Amende de 400 000 euros pour la RATP : que retenir de la sanction de la CNIL ?

La sanction en bref

En mai 2020, la CNIL a été saisie par l’organisation syndicale CGT-RATP d’une plainte portant sur un fichier d’évaluation des agents de la RATP, constitué dans le cadre de la procédure d’avancement de carrière des agents dans des centres de bus. L’organisation syndicale dénonçait le fait que le fichier en cause contenait un certain nombre de données personnelles qui le rendaient illicite, voire discriminatoire.

En parallèle, le même mois, la RATP notifiait à la CNIL une violation de données personnelles faisant état d’une violation qui aurait consisté en l’utilisation d’un fichier contraire aux dispositions du règlement RGPD dans le cadre des commissions de classement des agents du département « bus ».

La CNIL a alors procédé à une mission de contrôle sur pièces, puis sur place dans trois centres de bus. Ces missions ont porté sur l’organisation et la préparation de la procédure d’avancement des conducteurs de bus et sur la répartition des compétences en lien avec la gestion des ressources humaines entre le siège de la RATP et les centres de bus.

La RATP a précisé que dans le cadre de la procédure d’avancement, des commissions de classement sont tenues annuellement. Un fichier d’aide à la décision est créé par les personnels affectés aux services des ressources humaines des unités opérationnelles, à la demande des directions des centres de bus. La RATP a indiqué qu’il s’agissait de fichiers sous format Excel recensant des données objectives propres au métier exercé, telles que le nombre de jours de conduite par exemple. Ces données sont en principe celles listées dans la fiche correspondante du registre des traitements.

Une collecte de données excessive et non adéquate

Dans le cadre du traitement lié à la préparation des commissions de classement, la fiche de registre afférente prévoit les catégories de données personnes considérées comme nécessaires au traitement et qui peuvent donc figurer dans les fichiers préparatoires aux commissions selon la RATP (par exemple, nom, prénom de l’agent, nom du responsable d’équipe, matricule, date d’embauche, date de qualification, ancien niveau, niveau proposé, gratifications éventuelles, date d’entretiens d’appréciation et de progrès, critères professionnels d’évaluation, présence au travail, indisponibilités (sans distinction entre les motifs), accidentologie, éventuelles plaintes clients, rapports d’information, sanctions).

Or, la CNIL a pu constater qu’en pratique, lors de la préparation des commissions de classement, des données relatives aux motifs d’indisponibilité des agents étaient intégrées dont, notamment, le nombre de jours de grève par agent au cours de la période évaluée.

La CNIL indique que le nombre de jours d’absence, au même titre que le nombre de jours de travail et le nombre de jours de repos, est une donnée qui peut être prise en considération dans le cadre de l’évaluation de l’agent. Elle précise par ailleurs que les accords collectifs prévoient que certaines absences, telles que l’absence liée à un congé maternité, doivent apparaître de manière distincte afin que cette donnée ne soit pas prise en compte défavorablement dans l’évaluation de la performance de l’agent concerné. En revanche, en dehors de ces exceptions, les autres motifs d’absence des agents ne peuvent pas être pris en compte pour leur évaluation.

Par conséquent, la CNIL estime qu’il n’est pas pertinent, en vue de l’évaluation des agents, de traiter des données relatives au nombre de jours de grève en tant que catégorie distincte du nombre total de jours d’absence.

La CNIL souligne en outre la spécificité des données relatives à l’exercice du droit de grève et rappelle que le traitement de cette catégorie particulière de données par un employeur doit être limité à certaines finalités légitimes légalement encadrées (code des transports et code du travail).

Sur ce manquement à l’obligation de ne traiter que des données personnelles pertinentes, il est à noter que la RATP n’a pas nié le caractère illicite des fichiers réalisés dans certains centres de bus dans le cadre de la préparation des commissions de classement et a assuré qu’une telle pratique était contraire à sa politique générale.

Une durée de conservation des données disproportionnée au regard de la finalité du traitement

Dans le cadre des ressources humaines, la RATP utilise une application qui permet le suivi d’activité des agents.

Lors des contrôles réalisés, la CNIL a constaté que la RATP conservait l’ensemble de ces données dans la base active de l’application pour une durée qui excède celle qui est nécessaire pour accomplir les finalités recherchées (six ans).

Par ailleurs, la RATP a également conservé des fichiers d’évaluation des agents pendant plus de trois ans après la commission d’avancement pour lesquels ils sont établis, alors que leur conservation n’était nécessaire que 18 mois après la tenue de ces commissions.

