accordion-iconalert-iconarrow-leftarrowarticleShowedbacktotopCreated with Sketch. bookmarkcall-iconcheckchecked-iconclockclose-grcloseconnexion-iconfb-col fb-footer-iconfb-iconfb feedMark__icon--radiofeedMark__icon--starPage 1Created with Avocode.filterAccordion-arrowgoo-col headerBtn__icon--connecthomeinfo-blueinfo insta-1 instalank2IconCreated with Avocode.lglasslink-2linklink_biglinkedin-footer-iconlinkedin-iconlinkedin Svg Vector Icons : http://www.onlinewebfonts.com/icon lock-bluelockmail-bluemail-iconmailnot_validoffpagenavi-next-iconpdf-download-iconplus print-iconreadLaterFlagrelatedshare-icontagsLink-icontop-pagetw-col tw-footer-icontw-icontwitter unk-col user-blueuseruserName__icon--usernamevalidyoutube-footer-iconyoutube Svg Vector Icons : http://www.onlinewebfonts.com/icon
Offert

Fichiers indiquant les jours de grève des agents de bus : la RATP épinglée par la CNIL

AAI
CNIL, délib. n° SAN-2021-019, 29 oct. 2021
[05.11.2021]

La CNIL a sanctionné la RATP d'une amende de 400 000 € après avoir constaté que plusieurs centres de bus avaient intégré le nombre de jours de grève des agents dans des fichiers d'évaluation qui servaient à préparer les choix de promotion. Elle a également relevé une durée de conservation excessive des données et des manquements relatifs à la sécurité des données.

Contrôles. - En mai 2020, la CNIL a été saisie par une organisation syndicale d'une plainte concernant la présence du nombre de jours de grève exercés par les agents dans les fichiers utilisés lors des procédures d'avancement de carrière. À la suite de quoi, la RATP a déclaré à la Commission que 4 centres de bus étaient concernés par cette pratique, qu'elle estimait du reste elle-même illégale. Le « gendarme français des données personnelles » a alors effectué des contrôles dans plusieurs centres de bus de la RATP qui ont permis de confirmer cette pratique dans 3 centres (un parmi les 4 signalés par la RATP et 2 autres). Lors de ses vérifications, la Commission a également constaté des manquements relatifs à la durée de conservation et à la sécurité des données.

Sanction. - Sur la base de ces éléments et après avoir entendu la RATP, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que cette dernière avait manqué à ses obligations, en particulier car seules des données strictement nécessaires à l'évaluation des agents auraient dû figurer dans ces fichiers. L'indication du nombre de jours d'absence suffisait ici, sans qu'il soit nécessaire de préciser le motif d'absence lié à l'exercice du droit de grève.

La CNIL a ainsi prononcé une amende de 400 000 euros et a décidé de rendre publique sa décision.

Manquements constatés. – La CNIL a retenu, d'une part, que l'utilisation de données relatives au nombre de jours de grève des agents n'était pas nécessaire pour atteindre les objectifs visés dans le cadre de la préparation des commissions de classement. En particulier, « l'indication du nombre total de jours d'absence suffisait, sans qu'il soit nécessaire de rentrer dans le détail en distinguant les jours liés à l'exercice du droit de grève (principe de minimisation des données) », a précisé la formation restreinte de la CNIL dans un communiqué.

D'autre part, les contrôles ont permis d'établir que la RATP conservait l'ensemble des données dans la base active de son application permettant le suivi d'activité des agents, « accessible à un grand nombre d'agents, pour une durée qui excède celle qui est nécessaire pour accomplir les finalités recherchées ». La RATP « a également conservé des fichiers d'évaluation des agents pendant plus de 3 ans après la commission d'avancement pour lesquels ils sont établis, alors que leur conservation n'était nécessaire que 18 mois après la tenue de ces commissions ». La société « a toutefois pris les mesures requises au cours de la procédure concernant ce point ».

Enfin, la CNIL a constaté que la RATP ne différenciait pas suffisamment les différents niveaux d'habilitation des agents. « Une telle configuration ne permettait pas de prévenir une éventuelle mauvaise utilisation des données », donc « de garantir leur confidentialité ». Lors de la procédure, la RATP « a fait part de mesures prises pour mettre fin aux manquements relevés par la CNIL ».