Ou comment rappeler que la politique générale de protection des données personnelles doit être effective au sein de chaque société
La Commission nationale de l’informatique et des libertés (CNIL) veille au bon respect des données à caractère personnel.
Autorité administrative indépendante, la CNIL dispose d’un pouvoir de contrôle et de sanction qui lui permet de veiller au respect de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite « loi informatique et libertés », mais également aux dispositions du Règlement de l’Union européenne, dit RGPD, relatif à la protection des données à caractère personnel et à la libre circulation des données.
Saisie en mai 2020 d’une plainte déposée par le syndicat CGT-RATP portant sur un fichier d’évaluation d’agents de la RATP constitué dans le cadre de procédure d’avancement de carrière desdits agents, la CNIL a procédé à l’instruction de cette plainte.
Elle a dans ce cadre contrôlé la RATP, sur pièces et sur place.
Par ses réponses, la RATP a révélé que son traitement des données personnelles conservées dans une application dénommée DORA, outil de de visualisation et d’extraction de données à partir d’autres applications informatiques pour le traitement et la gestion des ressources humaines du département Bus de la RATP, ne respectait pas la loi.
Ainsi, deux traitements de données à caractère personnel ont fait l’objet de l’instruction de la CNIL, pourtant initialement saisie pour un seul traitement de données à caractère personnel.
Par délibération du 29 octobre 2021, la CNIL a condamné la RATP au paiement d’une amende administrative de 400 000 euros pour « défaillances graves en matière de protection des données à caractère personnel », pour « manquements à des principes fondamentaux et élémentaires du RGPD que sont les principes de minimisation des données, de responsabilité, de limitation de la durée de conservation des données et de sécurité » au titre de ces deux traitements de données.
Cette décision nous donne l’occasion de rappeler à quoi peut correspondre, en pratique, la collecte proportionnée de données personnelles adéquates, pertinentes.
I – La RATP avait collecté des données à caractère personnel, inadéquates, non pertinentes et au caractère excessif
Les données personnelles collectées, traitées et conservées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Il s’agit du principe de minimisation des données.
En l’espèce, s’agissant du fichier d’évaluation d’agents de la RATP constitué dans le cadre de procédure d’avancement de carrière desdits agents, peuvent notamment être considérées comme nécessaires les données suivantes : nom et prénom de l’agent, nom du responsable de l’équipe, matricule, date d’embauche, date de qualification, ancien niveau avec date, niveau proposé, gratifications éventuelles, présence au travail, indisponibilité (sans distinction entre les motifs), accidentologie, éventuelles plaintes clients, sanctions …
Si le nombre de jours d’absence, au même titre que, par exemple, le nombre de jours de travail, est une donnée qui peut être prise en considération selon la CNIL,
Et si, toujours selon elle, certaines absences, telles que l’absence liée à un congé de maternité, doivent apparaître de manière distincte afin que cette donnée ne soit pas prise en compte défavorablement dans l’évaluation de la performance de l’agent concerné,
La CNIL considère en revanche qu’indiquer le nombre de jours de grève en tant que catégorie distincte du nombre total de jours d’absence apparaît comme étant excessif et contraire au principe de minimisation dans le cadre d’un traitement destiné à l’avancée d’agents de la RATP.
La CNIL relève à cet égard que le traitement de ces données à caractère personnel n’est pas neutre.
Si la RATP a indiqué que cette pratique était le fait personnel d’unités opérationnelles, contraires à sa politique générale de protection des données personnelles,
La CNIL a retenu que cette pratique résultait d’un manque de rigueur de la RATP dans la supervision de l’organisation des procédures d’avancement ainsi que des outils mis à disposition des différents départements dans ce cadre par la RATP.
Elle a considéré qu’il incombait à la RATP, en tant que responsable de traitement pour constituer les fichiers en cause, de s’assurer que ne soient utilisées que des catégories de données nécessaires à la prise de décisions relatives à l’évaluation.
II – La RATP n’a pas défini une durée de conservation des données à caractère personnel proportionnée à la finalité du traitement des données collectées
Selon la RATP,
La durée de conservation prévue des fichiers de préparation des commissions de classement était de dix-huit mois, à partir de la tenue de la commission de classement pour laquelle ils sont établis.
Cette durée étant prévue sur la fiche de registre correspondante, en fonction de la finalité de ce traitement, à savoir l’aide à la prise de décision en vue de l’évaluation des agents.
Toutefois, au cours de l’instruction, il a été constaté que, dans deux centres de bus contrôlés, des fichiers de préparation des commissions de classement de 2017 étaient présents sur les serveurs. Cette durée de plusieurs années a donc été jugée excessive au regard de la finalité du traitement.
En effet, ces fichiers étant établis comme support de prise de décision dans le cadre de réunions préparatoires aux commissions de classement annuelles, en vue de l’évaluation des agents, ils ne pouvaient par conséquent être conservés que pour la durée nécessaire à la tenue de cette commission.
La RATP a donc méconnu son obligation de conserver les données pendant une durée proportionnée à la finalité de la collecte.
III – La RATP n’a pas assuré la sécurité des données à caractère personnel
Les fichiers de préparation des commissions de classement de la RATP étaient accessibles sur un serveur ouvert à tous les participants aux réunions d’arbitrage pour lesquelles ils étaient établis, à savoir : la direction du centre de Bus concernée, le service des ressources humaines de la RATP, mais également tous les responsables d’équipe de ligne, ces derniers ayant également accès à des données relatives à des conducteurs de bus ne relevant pas de leur responsabilité.
Si la RATP soutenait que l’accès des données à l’ensemble des managers habilités était nécessaire et proportionné afin de permettre une visibilité sur l’ensemble des agents proposables, pour pouvoir procéder aux arbitrages et assurer la collégialité des décisions prises lors des réunions d’arbitrage en cause.
La CNIL a considéré que la confidentialité des données n’était pas garantie. En effet, ces données étaient mises à la disposition de l’ensemble des responsables d’équipe de ligne, sans distinction selon qu’ils s’agissent d’agents sous leur responsabilité ou non.
Or une simple projection de ces données, effectuée lors des réunions d’arbitrage, aurait pu permettre d’assurer la confidentialité des données ainsi que la prise de décision collégiale.
La RATP n’a ainsi pas assuré la sécurité des données collectées et conservées.
***
Cette décision illustre avec précision la vigilance qui doit guider la collecte, le traitement et la durée de conservation de données à caractère personnel.
Il ne suffit pas, pour une société, d’avoir établi une politique générale de protection des données personnelles. Celle-ci doit être effective au sein de la structure, laquelle doit informer, former et s’assurer que sa politique est bien suivie.
Un audit des pratiques de chaque entité est possible, qui permet de déterminer au mieux les bonnes mesures à adopter et les changements à effectuer le cas échéant.
Nous sommes à votre disposition pour vous accompagner.
