Le Cabinet Avomedias intervient en matière de droit du numérique et notamment concernant la question des données personnelles. Notre cabinet vous accompagne dans la mise en conformité de vous pratiques commerciales au Règlement général sur la protection des données (RGPD), allant par exemple, de la création d’un site internet à la rédaction de contrat.
Le 29 octobre 2021, la Commission nationale de l’informatique et des libertés (CNIL) a prononcé à l’encontre de la Régie autonome des transports parisiens (RATP) une sanction de 400 000 € pour manquements au Règlement général sur la protection des données (RGPD). La décision a aussi été rendue publique. (https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044286815?init=true&page=1&query=san-2021-019&searchField=ALL&tab_selection=all)
Résumé des faits depuis la saisine de la CNIL par la CGT-RATP
Le 13 mai 2020, la CNIL a été saisie d’une plainte de l’organisation syndicale CGT-RATP, car il a été découvert qu’il existait des fichiers d’évaluation des agents de la RATP constitués dans le cadre de la procédure d’avancement de carrière des agents dans le centre de bus des Bords de Marne.
Ces fichiers permettaient de faire un classement des agents pour leur remettre des promotions. Cependant, ce qui est mis en cause, c’est que ces documents contenaient des informations personnelles sur les agents qui n’étaient pas nécessaires à l’évaluation en cause.
L’organisation syndicale a avancé que la présence de ce fichier était illicite voire même discriminatoire.
Le 5 juin 2020, un courrier est venu compléter la précédente plainte avec la présence d’un fichier similaire touchant les agents du centre de bus Quais de Seine.
L’enquête démontre que la violation des données personnelles aurait duré du 9 avril au 11 mai 2020.
Finalement, quatre centres de bus de la RATP ont confirmé l’usage de cette pratique, dont une que la RATP a signalisée elle-même auprès de la CNIL en acquiesce que cette pratique était illicite.
Ce qu’il était reproché à la RATP était d’avoir pris en compte des données personnelles pas nécessaires à l’établissement de ces fichiers d’évaluation rendant l’établissement de cela disproportionné. La Commission à la tête de l’établissement des fichiers a dressé une liste des données qui peuvent être collectées et figurées dans ces fichiers :
- Le nom, prénom de l’agent, nom du responsable d’équipe
- Les matricules, date d’embauche, date de qualification
- L’ancien niveau avec date, le niveau proposé, les gratifications éventuelles
- La date des entretiens d’appréciation et de progrès, le cas échéant des plans de progrès
- Les critères professionnels d’évaluation, la présence au travail, les indisponibilités, l’accidentologie, les éventuelles plaintes clients, rapports d’information, sanctions
Ainsi, le nombre de jours de grèves, d’arrêt-maladie de congé maternité, d’absence non autorisée des agents n’a pas à figurer dans les fichiers d’évaluation.
Les manquements aux règles énoncées par le RGPD
Tout d’abord, la CNIL a démontré que la RATP était responsable du traitement en cause et que son illégalité lui était imputée. En effet, elle est responsable des traitements en cause, au regard de l’article 4.7 du RGPD. Elle est coupable de la pratique constatée dans au moins six unités opérationnelles. De plus, il lui est reproché de ne pas avoir mis en œuvre de moyens suffisants pour arrêter la violation.
Ensuite, l’instruction opérée par la CNIL, a également permis de relever plusieurs manquements au RGPD à l’encontre de la RATP. Le responsable de traitement n’a pas respecté les articles 5.1.c et 5.2 du RGPD.
Dans son rapport, la CNIL a alors dressé une liste reprenant les manquements opérés par la RATP au regard des dispositions du RGPD :
- Manquement relatif à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données à caractère personnel (article 5 du RGPD) : la RATP n’a pas respecté l’obligation de proportionnalité imputée à la collecte et au traitement des données.
- Manquement à l’obligation de définir et de respecter une durée de conservation des données à caractère personnel proportionnée à la finalité du traitement (article 5.1 du RGPD) : le responsable du traitement n’a pas le droit de conserver des données personnelles pour une durée non définie, surtout lorsqu’il s’agit de données sensibles. En l’espèce, les fichiers d’évaluation des agents étaient conservés pendant plus de trois ans au lieu de 18 mois nécessaires après la tenue des commissions d’avancement.
- Manquement relatif à l’obligation d’assurer la sécurité des données à caractère personnel (article 32 du RGPD) : la RATP n’a pas assuré la sécurité des données de ses agents, car plusieurs personnes avaient accès à ces données sans encadrer leur accessibilité.
La RATP n’a pas alors mis en place les mesures nécessaires pour assurer la protection des données personnelles de ses agents. De plus, l’information concernant le fait de faire grève relève d’une appartenance syndicale voire politique ce qui est reconnu comme une donnée sensible qui devrait davantage protéger.
L’article 9.1 du RGPD sur le traitement portant sur des catégories particulières de données à caractère personnel dispose que « Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits ».
Au cours de la procédure, la RATP a tout de même démontré sa bonne foi en corrigeant par exemple certains manquements, mais la CNIL l’a tout de même sanctionné d’une amende de 400 000 euros et la publication de cette décision est intervenue le 4 novembre 2021.
En parallèle de la sanction énoncée par la CNIL, la RATP pourrait également être sanctionnée au niveau pénal ou au prud’homme. En effet, la prise en compte de données sensibles peut être caractérisée de pratique discriminante, comme le souligne l’article L.1132-2 du Code du travail qui dispose qu’« Aucun salarié ne peut être sanctionné, licencié ou faire l'objet d'une mesure discriminatoire mentionnée à l’article L.1132-1 en raison de l'exercice normal du droit de grève ».
L’article 225-1 du Code pénal dispose quant à lui que « Constitue une discrimination toute distinction opérée entre les personnes physiques sur le fondement de leur origine […], de leurs activités syndicales […] ». L’article 225-2 de ce même Code souligne qu’une pratique discriminatoire est punie de trois ans d’emprisonnement et de 45 000 € d’amende, selon les cas qu’elle liste dans cet article.
Concernant, la sanction imputée à une personne morale (ici la RAPT), l’article 131-38 du Code pénal dispose que « Le taux maximum de l'amende applicable aux personnes morales est égal au quintuple de celui prévu pour les personnes physiques par la loi qui réprime l'infraction ». De plus, l’article suivant énonce les autres peines que peut encourir une personne morale incriminée.
Le Cabinet Avomedias vous assiste dans tous vos projets en assurant la mise en conformité de vos pratiques commerciales au RGPD et vous défend en cas de contrôle d’une autorité administrative comme la CNIL.