Délibération n° 2023-008 du 2 février 2023 portant avis sur un projet de décret relatif aux modalités techniques de résiliation et de dénonciation des contrats et règlements par voie électronique (demande d’avis n° 22018681)
| Numéro | 2023-008 |
| Date | jeudi 2 février 2023 |
| Nature | Délibération |
| Type d'acte | Avis |
| État | En vigueur |
| Référence | CNILTEXT000052205792 |
La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de l’économie, des finances et de la souveraineté industrielle et numérique d’une demande d’avis concernant un projet de décret relatif aux modalités techniques de résiliation et de dénonciation des contrats et règlements par voie électronique ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu la loi n° 78-17 du 6 janvier 1978 modi 8.I.4.a fiée relative à l’informatique, aux fichiers et aux libertés, notamment son article ;
Vu la loi n° 2022-1158 du 16 août 2022 portant mesures d’urgence pour la protection du pouvoir d’achat, notamment son article 17 ;
Sur la proposition de M. Philippe-Pierre CABOURDIN commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l’avis suivant :
La Commission a été saisie par le ministère de l’économie, des finances et de la souveraineté industrielle et numérique d’un projet de décret relatif aux modalités techniques de résiliation et de dénonciation des contrats et règlements par voie électronique.
L’article 17 de la loi n° 2022-1158 du 16 août 2022 portant mesures d’urgence pour la protection du pouvoir d’achat prévoit une obligation pour les organismes d’assurance, de mutuelle et de prévoyance, de mettre à disposition de leurs assurés et souscripteurs un système de résiliation en ligne simplifié de leurs contrats ou règlements. Ces dispositions ne créent pas de nouveaux droits légaux à la résiliation de contrat d’assurance.
Cette obligation concerne l’ensemble des contrats portant sur la couverture des personnes physiques en dehors de leurs activités professionnelles directement ou par l’intermédiaire de personnes morales lorsque le contrat concerné couvre les personnes physiques en dehors de telles activités. Ce dispositif doit être mis en place par les professionnels concernés du secteur de l’assurance dès lors qu’ils offrent la possibilité de conclure des contrats par voie électronique ; cette modalité de résiliation ou de dénonciation pourra donc être utilisée indépendamment du fait que le contrat en cause ait été souscrit par voie électronique ou non.
Le projet de décret, objet de la présente saisine, fixe les modalités d’accès et d’utilisation de la fonctionnalité de résiliation et de dénonciation des contrats ou des règlements par voie électronique, en application de l’article 17 de la loi n° 2022-1158 du 16 août 2022.
Il prévoit qu’à partir du 1er juin 2023 au plus tard, les assureurs mettent à disposition des souscripteurs, adhérents ou des membres participants, une fonctionnalité de résiliation ou de dénonciation du contrat directement et facilement accessible à partir de leur interface en ligne. Il mentionne ensuite les informations permettant d’identifier le souscripteur, l’adhérent ou le membre participant, de formuler la demande et de recevoir la notification de la résiliation ou de la dénonciation.
Sur les modalités d’identification du demandeur
Les projets d’articles D. 113-7 du code des assurances, D. 221-1 du code de la mutualité et D. 932-6 et D. 932-7 du code de la sécurité sociale consacrent des modalités similaires d’identification du demandeur à la résiliation ou à la dénonciation du contrat. Ces dispositions prévoient que peuvent être collectés, aux fins d’identification du demandeur et de précision de la demande de résiliation ou de dénonciation :
En premier lieu, s’agissant de la collecte de "tout autre élément strictement nécessaire" permettant d’identifier le demandeur, le ministère a précisé que ces éléments permettront notamment de distinguer entre plusieurs assurés dans des situations d’homonymie ou de compléter les critères de recherche de l’assureur dans le cas où les informations initialement communiquées ne seraient pas suffisantes. La Commission prend acte de ce que cette collecte ne peut avoir lieu que dans le cas où la résiliation ou la dénonciation ne s’effectue pas depuis l’espace en ligne personnalisé du demandeur, où son identité est déjà vérifiée.
