La CNIL annonce avoir sanctionné d'une amende de 400 000 euros la RATP, coupable de plusieurs infractions, certaines étant liées aux fichiers d'évaluation de ses agents.
La Commission nationale de l'informatique et des libertés (CNIL) a été saisie, en mai 2020, par une organisation syndicale qui à l'époque dénonçait plusieurs entorses au RGPD émanant de la RATP – à savoir une collecte de données non nécessaires, un manquement à l'obligation de limiter la durée de conservation des données et un manquement à la sécurité des données. La CNIL, au terme de son enquête, a prononcé une amende de 400 000 euros tout en détaillant, ce 4 novembre, les faits reprochés et la justification de la sanction.
Des fichiers d'évaluation du personnel qui prenaient en compte un peu trop d'informations
Tous les ans, la RATP organise, dans chaque centre de bus, une réunion qui permet de dresser la liste des agents susceptibles de recevoir une promotion au sein de la régie. Chaque agent fait ainsi l'objet d'un fichier d'évaluation sur lequel ne doivent en théorie figurer que les données nécessaires à l'évaluation. Or, il se trouve que la CNIL a constaté, lors de ses divers contrôles, que figuraient dans ces fichiers des colonnes relatives au nombre de jours de grève exercés par les agents évalués, ce qui est en principe totalement interdit et viole ainsi deux dispositions du RPGD. Il aurait été légal, aux yeux de la CNIL, de ne faire figurer que le nombre de jours d'absence, conformément au principe de minimisation des données.
Toujours concernant ces fichiers d'évaluation, le gendarme des données a aussi épinglé la RATP pour une durée de conservation trop importante –supérieure à 3 ans – alors même que « leur conservation n'était nécessaire que 18 mois après la tenue » des commissions d'avancement, indique l'autorité.
Au sein de la compagnie, le suivi d'activité des agents s'opère par l'intermédiaire d'une application dotée de fonctionnalités de visualisation et d'extraction de nombreuses données. Ces données sont ensuite consultables par plusieurs personnes, notamment par les ressources humaines de l'entreprise. La CNIL a considéré que la RATP conservait ces données sur une durée excédant celle nécessaire.
La CNIL s'inquiétait pour la sécurité des données des agents
Le dernier gros manquement pour lequel la RATP a été épinglée tient à la sécurité des données. Selon la CNIL, la Régie autonome des transports parisiens n'a pas été suffisamment regardante sur les niveaux d'habilitation des agents ayant accès à certaines informations. Il est ainsi arrivé que des agents habilités aient accès à l'ensemble des données relatives aux ressources humaines, sans distinction des fonctions ou des missions des concernés. Les agents en question pouvaient avoir accès aux données portant sur du personnel de leur propre centre de bus, mais aussi aux données relatives aux agents des autres centres de bus.
L'inquiétude était d'autant plus grande du côté de la CNIL que les agents habilités ayant accès aux données pouvaient très bien les extraire à leur guise de l'outil. La garantie et la protection de la confidentialité des données n'étaient donc plus assurées, et une utilisation malveillante pouvait en être faite à tout moment.
En marge de la publication de sa décision, la CNIL précise que sur chacun des points reprochés, la RATP a coopéré et détaillé les mesures prises pour que les manquements reprochés prennent définitivement fin. Une bonne foi qui a sans doute limité le montant de l'amende.
Source : CNIL
