Sanction de 300 000€ pour un assureur espagnol : traitement illégal de données personnelles

Contexte de la sanction

L'Agence espagnole de protection des données (AEPD) a prononcé une amende de 300 000€ à l'encontre d'un assureur pour avoir accédé sans base légale valide aux données personnelles de ses assurés via une plateforme gouvernementale. Cette décision souligne l'importance cruciale d'établir une base légale appropriée pour tout traitement de données personnelles, même lorsque la finalité peut sembler bénéfique pour les personnes concernées.

Analyse détaillée des manquements constatés

L'assureur avait mis en place un dispositif visant à proposer des réductions de primes d'assurance basées sur le nombre de points du permis de conduire. Pour ce faire, l'entreprise avait mandaté un sous-traitant chargé de contacter les clients par téléphone afin d'obtenir les informations nécessaires (numéro de permis et date de délivrance) pour accéder à la plateforme étatique.

Deux problématiques majeures ont été identifiées par l'AEPD :

1. L'invalidité de la base légale 'exécution du contrat' :

- La finalité du traitement (octroi d'une remise) était distincte de la finalité contractuelle initiale

- Le traitement n'était pas nécessaire à l'exécution du contrat d'assurance

2. L'absence de consentement valide :

- Les informations fournies aux assurés étaient incomplètes

- Aucun acte positif clair manifestant le consentement n'a été recueilli

- Le contexte des appels téléphoniques ne permettait pas de garantir un consentement éclairé

Implications pratiques pour les professionnels de la compliance

Cette décision rappelle plusieurs principes fondamentaux :

- La nécessité d'une base légale solide pour tout traitement de données personnelles

- L'importance de la transparence et de l'information complète des personnes concernées

- La distinction nécessaire entre les différentes finalités de traitement

- Les exigences strictes concernant la validité du consentement

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

• Réaliser une analyse préalable approfondie de la base légale appropriée pour chaque traitement

• Mettre en place des procédures robustes de recueil du consentement lorsque celui-ci est nécessaire

• Documenter précisément les informations fournies aux personnes concernées

• Former les sous-traitants aux exigences en matière de protection des données personnelles

• Effectuer des contrôles réguliers sur la conformité des traitements aux bases légales invoquées