Délibération n° 2014-312 du 17 juillet 2014 portant autorisation unique de traitements de données à caractère personnel ayant pour finalité la lutte contre la fraude à l'assurance mis en œuvre par les organismes d'assurance, de capitalisation, de réassurance, d'assistance et par les intermédiaires d'assurance (AU 039)
| Jurisdiction | France |
| Publication au Gazette officiel | JORF n°0175 du 31 juillet 2014 |
| Record Number | JORFTEXT000029311165 |
| Date de publication | 31 juillet 2014 |
| Court | COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTES |
| Enactment Date | 17 juillet 2014 |
La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code des assurances ;
Vu le code civil ;
Vu le code général des impôts ;
Vu le code monétaire et financier ;
Vu le code de la mutualité ;
Vu le code pénal ;
Vu le code des postes et des communications électroniques ;
Vu le code rural ;
Vu le code de la santé publique ;
Vu le code de la sécurité sociale ;
Vu le code du travail ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 25-II, 25-I (3°), 25-I (4°), 25-I (5°) ou 25-I (6°) et 69 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu M. Jean-Luc VIVET, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
La lutte contre la fraude et les activités abusives constitue, pour les professionnels de l'assurance, une priorité majeure, avec les principaux objectifs qui la sous-tendent, en termes de justice, de protection des assurés, de dissuasion et de maîtrise des risques.
Il n'existe pas de définition légale de la fraude à l'assurance en France. Les praticiens considèrent toutefois qu'il y a fraude à l'assurance chaque fois qu'un acte intentionnel « permettant de tirer un profit illégitime d'un contrat d'assurance » a été caractérisé. Cet acte peut concerner aussi bien le contrat d'assurance que le sinistre, objet des garanties souscrites. Dès lors, l'autorisation unique couvre l'ensemble du périmètre assurantiel, quel que soit le type de contrats et quel que soit l'auteur de la fraude (fraude interne et fraude externe).
Le code des assurances prévoit des sanctions spécifiques et parfois sévères en cas de fraude à l'assurance. Par ailleurs et nonobstant la mise en œuvre de sanctions civiles, des actions pénales peuvent également être introduites à l'encontre des fraudeurs.
Ainsi, les traitements de données à caractère personnel mis en œuvre par les organismes d'assurance, de capitalisation, de réassurance, d'assistance et les intermédiaires d'assurance au titre de la lutte contre la fraude visent à prévenir, à détecter et à gérer les alertes pouvant révéler une fraude à l'assurance.
L'identification de tels faits, en partie sur la base de critères intégrés dans les traitements automatisés des organismes, peut conduire ces derniers à collecter des données d'infractions et/ou le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) uniquement dans les cas prévus par la loi ou à rompre toute relation contractuelle avec les prestataires, les agents généraux, les mandataires d'assurance, les intermédiaires, les administrateurs, les mandataires sociaux, ou les élus des organismes. Enfin, ces traitements peuvent éventuellement donner lieu à des interconnexions de fichiers ayant des finalités principales différentes.
Par conséquent, ces traitements relèvent des dispositions des articles 25-I (3°), 25-I (4°), 25-I (5°) et 25-I (6°) ainsi que des dispositions de l'article 69 de la loi du 6 janvier 1978 modifiée et doivent, à ce titre, être autorisés par la CNIL.
En vertu du II de l'article 25 de la loi du 6 janvier 1978 modifiée, la Commission peut autoriser par une décision unique une catégorie de traitements répondant aux mêmes finalités, portant sur des catégories de données identiques et ayant les mêmes catégories de destinataires.
Décide :
D'adopter une autorisation unique pour les traitements automatisés ou non de données à caractère personnel relevant des articles 25-I (3°), 25-I (4°), 25-I (5°) et 25-I (6°) ;
Que les organismes mentionnés ci-dessous qui souhaiteront se référer à l'autorisation unique n° 39 adresseront à cette fin à la commission un engagement de conformité pour leurs traitements qui répondent strictement aux conditions définies dans la présente décision unique seront autorisés à mettre en œuvre ces traitements ;
Tout projet de traitement automatisé ou non de données relevant des articles 25-I (3°), 25-I (4°), 25-I (5°) ou 25-I (6°) de la loi du 6 janvier 1978 modifiée, dont les finalités ou les catégories de données ou de destinataires excèderaient le cadre défini par la présente autorisation unique ou qui ne respecteraient pas les exigences qui y sont définies devra faire l'objet d'une demande d'autorisation spécifique présentant et expliquant les différences entre le traitement envisagé et l'autorisation unique.
Responsables de traitement.
Seuls peuvent adresser un engagement de conformité à la présente autorisation unique les organismes d'assurance, de capitalisation, de réassurance, d'assistance et les intermédiaires d'assurance, ci-après désignés « organismes ».
Finalités et caractéristiques des traitements.
Dans le cadre des...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI