Réf. : CNIL, 29 octobre 2021, délibération n° SAN-2021-019 (N° Lexbase : X0045CNY)
Lecture: 4 min
N9362BYE
Citer l'article
Créer un lien vers ce contenu
par Marie-Lou Hardouin-Ayrinhac
le 08 Novembre 2021
► La CNIL a sanctionné la RATP d’une amende de 400 000 euros après avoir constaté que plusieurs centres de bus avaient intégré le nombre de jours de grève des agents dans des fichiers d’évaluation qui servaient à préparer les choix de promotion ; elle a également relevé une durée de conservation excessive des données et des manquements relatifs à la sécurité des données.
Les contrôles. En mai 2020, la CNIL a été saisie par une organisation syndicale d’une plainte concernant la présence du nombre de jours de grève exercés par les agents dans les fichiers utilisés lors des procédures d’avancement de carrière. À la suite de cette plainte, la RATP a déclaré à la CNIL que quatre centres de bus étaient concernés par cette pratique, qu’elle estimait elle-même illégale.
La CNIL a alors effectué des contrôles dans plusieurs centres de bus de la RATP. Ils ont permis de confirmer cette pratique dans trois centres de bus de la RATP (un parmi les quatre signalés par la RATP et deux autres centres).
Les manquements constatés. La CNIL a constaté trois manquements au « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I).
La RATP organise chaque année, dans chaque centre de bus, une réunion d’arbitrage dont l’objectif est d’établir la liste des agents proposés à l’avancement par la direction. À cette occasion, un fichier d’aide à la décision est créé par les personnels affectés aux services des ressources humaines. En principe, ce fichier contient seulement les données nécessaires à l’évaluation des agents.
Toutefois, la CNIL a constaté que dans les fichiers des centres de bus qu’elle a contrôlés, figuraient des colonnes relatives au nombre de jours de grève exercés par les agents pour chaque année évaluée.
Au cours de la procédure, la RATP a reconnu le caractère illicite de ces fichiers et a fait valoir qu’une telle pratique était contraire à sa politique générale.
La CNIL a retenu que l’utilisation de données relatives au nombre de jours de grève des agents n’était pas nécessaire pour atteindre les objectifs visés dans le cadre de la préparation des commissions de classement. En particulier, l’indication du nombre total de jours d’absence suffisait, sans qu’il soit nécessaire de rentrer dans le détail en distinguant les jours liés à l’exercice du droit de grève. Ainsi, la RATP a violé le principe de minimisation des données.
| Pour rappel, le principe de minimisation des données prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. |
Dans le cadre de fichiers de ressources humaines, la RATP utilise une application qui permet le suivi d’activité des agents, par des fonctionnalités de visualisation et d’extraction de nombreuses données principalement issues des systèmes d’information de ressources humaines de la RATP.
Les contrôles ont permis d’établir que la RATP conservait l’ensemble de ces données dans la base active de l’application, accessible à un grand nombre d’agents, pour une durée qui excède celle qui est nécessaire pour accomplir les finalités recherchées.
Par ailleurs, la RATP a également conservé des fichiers d’évaluation des agents pendant plus de 3 ans après la commission d’avancement pour lesquels ils sont établis, alors que leur conservation n’était nécessaire que 18 mois après la tenue de ces commissions.
La société a toutefois pris les mesures requises au cours de la procédure concernant ce point.
La CNIL a constaté que la RATP ne différenciait pas suffisamment les différents niveaux d’habilitation des agents. En effet :
- les agents habilités accédaient à l’ensemble des catégories de données contenues dans l’outil (notamment, l’ensemble des données relatives aux ressources humaines) sans distinction des fonctions ou des missions des agents ;
- ces agents accédaient aux données relatives aux agents du centre de bus dans lequel ils exercent leurs fonctions mais également à celles des agents de tous les autres centres de bus ;
- tous les agents habilités pouvaient extraire l’ensemble des données contenues dans l’outil.
Une telle configuration ne permettait pas de prévenir une éventuelle mauvaise utilisation des données et donc de garantir leur confidentialité.
Lors de la procédure, la RATP a fait part de mesures prises pour mettre fin aux manquements relevés par la CNIL.
Sanction. Sur la base de ces éléments et après avoir entendu la RATP, la CNIL a prononcé une amende de 400 000 euros à son encontre et a décidé de rendre publique sa décision.
© Reproduction interdite, sauf autorisation écrite préalable
newsid:479362
Utilisation des cookies sur Lexbase
Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.
Parcours utilisateur
Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.
Données analytiques
Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.