A priori, la décision du 21 janvier 2019 de la Cnil de sanctionner Google (délibération SAN-2019-001 publiée sur le site de la Cnil et Légifrance), décision assortie d’une sanction pécuniaire record de 50 M€, paraît bien éloignée de l’assurance. Pourtant, au-delà du seul cas de la société de Mountain View, elle se révèle riche d’enseignements pour le secteur.
avocat à la Cour, CHOISEZ & ASSOCIés
Au-delà du cas Google, la décision de la Cnil renseigne sur ses futures pratiques dans le domaine de l’assurance, notamment auprès des compagnies et intermédiaires travaillant sur la dématérialisation des contrats d’assurance.
L’assurance est en effet forte consommatrice de données et de fichiers, ce qui explique que la Cnil ait dès 2014 mis en place un document appelé « pack de conformité assurance », actuellement en cours d’intégration des règles issues du RGPD, et marquant les principes fondamentaux que veut voir respecter la Cnil en matière de distribution de l’assurance et de gestion des données personnelles (disponible sur le site de la Cnil).
Ainsi, ce ne sont pas seulement les manquements constatés aux obligations de transparence et d’information (articles 12 et 13 du RGPD) et à l’obligation de disposer d’un consentement éclairé de l’utilisateur (article 6 du RGPD tel qu’interprété par les lignes directrices sur le consentement du CEPD du 10 avril 2018) qui nécessitent un commentaire, mais également la façon dont la procédure s’est déroulée – en moins de huit mois – permettant à la Cnil de sanctionner, quelque temps seulement après son entrée en vigueur, des infractions au RGPD.
La mise en œuvre accélérée du RGPD
Premier enseignement, la Cnil avait été saisie pour violation du RGPD, entré en vigueur le 25 mai 2018, suivant deux plaintes collectives des 25 et 28 mai 2018 déposées par deux associations, en application de l’article 80 du RGPD, au nom de près de 10 000 personnes.
Google avait alors soutenu que...
