 mois, aggravant la situation.

📌 Sanctions :
💰 Amende administrative : 200 000 € (réduite à 160 000 €).

📌 Mesures correctives exigées :
Amélioration des processus de souscription pour éviter les erreurs humaines.
Mise en place d’une signature numérique obligatoire.

📌 Engagements de SANITAS :
🔹 Renforcement des mesures de sécurité et amélioration continue des procédures.

🏁 Conclusion :

⚠️ L’AEPD a sanctionné SANITAS pour avoir traité illégalement des données de santé sans consentement valide.
📜 Une souscription erronée ne devrait jamais entraîner des prélèvements non autorisés !

Retour vers la liste des actualités

Découvrez toutes nos expertises :

Gouvernance et Stratégie Qualité des données MDM / PIM Conformité