Après avoir entendu M. Jean-Luc VIVET, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
La lutte contre la fraude et les activités abusives constitue, pour les professionnels de l'assurance, une priorité majeure, avec les principaux objectifs qui la sous-tendent, en termes de justice, de protection des assurés, de dissuasion et de maîtrise des risques.
Il n'existe pas de définition légale de la fraude à l'assurance en France. Les praticiens considèrent toutefois qu'il y a fraude à l'assurance chaque fois qu'un acte intentionnel « permettant de tirer un profit illégitime d'un contrat d'assurance » a été caractérisé. Cet acte peut concerner aussi bien le contrat d'assurance que le sinistre, objet des garanties souscrites. Dès lors, l'autorisation unique couvre l'ensemble du périmètre assurantiel, quel que soit le type de contrats et quel que soit l'auteur de la fraude (fraude interne et fraude externe).
Le code des assurances prévoit des sanctions spécifiques et parfois sévères en cas de fraude à l'assurance. Par ailleurs et nonobstant la mise en œuvre de sanctions civiles, des actions pénales peuvent également être introduites à l'encontre des fraudeurs.
Ainsi, les traitements de données à caractère personnel mis en œuvre par les organismes d'assurance, de capitalisation, de réassurance, d'assistance et les intermédiaires d'assurance au titre de la lutte contre la fraude visent à prévenir, à détecter et à gérer les alertes pouvant révéler une fraude à l'assurance.
L'identification de tels faits, en partie sur la base de critères intégrés dans les traitements automatisés des organismes, peut conduire ces derniers à collecter des données d'infractions et/ou le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) uniquement dans les cas prévus par la loi ou à rompre toute relation contractuelle avec les prestataires, les agents généraux, les mandataires d'assurance, les intermédiaires, les administrateurs, les mandataires sociaux, ou les élus des organismes. Enfin, ces traitements peuvent éventuellement donner lieu à des interconnexions de fichiers ayant des finalités principales différentes.
Par conséquent, ces traitements relèvent des dispositions des articles 25-I (3°), 25-I (4°), 25-I (5°) et 25-I (6°) ainsi que des dispositions de l'article 69 de la loi du 6 janvier 1978 modifiée et doivent, à ce titre, être autorisés par la CNIL.
En vertu du II de l'article 25 de la loi du 6 janvier 1978 modifiée, la Commission peut autoriser par une décision unique une catégorie de traitements répondant aux mêmes finalités, portant sur des catégories de données identiques et ayant les mêmes catégories de destinataires.
Décide :
D'adopter une autorisation unique pour les traitements automatisés ou non de données à caractère personnel relevant des articles 25-I (3°), 25-I (4°), 25-I (5°) et 25-I (6°) ;
Que les organismes mentionnés ci-dessous qui souhaiteront se référer à l'autorisation unique n° 39 adresseront à cette fin à la commission un engagement de conformité pour leurs traitements qui répondent strictement aux conditions définies dans la présente décision unique seront autorisés à mettre en œuvre ces traitements ;
Tout projet de traitement automatisé ou non de données relevant des articles 25-I (3°), 25-I (4°), 25-I (5°) ou 25-I (6°) de la loi du 6 janvier 1978 modifiée, dont les finalités ou les catégories de données ou de destinataires excèderaient le cadre défini par la présente autorisation unique ou qui ne respecteraient pas les exigences qui y sont définies devra faire l'objet d'une demande d'autorisation spécifique présentant et expliquant les différences entre le traitement envisagé et l'autorisation unique.