CNIL : condamnation de la RATP à propos des fichiers d’évaluation des agents

La CNIL a sanctionné la RATP d’une amende de 400 000 euros après avoir constaté que plusieurs centres de bus avaient intégré le nombre de jours de grève des agents dans des fichiers d’évaluation qui servaient à préparer les choix de promotion. Elle a également relevé une durée de conservation excessive des données et des manquements relatifs à la sécurité des données.

En mai 2020, la CNIL a été saisie par une organisation syndicale d’une plainte concernant la présence du nombre de jours de grève exercés par les agents dans les fichiers utilisés lors des procédures d’avancement de carrière. La CNIL a opéré  des contrôles  qui ont permis de confirmer cette pratique dans trois centres de bus.

Au cours de la procédure, la RATP a reconnu le caractère illicite de ces fichiers et a fait valoir qu’une telle pratique était contraire à sa politique générale.

La CNIL a considéré que la RATP avait manqué à ses obligations car seules des données strictement nécessaires à l’évaluation des agents auraient dû figurer dans ces fichiers : l’indication du nombre de jours d’absence suffisait ici, sans qu’il soit nécessaire de préciser le motif d’absence lié à l’exercice du droit de grève. Elle a  prononcé une amende de 400 000 euros et a décidé de rendre publique sa décision.

3 Manquements constatés :

*une collecte des données non nécessaires : art  5.1.c  et 5.2 RGPD

*un manquement à l’obligation de limiter la durée de conservation des données (plus de 3 ans en l’espèce) : Art 5.1.e RGPD

*un manquement à la sécurité des données du fait de l’insuffisance des niveaux d’habilitation des agents : art 32 RGPD

Pour en savoir plus :  

> Délibération de la formation restreinte n°SAN-2021-019 du 29 octobre 2021 concernant la Régie autonome des transports parisiens

https://www.cnil.fr/fr/fichiers-devaluation-des-agents-sanction-de-400-000-euros-lencontre-de-la-ratp

CNIL: publication d’un guide du délégué à la protection des données

---

La CNIL a publié récemment un guide du délégué à la protection des données regroupant les principales connaissances utiles et bonnes pratiques pour aider les organismes et accompagner les DPO..

*Créé en 2018 avec l’entrée en vigueur du RGPD, le délégué à la protection des données (titre anglais de Data Protection Officer) occupe un rôle central dans la gouvernance des données personnelles: il informe et conseille le responsable de traitement, contrôle le respect des obligations légales de l’organisme et constitue un point de contact avec la CNIL. S’il n’est pas responsable de la conformité de l’organisme, il en est un rouage essentiel, alliant expertise et conseil à toutes les étapes des projets impliquant l’utilisation de données personnelles.

 30 000 personnes en France exercent cette fonction pour 80 000 organismes ayant désignés un DPO.

*Les autorités publiques et certains organismes privés dont l’activité de base implique un traitement à grande échelle de données sensibles ou de données permettant un suivi régulier et systématique de personnes doivent obligatoirement désigner un DPO. Cette désignation est faite selon des critères: compétences, connaissances et absence de conflit d’intérêts.

Les organismes doivent veiller à ce que le DPO ne reçoive pas d’instruction, qu’il soit associé en temps utile à toutes les questions relatives aux données personnelles et qu’il soit mis en capacité d’exercer ses missions. Ces exigences peuvent être contrôlées et, si nécessaire, sanctionnées par la CNIL.

La CNIL propose un nouveau guide pratique dédié à la fonction de DPO conçu avec l’aide de nombreuses associations professionnelles, et regroupant les principales connaissances utiles sur le DPO : rôle , désignation, exercice de la fonction, accompagnement du DPO par la CNIL.

L’objectif est s’assurer que le DPO peut effectuer ses missions en toute indépendance, sans conflit d’intérêt et avec une réelle efficacité pour l’organisme.

