lala
En 2023, l'Organisation Mondiale de la Propriété Intellectuelle a enregistré une hausse...
La diffusion de deepfakes pornographiques mettant en scène la chanteuse Taylor Swift à la fin du...
La Cour d’appel de Paris vient de confirmer que la cession des titres de propriété industrielle...
Du 26 au 28 mars 2024, l'équipe ALTIJ sera présente aux côtés de notre legal...
Violation de données de deux opérateurs de tiers payants, plus de 33 millions de personnes...
L’Internet Society France demande l’annulation de la délibération de la CNIL autorisant...
Le Conseil constitutionnel s’est prononcé à son tour (2/2)
Des nouvelles règles dégagées par la Cour de Cassation (1/2)
L’intelligence...
C’est dans la continuité de ses campagnes de vérifications et de mesures correctrices, que la CNIL, en sa formation restreinte, a sanctionné le 29 octobre dernier la RATP d’une amende de 400 000 euros pour le traitement illicite de données, à savoir le nombre de jours de grève des agents, dans le cadre de fichiers d’évaluation utilisés afin de décider de la promotion ou non d’un agent.
L’autorité de contrôle a, de plus, sanctionné la durée de conservation excessive des données des agents ainsi que des manquements relatifs à la sécurité des données.
C’est en mai 2020 que, saisie de plusieurs plaintes émises par l’organisation syndicale CGT-RATP, la CNIL a procédé à des contrôles sur pièces auprès de la RATP concernant la constitution d’un fichier d’évaluation de ses agents, intégrantles motifs d’absences de ces derniers, dont le nombre de jours de grève, dans le cadre de la procédure d’avancement de carrière.
A la suite de la plainte portée par l’organisation syndicale, la RATP, après avoir vérifié les faits reprochés, notifiait à la CNIL une violation des données à caractère personnel, reconnaissant que le fichier concerné était contraire aux dispositions du RGPD ainsi qu’à la politique et aux règles de fonctionnement internes.
Nonobstant, la CNIL a profité de sa mission de contrôle pour vérifier la conformité générale de l’organisme aux dispositions du RGPD, notamment concernant les catégories de données collectées, les finalités déterminées, les durées de conservation ainsi que les mesures de sécurité mises en œuvre par la RATP.
Il est reproché à la RATP la violation du principe de minimisation des données[1], dans la mesure où la mention, au sein du fichier d’évaluation, du nombre de jours de grève exercés par les agents n’était pas nécessaire pour atteindre les finalités poursuivies, à savoir l’évaluation des agents en vue de la prise de décisions relatives à leur avancement.
Si la CNIL ne remet pas en cause la pertinence du traitement du nombre de jours d’absence, en application de l’accord collectif d’entreprise en vigueur, elle estime néanmoins qu’il n’est pas pertinent, en vue de l’évaluation des agents, de traiter distinctement les jours de grève du nombre total de jours d’absence. Les jours de grève pouvaient donc être pris en compte, mais de façon indistincte, parmi l’ensemble des jours d’absence.
La CNIL en conclut, donc, au caractère excessif de ce traitement.
Remarque : attention, ce type de données peut constituer des données à caractère personnel dites « sensibles », si elles révèlent une appartenance syndicale, par exemple après avoir recoupé les jours d’absences pour motifs de grève avec les déclarations des jours des grèves de syndicats. Or, selon l’article 9.1 du RGPD, le traitement de ces données est strictement interdit, sauf notamment à ce qu’il soit nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propre au responsable du traitement en matière de droit du travail. En tout état de cause, il vous appartiendra de veiller à ce que tout traitement de ce type d’information ne soit pas discriminatoire[2].
Il appartient au responsable du traitement[4] de s’assurer de la mise en œuvre de la règlementation relative à la protection des données au sein de ses services, notamment par la mise en place de procédures adéquates et la formation du personnel.
Bien que la RATP ait mis en place une politique générale, des actions de formation des agents, désigné des « référents/correspondants RGPD », mis à disposition une documentation spécifique, la CNIL reproche à la RATP de n’avoir pas mis en œuvre les moyens suffisants pour prévenir les atteintes aux données à caractère personnel des agents, les fichiers en cause ne relevant pas d’un incident isolé mais bien d’une pratique constatée dans au moins six centres de bus.
La RATP ne s’étant ni assurée que ne soient utilisées que des catégories de données à caractère personnel nécessaires à la prise de décisions relatives à l’évaluation pour constituer les fichiers, ni assurée que la purge décidée à la suite de la découverte des fichiers illicites soit effectivement mise en œuvre, elle a violé ses obligations.
