Actualités du jour
Journal Officiel
Envoyer à un ami
Version imprimable
Partager
La CNIL a sanctionné la RATP d’une amende de 400 000 euros après avoir constaté que plusieurs centres de bus avaient intégré le nombre de jours de grève des agents dans des fichiers d’évaluation qui servaient à préparer les choix de promotion. Elle a également relevé une durée de conservation excessive des données et des manquements relatifs à la sécurité des données.
Les contrôles et la sanction en bref
En mai 2020, la CNIL a été saisie par une organisation syndicale d’une plainte concernant la présence du nombre de jours de grève exercés par les agents dans les fichiers utilisés lors des procédures d’avancement de carrière. À la suite de cette plainte, la RATP a déclaré à la CNIL que quatre centres de bus étaient concernés par cette pratique, qu’elle estimait elle-même illégale.
La CNIL a alors effectué des contrôles dans plusieurs centres de bus de la RATP. Ils ont permis de confirmer cette pratique dans trois centres de bus de la RATP (un parmi les quatre signalés par la RATP et deux autres centres). Lors de ses vérifications, la CNIL a également constaté des manquements relatifs à la durée de conservation et à la sécurité des données.
Sur la base de ces éléments et après avoir entendu la RATP, la formation restreinte - organe de la CNIL chargé de prononcer les sanctions - a considéré que la RATP avait manqué à ses obligations, en particulier car seules des données strictement nécessaires à l’évaluation des agents auraient dû figurer dans ces fichiers. L’indication du nombre de jours d’absence suffisait ici, sans qu’il soit nécessaire de préciser le motif d’absence lié à l’exercice du droit de grève.
La CNIL a ainsi prononcé une amende de 400 000 euros et a décidé de rendre publique sa décision.
Les manquements constatés
- Une collecte de données non nécessaires (article 5.1.c et 5.2 du RGPD)
- Un manquement à l’obligation de limiter la durée de conservation des données (article 5.1.e du RGPD)
- Un manquement à la sécurité des données (article 32 du RGPD)
CNIL >> Communiqué complet
Mot de passe perdu