Télécharger le guide du délégué à la protection des données

Guide pratique RGPD – Délégués à la protection des données[ PDF-1.51 Mo]

Cnil : programme de contrôles 2020

La CNIL a présenté, en complément des contrôles faisant suite à des plaintes, à des sujets révélés dans l’actualité ou à des mesures correctrices, son programme  2020 de contrôle sur 3 thématiques prioritaires: données de santé, géolocalisation pour les services de proximité, cookies et autres traceurs.

 

*Sécurité des données de santé, données sensibles, faisant l’objet d’une protection spécifique par les textes : RGPD, loi Informatique et Libertés, Code de la santé publique, pour garantir le respect de la vie privée des personnes. La CNIL entend s’intéresser particulièrement aux mesures de sécurité mises en œuvre par les professionnels de santé ou pour leur compte.

*Nouveaux usages des données de géolocalisation: recommandation des modes de transport adaptés selon un trajet défini, optimisation des parcours de déplacement… toutes solutions faisant appel à des données de géolocalisation, et posant potentiellement des risques d’atteinte à la vie privée. Les contrôles porteront notamment sur la proportionnalité des données collectées dans ce cadre, les durées de conservation définies, l’information délivrée aux personnes et les mesures de sécurité mises en œuvre.

*Dispositions applicables aux cookies et autres traceurs: l’objectif est d’à assurer le plein respect par les professionnels de leurs obligations en matière de suivi des internautes reposant sur des cookies ou autres traceurs, notamment utilisés pour le ciblage publicitaire et le profilage des utilisateurs. Pour mémoire, l’entrée en vigueur du RGPD, auquel renvoie la directive ePrivacy, a renforcé certaines exigences, notamment sur la manière de recueillir le consentement, qui doit être libre, éclairé, explicite et univoque. En particulier, la simple poursuite de la navigation sur un site ne peut plus, désormais, traduire un consentement valide de l’utilisateur au dépôt de cookies. La CNIL a ainsi été conduite à adopter des lignes directrices  (juillet 2019) pour préciser le nouvel état du droit; une prochaine recommandation doit intervenir pour guider les opérateurs dans la déclinaison opérationnelle des nouvelles exigences.

A noter que les 3 thématiques retenues représenteront 20 % environ des procédures formelles de contrôle menées par la CNIL en 2020. Par ailleurs, la CNIL poursuivra la coopération avec les autres autorités de protection des données européennes pour les traitements transfrontaliers. Elle utilisera ainsi les deux modalités de coopération prévues par le RGPD : l’assistance mutuelle, qui permet de partager toutes informations utiles avec ses homologues, et la réalisation d’opérations conjointes, qui permet d’effectuer des contrôles en France ou au sein d’autres États membres de l’Union européenne en présence des agents des autorités compétentes.

Pour en savoir plus : > Le contrôle de la CNIL 

https://www.cnil.fr/fr/quelle-strategie-de-controle-pour-2020

Video-surveillance excessive : mise en demeure de la CNIL

Le 5 novembre 2019, la Présidente de la CNIL a mis en demeure la société Boutique.Aéro de mettre en conformité son dispositif de vidéosurveillance.

 

Contexte :La société Boutique.Aéro vend de la documentation et des articles dans le domaine aéronautique. Elle emploie sept salariés.

En mars 2019, la CNIL a procédé à un contrôle dans la boutique de la société située en Haute-Garonne.

Le contrôle a principalement conduit à constater que la société utilise un dispositif de vidéosurveillance, notamment à des fins de localisation de l’ensemble des salariés. Par ailleurs, la CNIL a relevé que l’un des salariés est filmé en continu à son poste de travail.

Ce dispositif est contraire au Règlement général sur la protection des données (RGPD). En effet, sauf circonstances particulières, les systèmes de vidéosurveillance qui placent les salariés sous surveillance constante sont excessifs, et portent atteinte à leurs libertés individuelles.

Position de la CNIL: La Présidente de la CNIL a donc mis en demeure la société de redimensionner son dispositif de vidéosurveillance. Par ailleurs, la CNIL a relevé d’autres manquements relatifs au défaut d’information des salariés, à la sécurité, à l’absence de tenue d’un registre des activités de traitement et à l’absence de contrat liant la société et son sous-traitant.

