CNIL – RATP – SAN-2021-019

Décision

Autorité:

CNIL ou équivalent

Numéro:

SAN-2021-019

Nom:

RATP

Date:

29 octobre 2021

Pays:

France

Lien:

Cliquer ici

Contexte

Le 13 mai 2020, la CNIL a été saisie par l’organisation syndicale CGT-X d’une plainte portant sur un fichier d’évaluation des agents X, constitué dans le cadre de la procédure d’avancement de carrière des agents dans le centre de bus X. L’organisation syndicale faisait valoir que le fichier en cause contenait un certain nombre de catégories de données à caractère personnel qui lui confèreraient un caractère illicite, voire discriminatoire. Le 18 mai 2020, la RATP a notifié à la Commission une violation de données qui aurait consisté en l’utilisation d’un fichier contraire aux dispositions du RGPD dans le cadre des commissions de classement des agents du département BUS. Faisant suite, une instruction a été lancée. A son issue, la rapporteure a fait notifier à X, le 12 mai 2021, un rapport détaillant les manquements aux dispositions du RGPD qu’elle estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de la Commission de prononcer à l’encontre de X une amende administrative.

En réponse, la RATP tente de souligner le caractère isolé des faits et demande ainsi à ne pas être sanctionné.

Apport(s)
Durée de conservation - Obligations à l’issue de la durée lorsque la finalité poursuivie par le traitement est atteinte - Suppression ou archivage des données Extrait(s) pertinent(s)56. La formation restreinte relève que les fichiers de préparation des commissions sont établis comme support de prise de décision de réunions préparatoires aux commissions de classement annuelles, en vue de l’évaluation des agents, et ne peuvent par conséquent être conservés que pour la durée nécessaire à la réalisation de cette finalité. La formation restreinte observe que la RATP a fixé leur durée de conservation à dix-huit mois après la commission de classement pour laquelle ces fichiers sont réalisés, ayant estimé qu’il s’agissait de la durée nécessaire à la finalité du traitement. 57. Or, la formation restreinte relève que la délégation de la CNIL a constaté la conservation, dans les centres de bus d’X et de X, des fichiers de préparation des commissions de classement datant de 2017, ce qui correspond à une durée de plus de trois ans après la tenue de la commission de classement concernée. La formation restreinte [.... rappelle que] l’effectivité de la mise en œuvre d’une politique de durée de conservation des données est le pendant nécessaire de sa définition et permet d’assurer que les données sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Cela permet par ailleurs, notamment, de réduire les risques d’usage non autorisé des données en cause, par un salarié ou par un tiers. Article(s) du RGPD Article 5 – Principes relatifs au traitement Fait référence à Autres informations
Mesures appropriées pour assurer la confidentialité des données - Information des utilisateurs du système et contrôle de l’usage aux moyens de journaux de connexion - Gestion des habilitations Extrait(s) pertinent(s)62. La formation restreinte rappelle à cet égard qu’en application de l’article 32 du RGPD, le responsable de traitement doit mettre en place des mesures appropriées pour assurer la confidentialité des données et éviter que les données soient traitées de façon illicite par le fait de personnes qui n’ont pas besoin d’en connaître. La prévention des mésusages et des violations de données peut être en partie assurée par des mesures organisationnelles, notamment en informant les utilisateurs du système d’information sur les données qu’ils sont autorisés à traiter pour leurs missions, et en contrôlant l’usage qui en est fait, par exemple aux moyens de journaux de connexion. [...] En complément de ces mesures, la gestion des habilitations à consulter ou à utiliser un système d’information doit tendre à limiter les accès aux seules données à caractère personnel dont un utilisateur a besoin pour l’accomplissement de ses missions. Article(s) du RGPD Article 32 – Sécurité du traitement Fait référence à Autres informations

Apport(s)

Durée de conservation - Obligations à l’issue de la durée lorsque la finalité poursuivie par le traitement est atteinte - Suppression ou archivage des données

Extrait(s) pertinent(s)56. La formation restreinte relève que les fichiers de préparation des commissions sont établis comme support de prise de décision de réunions préparatoires aux commissions de classement annuelles, en vue de l’évaluation des agents, et ne peuvent par conséquent être conservés que pour la durée nécessaire à la réalisation de cette finalité. La formation restreinte observe que la RATP a fixé leur durée de conservation à dix-huit mois après la commission de classement pour laquelle ces fichiers sont réalisés, ayant estimé qu’il s’agissait de la durée nécessaire à la finalité du traitement.

57. Or, la formation restreinte relève que la délégation de la CNIL a constaté la conservation, dans les centres de bus d’X et de X, des fichiers de préparation des commissions de classement datant de 2017, ce qui correspond à une durée de plus de trois ans après la tenue de la commission de classement concernée. La formation restreinte [.... rappelle que] l’effectivité de la mise en œuvre d’une politique de durée de conservation des données est le pendant nécessaire de sa définition et permet d’assurer que les données sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Cela permet par ailleurs, notamment, de réduire les risques d’usage non autorisé des données en cause, par un salarié ou par un tiers.
Article(s) du RGPD Article 5 – Principes relatifs au traitement
Fait référence à
Autres informations

Mesures appropriées pour assurer la confidentialité des données - Information des utilisateurs du système et contrôle de l’usage aux moyens de journaux de connexion - Gestion des habilitations

Extrait(s) pertinent(s)62. La formation restreinte rappelle à cet égard qu’en application de l’article 32 du RGPD, le responsable de traitement doit mettre en place des mesures appropriées pour assurer la confidentialité des données et éviter que les données soient traitées de façon illicite par le fait de personnes qui n’ont pas besoin d’en connaître. La prévention des mésusages et des violations de données peut être en partie assurée par des mesures organisationnelles, notamment en informant les utilisateurs du système d’information sur les données qu’ils sont autorisés à traiter pour leurs missions, et en contrôlant l’usage qui en est fait, par exemple aux moyens de journaux de connexion. [...] En complément de ces mesures, la gestion des habilitations à consulter ou à utiliser un système d’information doit tendre à limiter les accès aux seules données à caractère personnel dont un utilisateur a besoin pour l’accomplissement de ses missions.
Article(s) du RGPD Article 32 – Sécurité du traitement
Fait référence à
Autres informations

Références

Cette décision cite...

Cette décision est citée par...

Signaler une erreur / Faire une suggestion