En deuxième lieu, la Commission relève que, s’agissant du motif de la résiliation ou de la dénonciation, les personnes concernées pourront sélectionner le fondement "autres" afin d’indiquer un autre motif que ceux déjà prédéterminés. Les zones de saisie de texte libre favorisent le risque de renseigner des commentaires inappropriés ou non pertinents en lien avec la vie privée des personnes concernées. A cet égard, si le ministère décidait de maintenir cette zone de saisie de texte libre, la Commission rappelle qu’il est nécessaire de mettre en œuvre des mesures afin de limiter l’enregistrement aux données strictement nécessaires à l’instruction du dossier (limitation du nombre de caractères, mention spécifique destinée aux utilisateurs pour les sensibiliser, suppression rapide des données non pertinentes, etc.).
En troisième lieu, la création d’un espace en ligne personnalisé ne devrait pas être imposée pour la résiliation ou la dénonciation du contrat en ligne, sauf à prouver qu’il n’existe pas de moyen moins intrusif pour effectuer cette vérification de manière sécurisée. L’échange des informations nécessaires pourrait ainsi se faire via un formulaire "HTTPS" sécurisé permettant la collecte des données à caractère personnel nécessaires à la résiliation ou à la dénonciation du contrat.
Enfin, la Commission prend également acte de ce que les organismes d’assurance concernés n’ont pas vocation à demander des informations qu’ils n’auraient pas déjà collectées dans le cadre de la relation contractuelle. La Commission invite le ministère à rappeler ce principe dans le projet de décret.
Sur l’information des personnes concernées
La Commission rappelle que les personnes concernées devront être informées, conformément aux articles 12 et 13 du règlement général sur la protection des données (RGPD). Cette information devra notamment préciser que les données à caractère personnel collectées ne seront utilisées qu’aux fins d’identifier le demandeur et de prendre en compte la demande de résiliation ou de dénonciation, et la durée de conservation des données ainsi communiquées.
La Présidente
M.-L. DENIS
Délibération n° 2026-026 du 19 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique relatif à la mise en oeuvre d’une analyse discursive et interactionnelle en intervention précoce en psychiatrie
L'Université de Montpellier Paul-Valéry a sollicité un avis de la CNIL sur un projet de recherche en psychiatrie impliquant le traitement de données sensibles. La Commission a émis un avis favorable, assorti de recommandations pour atténuer les risques de réidentification, notamment par la pseudonymisation et la suppression des données non pertinentes après analyse. Elle rappelle également l'obligation d'informer les personnes concernées et de vérifier l'application de la dérogation prévue pour la recherche scientifique.
19/03/2026
Délibération n° HABS-2026-001 du 19 mars 2026 habilitant des agents de la Commission nationale de l’informatique et des libertés à établir un rapport en application du cinquième alinéa de l'article 22-1 de la loi n° 78-17 du 6 janvier 1978 modifiée
La CNIL, en tant qu'organisme concerné, a adopté une délibération interne portant habilitation. Cette décision vise à habiliter vingt-cinq agents spécifiques de sa direction des contrôles et des sanctions à établir des rapports dans le cadre de ses pouvoirs de contrôle. Les habilitations sont accordées pour une durée de cinq ans et remplacent une précédente délibération. Aucune sanction n'est mentionnée, cette délibération étant un acte d'organisation interne de l'autorité.
19/03/2026
Délibération n° 2026-023 du 12 mars 2026 portant avis sur un projet de loi renforçant la sécurité du quotidien
La CNIL émet un avis sur un projet de loi du ministère de l'Intérieur visant à renforcer la sécurité du quotidien. Elle relève plusieurs manquements ou risques concernant l'élargissement de l'usage des caméras individuelles à des acteurs privés, l'expérimentation prolongée de traitements algorithmiques sur vidéosurveillance et drones, et la généralisation des dispositifs LAPI avec des durées de conservation allongées. La Commission souligne la nécessité de strictes limites, d'un meilleur encadrement et du respect du principe de proportionnalité pour ces dispositifs intrusifs, afin de protéger les libertés individuelles.
12/03/2026
Délibération n° 2026-019 du 05 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique dont l’objectif est d’étudier l’état du droit de la filiation procréative des personnes transgenres (PROTRANS)
L'Université Lumière Lyon 2 a sollicité un avis de la CNIL pour un projet de recherche scientifique sur la filiation procréative des personnes transgenres, impliquant le traitement de données sensibles. La CNIL émet un avis favorable mais formule des recommandations, notamment sur la nécessité de clarifier la répartition des responsabilités entre les universités co-responsables du traitement. Elle souligne également les risques de collecte incidente de données lors des entretiens et de réidentification des personnes, en raison du faible nombre de participants et de la collecte d'informations telles que la commune de naissance dans les décisions de justice.
05/03/2026