La RATP a été condamnée par la CNIL ce jeudi 4 novembre 2021 à une amende de 400.000 euros. Une sanction qui a été rendue publique à la suite de plusieurs manquements à des obligations en matière de protection des données à caractère personnel.
Un contrôle de la CNIL à la suite d’une plainte
La CNIL a été saisie d’une plainte par une organisation syndicale concernant la présence du nombre de jours de grève exercés par les agents dans les fichiers utilisés lors des commissions d’avancement de carrière.
A la suite de cette plainte, la CNIL a effectué des contrôles dans plusieurs centres de bus de la RATP.
La CNIL a confirmé cette pratique et a également constaté des manquements relatifs à la durée de conservation et à la sécurité des données.
- Une collecte de données non nécessaires (articles 5.1.c et 5.2 du RGPD)
La RATP organise annuellement une réunion d’arbitrage dont l’objectif est d’établir la liste des agents proposés à l’avancement par la direction dans chaque centre de bus.
Un fichier d’aide à la décision est alors constitué par le service des Ressources Humaines. Seules les données strictement nécessaires à l’évaluation professionnelle (finalité du traitement de données) des agents doivent figurer dans les fichiers.
Parmi ces données, le nombre de jours d’absence figure dans les fichiers. Cependant, la CNIL a constaté que le motif d’absence lié à l’exercice du droit de grève était conservé. Or le motif d’absence ne doit pas être précisé conformément au principe de minimisation des données.
- Une durée de conservation des données excessive par rapport à la finalité déterminée (article 5.1.e du RGPD)
Les fichiers de ressources humaines de la RATP sont conservés dans la base active d’une application de suivi d’activités des agents pour une durée qui excède celle nécessaire à l’objectif déterminé.
La RATP a également conservé des fichiers d’évaluation des agents pendant plus de trois ans après la commission d’avancement alors que la conservation n’était nécessaire que dix-huit mois après la tenue des commissions.
- Des niveaux d’habilitation insuffisamment différenciés (article 32 du RGPD)
L’application était accessible à un grand nombre d’agents du centre de bus dans lequel ils exercent leurs fonctions mais aussi tous les autres centres de bus. De plus, les agents habilités accédaient à l’ensemble des catégories de données contenues dans l’outil.
Une telle configuration ne permettait pas de prévenir une éventuelle mauvaise utilisation des données et donc de garantir leur confidentialité.
Source : cnil.fr
