La CNIL[1] a sanctionné la RATP, le 29 octobre 2021, pour des manquements relatifs au RGPD[2], notamment l’obligation de confidentialité des données à caractère personnel et l’obligation de minimisation des données.

L’investigation de la CNIL fait suite à la plainte du syndicat CGT-RATP du 13 mai 2020, qui avait constaté que les commissions internes de la RATP utilisaient le nombre de jours de grève des agents[3] pour déterminer leur éventuelle promotion.

La CNIL a confirmé ces faits et a indiqué que l’utilisation du nombre de jours de grève des agents était non seulement contraire aux règles internes[4] de la RATP, mais aussi contraire au RGPD[5]. La Commission a indiqué que, si l’utilisation de données relatives à la présence des agents peut être pertinente pour juger leur performance, le motif des absences ne devrait pas être utilisé.

La CNIL reproche également à la RATP les conditions dans lesquelles ces données étaient conservées.

Ces données étaient issues de l’application DORA, une application interne à la RATP agrégeant les données de multiples sources et permettant à certaines personnes habilitées de consulter aisément les données opérationnelles[6], dont les données relatives au personnel.

Au sujet de cette application, la CNIL reproche à la RATP :

  • la conservation des données, sans justification, pendant une durée 6 ans[7] ;
  • l’accès, sans restriction, des utilisateurs à toutes les données, indépendamment de leur fonction[8] ;

Lorsque les données étaient extraites de cette application, elles étaient intégrées dans des documents Excel qui étaient parfois stockés sur des serveurs.

Au sujet de cette pratique, la CNIL reproche également à l’exploitant :

  • la conservation des documents au-delà de la durée de 18 mois établie par la RATP[9] ;
  • l’accès, sans restriction, des utilisateurs à ces documents.

Une sanction de 400 000 € a été prononcée à l’encontre de la RATP, soit 0,007 % de son chiffre d’affaires[10].

Lire :

Ma réaction à cette décision

Je suis étonné de constater que la CNIL a imposé une amende à la RATP, alors que la loi indique que de telles amendes ne peuvent pas être imposées dans le cas où « le traitement est mis en œuvre par l’État[11] ». La RATP est pourtant détenue en intégralité par l’État français, mais sa forme juridique « d’établissement public à caractère industriel et commercial » lui donne peut-être un statut à part ?

L’État français a injecté 1,6 milliard d’euros[12], rien qu’en 2020, pour aider la RATP. Quelle est alors l’intérêt d’infliger 400 000 euros à la RATP, c’est-à-dire de récupérer 400 000 euros sur les 1,6 milliard qui ont été donnés à l’entreprise ? Je n’en vois aucun. Si des personnes doivent être sanctionnnées, ce sont les dirigeants, qui n’ont pas jugé utile d’investir du temps et de l’argent pour faire évoluer les pratiques et les outils conformément à la réglementation. Cela a créé une potentielle injustice pour les agents qui ne pourra probablement jamais être réparée.

Enfin, il est aussi malheureux de constater que l’alerte des syndicats de la RATP, deux ans plus tôt, a été sans conséquence, et qu’il a fallu l’intervention de la CNIL, 18 mois plus tard, pour obliger la RATP à modifier ses pratiques.

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  3. Seuls les agents du département BUS de la RATP sont concernés, soit environ 16 000 personnes.
  4. Les règles internes à la RATP concernant l’évaluation des agents sont définies par des accords collectifs négociés avec les organisations syndicales. Elles permettent aux commissions internes à la RATP d’utiliser des données relatives à l’absence des agents, mais ne permettent pas de donner le motif des absences, sauf certaines exceptions comme les congés de maternité.
  5. Le RGPD a un principe de « minimisation des données » qui indique que les données à caractère personnel doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (source : RGPD, article 5-1-c). La RATP devait donc prendre les mesures pour s’assurer que les données non pertinentes, comme le nombre de jours de grève, ne soient pas utilisées. Voir « Quelles données à caractère personnel peut-on collecter ? ».
  6. Les données opérationnelles de l’application DORA sont : les données d’exploitation, les données de qualité de service, les données relatives aux ressources humaines et les données économiques.
  7. Le RGPD demande que les données à caractère personnel soient conservées « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » (source : RGPD, article 5-1-e). La durée de six ans décidée par la RATP est jugée excessive, car elle n’est pas liée à une finalité précise. La RATP a décidé de baisser cette durée à 2 ans pendant la procédure. Voir « Combien de temps peut-on conserver des données à caractère personnel ? ».
  8. Le RGPD demande que des mesures soient prises pour notamment garantir la confidentialité des données à caractère personnel (source : RGPD, article 32-1-b). En l’absence de droits d’accès spécifiques à chaque compte, la RATP ne pouvait garantir que certains utilisateurs ne consultent pas illicitement les données personnelles des salariés. La confidentialité des données n’était donc pas garantie. Voir « Quels sont les risques à ne pas restreindre les droits d’accès d’un compte ? ».
  9. Le RGPD demande que les données à caractère personnel soient conservées uniquement pendant la durée prédéfinie, puis supprimées ou archivées, dans certaines conditions (source : RGPD, article 5-1-e). La RATP devait donc prendre les mesures pour supprimer les documents contenant les données personnelles des salariés à l’issue de la période de conservation de 18 mois. Voir « Combien de temps peut-on conserver des données à caractère personnel ? ».
  10. La RATP a déclaré un chiffre d’affaires de 5,5 milliards d’euros en 2020 pour un résultat net de (134) millions d’euros (source : RATP, rapport financier 2020, page 116).
  11. La CNIL ne peut pas imposer une amende administrative pour des manquements au RGPD si « le traitement est mis en œuvre par l’État » (source : Loi Informatique et Libertés, article 20-III-7).
  12. L’État français a débloqué 1,6 milliard d’euros pour soutenir la RATP en septembre 2020 (source : RATP, rapport financier 2020, page 4).