La RATP a fait l’objet d’une amende de 400 000 euros de la Commission nationale de l’informatique et des libertés (CNIL) pour manquements aux dispositions du Règlement général sur la protection des données (RGPD).
Les faits
La RATP a été sanctionnée par la CNIL, le jeudi 4 novembre 2021, suite à plusieurs infractions de la part de la régie de transport. Il lui est reproché d’avoir compté les jours de grèves réalisés par ses salariés au sein d’un fichier, auquel la désignation des promotions étaient soumises au préalable. La même autorité a également relevé « une durée de conservation excessive des données et des manquements relatifs à la sécurité des données ». L’autorité de régulation avait été saisie à la mi-2020 par un syndicat. Selon le quotidien Le Monde, à la suite de cette plainte, la RATP, principal exploitant des transports parisiens, a déclaré auprès de l’autorité administrative indépendante que « quatre centres de bus étaient concernés par cette pratique (Bords de Marne, Quai de Seine, Paris Sud-Ouest et Rives-Nord) ».
Des pratiques contraires au RGPD
La CNIL a retenu dans un premier temps un manquement aux articles 5.1.c et 5.2 du Règlement légiférant sur le traitement des données à caractère personnel. Plus précisément, elle retient : « que l’utilisation de données relatives au nombre de jours de grève des agents n’était pas nécessaire pour atteindre les objectifs visés dans le cadre de la préparation des commissions de classement. En particulier, l’indication du nombre total de jours d’absence suffisait, sans qu’il soit nécessaire de rentrer dans le détail en distinguant les jours liés à l’exercice du droit de grève (principe de minimisation des données) ». Dans un second temps, elle constate un manquement à l’obligation de limiter la durée de conservation des données prévue à l’article 5.1.e du RGPD ; elle précise que la durée « excède celle qui est nécessaire pour accomplir les finalités recherchées ». Enfin, elle relève un manquement à la sécurité des données explicitée par l’article 32 du RGPD. Plus exactement, elle a constaté que « la RATP ne différenciait pas suffisamment les différents niveaux d’habilitation des agents ».
Ainsi, aujourd’hui le RGPD et son application irriguent l’ensemble des matières juridiques que peuvent rencontrer les sociétés au quotidien. Le droit du travail, en l’espèce, en est un exemple et son application engendre aujourd’hui une vigilance particulière quant au respect des dispositions du RGPD.
Ilias CHRAIBI – M2 Cyberjustice – Promotion 2021/2022
Sources :
CNIL « Fichiers d’évaluation des agents : sanction de 400 000 euros à l’encontre de la RATP » – 4 novembre 2021 ;
Le Monde « Données personnelles : la CNIL condamne la RATP à une amende de 400 000 euros » – 4 novembre 2021.
