La RATP est un établissement public à caractère industriel et commercial, entité mère du groupe RATP, qui employait en 2019 environ 65.000 salariés.
Le 13 mai 2020, la CNIL a été saisie d’une plainte d’une organisation syndicale portant sur un fichier d’évaluation des agents de la RATP, constitué dans le cadre de la procédure d’avancement de carrière des agents de centre de bus. Selon l’organisation syndicale, le fichier en cause contenait un certain nombre de catégories de données à caractère personnel qui lui confèreraient un caractère illicite, voire discriminatoire.
Le 18 mai suivant, la RATP a notifié à l’autorité une violation de données à caractère personnel. La RATP faisait état d’une violation qui aurait consisté en l’utilisation d’un fichier contraire aux dispositions du RGPD dans le cadre des commissions de classement des agents du département BUS (commissions visant à établir quels agents bénéficient d’un avancement), entraînant la perte de confidentialité de données à caractère personnel.
A l’issue de contrôles sur pièces et sur place dans trois centres de bus, la CNIL a retenu plusieurs manquements au RGPD.
- Sur le manquement à la minimisation des données
L’article 5.1.c du RGPD prévoit le principe de minimisation des données selon lequel les données à caractère personnel doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».
La CNIL a retenu un manquement à l’article du RGPD en raison d’une collecte de données non nécessaire puisque des fichiers d’aide à la décision, constitués dans le cadre de la procédure d’avancement de carrière des agents de centre de bus, faisaient figurer le nombre de jours de grève exercés par les agents durant les années concernées par l’évaluation.
Or, la CNIL a retenu que l’utilisation de telles données n’était pas nécessaire pour atteindre les objectifs visés dans le cadre de la préparation des commissions de classement. Selon la Commission, l’indication du nombre total de jours d’absence suffisait, sans qu’il ne soit nécessaire de rentrer dans le détail en distinguant les jours liés à l’exercice du droit de grève.
- Sur le manquement à la limitation de la durée de conservation des données
L’article 5.1.e du RGPD impose la limitation de la conservation des données « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».
L’autorité de contrôle a considéré que la RATP a méconnu ses obligations au regard de l’article du RGPD précité puisque :
- Tout d’abord, concernant des données figurant sur une application utilisée pour le traitement et la gestion des ressources humaines, la CNIL a constaté que les données étaient conservées durant six ans en base active sans qu’une approche différenciée et adaptée de conservation des données ne soit mise en œuvre au regard des finalités précises pour lesquelles sont traitées les données.
- Ensuite, concernant les fichiers de préparation des commissions de classement, la CNIL a relevé que la durée de conservation prévue n’était pas mise en œuvre de manière effective puisque, si la durée de conservation prévue par le registre de la RATP était de dix-huit mois à partir de la tenue de la commission de classement pour laquelle ils sont établis, l’autorité a constaté que des fichiers datant de 2017 étaient présents sur certains serveurs.
- Sur le manquement à la sécurisation des données
L’article 32 du RGPD énonce que le responsable de traitement doit « mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
En l’espèce, la CNIL a retenu plusieurs manquements à l’article 32 du RGPD en raison de l’absence de différenciation des différents niveaux d’habilitation des agents ayant accès aux données figurant sur l’application utilisée pour le traitement et la gestion des ressources humaines ainsi que les fichiers de préparation des commissions de classement.
Tirant les conséquences de ces manquements au RGPD, la CNIL a prononcé à l’encontre de la RATP une amende administrative d’un montant de 400.000 euros.
Lien vers la décision de la CNIL :
