Par Anne Charlotte Andrieux et Céline Rodier
Depuis le début de l’année 2021, la Commission nationale de l’informatique et des libertés (CNIL) a prononcé plusieurs sanctions pour des manquements au Règlement général sur la protection des données (RGPD), telles que celles à l’encontre d’AG2R en juillet (amende de 1,75 millions d’euros) ou de la SNAF en septembre (amende de 3 000 euros).
400 000 euros : tel est le montant de l’amende prononcée par la formation restreinte de la CNIL[1] à l’encontre de la Régie autonome des transports parisiens (RATP) le 29 octobre dernier. L’autorité a également décidé de rendre publique sa décision.
Une organisation syndicale à l’origine de la saisine de la CNIL
Dans son communiqué du 4 novembre 2021, la CNIL déclare qu’elle a été saisie en mai 2020 par la CGT-RATP (organisation syndicale) d’une plainte concernant le décompte du nombre de jours de grève des agents dans des fichiers d’évaluation de plusieurs centres de bus, destinés à préparer les commissions de classement.
La CNIL, suite aux différents contrôles effectués, a confirmé l’usage de cette pratique dans trois centres de bus de la RATP, dont un parmi les quatre signalés par la régie elle-même suite à la plainte. En effet, la RATP a reconnu l’illicéité de ces fichiers et a fait valoir qu’une telle pratique était contraire à sa politique générale.
A noter, des fichiers d’évaluation sont créés annuellement par chaque centre afin d’établir la liste des agents proposés à l’avancement par la direction, mais ne comportent en principe que les données nécessaires à l’évaluation des agents.
Lors de ses vérifications, la CNIL a constaté plusieurs manquements au RGPD.
La Commission a également pris soin de relever les catégories de données considérées comme nécessaires au traitement pour la RATP et qui peuvent donc figurer dans les fichiers préparatoires aux commissions, telles que :
- Les nom, prénom de l’agent, nom du responsable d’équipe ;
- Les matricule, date d’embauche, date de qualification ;
- L’ancien niveau avec date, le niveau proposé, les gratifications éventuelles,[2]
Les jours de grève des agents : non nécessaire… et potentiellement sensible
La CNIL a constaté un manquement à l’article 5.1.c et 5.2 du RGPD. Conformément à l’article 5.1.c, les données à caractère personnel doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ».
Or, l’autorité a remarqué que trois centres de bus avaient décompté le nombre de jours de grève des agents dans leurs fichiers.
Au surplus, il convient d’observer que ces données pourraient être assimilées à des données à caractère personnel sensibles révélant une appartenance syndicale.
Rappelons, qu’aux termes de l’article 9.1 du RGPD, « le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale […] d'une personne physique sont interdits ». Force est de constater qu’un lien peut être aisément établi entre le jour où l’agent est en grève et son appartenance syndicale.
Les autres manquements constatés
Un manquement à l’obligation de limiter la durée de conservation des données :
En outre, la CNIL a constaté un manquement à l’article 5.1.e du RGPD relatif à la limitation de la conservation des données à caractère personnel.
En effet, la RATP utilise l’application DORA[3] pour le suivi d'activité des agents. Or, suite aux contrôles effectués, la CNIL a considéré que la RATP conservait ces données sur une durée qui excède celle qui est nécessaire pour accomplir les finalités recherchées.
Par exemple, les fichiers d’évaluation des agents étaient conservés « plus de trois ans après la tenue de la commission de classement concernée », alors que leur conservation n’était nécessaire que « dix-huit mois après la commission de classement pour laquelle ces fichiers sont réalisés »[4].
Un manquement à la sécurité des données :
Enfin, la CNIL a constaté un manquement à l’article 32 du RGPD car la sécurisation des données à caractère personnel était insuffisante et propice à des utilisations malveillantes de celles-ci.
Pour rappel, le Référentiel relatif aux traitements de données personnelles mis en œuvre aux fins de gestion du personnel (21 novembre 2019) indique que « seules les personnes habilitées au titre de leurs missions ou de leurs fonctions, doivent pouvoir accéder aux données à caractère personnel traitées, et ce, dans la stricte limite de leurs attributions respectives et de l’accomplissement de ces missions et fonctions ».
Cependant, selon l’autorité, les niveaux d’habilitation des agents n’étaient pas suffisamment différenciés par la RATP :
- Les agents habilités accédaient à l’ensemble des catégories de données contenues dans l’outil[5], celles relatives aux ressources humaines notamment, sans distinction des fonctions ou des missions ;
- Ces agents accédaient aux données relatives aux agents du centre de bus dans lequel ils exercent leurs fonctions mais également à celles des agents de tous les autres centres de bus.
De plus, la formation restreinte de l’autorité a estimé que « la configuration de l’outil ne permet pas d’assurer la confidentialité des données au sens de l’article 32 du RGPD dans la mesure où tous les agents habilités peuvent extraire l’ensemble des données contenues dans l’outil »[6].
***
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans leur démarche de conformité au RGPD. Que ce soit en appui du DPO ou en qualité de DPO externalisé le Cabinet Haas réalise ainsi tout type de mission en lien avec la protection de la vie privée avec deux départements spécialisés sur ces questions : le département Protection des données et le département cyber sécurité. Contactez-nous ici
[1] Organe de la CNIL chargé de prononcer les sanctions.
[2] Délibération de la formation restreinte n°SAN-2021-019 du 29 octobre 2021 concernant la RATP, 24.
[3] Il s’agit d’un outil permettant de visualiser et d’extraire des données à partir de cinq applications informatiques, qui sont mises en œuvre pour le traitement et la gestion des ressources humaines du département BUS.
[4] Délibération de la formation restreinte n°SAN-2021-019 du 29 octobre 2021 concernant la RATP, 57.
[5] Cet outil est l’application DORA.
[6] Délibération de la formation restreinte n°SAN-2021-019 du 29 octobre 2021 concernant la RATP, 65.
