La CNIL a sanctionné la RATP, le 29 octobre 2021, pour des manquements relatifs au RGPD, notamment l’obligation de confidentialité des données à caractère personnel et l’obligation de minimisation des données.

Le 13 mai 2020, le syndicat CGT-RATP a déposé une plainte auprès de la CNIL, car le syndicat avait constaté que les commissions internes de la RATP utilisaient le nombre de jours de grève des agents[1] pour déterminer leur éventuelle promotion.

La CNIL a confirmé ces faits et a indiqué que l’utilisation du nombre de jours de grève des agents était non seulement contraire aux règles internes[2] de la RATP, mais aussi contraire au principe de minimisation des données[3] du RGPD. La Commission a estimé que, si l’utilisation de données relatives à la présence des agents peut être pertinente pour juger leur performance, le motif des absences ne devrait pas être utilisé.

La CNIL reproche également à la RATP les conditions dans lesquelles ces données étaient conservées. Ces données étaient issues de l’application DORA, une application interne à la RATP agrégeant les données de multiples sources et permettant à certaines personnes habilitées de consulter les données opérationnelles[4], dont les données relatives au personnel.

Au sujet de cette application, la CNIL reproche à la RATP :

  • la conservation des données, sans justification, pendant une durée de 6 ans[5] ;
  • l’accès, sans restriction, des utilisateurs à toutes les données, indépendamment de leur fonction[6].

Ces données étaient parfois extraites de l’application et intégrées dans des documents Excel, stockés sur des serveurs. Au sujet de cette pratique, la CNIL reproche également à l’exploitant :

  • la conservation des documents au-delà de la durée de 18 mois établie par la RATP[7] ;
  • l’accès, sans restriction, des utilisateurs à ces documents.

Une sanction de 400 000 € a été prononcée à l’encontre de la RATP, soit 0,007 % de son chiffre d’affaires[8].

Lire :

Ma réaction à cette décision

Je suis étonné de constater que la CNIL a imposé une amende à la RATP, alors que la loi indique que de telles amendes ne peuvent pas être imposées dans le cas où « le traitement est mis en œuvre par l’État »[9]. La RATP est pourtant détenue en intégralité par l’État français. Sa forme juridique « d’établissement public à caractère industriel et commercial » ne lui permet cependant pas de bénéficier d’une immunité.

L’État français a injecté 1,6 milliard d’euros[10], rien qu’en 2020, pour aider la RATP. Quelle est alors l’intérêt d’infliger 400 000 euros à la RATP, c’est-à-dire de récupérer 400 000 euros sur les 1,6 milliard qui ont été donnés à l’entreprise ? Je n’en vois aucun. Si des personnes doivent être sanctionnées, ce sont les dirigeants, qui n’ont pas jugé utile d’investir du temps et de l’argent pour faire évoluer les pratiques et les outils conformément à la réglementation. Cela a créé une potentielle injustice pour les agents qui ne pourra probablement jamais être réparée.

Enfin, il est aussi malheureux de constater que l’alerte des syndicats de la RATP, deux ans plus tôt, a été sans conséquence, et qu’il a fallu l’intervention de la CNIL, 18 mois plus tard, pour obliger la RATP à modifier ses pratiques.

Notes et références

  1. Seuls les agents du département BUS de la RATP sont concernés, soit environ 16 000 personnes.
  2. Les règles internes à la RATP concernant l’évaluation des agents sont définies par des accords collectifs négociés avec les organisations syndicales. Elles permettent aux commissions internes à la RATP d’utiliser des données relatives à l’absence des agents, mais ne permettent pas de donner le motif des absences, sauf certaines exceptions comme les congés de maternité.
  3. Le RGPD a un principe de « minimisation des données » qui indique que les données à caractère personnel doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (source : RGPD, article 5-1-c). La RATP devait donc prendre des mesures pour s’assurer que les données non pertinentes, comme le nombre de jours de grève, ne soient pas utilisées. Voir « Quelles données à caractère personnel peut-on collecter ? ».
  4. Les données opérationnelles de l’application DORA sont : les données d’exploitation, les données de qualité de service, les données relatives aux ressources humaines et les données économiques.
  5. Le RGPD demande que les données à caractère personnel soient conservées « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » (source : RGPD, article 5-1-e). La durée de six ans décidée par la RATP est jugée excessive, car elle n’est pas liée à une finalité précise. La RATP a décidé de baisser cette durée à 2 ans pendant la procédure. Voir « Combien de temps peut-on conserver des données à caractère personnel ? ».
  6. Le RGPD demande que des mesures soient prises pour garantir la confidentialité des données à caractère personnel (source : RGPD, article 32-1-b). En l’absence de droits d’accès spécifiques à chaque compte, la RATP ne pouvait pas garantir que certaines personnes ne consultent pas illicitement les données personnelles des salariés. La confidentialité des données n’était donc pas garantie. Voir « Quels sont les risques à ne pas restreindre les droits d’accès d’un compte ? ».
  7. Le RGPD demande que les données à caractère personnel soient conservées uniquement pendant la durée prédéfinie, puis supprimées (source : RGPD, article 5-1-e). La RATP devait donc prendre les mesures pour supprimer les documents contenant les données personnelles des salariés à l’issue de la période de conservation de 18 mois. Voir « Combien de temps peut-on conserver des données à caractère personnel ? ».
  8. La RATP a déclaré un chiffre d’affaires de 5,5 milliards d’euros en 2020 pour un résultat net de (134) millions d’euros (source : RATP, Rapport Financier 2020, page 116).
  9. La CNIL ne peut pas imposer une amende administrative pour des manquements au RGPD si « le traitement est mis en œuvre par l’État » (source : Loi Informatique et Libertés, article 20-III-7). Voir « Les organismes publics peuvent-ils être sanctionnés en cas de non respect du RGPD ? ».
  10. L’État français a débloqué 1,6 milliard d’euros pour soutenir la RATP en septembre 2020 (source : RATP, Rapport Financier 2020, page 4).

Sigles et acronymes

  • CNIL : Commission Nationale de l'Informatique et des Libertés
  • RGPD : Règlement Général sur la Protection des Données