le 16/12/2021

La CNIL condamne la RATP à une amende de 400. 000 euros

Délibération n° SAN-2021-019 du 29 octobre 2021 concernant la Régie autonome des transports parisiens

Le contexte

En mai 2020, un syndicat a déposé une plainte auprès de la CNIL alléguant que le nombre de jours de grève exercés par le personnel figurait dans les fichiers utilisés pour préparer les décisions de promotion.

La CNIL a alors mené des enquêtes dans plusieurs centres de bus de la RATP. Celles-ci ont abouti à la confirmation de cette pratique dans trois centres bus de la RATP.

La CNIL a indiqué que les dossiers d’évaluation des performances et des perspectives de promotion ne devaient contenir que les données nécessaires à l’évaluation des employés. En particulier, il suffisait d’indiquer le nombre total de jours d’absence sans avoir besoin d’entrer dans le détail et de distinguer les jours liés à l’exercice du droit de grève.

Les manquements

Elle a estimé que l’utilisation des données relatives au nombre de jours de grève des agents n’était pas nécessaire à ces fins, et que la RATP violait ainsi le principe de minimisation des données énoncé à l’article 5, paragraphe 1, point c), du RGPD.

En outre, la CNIL a constaté que la RATP avait conservé de manière excessive de nombreuses données de ses employés. En effet, la RATP a conservé les dossiers d’évaluation des agents pendant plus de trois ans après la commission d’avancement, alors que leur conservation n’était requise que pendant 18 mois après la tenue de ces commissions. De plus, la CNIL a constaté que la RATP ne différenciait pas suffisamment les niveaux d’habilitation du personnel, permettant à un nombre plus important d’agents que nécessaire d’accéder à certaines données. Pour cette raison, la CNIL a conclu que la RATP a manqué à son obligation de mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de protection adapté au risque.