La RATP sanctionnée pour avoir inscrit les jours de grève de salariés dans leur fiche d’évaluation

La RATP est sanctionnée par la Commission informatique et libertés (Cnil) d’une amende de 400 000 € pour avoir utilisé des fichiers considérés comme non conformes au RGPD sur certains de ses salariés. Des centres de bus de la RATP enregistraient le nombre de jours de grève de leurs employés dans leur fiche d’évaluation de carrière. Ces fiches d’évaluation servent à préparer les choix de promotion des employés.

Les applications RH et leur usage de la donnée recadrées par la Cnil

La Cnil justifie sa décision de sanction par le fait que le nombre de jours de grève des agents n’est pas nécessaire pour atteindre les objectifs fixés par la préparation des commissions de classement des employés. Cette affaire a déclenché une série de contrôles par la Cnil dont la vérification des applications RH de la RATP. L’Autorité a demandé de modifier les droits d’accès de ces applications afin que tous les utilisateurs ne puissent plus accéder à toutes les données sur les salariés ni les télécharger.

Le nombre total de jours d’absence suffisait et il n’était pas nécessaire de distinguer les jours de grève

En ce qui concerne l’affaire initiale, la Cnil estime que le nombre total de jours d’absence de l’employé suffisait, et qu’il n’est pas nécessaire de rentrer dans le détail en distinguant les jours liés à l’exercice du droit de grève. La Cnil invoque le principe de minimisation des données selon l’article 5.1.c et 5.2 du RGPD. Les contrôles ont été déclenchés par une saisie de la Cnil en mai 2020 par un syndicat. Une plainte avait été déposée concernant la présence du nombre de jours de grève des agents dans les fichiers utilisés lors des procédures d’avancement de carrière. À la suite de cette plainte, la RATP a déclaré à la Cnil que quatre centres de bus étaient concernés par cette pratique.

La RATP a déclaré qu’elle estimait elle-même cette pratique comme illégale et contraire à sa politique générale. La RATP organise chaque année, dans chaque centre de bus, une réunion d’arbitrage afin d’établir la liste des agents proposés à l’avancement par la direction. À cette occasion, un fichier d’aide à la décision est créé par les personnels affectés aux services des ressources humaines.

Les pratiques confirmées dans trois centres de bus

La Cnil a effectué des contrôles dans plusieurs centres de bus de la RATP. Ces contrôles ont confirmé cette pratique dans trois centres de bus de la RATP, un parmi les quatre signalés par la RATP et deux autres centres. Lors de ses vérifications, la Cnil a également constaté des manquements relatifs à la durée de conservation et à l’accès aux données par les personnes habilitées.

Les RH conservaient les fichiers d’évaluation des salariés 3 ans après la commission d’avancement au lieu des 18 mois nécessaires

Un contrôle en entraînant un autre, la Cnil s’est ainsi rendu compte que les Ressources Humaines de la RATP conservaient les fichiers d’évaluation des salariés durant 3 ans après la commission d’avancement au lieu des 18 mois nécessaires. Dans la foulée, la Cnil a vérifié l’application RH de la RATP qui effectue le suivi de l’activité des agents, avec des fonctions de visualisation et d’extraction de nombreuses données, principalement depuis les systèmes d’information des RH de la RATP.

Le contrôle a établi que la RATP conservait l’ensemble de ces données dans la base active de l’application, accessible à un grand nombre d’agents, pour une durée qui excède celle qui est nécessaire pour accomplir les finalités recherchées. La Cnil invoque le non respect du manquement à l’obligation de limiter la durée de conservation des données selon l’article 5.1.e du RGPD. La RATP a pris les mesures requises au cours de la procédure concernant ce point.


Les niveaux d’accès aux logiciels RH doivent être affinés et contrôlés

Enfin, la Cnil estime que la RATP ne différenciait pas suffisamment les différents niveaux d’habilitation des agents accédant aux données RH sur les salariés. En effet les agents habilités accédaient à l’ensemble des catégories de données contenues dans l’outil, notamment, l’ensemble des données relatives aux ressources humaines sans distinction des fonctions ou des missions des agents. 

Ces agents accédaient aux données relatives aux agents du centre de bus dans lequel ils exercent leurs fonctions mais aussi à celles des agents de tous les autres centres de bus.  Et tous les agents habilités pouvaient extraire l’ensemble des données contenues dans l’outil. La Cnil estime qu’une telle configuration ne permet pas de prévenir une éventuelle mauvaise utilisation des données et donc de garantir leur confidentialité. La Cnil invoque le manquement à la sécurité des données selon l’article 32 du RGPD. Lors de la procédure, la RATP a fait part de mesures prises pour mettre fin aux manquements relevés par la Cnil.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *