Source : Délibération SAN-2021-019 du 29 octobre 2021
Par décision en date du 29 octobre 2021 et après avoir été saisie suivant une plainte déposée par une organisation syndicale, la CNIL a condamné la RATP à une amende de 400.000 € au motif que le nombre de jours de grève de ses agents était mentionné dans les fichiers utilisés dans le cadre des réunions visant à la promotion de ces derniers, ces pratiques constituant des manquements graves au RGPD.
Cette décision révèle que la RATP organise chaque année, dans chaque centre de bus, une réunion d’arbitrage dont l’objectif est d’établir la liste des agents proposés à l’avancement par la direction.
Dans ce cadre, un fichier d’aide à la décision est créé par les personnels affectés aux services des ressources humaines, ce fichier contenant en principe seulement les données nécessaires à l’évaluation des agents.
Toutefois, la CNIL a constaté que dans les fichiers des centres de bus qu’elle a contrôlés, figuraient des colonnes relatives au nombre de jours de grève exercés par les agents pour chaque année évaluée.
La CNIL a retenu que l’utilisation de données relatives au nombre de jours de grève des agents n’était pas nécessaire pour atteindre les objectifs visés dans le cadre de la préparation des commissions de classement.
En particulier, l’indication du nombre total de jours d’absence suffisait, sans qu’il soit nécessaire de rentrer dans le détail en distinguant les jours liés à l’exercice du droit de grève, relevant ici un manquement à l’articles 5.1.c du RGPD suivant lequel les données à caractère personnel doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ».
En outre, la RATP utilise une application qui permet le suivi d’activité des agents, par des fonctionnalités de visualisation et d’extraction de nombreuses données principalement issues des systèmes d’information de ressources humaines de la RATP.
Les contrôles ont permis d’établir que la RATP conservait l’ensemble de ces données dans la base active de l’application, accessible à un grand nombre d’agents, pour une durée qui excède celle qui est nécessaire pour accomplir les finalités recherchées.
En effet, la RATP a conservé des fichiers d’évaluation des agents pendant plus de 3 ans après la commission d’avancement pour lesquels ils sont établis, alors que leur conservation n’était nécessaire que 18 mois après la tenue de ces commissions, ce qui constitue un manquement à l’article 5.1.e du RGPD relatif à la limitation de la conservation des données à caractère personnel.
La CNIL a également constaté que la RATP ne différenciait pas suffisamment les différents niveaux d’habilitation des agents. En effet :
Les agents habilités accédaient à l’ensemble des catégories de données contenues dans l’outil (notamment, l’ensemble des données relatives aux ressources humaines) sans distinction des fonctions ou des missions des agents ;
Ces agents accédaient aux données relatives aux agents du centre de bus dans lequel ils exercent leurs fonctions mais également à celles des agents de tous les autres centres de bus ;
Tous les agents habilités pouvaient extraire l’ensemble des données contenues dans l’outil.
Une telle configuration ne permettait pas de prévenir une éventuelle mauvaise utilisation des données et donc de garantir leur confidentialité, ce qui constitue un manquement à la sécurité des données tel que définie à l’article 32 du RGPD dès lors que la sécurisation des données à caractère personnel était insuffisante et propice à des utilisations malveillantes de celles-ci.