La RATP est sanctionnée par la Commission informatique et libertés (Cnil) d’une amende de 400 000 € pour avoir utilisé des fichiers considérés comme non conformes au RGPD sur certains de ses salariés. Des centres de bus de la RATP enregistraient le nombre de jours de grève de leurs employés dans leur fiche d’évaluation de carrière. Ces fiches d’évaluation servent à préparer les choix de promotion des employés.
Les applications RH et leur usage de la donnée recadrées par la Cnil
La Cnil justifie sa décision de sanction par le fait que le nombre de jours de grève des agents n’est pas nécessaire pour atteindre les objectifs fixés par la préparation des commissions de classement des employés. Cette affaire a déclenché une série de contrôles par la Cnil dont la vérification des applications RH de la RATP. L’Autorité a demandé de modifier les droits d’accès de ces applications afin que tous les utilisateurs ne puissent plus accéder à toutes les données sur les salariés ni les télécharger.
Le nombre total de jours d’absence suffisait et il n’était pas nécessaire de distinguer les jours de grève
La RATP a déclaré qu’elle estimait elle-même cette pratique comme illégale et contraire à sa politique générale. La RATP organise chaque année, dans chaque centre de bus, une réunion d’arbitrage afin d’établir la liste des agents proposés à l’avancement par la direction. À cette occasion, un fichier d’aide à la décision est créé par les personnels affectés aux services des ressources humaines.
Les pratiques confirmées dans trois centres de bus
La Cnil a effectué des contrôles dans plusieurs centres de bus de la RATP. Ces contrôles ont confirmé cette pratique dans trois centres de bus de la RATP, un parmi les quatre signalés par la RATP et deux autres centres. Lors de ses vérifications, la Cnil a également constaté des manquements relatifs à la durée de conservation et à l’accès aux données par les personnes habilitées.
Les RH conservaient les fichiers d’évaluation des salariés 3 ans après la commission d’avancement au lieu des 18 mois nécessaires
Le contrôle a établi que la RATP conservait l’ensemble de ces données dans la base active de l’application, accessible à un grand nombre d’agents, pour une durée qui excède celle qui est nécessaire pour accomplir les finalités recherchées. La Cnil invoque le non respect du manquement à l’obligation de limiter la durée de conservation des données selon l’article 5.1.e du RGPD. La RATP a pris les mesures requises au cours de la procédure concernant ce point.
Les niveaux d’accès aux logiciels RH doivent être affinés et contrôlés
Enfin, la Cnil estime que la RATP ne différenciait pas suffisamment les différents niveaux d’habilitation des agents accédant aux données RH sur les salariés. En effet les agents habilités accédaient à l’ensemble des catégories de données contenues dans l’outil, notamment, l’ensemble des données relatives aux ressources humaines sans distinction des fonctions ou des missions des agents.
Ces agents accédaient aux données relatives aux agents du centre de bus dans lequel ils exercent leurs fonctions mais aussi à celles des agents de tous les autres centres de bus. Et tous les agents habilités pouvaient extraire l’ensemble des données contenues dans l’outil. La Cnil estime qu’une telle configuration ne permet pas de prévenir une éventuelle mauvaise utilisation des données et donc de garantir leur confidentialité. La Cnil invoque le manquement à la sécurité des données selon l’article 32 du RGPD. Lors de la procédure, la RATP a fait part de mesures prises pour mettre fin aux manquements relevés par la Cnil.