Compte tenu du caractère intrusif du dispositif vidéo et de la nécessité de sensibiliser les employeurs sur la mise en œuvre de ces dispositifs, la CNIL a décidé de rendre publique cette mise en demeure. De manière générale, la CNIL rappelle qu’elle a été saisie d’un peu plus de 1000 plaintes en 2018 en matière de vidéosurveillance, ce qui démontre la sensibilité accrue, sur ce sujet, des personnes concernées.

Cette mise en demeure n’est pas une sanction. En effet, aucune suite ne sera donnée à cette procédure si la société Boutique.Aéro se conforme à la loi dans les délais qui lui sont impartis, soit dix jours et deux mois selon les manquements retenus. Dans ce cas, la clôture de la procédure fera l’objet d’une même publicité. Si la société ne se conforme pas à la mise en demeure, la Présidente saisira la formation restreinte de la CNIL qui pourra prononcer une sanction.

 

Pour en savoir plus : 

> Décision n° MED 2019-025 du 5 novembre 2019 mettant en demeure la société BOUTIQUE.AERO 

> Délibération du bureau de la Commission nationale de l’informatique et des libertés n°MEDP-2019-001 du 22 novembre 2019 décidant de rendre publique la mise en demeure no MED 2019-025 du 5 novembre 2019 prise à l’encontre de la société BOUTIQUE.AERO 

> La procédure de mise en demeure 

> La vidéosurveillance sur les lieux de travail 

 

CNIL : consultation publique sur la désignation des conducteurs ayant commis une infraction

Cette consultation publique s’inscrit dans l’actualisation du cadre juridique relatif à la désignation des conducteurs, salariés comme locataires de véhicule, ayant commis une infraction . 

Afin de rendre effective la protection des données personnelles, le règlement général sur la protection des données (RGPD) et la nouvelle loi « Informatique et Libertés » ont donné à la CNIL de nouveaux instruments de régulation. Parmi ces instruments, elle peut adopter des référentiels. Ces outils, dans la continuité des cadres de référence qui existaient avant l’entrée en application du RGPD en mai 2018 (autorisations uniques,  normes simplifiées, etc.) visent à apporter aux organismes une plus grande sécurité juridique dans leurs usages des données personnelles.

Un référentiel répond à deux objectifs principaux vis-à-vis des professionnels :

• les guider dans leurs démarches de mise en conformité ;
• les aider à réaliser leur analyse d’impact relative à la protection des données (AIPD) dans les cas où celle-ci est nécessaire.

Ce référentiel s’adresse aux organismes (publics comme privés) destinataires de procès-verbaux d’infractions routières, qui sont désormais tenus de désigner la personne qui conduisait ou était susceptible de conduire le véhicule. Il s’adresse plus particulièrement aux loueurs de véhicules et aux employeurs.

Le référentiel couvre trois finalités différentes :

• la désignation auprès de l’Agence nationale de traitement automatisé des infractions (ANTAI) de la personne qui conduisait ou était susceptible de conduire le véhicule lorsque l’infraction a été constatée ;
• le suivi de la procédure de recouvrement des contraventions au Code de la route ;
• la réalisation de statistiques anonymes (analyses statistiques des types d’infractions routières et des sinistres), en vue notamment d’adapter le plan de formation à la sécurité routière.

Le référentiel modifie la liste des destinataires (afin d’y ajouter l’officier du ministère public) ainsi que les données pouvant être collectées.

La fonction, la nationalité de l’automobiliste ainsi que tous les éléments relatifs à son permis de conduire ont été supprimées, en l’absence de justifications à leur traitement.

Les avis peuvent être déposés jusqu’au 4 décembre 2019. A consulter

Référentiel traitements de données à caractère personnel mis en œuvre pour la gestion du contentieux lie au recouvrement des contraventions au code de la route et à l’identification des conducteurs système de contrôle automatisé – PDF – 277 ko

 

 

CNIL : sanction pour mise en oeuvre illégale d’un système biométrique pour contrôler des horaires

La CNIL a récemment prononcé une sanction de 10.000 euros à l’encontre d’une société de télésurveillance d’ascenseurs  et de parkings pour avoir mis en œuvre illégalement un système biométrique à des fins de contrôle des horaires des salariés.

