La RATP sanctionnée pour des fichiers illicites d’évaluation des salariés
Le 4 novembre 2021, la Commission nationale de l'informatique et des libertés (Cnil) a rendu publique une décision retentissante condamnant la RATP à une amende administrative de 400 000 € pour ses manquements graves et persistants en matière de protection des données personnelles.
Plusieurs centres de bus élaboraient des fichiers illicites dans le cadre de la procédure d'avancement de carrière. Ces fichiers d'évaluation recensaient notamment le nombre de jours de grève par agent au cours des trois dernières années.
Fichiers d'évaluation des salariés : tout n'est pas permis
En matière de fichage des salariés, tout comme au sujet de leur évaluation, le pouvoir des directions n'est pas absolu. Les employeurs sont soumis, comme tout un chacun, au règlement général sur la protection des données personnelles (RGPD), et notamment celles de leurs salariés.
La RATP a commis plusieurs manquements graves : au principe de minimisation en collectant des données personnelles qui n'étaient pas nécessaires à l'évaluation des agents ; à la sécurité des données en laissant de nombreuses personnes y accéder ; enfin à leur durée de conservation, trop longue.
Tout salarié a le droit d'accéder aux données personnelles qui le concernent et peut ainsi demander à consulter son dossier professionnel, mais aussi toute donnée sur laquelle l'employeur s'est fondé pour prendre une décision le concernant, à l'image d'un fichier d'évaluation (et ce, tant au titre du RGPD que des articles L. 1222-3 et L. 1222-4 du Code du travail). Cela peut permettre, le cas échéant, de constituer un dossier pour saisir la Cnil.
Le comité social et économique (CSE) doit également être informé et consulté, préalablement à la mise en place d’un système d’évaluation dans l’entreprise, au titre de sa consultation sur les moyens ou les techniques permettant un contrôle de l’activité des salariés (art. L. 2312-38 du C. trav.).
Porter plainte à la Cnil
La condamnation publique de la RATP est le fruit d'une action de la CGT-RATP auprès de la Cnil.
Les syndicats, comme les salariés, peuvent adresser une plainte à la Cnil s'ils constatent des manquements relatifs à la protection des données personnelles. S'ils sont avérés, la Cnil peut ordonner un rappel à l'ordre, une mise en demeure ou encore, comme ici, une sanction financière.
À l'heure où fleurissent des pratiques d'évaluation des salariés parfois délétères, la saisine de la Cnil peut devenir un outil syndical redoutable.
Cette affaire, outre les manquements au RGPD, pose évidemment la question de l'illégalité de la prise en compte des jours de grève dans l'évaluation des salariés. Il est en effet interdit à l'employeur de prendre une mesure discriminatoire à l'encontre des salariés grévistes, notamment en matière de promotion professionnelle (art. L. 1132-2 du C. trav.). Le tribunal devrait le rappeler prochainement à la RATP, puisque la CGT-RATP a également déposé une plainte au pénal…
En savoir plus sur le RGPDLe règlement général sur la protection des données personnelles ou RGPD est un règlement européen qui vise à renforcer les droits des personnes et à leur donner plus de contrôle sur leurs données personnelles. Il s'applique depuis le 25 mai 2018 et a été intégré dans la loi Informatique et Libertés.
Le RGPD simplifie les formalités pour les professionnels traitant des données personnelles (entreprises mais aussi administrations ou associations). Il n'y a plus de déclaration préalable à faire à la Cnil, mais ils doivent assurer la conformité de leurs traitements au RGPD.
Cette conformité repose notamment sur la mise en place d'un registre des traitements et sur la désignation d'un « pilote » interne : le délégué à la protection des données. Le traitement doit assurer que les données personnelles sont :
- traitées de manière licite, loyale et transparente au regard de la personne concernée ;
- collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ;
- adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ;
- exactes et, si nécessaire, tenues à jour ;
- conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;
- traitées de façon à garantir la sécurité et la confidentialité des données.
Le traitement doit garantir aux personnes le droit d'accès à leurs données ; le droit à la portabilité ; le droit au déréférencement ; le droit de rectification et le droit d'opposition.