Une sanction de 400 000 euros pour la RATP

Une sanction de 400 000 euros pour la RATP
Actualité

Le 4 novembre dernier la Commission nationale de l’informatique et des libertés (CNIL) a condamné la Régie autonome des transports parisiens (RATP) à une amende de 400 000 euros suite à une plainte déposée par la CGT.

Pour rappel, la CNIL a le pouvoir de contrôler les organismes publics et privés. Son objectif est de vérifier qu’ils traitent les données personnelles conformément à la loi Informatique et Libertés et au Règlement général sur la protection des données (RGPD).

Lors d’un contrôle, la CNIL va notamment vérifier le respect des grands principes des règles de protection des données personnelles issues de l’article 5 du RGPD (transparence, limitation des finalités, minimisation des données, exactitude, limitation de la conservation, intégrité et confidentialité).

Quels étaient les manquements constatés ?

En l’espèce, la RATP a manqué à trois de ces principes fondamentaux.

Tout d’abord la CNIL a constaté que la collecte de certaines données n’était pas pertinente par rapport aux finalités visées.  En effet, dans le cadre de l’avancement des agents, les services des Ressources Humaines recueillaient le nombre de jours de grèves exercés chaque année par les agents. La formation restreinte a retenu « que l’utilisation de données relatives au nombre de jours de grève des agents n’était pas nécessaire pour atteindre les objectifs visés ».Plus précisément « l’indication du nombre total de jours d’absence suffisait, sans qu’il soit nécessaire de rentrer dans le détail en distinguant les jours liés à l’exercice du droit de grève. ». Selon la CNIL, le principe de minimisation des données n’était donc pas respecté.

Également, l’organisme n’a pas respecté le principe de limitation des durées de conservation des données. L’application qui permet le suivi d’activité des agents de la RATP conservait l’ensemble des données dans la base active de l’application, « pour une durée qui excède celle qui est nécessaire pour accomplir les finalités recherchées ». 

Pour finir, la CNIL a constaté un manquement au principe de sécurité, les accès aux données contenues dans l’outil n’étaient pas suffisamment différenciés. En effet, « les agents habilités accédaient à l’ensemble des catégories de données contenues dans l’outil » et cela « sans distinction des fonctions ou des missions des agents »

Considérant que les manquements étaient assez graves, la CNIL a donc décidé de rendre la sanction publique.

Partager l'article

Articles similaires

La CNIL sensibilise le particulier gratuitement à la radio
Actualité

La CNIL sensibilise le particulier gratuitement à la radio

En 2022, La CNIL sort des sentiers battus en sensibilisant le particulier au RGPD par le biais de la radio;
Lire la suite
Contrôle CNIL 2022 : Les thématiques prioritaires visées
Actualité Article RGPD

Contrôle CNIL 2022 : Les thématiques prioritaires visées

Comme chaque année, la Commission Nationale de l’Informatique et des Libertés (la fameuse CNIL) a annoncé ses thématiques prioritaires de contrôle pour l’année 2022. Y a-t-il des surprises dans ces thématiques ?
Lire la suite