Le Quotidien du 9 novembre 2021 : Données personnelles

[Brèves] Fichiers d’évaluation des agents : sanction de 400 000 euros à l’encontre de la RATP

Réf. : CNIL, 29 octobre 2021, délibération n° SAN-2021-019 (N° Lexbase : X0045CNY)

Lecture: 4 min

N9362BYE

Citation copiée !

Citer l'article

Créer un lien vers ce contenu

Référence copiée !
[Brèves] Fichiers d’évaluation des agents : sanction de 400 000 euros à l’encontre de la RATP. Lire en ligne : https://www.lexbase.fr/article-juridique/74174841-bra8vesfichiersde2aoa9valuationdesagentssanctionde400000eurosrle2aoencontredelarat
Copier

par Marie-Lou Hardouin-Ayrinhac

le 08 Novembre 2021

► La CNIL a sanctionné la RATP d’une amende de 400 000 euros après avoir constaté que plusieurs centres de bus avaient intégré le nombre de jours de grève des agents dans des fichiers d’évaluation qui servaient à préparer les choix de promotion ; elle a également relevé une durée de conservation excessive des données et des manquements relatifs à la sécurité des données.

Les contrôles. En mai 2020, la CNIL a été saisie par une organisation syndicale d’une plainte concernant la présence du nombre de jours de grève exercés par les agents dans les fichiers utilisés lors des procédures d’avancement de carrière. À la suite de cette plainte, la RATP a déclaré à la CNIL que quatre centres de bus étaient concernés par cette pratique, qu’elle estimait elle-même illégale.

La CNIL a alors effectué des contrôles dans plusieurs centres de bus de la RATP. Ils ont permis de confirmer cette pratique dans trois centres de bus de la RATP (un parmi les quatre signalés par la RATP et deux autres centres). 

Les manquements constatés. La CNIL a constaté trois manquements au « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I).

  • Une collecte de données non nécessaires (« RGPD », art. 5, 1, c) et 5, 2)

La RATP organise chaque année, dans chaque centre de bus, une réunion d’arbitrage dont l’objectif est d’établir la liste des agents proposés à l’avancement par la direction. À cette occasion, un fichier d’aide à la décision est créé par les personnels affectés aux services des ressources humaines. En principe, ce fichier contient seulement les données nécessaires à l’évaluation des agents. 

Toutefois, la CNIL a constaté que dans les fichiers des centres de bus qu’elle a contrôlés, figuraient des colonnes relatives au nombre de jours de grève exercés par les agents pour chaque année évaluée.

Au cours de la procédure, la RATP a reconnu le caractère illicite de ces fichiers et a fait valoir qu’une telle pratique était contraire à sa politique générale.

La CNIL a retenu que l’utilisation de données relatives au nombre de jours de grève des agents n’était pas nécessaire pour atteindre les objectifs visés dans le cadre de la préparation des commissions de classement. En particulier, l’indication du nombre total de jours d’absence suffisait, sans qu’il soit nécessaire de rentrer dans le détail en distinguant les jours liés à l’exercice du droit de grève. Ainsi, la RATP a violé le principe de minimisation des données.

Pour rappel, le principe de minimisation des données prévoit que les données à caractère personnel doivent être adéquatespertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

 

  • Un manquement à l’obligation de limiter la durée de conservation des données (« RGPD », art. 5, 1, e))

Dans le cadre de fichiers de ressources humaines, la RATP utilise une application qui permet le suivi d’activité des agents, par des fonctionnalités de visualisation et d’extraction de nombreuses données principalement issues des systèmes d’information de ressources humaines de la RATP.

Les contrôles ont permis d’établir que la RATP conservait l’ensemble de ces données dans la base active de l’application, accessible à un grand nombre d’agents, pour une durée qui excède celle qui est nécessaire pour accomplir les finalités recherchées.  

Par ailleurs, la RATP a également conservé des fichiers d’évaluation des agents pendant plus de 3 ans après la commission d’avancement pour lesquels ils sont établis, alors que leur conservation n’était nécessaire que 18 mois après la tenue de ces commissions.

La société a toutefois pris les mesures requises au cours de la procédure concernant ce point.

  • Un manquement à la sécurité des données (« RGPD », art. 32)

La CNIL a constaté que la RATP ne différenciait pas suffisamment les différents niveaux d’habilitation des agents. En effet :

- les agents habilités accédaient à l’ensemble des catégories de données contenues dans l’outil (notamment, l’ensemble des données relatives aux ressources humaines) sans distinction des fonctions ou des missions des agents ;

- ces agents accédaient aux données relatives aux agents du centre de bus dans lequel ils exercent leurs fonctions mais également à celles des agents de tous les autres centres de bus ;

- tous les agents habilités pouvaient extraire l’ensemble des données contenues dans l’outil.

Une telle configuration ne permettait pas de prévenir une éventuelle mauvaise utilisation des données et donc de garantir leur confidentialité.

Lors de la procédure, la RATP a fait part de mesures prises pour mettre fin aux manquements relevés par la CNIL.​​​​​​

Sanction. Sur la base de ces éléments et après avoir entendu la RATP, la CNIL a prononcé une amende de 400 000 euros à son encontre et a décidé de rendre publique sa décision.

© Reproduction interdite, sauf autorisation écrite préalable

newsid:479362

Vos notes

add
  • Aucune note pour le moment
Ajouter une nouvelle note


Cookies juridiques

Considérant en premier lieu que le site requiert le consentement de l'utilisateur pour l'usage des cookies; Considérant en second lieu qu'une navigation sans cookies, c'est comme naviguer sans boussole; Considérant enfin que lesdits cookies n'ont d'autre utilité que l'optimisation de votre expérience en ligne; Par ces motifs, la Cour vous invite à les autoriser pour votre propre confort en ligne.

En savoir plus