Par une délibération du 29 octobre 2021, la CNIL a prononcé contre la RATP une amende administrative d’un montant de 400 000 euros compte tenu de diverses violations du Règlement Général sur la Protection des Données (« RGPD ») constatées, cette sanction étant assortie d’une publication sur le site de la CNIL et sur le site de Légifrance.
La CNIL avait été saisie en mai 2020 par une organisation syndicale d’une plainte portant sur le fichier d’évaluation des agents de la RATP qui contenait des données à caractère personnel, en l’occurrence, le nombre de jours de grèves exercés par les agents.
A la suite de cette plainte, la RATP a notifié à la CNIL une violation de données à caractère personnel consistant en l’utilisation d’un fichier en violation des dispositions du RGPD et contraire à la politique et aux règles de fonctionnement de la RATP.
Finalement, la RATP, sans réellement contester le caractère illicite de l’utilisation des informations relatives aux jours de grèves, considérait qu’elle ne pouvait être tenue pour responsable car elle n’était pas à l’initiative de l’utilisation de ces données personnelles au titre de l’évaluation des salariés.
La CNIL a cependant constaté :
- Une collecte de données non nécessaires en violation des articles 5.1 c et 5.2 du RGPD.
« La CNIL a retenu que l’utilisation de données relatives au nombre de jours de grève des agents n’était pas nécessaire pour atteindre les objectifs visés dans le cadre de la préparation des commissions de classement. En particulier, l’indication du nombre total de jours d’absence suffisait, sans qu’il soit nécessaire de rentrer dans le détail en distinguant les jours liés à l’exercice du droit de grève (principe de minimisation des données). »
- Un manquement à l’obligation de limiter la durée de conservation des données conformément à l’article 5.1.e du RGPD.
La CNIL a ainsi constaté que « la RATP conservait l’ensemble de ces données dans la base active de l’application, accessible à un grand nombre d’agents, pour une durée qui excède celle qui est nécessaire pour accomplir les finalités recherchées. » et qu’elle a « également conservé des fichiers d’évaluation des agents pendant plus de 3 ans après la commission d’avancement pour lesquels ils sont établis, alors que leur conservation n’était nécessaire que 18 mois après la tenue de ces commissions. »
- Un manquement à la sécurité des données prévue à l’article 32 du RGPD. La CNIL a en effet considéré que la RATP ne différenciait pas suffisamment les niveaux d’habilitation des agents, ce qui permettait à tous les agents rattachés au service des ressources humaines d’accéder à toutes les données stockées et ne permettait pas de prévenir une éventuelle mauvaise utilisation ni de garantir la confidentialité des données personnelles.
La RATP est dont tenue pour responsable des violations du RGPD, sans pouvoir exciper d’une utilisation des données personnelles par les services RH en violation des politiques internes.
Il est donc crucial de veiller à ce que l’accès aux données personnelles ainsi que la durée de leur conservation soient limités pour éviter toute violation du RGPD.