Un manquement relatif à l’obligation d’assurer la sécurité et la confidentialité des données personnelles

La CNIL a constaté que la RATP ne différenciait pas suffisamment les différents niveaux d’habilitation des agents et ne permettait donc pas de garantir la confidentialité des données. En effet, les agents habilités accédaient à l’ensemble des catégories de données contenues dans l’outil (notamment, l’ensemble des données relatives aux ressources humaines) sans distinction des fonctions ou des missions des agents. Les agents accédaient également aux données relatives aux agents du centre de bus dans lequel ils exercent leurs fonctions mais également à celles des agents de tous les autres centres de bus. Par ailleurs, tous les agents habilités pouvaient extraire l’ensemble des données contenues dans l’outil.

Sur la base de l’ensemble de ces éléments, la CNIL a prononcé une amende de 400 000 euros et a décidé de rendre publique sa décision.

Privacy by design, sensibilisation des collaborateurs et réalisation d’audits : les clés pour réduire les risques

Il ressort de la lecture de cette sanction trois points essentiels à traiter pour un organisme qui souhaite se mettre en conformité au RGPD, mais surtout assurer le maintien de cette conformité : le privacy by design, la sensibilisation des collaborateurs et la réalisation d’audits.

Privacy by design

En amont de toute collecte de données personnelles, il est essentiel pour le responsable de traitement de s’assurer que les outils mis à disposition des collaborateurs intègrent les principes de protection des données personnelles et permettent de limiter les mauvais usages des données personnelles dans les applications.

En effet, concernant la RATP, la CNIL a pu constater que le traitement d’informations relatives au nombre de jours de grève des agents résulte du manque de rigueur dans la supervision de l’organisation des procédures d’avancement ainsi que des outils mis à disposition. La CNIL relève à titre d’illustration que la configuration de l’outil DORA permettait seulement l’extraction de l’ensemble des données relatives à un agent, sans qu’il soit possible de faire un tri entre les catégories de données à sélectionner pour les extraire. Cette fonctionnalité était donc susceptible de contribuer à la constitution de fichiers de commissions de classement contenant des données inadéquates au regard de la finalité poursuivie.

Il est donc recommandé à tout organisme de s’assurer que les outils choisis et utilisés dans le cadre de traitements de données personnelles soient configurables pour correspondre aux procédures adoptées et aux règles imposées par l’organisme. Le responsable de traitement est invité à se rapprocher du prestataire éditeur de l’application afin de lui faire part de ses besoins propres, prévoir des champs de collecte de données pertinents tout en privilégiant au maximum les listes déroulantes de choix prédéfinis plutôt que les champs libres.

Sensibilisation des collaborateurs

Au-delà de la prévention qui peut être assurée par le responsable de traitement grâce au paramétrage des outils utilisés, il est essentiel de s’assurer que les collaborateurs travaillant avec des données personnelles soient sensibilisés aux risques liés aux libertés et à la vie privée.

Cette sensibilisation peut notamment passer par l’organisation de séances de sensibilisation, l’envoi régulier des mises à jour des procédures pertinentes pour les fonctions des personnes, ou de rappels par messagerie électronique.

En outre, il est conseillé pour l’organisme de s’assurer que la formation et/ou la sensibilisation des collaborateurs est effectuée de manière périodique (annuellement par exemple).

Dans le cas de l’utilisation de zones de commentaires libres dans les applications métiers, la sensibilisation des collaborateurs permettra d’éviter la collecte de données inappropriées. Cette sensibilisation peut prendre la forme de notes d’information ou de messages d’alerte lors de l’utilisation des zones de commentaires.

Concernant la RATP, il a été indiqué que des moyens avaient été mis en place pour prévenir la survenance des faits reprochés, tels que la formation des agents, la désignation de « référents/correspondants RGPD« , la mise à disposition de documentation. Le responsable des ressources humaines du département bus a en outre rappelé par courrier à l’ensemble du personnel gestionnaire des ressources humaines des centres de bus que les catégories de données personnelles pouvant être contenues dans les fichiers préparatoires étaient limitativement énumérées dans la fiche de registre correspondante et que les fichiers en question ne pouvaient contenir d’autres données.

Réalisation d’audits

En parallèle de la sensibilisation des collaborateurs, il est conseillé aux organismes de procéder à des vérifications du respect des règles définies.

Ainsi, la RATP a indiqué qu’à la suite de la découverte d’un fichier litigieux, elle avait procédé à une analyse de tous les fichiers préparatoires établis en vue des commissions de classement.

Toutefois, de même que la sensibilisation, ces contrôles doivent être réalisés de manière régulière – et pas seulement suite à la survenance d’un incident – notamment par la réalisation d’audits. La périodicité de ces audits peut varier selon la sensibilité de l’activité concernée et des données traitées. L’organisme peut réaliser ces audits en interne dans le cadre d’un plan de contrôle interne, mais peut également faire appel à une société externe spécialisée qui permettra de s’assurer un point de vue objectif sur les éléments constatés.

S’agissant des zones de commentaires, un contrôle peut être effectué grâce à des outils automatiques vérifiant les mots contenus, ou par le biais d’extractions régulières des commentaires afin de vérifier la conformité du contenu.

Je partage