« Fichage » des salariés – la RATP condamnée à une amende de 400.000€ par la CNIL

 

CNIL Délibération SAN-2021-019 du 29 octobre 2021

Saisie d’une plainte de la CGT-RATP concernant un fichier d’évaluation de ses agents et à la suite d’une notification de violation de données effectuée par la RATP au titre de ce même fichier, la CNIL a procédé à des contrôles auprès de l’établissement public.

Le fichier en cause concernait un tableau Excel destiné aux réunions préparatoires des commissions d’avancement des conducteurs de bus, dans lequel étaient répertoriés les jours de grève. Les contrôles ont révélé que ces fichiers étaient présents dans 6 centres de bus sur les 16 existants. Par ailleurs la CNIL a relevé des manquements concernant l’accès à ces fichiers, à une application de visualisation des données « RH » et constaté que les données tant des évaluations que des fichiers préparatoires étaient conservées trop longtemps.

 

La CNIL décide de sanctionner l’établissement public à une amende administrative de 400.000 €, assortie d’une obligation de publicité de sa délibération, constatant des manquements relatifs à la minimisation des données, à la responsabilité, à la sécurité et à la limitation des durées de conservation.

Quels sont les motifs de la condamnation – qui peut paraître sévère, alors que ces agissements étaient contraires à la politique générale de la RATP en matière de données personnelles, et avaient été conduits à l’initiative des centres de bus, qu’ils n’étaient pas généralisés (selon l’établissement) et qu’elle avait par ailleurs mené des actions de formation, établi une documentation et corrigé les non- conformités ?

 

1. La RATP est bien responsable de traitements, les services centraux déterminant les principes généraux de tenue des commissions et de choix de promotion des agents.
2. L’indication des jours de grève, en tant que catégorie distincte du nombre total de jours d’absence, n’est pas justifiée dans le cadre de l’évaluation d’un salarié. Cette mention n’est non seulement pas nécessaire pour mener l’évaluation de l’agent mais laisse surtout à penser qu’elle peut servir à sanctionner l’agent ayant fait grève – ce qui est absolument contraire à la loi. La RATP n’en disconvient d’ailleurs pas.
3. La CNIL considère que l’accès à l’information sur l’exercice du droit de grève à des personnes qui n’avaient pas la nécessité d’en connaître constitue une négligence portant sur un principe fondamental du RGPD, et ce d’autant que cette information peut être utilisée défavorablement à l’encontre de l’agent.
4. Plusieurs manquements ont concerné 16.000 agents : l’argument de la pratique isolée est dès lors battu en brèche.
5. Les non-conformités n’ont pas été réellement corrigées par la RATP car dans les fichiers contrôlés par la suite figurent de nouveau l’indication des jours de grève.
6. Et enfin, précision intéressante : pour ce qui concerne les manquements à la sécurité et à la durée de conservation, la CNIL considère que la RATP n’a pas assuré l’effectivité des procédures et des mesures prises. En d’autres termes, il ne suffit pas d’écrire des procédures et des politiques… encore faut-il qu’elles soient réellement appliquées :
7. L’autorité de contrôle considère ainsi que la RATP a manqué de rigueur dans la supervision de l’organisation des procédures comme dans celles des outils : pas de réelle réflexion sur la gestion des habilitations, pas d’outil commun configuré et contrôlé en central, par exemple…
8. La CNIL reproche également à la Régie de n’avoir pas contrôlé l’usage qui était fait du fichier en cause, alors qu’il est possible de le faire notamment aux moyens de journaux de connexion, et rappelle qu’il est possible de sanctionner disciplinairement le non- respect des règles applicables.

Au-delà de l’évidence – interdiction d’indiquer les jours de grève dans un fichier servant à la promotion d’un salarié – quels enseignements tirer de cette décision ?

Le respect du RGPD ne peut se satisfaire de la simple élaboration de politiques générales déconnectées des réalités opérationnelles et les responsables de traitement ont l’obligation de mettre en place des mesures, préventives et correctives, et d’en vérifier l’effectivité.

Alors que ce fichage était pratiqué au sein de certaines unités opérationnelles, sans que les services centraux ou la direction n’en soient a priori avisés, la CNIL sanctionne la RATP pour avoir négligé de mettre en place des mesures suffisantes pour assurer, dans la réalité, au sein de ses services, le respect de certains principes fondamentaux du RGPD.

***