La formation restreinte de la CNIL a condamné la RATP à payer une amende administrative de 400.000 € pour violation de plusieurs dispositions du RGPD. Cette décision est publiée sur le site de la CNIL et sur le site de Légifrance (CNIL, Délibération de la formation restreinte n°SAN-2021-019 du 29 octobre 2021 concernant la Régie autonome des transports parisiens).
La CNIL avait été saisie d’une plainte portant sur un fichier d’évaluation de certains agents de la RATP, constitué dans le cadre de la procédure d’avancement de leur carrière. Une première notification de violation a alors été faite à la RATP, suivie d’une seconde plus précise. Puis une décision de la Présidente de la CNIL a ordonné un contrôle sur pièces par voie de questionnaire ainsi qu’un contrôle sur place. A la suite de ces premières mesures, une rapporteure a rendu un rapport détaillant les manquements au RGPD et invitant la CNIL à prononcer une sanction administrative.
La RAPT, est considérée comme responsable des traitements en cause notamment parce qu’elle en déterminait les finalités et parce qu’elle en déléguait la mise en œuvre à des structures départementales de la RAPT en leur fournissant des moyens, notamment une application informatique de traitement (DORA).
La CNIL reproche ensuite à la RATP de ne pas avoir mis en œuvre de moyens suffisants pour prévenir de telles atteintes à la protection des données à caractère personnel de ses agents dans le cadre des traitements relatifs aux commissions de classement.
En outre, la RATP a manqué à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données à caractère personnel traitées en application des articles 5.1.c et 5.2 du RGPD. Si le nombre de jours d’absence, au même titre que, par exemple, le nombre de jours de travail et le nombre de jours de repos, sont des données qui peuvent être prise en considération dans le cadre d’accords collectifs, elle estime qu’il « n’est pas pertinent, en vue de l’évaluation des agents, de traiter des données relatives au nombre de jours de grève en tant que catégorie distincte du nombre total de jours d’absence » et qu’il est « excessif et contraire au principe de minimisation d’individualiser la catégorie du nombre de jours de grève parmi les absences recensées et de traiter ainsi ces données pour ces finalités. » La RATP apparaît d’autant plus condamnable selon la CNIL que «… bien que contraire à la politique générale de la RATP, la pratique en cause ne constitue pas un acte isolé, qui n’aurait concerné qu’un petit groupe d’agents. Au contraire, tout d’abord, cette pratique résulte notamment du manque de rigueur dans la supervision de l’organisation des procédures d’avancement ainsi que des outils mis à disposition des différents départements dans ce cadre. »
Par ailleurs, la RATP a manqué à l’obligation de définir et de respecter une durée de conservation des données à caractère personnel proportionnée à la finalité du traitement en application de l’article 5.1.e du RGPD. La CNIl considère que ce manquement est établi dès lors que « l’application DORA est un outil de visualisation de données aux fins de gestion des ressources humaines du département BUS, ayant pour finalité « l’exploration de données opérationnelles » . Elle doit permettre, entre autres, un suivi d’activité des agents. La formation restreinte relève que cette finalité, telle qu’identifiée par la RATP, est très large et peu précise, et qu’elle ne permet pas de comprendre précisément les besoins opérationnels qui en découlent. En outre, aucun élément du dossier ne permet de déterminer quelles finalités justifieraient que les agents habilités à accéder à DORA puissent, en vue de les atteindre, visualiser l’ensemble de ces données relatives aux ressources humaines sur une période de six ans. Par exemple, figurent parmi ces informations les données relatives au nombre de jours de grève par agent, qui servent notamment à calculer l’assiette de la paie ainsi que des cotisations et contributions sociales. La RATP n’établit pas pourquoi ces informations auraient vocation à être conservées dans l’application DORA, dès lors que le bulletin de paie est établi, pendant une durée de six ans, alors qu’une durée bien inférieure en base active serait suffisante pour l’établissement de la paie. D’autres finalités, comme la visualisation d’informations pour le suivi d’activité des agents, peuvent justifier une durée supérieure mais la nécessité de remonter sur les six années précédentes n’est pas établie. » Elle en conclut que : « … la conservation des données à caractère personnel en cause pendant six ans en base active, sans qu’une approche différenciée et adaptée de conservation des données au regard des finalités précises pour lesquelles elles sont traitées soit mise en œuvre, ne permettait pas de respecter le principe de la limitation de la durée de conservation des données. ».
Enfin, la CNIL souligne l’infraction à RATP à l’obligation d’assurer la sécurité des données à caractère personnel en application de l’article 32 du RGPD parce que « la politique d’habilitation de l’outil DORA ne permet pas de garantir que les personnes habilitées ont accès aux seules données strictement nécessaires à leurs fonctions. Elle estime que la politique d’habilitation devrait être plus fine et permettre la création de davantage de profils différents, relatifs aux fonctions des agents ou aux centres de bus auxquels ils sont affectés, ainsi que la RATP prévoit à présent de le mettre en place, a fortiori compte tenu du volume de données et de la sensibilité de certaines données accessibles dans l’outil » et que « la pratique constatée dans les autres centres de bus contrôlés permet de considérer que le risque associé au fait que les fichiers en cause soient accessibles sur un serveur à tous les responsables d’équipe de ligne n’est pas proportionné à la finalité recherchée, c’est-à-dire la nécessité, pour les participants aux réunions d’arbitrage, d’avoir ponctuellement connaissance de ces données afin de participer aux arbitrages. »
Quant à l’amende, elle est fondée notamment par le fait que les manquements sont nombreux, et concernent beaucoup de personnes (16000 agents) et que la RATP n’a pas agi avec célérité pour faire cesser les différents manquements dès que les traitements illicites ont été dénoncés. La CNIL considère de manière générale que « la RATP a fait preuve de défaillances graves en matière de protection des données à caractère personnel puisque des manquements sont constitués à des principes fondamentaux et élémentaires du RGPD que sont les principes de minimisation des données, de responsabilité, de limitation de la durée de conservation des données et de sécurité. » Toutefois, elle conclut que « Au regard du contexte économique causé par la crise sanitaire de la Covid-19, de ses conséquences sur la situation financière de la RATP, de ses efforts de mise en conformité et des critères pertinents de l’article 83, paragraphe 2, du RGPD évoqués ci-avant…le prononcé d’une amende administrative de 400 000 euros apparaît justifié. »
