Une sanction de 400 000 euros pour la RATP

Une sanction de 400 000 euros pour la RATP
Actualité

Le 4 novembre dernier la Commission nationale de l’informatique et des libertés (CNIL) a condamné la Régie autonome des transports parisiens (RATP) à une amende de 400 000 euros suite à une plainte déposée par la CGT.

Pour rappel, la CNIL a le pouvoir de contrôler les organismes publics et privés. Son objectif est de vérifier qu’ils traitent les données personnelles conformément à la loi Informatique et Libertés et au Règlement général sur la protection des données (RGPD).

Lors d’un contrôle, la CNIL va notamment vérifier le respect des grands principes des règles de protection des données personnelles issues de l’article 5 du RGPD (transparence, limitation des finalités, minimisation des données, exactitude, limitation de la conservation, intégrité et confidentialité).

Quels étaient les manquements constatés ?

En l’espèce, la RATP a manqué à trois de ces principes fondamentaux.

Tout d’abord la CNIL a constaté que la collecte de certaines données n’était pas pertinente par rapport aux finalités visées.  En effet, dans le cadre de l’avancement des agents, les services des Ressources Humaines recueillaient le nombre de jours de grèves exercés chaque année par les agents. La formation restreinte a retenu « que l’utilisation de données relatives au nombre de jours de grève des agents n’était pas nécessaire pour atteindre les objectifs visés ».Plus précisément « l’indication du nombre total de jours d’absence suffisait, sans qu’il soit nécessaire de rentrer dans le détail en distinguant les jours liés à l’exercice du droit de grève. ». Selon la CNIL, le principe de minimisation des données n’était donc pas respecté.

Également, l’organisme n’a pas respecté le principe de limitation des durées de conservation des données. L’application qui permet le suivi d’activité des agents de la RATP conservait l’ensemble des données dans la base active de l’application, « pour une durée qui excède celle qui est nécessaire pour accomplir les finalités recherchées ». 

Pour finir, la CNIL a constaté un manquement au principe de sécurité, les accès aux données contenues dans l’outil n’étaient pas suffisamment différenciés. En effet, « les agents habilités accédaient à l’ensemble des catégories de données contenues dans l’outil » et cela « sans distinction des fonctions ou des missions des agents »

Considérant que les manquements étaient assez graves, la CNIL a donc décidé de rendre la sanction publique.

Partager l'article

Articles similaires

La 18ème université des DPO organisé par l’AFCDP
Actualité Article RGPD

La 18ème université des DPO organisé par l’AFCDP

Trois de nos consultants ont participé les 8 et 9 février derniers à la 18ème Université des DPO organisée par l'AFCDP. Cet événement incontournable a rassemblé des professionnels de la conformité et de la protection des données personnelles pour deux journées de conférences et d'échanges.
Lire la suite
Rappel à l’ordre de deux ministères par la CNIL
Actualité Article RGPD

Rappel à l’ordre de deux ministères par la CNIL

La CNIL (Commission Nationale de l’Informatique et Libertés) a récemment émis un rappel à l'ordre visant deux ministères, le ministère de l’Economie, des Finances et de la Souveraineté industrielle et numérique, ainsi que le Ministère de la Transformation et de la Fonction Publiques.
Lire la suite