SANCTION PRONONCEE PAR LA CNIL POUR LA PRESENCE DE DONNEES SUR LE NOMBRE DE JOURS DE GREVE DANS LE TRAITEMENT D’EVALUATION DU PERSONNEL
Par une décision en date du 29 octobre 2021, la formation restreinte de la CNIL a prononcé une sanction de 400 000€ à l’encontre de la RATP pour violation des obligations du RGPD sur :
- Le principe de minimisation des données,
- Les durées de conservation,
- Les mesures de sécurité.
Au-delà de l’analyse des violations du RGPD, la décision de la formation restreinte est intéressante sur plusieurs points :
- La plainte émane d’un syndicat
- La détermination du responsable de traitement au sein d’un Groupe important
- La durée de la procédure.
1er point : la CNIL a été saisie par une plainte de la CGT qui invoque le fait que les données sur les nombres de jours de grève sont utilisées lors de l’évaluation du personnel.
Il est en effet important de relever que dans le cadre d’une plainte pour discrimination fondée sur le code du travail, le plaignant doit un minimum démontrer l’existence d’une discrimination, alors que dans le cadre d’une plainte fondée sur le RGPD, la présence même des données sur les nombres de jours de grève dans un traitement d’évaluation du personnel suffit à entraîner la condamnation de l’employeur.
L’analyse de la décision permet de comprendre que le syndicat semble avoir obtenu les informations qui lui ont permis d’adresser la plainte à la CNIL à la suite d’une « fuite de données » qui se serait produite quelques semaines avant le dépôt de la plainte.
2ème point : l’employeur a tenté de se défendre en invoquant le fait qu’il n’est pas le responsable du traitement faisant l’objet de la plainte, et que les responsables de traitement étaient les Départements de l’entreprise qui n’avaient pas respecté les règles interne sur le traitement des données lors de l’évaluation du personnel.
3ème point : la durée de la procédure est raisonnable puisqu’il s’est passé 14 mois entre la plainte et l’audience de la formation restreinte et 17 mois entre la plainte et la décision de sanction.
Cet élément est très important car, comme indiqué précédemment, ce type de procédure est beaucoup plus efficace pour un syndicat qu’une procédure judiciaire fondée sur les articles du Code du travail sur la discrimination.
De plus, ce type de procédure nécessite beaucoup moins de travail, pour le syndicat, qu’une procédure judiciaire. En effet, il suffit que le syndicat ait connaissance de l’existence d’une information sur la présence du nombre de jours de grève dans le traitement d’un employeur sur l’évaluation du personnel pour adresser une plainte à la CNIL. C’est ensuite les services de la CNIL qui procèdent à l’instruction du dossier et à la recherche des preuves.
Cependant, la CNIL peut sanctionner un responsable de traitement ou un sous-traitant, mais ne peut pas allouer une indemnisation aux personnes concernées. En revanche, dans un second temps, rien n’empêche le syndicat en question ou des salariés concernés d’agir en justice pour demander une indemnisation, en utilisant, comme base, la décision de la CNIL.
Sur la détermination du responsable de traitement : l’employeur a tenté en défense, d’invoquer le fait que l’utilisation des nombres de jours de grève à des fins d’évaluation du personnel n’est pas permise par les règles internes pour considérer que les Départements internes qui ne respectent pas les règles internes deviennent, de ce fait, responsables de traitement.
Mais la formation restreinte de la CNIL rejette cette argumentation et considère que dans ce dossier :
- les services centraux de l’entreprise déterminent les règles générales relatives à la tenue des évaluations, ainsi, les finalités concernées ne sont pas propres aux différents Départements qui les réalisent mais sont communes à l’entreprise,
- l’entreprise met à la disposition de ses différents Départements les moyens qui leur permettent de réaliser les traitements relatifs aux évaluations,
- c’est l’entreprise, et non les Départements concernés, qui a procédé à la notification de la violation de données en son propre nom à la suite de la « fuite de données », sans attribuer la responsabilité des traitements mis en cause dans cette notification à une autre entité et qu’elle a indiqué dans cette notification avoir agi pour mettre fin à la violation,
- pour terminer, le délégué à la protection des données de l’entreprise, attaché aux services de la Direction Générale a répondu aux demandes des services de la CNIL, en tant que représentant de l’entreprise et non des différents Départements impliqués.
La formation restreinte rejette donc l’argument selon lequel les Départements qui ont violé les règles internes sur le traitement des données seraient les responsables de traitement et reproche au contraire à l’employeur de ne pas avoir mis en œuvre de moyens suffisants pour prévenir de telles atteintes à la protection des données à caractère personnel dans le cadre des traitements relatif aux évaluations.
La formation restreinte considère également qu’il y a eu un manque de rigueur dans la supervision de l’organisation des procédures d’évaluation ainsi que des outils mis à disposition des différents Départements dans ce cadre
En l’espèce, l’argument de l’employeur n’a pas été accepté par la formation restreinte, mais l’analyse de la décision permet de conclure que cette argumentation aurait pu être retenue si les faits de l’espèce avaient été différents.
Cette décision est également particulièrement intéressante dans la mesure où elle démontre à quel point la stratégie de défense du responsable de traitement doit être travaillée avec soin. En effet, en l’espèce la formation restreinte considère par exemple que l’intervention du délégué à la protection des données de l’employeur en qualité de représentant de l’entreprise. Or, si l’employeur souhaitait se désolidariser d’un Département interne et argumenter que ce Département était effectivement le responsable de ce traitement, le délégué à la protection des données de l’employeur aurait effectivement dû intervenir uniquement à la marge.
Le responsable de traitement a également nié l’existence de certaines violations du RGPD, mais a parallèlement mis en œuvre des mesures correctives, la formation restreinte considère, comme elle l’a toujours fait, que la mise en place de correctifs constitue, en quelque sorte, un aveu. En effet, si un responsable de traitement considère qu’il n’a pas violé le RGPD, il n’a aucune raison de modifier son traitement sur les points litigieux pendant l’instruction d’une plainte par les services de la CNIL.