Le 4 novembre dernier la Commission nationale de l’informatique et des libertés (CNIL) a condamné la Régie autonome des transports parisiens (RATP) à une amende de 400 000 euros suite à une plainte déposée par la CGT.
Pour rappel, la CNIL a le pouvoir de contrôler les organismes publics et privés. Son objectif est de vérifier qu’ils traitent les données personnelles conformément à la loi Informatique et Libertés et au Règlement général sur la protection des données (RGPD).
Lors d’un contrôle, la CNIL va notamment vérifier le respect des grands principes des règles de protection des données personnelles issues de l’article 5 du RGPD (transparence, limitation des finalités, minimisation des données, exactitude, limitation de la conservation, intégrité et confidentialité).
Quels étaient les manquements constatés ?
En l’espèce, la RATP a manqué à trois de ces principes fondamentaux.
Tout d’abord la CNIL a constaté que la collecte de certaines données n’était pas pertinente par rapport aux finalités visées. En effet, dans le cadre de l’avancement des agents, les services des Ressources Humaines recueillaient le nombre de jours de grèves exercés chaque année par les agents. La formation restreinte a retenu « que l’utilisation de données relatives au nombre de jours de grève des agents n’était pas nécessaire pour atteindre les objectifs visés ».Plus précisément « l’indication du nombre total de jours d’absence suffisait, sans qu’il soit nécessaire de rentrer dans le détail en distinguant les jours liés à l’exercice du droit de grève. ». Selon la CNIL, le principe de minimisation des données n’était donc pas respecté.
Également, l’organisme n’a pas respecté le principe de limitation des durées de conservation des données. L’application qui permet le suivi d’activité des agents de la RATP conservait l’ensemble des données dans la base active de l’application, « pour une durée qui excède celle qui est nécessaire pour accomplir les finalités recherchées ».
Pour finir, la CNIL a constaté un manquement au principe de sécurité, les accès aux données contenues dans l’outil n’étaient pas suffisamment différenciés. En effet, « les agents habilités accédaient à l’ensemble des catégories de données contenues dans l’outil » et cela « sans distinction des fonctions ou des missions des agents ».
Considérant que les manquements étaient assez graves, la CNIL a donc décidé de rendre la sanction publique.
