Une sanction de 400 000 euros pour la RATP

Une sanction de 400 000 euros pour la RATP
Actualité

Le 4 novembre dernier la Commission nationale de l’informatique et des libertés (CNIL) a condamné la Régie autonome des transports parisiens (RATP) à une amende de 400 000 euros suite à une plainte déposée par la CGT.

Pour rappel, la CNIL a le pouvoir de contrôler les organismes publics et privés. Son objectif est de vérifier qu’ils traitent les données personnelles conformément à la loi Informatique et Libertés et au Règlement général sur la protection des données (RGPD).

Lors d’un contrôle, la CNIL va notamment vérifier le respect des grands principes des règles de protection des données personnelles issues de l’article 5 du RGPD (transparence, limitation des finalités, minimisation des données, exactitude, limitation de la conservation, intégrité et confidentialité).

Quels étaient les manquements constatés ?

En l’espèce, la RATP a manqué à trois de ces principes fondamentaux.

Tout d’abord la CNIL a constaté que la collecte de certaines données n’était pas pertinente par rapport aux finalités visées.  En effet, dans le cadre de l’avancement des agents, les services des Ressources Humaines recueillaient le nombre de jours de grèves exercés chaque année par les agents. La formation restreinte a retenu « que l’utilisation de données relatives au nombre de jours de grève des agents n’était pas nécessaire pour atteindre les objectifs visés ».Plus précisément « l’indication du nombre total de jours d’absence suffisait, sans qu’il soit nécessaire de rentrer dans le détail en distinguant les jours liés à l’exercice du droit de grève. ». Selon la CNIL, le principe de minimisation des données n’était donc pas respecté.

Également, l’organisme n’a pas respecté le principe de limitation des durées de conservation des données. L’application qui permet le suivi d’activité des agents de la RATP conservait l’ensemble des données dans la base active de l’application, « pour une durée qui excède celle qui est nécessaire pour accomplir les finalités recherchées ». 

Pour finir, la CNIL a constaté un manquement au principe de sécurité, les accès aux données contenues dans l’outil n’étaient pas suffisamment différenciés. En effet, « les agents habilités accédaient à l’ensemble des catégories de données contenues dans l’outil » et cela « sans distinction des fonctions ou des missions des agents »

Considérant que les manquements étaient assez graves, la CNIL a donc décidé de rendre la sanction publique.

Partager l'article

Articles similaires

Parce que le RGPD pourrait être un sport olympique
Actualité Article RGPD

Parce que le RGPD pourrait être un sport olympique

Parce que le RGPD pourrait être un sport olympique , la CNIL publie des fiches thématiques pour les professionnels du sport
Lire la suite
10 sanctions express prononcées par la CNIL dans le cadre de sa nouvelle procédure
Actualité Article RGPD

10 sanctions express prononcées par la CNIL dans le cadre de sa nouvelle procédure

Comment la CNIL applique ses sanctions ? Quelles sont ses méthodes de sanctions ?
Lire la suite