PIPC (autorité coréenne)
Vente directe d’assurances automobiles : 12 sociétés d’assurance dommages sanctionnées pour violation de la loi sur la protection des données personnelles, pour un total de 9,277 milliards de wons
L’autorité coréenne a, ce 12 décembre 2024, annoncé que les résultats de son enquête menée depuis aout 2023 à la suite de plainte ont conduit à l’imposition d’une amende de 9,277 milliards de wons (environ 6,1 millions d’euros) à plusieurs compagnies d’assurance, y compris Hyundai Marine & Fire Insurance, AXA General Insurance, Hana Insurance, MG Non-life Insurance, pour avoir collecté des données personnelles à des fins de marketing sans consentement légal. Dans ce cadre, un ordre d’amélioration a été donné pour renforcer le rôle de contrôle interne des responsables de la protection des données personnelles.
Les quatre compagnies d’assurance ont en effet :
* Exploité une fenêtre contextuelle (ci-après ‘fenêtre de réengagement’) pour inciter les utilisateurs ayant clairement exprimé leur refus de consentir à modifier leur position de consentement. Cependant, ce changement de consentement ne pouvait pas être considéré comme exprimé librement, car il contenait des formulations pouvant prêter à confusion et limitait le droit des utilisateurs de décider au sujet de leurs données personnelles. En particulier, alors qu’elles obtenaient le consentement à la collecte et à l’utilisation de données personnelles par ces fenêtres de réengagement, celles-ci n’incluaient pas d’indication sur le ‘traitement des données personnelles’ ou d’avis légaux nécessaires au consentement, ce qui empêchait les utilisateurs de réaliser qu’ils acceptaient le traitement de leurs données pour des raisons de marketing.
* Utilisé les données pour des campagnes de marketing non seulement pour l’assurance automobile, mais aussi pour des assurances conducteur, santé et dentaire appartenant à ces compagnies d’assurance. Il a également été confirmé qu’environ 30 millions d’activités marketing avaient été effectuées uniquement pour l’assurance automobile, comprenant des SMS et des appels. Par conséquent, le nombre de rapports de spam en rapport avec ces violations durant la période concernée n’était pas négligeable.
* Mal informé les personnes : l’absence de formulations sur la collecte, l’utilisation et la fourniture des données personnelles et l’absence d’avis légaux rendaient difficile pour les utilisateurs d’avoir une pleine compréhension du traitement de leurs données personnelles.
L’enquête et les sanctions imposées aux compagnies d’assurance concernant le traitement des données personnelles soulignent l’importance d’informer clairement les utilisateurs et de leur permettre d’exercer leur droit de décision libre pour obtenir un consentement légal. En outre, il a été clairement indiqué que la responsabilité du CPO comprend non seulement des mesures de sécurité pour prévenir les violations de données personnelles, mais aussi la mise en place d’un système de contrôle interne pour garantir le traitement légal des données personnelles. Il a également été précisé que, même s’il s’agit d’un traitement de données personnelles par des institutions financières, la loi sur la protection des données s’applique, même dans les cas où cela ne relève pas clairement de la loi sur les informations de crédit.
Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.