Actualités juridiques et digitales

La CNIL sanctionne SAF Logistics pour collecte excessive de données sensibles

Rédigé par Haas Avocats | Oct 12, 2023 1:05:49 PM

Par Haas Avocats

Le 18 septembre dernier, SAF Logistics, une entreprise de fret aérien appartenant à la société chinoise SINOTRANS HF (SHANGAI) INTERNATIONAL LOGISTICS CO (ci-après : « Sinotrans HF », a été sanctionnée par la CNIL à hauteur de 200 000€ pour avoir :

  • manqué à son obligation de minimisation des données ;
  • collecté frauduleusement des données sensibles ;
  • n’avoir pas suffisamment coopéré avec les services de la CNIL.

Cette décision fut prise dans le sillage du dépôt de deux plaintes signalant l’obligation pour les salariés de SAF Logistics désireux de travailler dans une filiale chinoise, de renseigner un formulaire particulièrement attentatoire à leur vie privée.

En outre, les employés, tous chinois, devaient indiquer par le biais de ce document, leur affiliation à un parti politique, leur appartenance ethnique, leur situation familiale, le nom de leurs parents et de leurs éventuels frères, sœurs et enfants.

Le statut de responsable de traitement

Excipant le fait que le formulaire litigieux avait été conceptualisé et conçu par la société mère chinoise, SAF Logistics a vainement tenté de se dédouaner de sa responsabilité en s’affranchissant de la qualification de responsable de traitement.

Si la CNIL ne conteste pas le fait que le document ait été élaboré par Sinotrans HF, elle considère que ce motif n’est pas exclusif de la qualification de responsable de traitement pour les raisons ci-après exposées :

  • SAF Logistics a sollicité le formulaire litigieux auprès de la société mère et a donc joué un rôle déterminant dans la création du traitement litigieux ;
  • SAF Logistics a traité une partie des données renseignées pour une finalité différente (à savoir l’établissement d’une liste de contacts d’urgence).

A l’aune de ces éléments, la CNIL a considéré que SAF Logistics a véritablement déterminé le : « pourquoi » et le « comment » des traitements litigieux. A ce titre, la société poursuivie devait être qualifiée de responsable du traitement litigieux nonobstant le fait qu’elle se décrive comme une : « simple boite aux lettres » dans ses écritures.

Manquement à la minimisation des données

Concernant l’établissement d’une liste de contacts d’urgence, la formation restreinte relève que les données collectées dans le formulaire à cette fin n’étaient pas strictement nécessaires dans la mesure où elles révélaient une grande variété d’informations personnelles relatives à l’entourage du salarié telles que :

  • la date et lieu de naissance ;
  • le sexe ;
  • le lien de parenté ;
  • le numéro de téléphone ;
  • l’employeur ;
  • les fonctions et ;
  • la situation maritale.

En outre, la CNIL a caractérisé un manquement à l’obligation de minimisation en rappelant que les coordonnées d’un seul proche auraient suffi à permettre la réalisation du traitement litigieux.

Manquement à l’interdiction de traiter des données sensibles

Concernant la mobilité interne des salariés dans les sociétés chinoises, la CNIL a constaté que plusieurs champs du formulaire litigieux étaient assortis d’un astérisque indiquant l’obligation de renseigner des données sensibles pour finaliser le dossier de candidature permettant de travailler en Chine (ex : l’appartenance à une minorité ethnique ainsi que leur affiliation politique).

Sur la base de ces éléments, la CNIL caractérise l’illicéité du traitement en rappelant que ce dernier ne pouvait se réaliser qu’après avoir recueilli le consentement des personnes concernées.

Au surplus, la CNIL rappelle que même en l’absence d’astérisque, il aurait été difficile de démontrer le caractère libre du consentement des employés en raison de l’asymétrie du rapport de force existant entre un employeur et ses salariés. Ce déséquilibre est d’ailleurs mentionné dans les lignes directrices du CEPD relative aux analyses d’impact[1].

Toutefois, il aurait été intéressant de connaitre la position de la CNIL si la société avait fondé la collecte de ces données sensibles sur l’existence d’une obligation légale issue du droit chinois. Ce moyen n’ayant pas été évoqué, cette question demeurera sans réponse …

Manquement à l’interdiction de collecter l’extrait du casier judiciaire des personnes concernées

Lors des contrôles réalisés sur place, la CNIL a constaté que des extraits B3 de casiers judiciaires figuraient dans les dossiers individuels d’une partie des employés.

Pour sa défense, SAF Logistics a excipé que la conservation du bulletin n°3 du casier judiciaire était nécessaire à la procédure d’habilitation requise par l’article L. 6342-3 du Code des transports compte tenu de ses activités de fret aérien.

Cependant, la CNIL observe que l’article susvisé autorise la consultation (et non la conservation) par les services de police et gendarmerie nationale (et non par l’employeur) du bulletin n°3 des salariés assujettis à cette procédure d’habilitation.

En conservant l’extrait du casier judiciaire des salariés devant se soumettre ou pas à cette obligation d’habilitation, SAF Logistics a violé l’interdiction de collecter l’extrait du casier judiciaire de ses salariés.

Manquement à l’obligation de coopérer avec les services de la CNIL

Enfin, la CNIL a également sanctionné le manquement à l’obligation de coopération qui incombe à l’organisme poursuivi.

Concrètement, lors des investigations, SAF Logistics avait remis, sur demande de la CNIL, une version traduite mais incomplète du formulaire litigieux qui avait été adressé au salarié. A deux reprises, la société a délivré une version française du formulaire qui ne faisait pas état des champs obligeant ses employés à renseigner leur affiliation politique et leur appartenance ethnique !

Était-ce volontaire ou pas ? Se targuant d’une : « grossière négligence du traducteur », SAF Logistics n’aura toutefois pas réussi à convaincre la CNIL de sa bonne volonté de coopérer lors des investigations.

***

Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.

 

[1] G29 lignes directrices relatives aux analyses d’impact, page 12