Sanction publique de la RATP concernant les données des fichiers d’évaluation des agents

CNIL, Délibération de la Formation Restreinte, SAN-2021-019 du 29 octobre 2021

La RATP a été sanctionnée d’une amende de 400 000 euros par la CNIL, qui avait constaté que plusieurs centres de bus avaient intégré le nombre de jours de grève des agents dans des fichiers d’évaluation qui servaient à préparer les choix de promotion. Une durée de conservation excessive des données et des manquements relatifs à la sécurité des données ont également été retenus.

La CNIL avait été saisie d’une plainte de la CGT-RATP du 13 mai 2020, le syndicat ayant pris connaissance d’un fichier d’évaluation destiné aux réunions préparatoires des commissions d’avancement des conducteurs de bus. Ledit fichier contenait un tableau Excel, dans lequel figuraient les jours de grève de l’agent.

La CNIL a alors décidé de procéder à des contrôles auprès de l’établissement public, qui ont permis de révéler que trois centres de bus de la RATP étaient concernés par ces pratiques.

La RATP a fait valoir que ces pratiques étaient limitées à certains centres et s’écartaient des règles en vigueur au sein de l’entreprise. La Formation Restreinte retient néanmoins la responsabilité de la RATP en qualité de responsable des traitements après avoir relevé plusieurs manquements au RGPD.

Tout d’abord, la CNIL retient l’existence d’une collecte de données non nécessaire (articles 5.1.c et 5.2 du RGPD). Selon, le principe dit « de minimisation des données », les données à caractère personnel doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (articles 5.1.c du RGPD). Le principe impliquait ainsi de ne traiter que le nombre total de jours d’absence pour chaque agent, sans distinguer les jours liés à l’exercice du droit de grève.

Ensuite, il a aussi été relevé un manquement à l’obligation de limiter la durée de conservation des données (article 5.1.e du RGPD), bien que la RATP ait pris les mesures requises au cours de la procédure concernant ce point.

En effet, la RATP conservait les fichiers d’évaluation des agents pendant plus de 3 ans après la tenue des commissions d’avancement pour lesquelles ils sont établis, alors que leur conservation n’était plus nécessaire au-delà d’une durée de 18 mois après la tenue de ces commissions.

Enfin, la CNIL a retenu un manquement à la sécurité des données (article 32 du RGPD), au motif que la RATP ne différenciait pas suffisamment les différents niveaux d’habilitation des agents. Un trop grand nombre d’agents avaient une habilitation qui leur permettait d’accéder à l’ensemble des données relatives aux ressources humaines.

Cette configuration ne permettait dès lors pas de prévenir une éventuelle mauvaise utilisation des données et donc de garantir leur confidentialité.

Cette décision, accompagnée d’une mesure de publicité, est l’occasion pour la CNIL d’affirmer ses positions sur l’application du RGPD aux traitements de données aux fins de gestion des ressources humaines.

Nathan Dassas