Remarque : il vous appartient, donc, non seulement de mettre en place une politique de protection des données et de former vos équipes au respect de celle-ci, mais également de veiller, ensuite, à la bonne application de la règlementation, notamment en déterminant (et documentant) des process de supervision et de contrôle des pratiques internes et en renouvelant régulièrement les actions de sensibilisation de votre personnel.
Votre conformité au RGPD ne s’arrête, en effet, pas à la mise en place de la documentation et des mesures de sécurité exigées par la règlementation : il vous appartient notamment de vous assurer du respect de celles-ci et d’être en mesure d’en justifier à tout moment.
La RATP, en conservant les données de ses agents au sein d’une application de suivi de leur activité, pendant 6 ans en base active[6], quel que soit le type de données, ne respecte pas le principe de limitation de la conservation.
Celle-ci n’a, en effet, pas été en mesure de justifier auprès de la CNIL les raisons l’amenant à conserver ces données pendant cette durée de 6 ans et a même réduit, pendant la procédure de contrôle, la durée de conservation appliquée.
Elle conserve, par ailleurs, les fichiers d’évaluation, destinés à la prise de décision sur l’avancement des agents au cours d’une commission, plus de trois ans après la tenue de cette commission, et non 18 mois après celle-ci, durée qu’elle avait pourtant elle-même fixée au sein de sa politique interne au regard des objectifs poursuivis.
Remarque : Déterminer les durées de conservation au regard des finalités poursuivies est une première étape, la seconde est de mettre en œuvre les outils et process permettant de garantir l’effectivité de la politique de conservation que vous avez fixée.
La CNIL reproche, enfin, à la RATP de ne pas garantir la confidentialité des données de ses agents sur l’application de suivi de leur activité.
Elle rappelle que le responsable de traitement doit mettre en place des mesures appropriées pour assurer la confidentialité des données et éviter que les données soient traitées de façon illicite par le fait de personnes qui n’ont pas besoin d’en connaitre.
Or, tous les agents habilités accèdent à l’ensemble des catégories de données, sans distinction des fonctions ou mission des agents, de l’ensemble des agents (et non des seuls agents de l’unité opérationnelle à laquelle ils sont rattachés), soit 16 000 personnes.
De plus, la configuration de l’application est telle qu’elle permet à tout agent habilité d’extraire l’ensemble des données qui y sont contenues.
Remarque : La mise en place de niveaux d’habilitation différenciés, selon les besoins inhérents aux fonctions de vos salariés et la sensibilité des données traitées notamment, est indispensable. Une fois les profils d’habilitation établis et documentés, il vous appartiendra d’effectuer une revue annuelle des habilitations, afin d’adapter les droits accordés à chaque utilisateur en fonction de l’évolution de ses tâches et de supprimer les comptes non utilisés, le cas échéant.
[1] RGPD, art. 5.1.c) : « Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».
[2] C. trav., art. L. 1132-2 : « Aucun salarié ne peut être sanctionné, licencié ou faire l'objet d'une mesure discriminatoire mentionnée à l'article L. 1132-1 en raison de l'exercice normal du droit de grève ».
[3] RGPD, art. 5.2 : « Le responsable du traitement est responsable du respect du paragraphe 1 [des principes relatifs au traitement des données] et est en mesure de démontrer que celui-ci est respecté (responsabilité) ».
[4] Pour rappel, la notion de responsable de traitement (article 4.7 du RGPD) renvoie à toute personne morale ou physique qui détermine les finalités et les moyens d’un traitement, c’est-à-dire l’objectif et la façon de le réaliser. Dans ce cadre, ce dernier aurait dû, en ce sens, mettre en œuvre toutes mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que tout traitement est effectué conformément au RGPD (article 24 du RGPD).
[5] RGPD, art. 5.1. e) : « Les données à caractère personnel doivent être conservées (…) pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (limitation de la conservation) ».
[6] Pour mémoire, la base active contient les données qui font l’objet d’une utilisation courante, pendant la durée nécessaire pour accomplir la finalité déterminée. Ces données passent, le cas échéant, dans la base d’archivage intermédiaire, une fois l’objectif atteint et lorsqu’il s’avère nécessaire de les conserver pour répondre à une obligation légale, ou constituer des éléments de preuve dans le cadre d’un contentieux, par exemple. Seules les personnes spécialement habilitées peuvent y accéder, pour l’accomplissement de leurs missions.
[7] RGPD, art. 32 : Le Responsable de traitement met en œuvre les mesures techniques et organisationnelle appropriées afin de garantir un niveau de sécurité adapté au risque, en ce compris notamment « des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ».