Le gestionnaire des transports publics parisiens fliquait un peu trop ses salariés grévistes. La Cnil n’a pas apprécié et, constatant d’autres manquements, condamne la RATP à une sanction de 400 000 euros.
Les chauffeurs de bus grévistes n’ont peut-être pas droit à des promotions au sein de la RATP. En mai 2020, un syndicat saisit la Cnil : l’organisation dénonce la présence du nombre de jours de grève exercés par les agents dans les fichiers utilisés lors des procédures d’avancement de carrière. Ce que la RATP a reconnu : cette pratique a cours dans quatre de ses centres de bus.
La Cnil mène alors ses contrôles, et constate cette pratique dans un des quatre centres signalés, et dans deux autres. Ces fichiers sont créés par les RH de la RATP à l’occasion de réunions d’arbitrage sur l’avancement des agents. « En principe, ce fichier contient seulement les données nécessaires à l’évaluation des agents » note la Cnil. Sauf que dans les fichiers contrôlés par le gendarme des données personnelles sont compris des colonnes relatives au nombre de jours de grève exercés.
Les grévistes affichés
« La CNIL a retenu que l’utilisation de données relatives au nombre de jours de grève des agents n’était pas nécessaire pour atteindre les objectifs visés dans le cadre de la préparation des commissions de classement. En particulier, l’indication du nombre total de jours d’absence suffisait, sans qu’il soit nécessaire de rentrer dans le détail en distinguant les jours liés à l’exercice du droit de grève (principe de minimisation des données) ».
D’où le caractère illicite de ces fichiers. S’y ajoute une conservation des données qui excède celle nécessaire, d’autant que les fichiers d’évaluation sont conservés pendant plus de 3 ans après la commission d’avancement pour lesquels ils sont établis, « alors que leur conservation n’était nécessaire que 18 mois après la tenue de ces commissions ».
Et, pour bien finir, la RATP n’avait pas mis en œuvre les limitations d’accès à ces données. Les agents habilités dans un centre avaient accès non seulement à l’ensemble des données de leur centre, sans considération pour leur fonction ou leurs missions, mais aussi des autres centres. Et pouvaient extraire les données de l’outil sans contrôle. Ces manquements justifient, selon la Cnil, une amende de 400 000 euros infligée à la RATP.