Des centres de bus de la société ont décompté le nombre de jours de grève des agents dans des fichiers servant à préparer les choix de promotion. Une pratique illégale.
Une décision que la Commission nationale de l’informatique et des libertés (CNIL) a choisi de rendre publique. L’autorité chargée de veiller à la protection des données personnelles a sanctionné la RATP d’une amende de 400 000 euros le 4 novembre dernier. Le motif : plusieurs centres de bus de l’entreprise ont intégré le nombre de jours de grève des agents dans des fichiers utilisés pour préparer les choix de promotion. La CNIL a pu constater cette pratique – que la RATP estime elle-même illégale – après avoir été saisie d’une plainte en mai 2020 par la CGT. L’organisation syndicale y indiquait qu’un fichier d’évaluation des agents contenait des données personnelles.
À la suite de cette plainte, la société de transports a indiqué au gendarme français des données personnelles que quatre centres de bus étaient concernés. Lors de son enquête, la CNIL a toutefois constaté que deux autres centres décomptaient aussi le nombre de jours de grève des agents. Pour la CNIL, la RATP a manqué à ses obligations avec cette pratique : « L’indication du nombre de jours d’absence suffisait ici, sans qu’il soit nécessaire de préciser le motif d’absence lié à l’exercice du droit de grève ».
Un problème de gestion des données
Les vérifications menées par la commission lui ont aussi permis de constater des manquements relatifs au règlement général sur la protection des données (RGPD). Ils concernent la durée de conservation et la sécurité de ces dernières. Des fichiers d’évaluation des agents ont par exemple été conservés « pendant plus de 3 ans après la commission d’avancement pour lesquels ils sont établis ». Or cette conservation qui ne devrait en aucun cas dépasser 18 mois.
Par rapport à la sécurité des données, la CNIL a constaté que les agents habilités avaient accès à toutes les informations de l’ensemble des agents, y compris ceux exerçant dans d’autres centres. Ils étaient également en mesure de les extraire de l’outil où elles sont conservées. Pour le gendarme français des données personnelles, cette configuration « ne permettait pas de prévenir une éventuelle mauvaise utilisation des données et donc de garantir leur confidentialité ».
La CNIL a par ailleurs indiqué que la RATP a pris des mesures pour corriger ses manquements au cours de la procédure, ajoutant néanmoins que cela ne l’exonérait pas de sa responsabilité.