Blog Données personnelles
La CNIL sanctionne la RATP pour des fichiers d’évaluation des agents illégaux
1/ Sur les faits et la procédure
La Régie Autonome des Transports Parisiens (ou « RATP ») est un établissement public à caractère industriel et commercial de l’Etat, qui assure l’exploitation d’une partie des transports en commun de Paris et sa banlieue.
Le 13 mai 2020, la Commission Nationale de l’Informatique et des Libertés (ci-après désignée la « CNIL ») a été saisie par l’organisation syndicale CGT-RATP d’une plainte portant sur un fichier d’évaluation des agents de la RATP, constitué dans le cadre de la procédure d’avancement des agents dans le centre de bus des Bords de Marne. L’organisation syndicale considérait que ce dernier était composé de catégories de données à caractère personnel illicites, particulièrement le nombre de jours de grève exercés par les agents.
A la suite de cette plainte, la RATP a reconnu que quatre centres de bus étaient concernés par cette pratique, ainsi que l’illicéité de cette pratique.
La CNIL a conduit des contrôles qui lui ont permis de constater que l’usage qui consistait à décompter le nombre de jours de grève des agents dans un fichier utilisé pour préparer les choix de promotion, était mis en œuvre dans au moins trois centres de bus de la RATP (dont deux qui n’avaient pas été signalés par la RATP à la CNIL).
En sus, lors de ses investigations, la CNIL a constaté d’autres manquements au Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après désigné le « RGPD »).
2/ Sur les manquements constatés
2.1/ Sur le manquement au principe de minimisation des données
Conformément aux dispositions de l’article 5, paragraphe 1, c), les données à caractère personnel traitées doivent être « adéquates, pertinentes, et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».
Dans le cadre de ses opérations de contrôle au sein des trois centres de bus, la CNIL a constaté qu’un fichier était constitué en vue de la préparation des commissions de classement. Dans ce fichier, il était précisé le nombre de jours d’absence des agents, les motifs de ces indisponibilités, et, par conséquent, le nombre de jours de grève de ces derniers.
Pourtant, la fiche correspondante à ce traitement au sein du registre des activités de traitement de la RATP indiquait que « les indisponibilités (sans distinction entre les motifs) » étaient nécessaires à la préparation des commissions de classement.
Au vu de ce qui précède, la CNIL a considéré que l’utilisation de données relatives au nombre de jours de grève des agents n’était pas nécessaire pour atteindre les objectifs visés dans le cadre de la préparation des commissions de classement, et que « l’indication du nombre total de jours d’absence suffisait, sans qu’il soit nécessaire de rentrer dans le détail en distinguant les jours liés à l’exercice du droit de grève ».
2.2/ Sur le manquement à l’obligation de limiter la durée de conservation des données
Conformément aux dispositions de l’article 5, paragraphe 1, e) du RGPD, les données à caractère personnel doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».
Tout d’abord, dans le cadre de la gestion de ses ressources humaines, la RATP utilise un outil logiciel qui lui permet d’assurer le suivi de l’activité des agents. Les données disponibles sur ce logiciel sont conservées pendant la durée de l’emploi de l’agent concerné, allongé de six (6) ans. La CNIL a considéré que cette durée de conservation des données à caractère personnel générale n’est donc pas déterminée en fonction de chaque finalité pour lesquelles elles sont traitées.
Ensuite, concernant plus particulièrement la durée de conservation des fichiers de préparation des commissions de classement, la CNIL a constaté que la RATP les conservait pendant une durée supérieure à trois (3) ans après la commission d’avancement pour lesquels ils étaient établis. Pourtant, la fiche correspondante à ce traitement au sein du registre des activités de traitement de la RATP indiquait que la durée de conservation nécessaire de ces fichiers était de dix-huit (18) mois. Dès lors, la CNIL a considéré que la RATP conservait ces fichiers pour une durée qui excède celle nécessaire au regard de la finalité du traitement.
2.3/ Sur les manquements à l’obligation de sécurité des données à caractère personnel
Conformément aux dispositions de l’article 32 du RGPD, le responsable du traitement et/ou le sous-traitant doi(ven)t mettre en place des mesures de sécurité techniques et organisationnelles afin d’assurer la sécurité des données à caractère personnel traitées.
Parmi les mesures de sécurité préconisées par la CNIL, figure la mise en place d’une politique de gestion des habilitations afin de limiter l’accès aux données aux seuls utilisateurs qui en ont besoin.
Pourtant, la CNIL a constaté que la RATP ne différenciait pas suffisamment les différents niveaux d’habilitation des agents pour accéder aux données disponibles sur l’application logicielle DORA, ainsi que pour extraire lesdites données.
La CNIL a considéré que ce défaut constituait un manquement à l’article 32 du RGPD.
3/ Sur la sanction
Au regard de la pluralité des manquements relevés, de leur persistance, de leur gravité et du nombre de personnes concernées, la CNIL a prononcé une sanction administrative de quatre cent mille (400.000) euros à l’encontre de la RATP, et rendu publique sa délibération.