La RATP rattrapée.

Illustration des risques encourus en cas de mauvaise gestion de vos données de ressources humaines.

La Régie autonome des transports parisiens, plus connue sous l’acronyme « RATP », a été condamnée par la CNIL[1] le 29 octobre dernier à une amende de 400 000 euros pour ses manquements à la législation sur la protection des données.

C’est dans un contexte à première vue assez éloigné des situations habituellement soumises à l’autorité de contrôle française que s’inscrit cette affaire.

En l’occurrence, il n’est pas ici question du traitement des données personnelles d’usagers de la RATP, mais bien de celles des milliers d’employés de son département « BUS ».

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

Chaque année, l’établissement public tient des « commissions de classement » au cours desquelles la direction de chaque centre de bus propose les noms des agents qui, d’après elle, devraient bénéficier d’un avancement de carrière.

En vue de cette réunion, les services des ressources humaines ont élaboré un fichier recensant les informations qu’ils estiment nécessaires pour évaluer le mérite des employés à se voir octroyer (ou non) une telle promotion.

Selon la CNIL, ce traitement de données viole diverses dispositions du Règlement Général sur la Protection des Données (RGPD). L’enquête révèle que ces infractions trouvent leur source tant dans le manque de rigueur de la RATP dans la supervision de l’organisation de ces procédures d’avancement, que dans l’inadéquation des outils mis à disposition à cet effet.

Quelles leçons tirer de cette histoire ?

1- Prendre les mesures organisationnelles appropriées

Le cas RATP

Les bases de données litigieuses visaient à évaluer les performances et les compétences des employés de la RATP. Elle ne pouvait donc, en principe, contenir que des renseignements objectifs sur chaque salarié et présentant un lien direct avec le poste occupé (état civil, date d’embauche et des entretiens d’appréciation, changements d’affectation antérieurs, potentielles sanctions disciplinaires, etc.).

Or, au-delà de ces catégories de données génériques, était également consigné dans les fichiers préparatoires de plusieurs services de ressources humaines le nombre de jours d’absence des agents en raison de l’exercice de leur droit de grève.

Ceci n’a pas manqué d’attirer l’attention d’une organisation syndicale de la RATP, qui a saisi la CNIL d’une plainte à ce sujet.

L’établissement a reconnu le caractère illicite de ces fichiers, précisant que ces derniers ont été mis en place par le personnel de ses agences de leur propre initiative et en contradiction avec ses règles de fonctionnement internes.

L’autorité de contrôle française condamne elle-aussi fermement cette pratique.

D’une part, elle juge que ces traitements de données exploitent des informations personnelles non nécessaires à l’accomplissement de leur finalité, à savoir celle d’évaluer les agents pour la prise de décisions relatives à leur avancement. A ce titre, ils violent le principe de minimisation des données prévues aux articles 5(1)(c) du RGPD.

D’autre part, la CNIL estime que ce manquement est entièrement imputable au groupe RATP, et non aux centres de bus concernés par ces abus. En sa qualité de responsable de traitement, il incombe à l’établissement de veiller à l’adéquation, à la pertinence et au caractère non excessif des données personnelles traitées par ses collaborateurs.

2- Prendre les mesures techniques appropriées

Le cas RATP

La CNIL reproche également à la RATP un manquement à son obligation de limiter la durée de conservation des données collectées ainsi que d’en assurer la sécurité (art. 5(1)(e) et 32 RGPD).

Cette fois, ces fautes sont la conséquence du recours à des technologies critiquables.

Afin de suivre les activités de ses agents, la RATP utilisait en effet une application permettant de visualiser et d’extraire de multiples informations issues de ses fichiers de ressources humaines. Or, cet outil s’est avéré inapproprié.

D’une part, il conservait l’ensemble des données sur son interface jusqu’à 3 ans après la tenue de la commission d’avancement, alors qu’il n’était pas justifié de les garder plus de 18 mois.

D’autre part, il permettait l’accès à ces données pourtant personnelles à un nombre considérable d’agents. Et pour cause :

  • Il ne différenciait pas les différents niveaux d’habilitation des collaborateurs. Chacun d’entre eux pouvait ainsi manipuler les informations sur les salariés contenues dans le dispositif comme bon lui semblait, sans distinction tenant à leurs fonctions ou missions ;
  • Il ne cloisonnait pas l’accès aux données renseignées par centre, de sorte que les utilisateurs pouvaient afficher les données des agents de l’ensemble des unités du département ‘BUS’ et non uniquement celles de leur propre équipe.

Autant de défauts ne permettant pas de garantir la confidentialité des informations enregistrées sur la plateforme…

Qu’en retenir ?

Cette affaire met en évidence la nécessité pour chaque organisme de recourir à des moyens techniques et opérationnels adéquats, à savoir des outils ajustables à sa propre situation.

Pour rappel, votre entité doit non seulement répondre aux exigences légales en matière de protection des données, mais aussi être capable de prouver qu’elle respecte ces obligations, conformément au principe dit « d’accountability »

Afin d’éviter les écueils rencontrés par la RATP, il y a lieu d’employer des dispositifs fiables et offrant une grande flexibilité en termes de configuration, afin que le responsable de traitement soit en mesure d’adapter ces applications à ses besoins.

L.H

Pour vous, RGPD-Experts a développé son logiciel « Register + », une solution simple et sécurisée pour centraliser votre conformité et son suivi. Facile d’utilisation, il a été conçu et élaboré par des utilisateurs et des praticiens.

Notre application vous accompagne dans la tenue de votre registre des activités de traitement, ainsi que la constitution de votre documentation interne (contrats, politiques, registres :  de formation et sensibilisation, de violations de données, d’opérations de sous-traitance, etc.).

Entièrement configurable, notre solution s’adapte parfaitement à votre structure. Ses multiples options de paramétrage vous permettent notamment une gestion fine des droits des utilisateurs, une traçabilité des différentes connexions et actions, ou encore la programmation d’affectation et suivi de tâches.

Pour plus d’informations, rendez-vous sur l’onglet dédié de notre site : https://www.rgpd-experts.com/register/

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : vous simplifier le développement de vos activités sereinement et accroître votre chiffre d’affaires.