RGPD : Coup de frein sur les pratiques de la RATP

La Commission Nationale de l’Informatique et des Libertés (CNIL) a publié le 4 novembre 2021 une délibération dans laquelle elle sanctionne la RATP à hauteur de 400.000 € pour plusieurs manquements au Règlement Général sur la Protection des Données (RGPD).

Cette délibération est l’occasion de revenir de façon concrète sur plusieurs obligations générales imposées par la réglementation, notamment sur le principe de minimisation et de sécurisation des données.

Le principe de minimisation des données est simple : le responsable de traitement (entreprise publique ou privée, administration…) ne doit traiter que les données nécessaires pour atteindre la ou les finalités qu’il définit.

L’avancement de carrière au sein de la RATP s’effectue par l’évaluation de la performance individuelle de chaque agent. Dans ce cadre, certains centres de bus de la RATP ont cru bon d’intégrer dans les fichiers préparatoires aux commissions de classement l’information sur le nombre de jours de grève effectués par l’agent au cours de la période évaluée (3 ans).

Le traitement de cette information – pour évaluer l’avancement de carrière – est pour le moins critiquable au regard du principe de non-discrimination. La CNIL en conclut que le traitement du nombre de jours de grève effectués par les agents était excessif et contraire au principe de minimisation des données.

Elle précise que ce principe essentiel du RGPD se décline en deux obligations : (1) celle de définir les données qui doivent être traitées et (2) celle de prendre des mesures pour veiller à que seules ces données soient traitées. Ainsi, l’outil de la RATP a lui aussi été mis en cause, puisqu’il permettait d’extraire l’intégralité des données sur un agent (notamment les jours de grève litigieux) ou un ensemble d’agents, sans possibilité d’extraire une partie seulement des données.

Recommandation : Mettez en place des mécanismes contraignants et automatiques pour éviter de collecter des données inadéquates. Limiter et encadrer rigoureusement les champs libres dans les applications de gestion client ou des ressources humaines est impératif pour éviter des traitements excessifs de données, en particulier lorsque les données traitées peuvent causer une discrimination dans une prise de décision.

Le RGPD laisse une grande latitude aux responsables de traitement sur les mesures organisationnelles et techniques à apporter afin de sécuriser les données.

Cette latitude ne signifie pas que l’obligation de sécurité soit reléguée à une obligation abstraite et inconsistante.

Pour preuve, la CNIL a considéré que la RATP a manqué à son obligation, dès lors que tous les utilisateurs habilités à accéder à l’outil de gestion des ressources humaines pouvaient accéder à l’ensemble des catégories de données concernant les agents de toutes les unités opérationnelles du métier bus (+ de 16.000 personnes). Les agents habilités pouvaient également extraire l’intégralité des données de l’outil.

Par conséquent, la CNIL a considéré que le niveau de confidentialité des données personnelles en cause n’était pas conforme au principe de sécurité des données imposé par le RGPD.

Recommandation : Mettez en place des profils d’habilitation aux fins d’accès et d’extraction des données selon les nécessités de chaque personne / service. Le responsable d’un service n’a – a priori – aucune raison d’avoir accès à toutes les données relatives à des collaborateurs qui ne sont pas sous sa responsabilité.