Il était notamment reproché l’absence d’informations des salariés et le manque de sécurisation du dispositif d’enregistrement par empreinte digitale.

Après avoir procédé à une mise en demeure de se mettre en conformité non suivie d’effets, une procédure de sanction a été engagée.

Dans sa décision, la CNIL

• a considéré que la société avait, illégalement maintenu en état de marche le dispositif de pointage biométrique.
• a rappelé que les données biométriques font l’objet d’un régime juridique particulièrement protecteur et que, sauf circonstances exceptionnelles, de telles données ne pouvaient pas, en l’état de la législation en vigueur, être utilisées par les employeurs pour contrôler les horaires des salariés.

La publication de cette décision illustre la démarche de la CNIL qui souhaite

* rappeler aux employés leurs droits et aux employeurs leurs obligations notamment s’agissant de la biométrie sur les lieux de travail.

* insister sur l’importance de répondre aux mises en demeure de la CNIL et de mettre effectivement en œuvre les mesures requises.

Pour en savoir plus : https://www.cnil.fr/fr/biometrie-au-travail-illegale-sanction-de-10000-euros

Alertes professionnelles : modification de la délibération de la CNIL

---

La CNIL a modifié l’autorisation unique n° AU-004 qui encadre les dispositifs d’alertes professionnelles pour prendre en compte les dispositions  de la loi Sapin II relative à la transparence et à la lutte contre la corruption : délibération, publiée au Journal Officiel le 26 août 2017 .

Face au développement des dispositifs d’alertes professionnelles et en raison de la sensibilité des traitements de données qu’ils supposent, la Commission a fixé, dès 2005, un encadrement permettant aux organismes de les mettre en œuvre dans le respect des règles relatives à la protection des données personnelles, et de bénéficier d’une procédure d’autorisation simplifiée (Autorisation unique n° AU-004).

La loi « Sapin II » du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique a institué un régime commun de l’alerte en formalisant  la procédure à suivre s’agissant des conditions d’émission et de traitement des alertes.

En conséquence, la CNIL a procédé à une actualisation de l’autorisation unique 004 relative aux dispositifs d’alertes professionnelles dans l’objectif de couvrir les dispositifs d’alertes professionnelles que la loi Sapin II rend obligatoires pour certains organismes mais également ceux que d’autres décideraient volontairement de mettre en œuvre..

1. fondement légal de l’autorisation unique: La Commission a précisé que dans la mesure où certaines données relatives notamment à des infractions peuvent être collectées via ce dispositif, celui-ci est soumis à une demande d’autorisation sur le fondement de l’article 25-I-3° de la loi « Informatique et Libertés ».

2. champ d’application : Désormais, le périmètre de l’AU-004 a été étendu car il couvre les dispositifs d’alertes professionnelles permettant le recueil de tout signalement ou révélation réalisés de manière désintéressée et de bonne foi :

• d’un crime ou délit ;
• d’une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France ;
• d’une violation grave et manifeste d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un engagement international régulièrement ratifié ou approuvé par la France ;
• d’une violation grave et manifeste de la loi ou du règlement ;
• d’une menace ou d’un préjudice graves pour l’intérêt général dont le lanceur d’alerte a eu personnellement connaissance ;
• relatifs aux obligations définies par les règlements européens et par le code monétaire ou financier ou le règlement général de l’Autorité des marchés financiers, et dont la surveillance est assurée par l’Autorité des marchés financiers ou l’Autorité de contrôle prudentiel et de résolution ;
• relatifs à l’existence de conduites ou de situations contraires au code de conduite de la société, concernant des faits de corruption ou de trafic d’influence, ce, dès lors que la mise en œuvre de ces traitements répond à une obligation légale ou à un intérêt légitime du responsable de traitement.

L’AU-004 ne couvre cependant pas les alertes portant sur des faits couverts par le secret de la défense nationale,  le secret médical et le secret des relations entre un avocat et son client.       Pour le traitement de ces alertes, une demande d’autorisation spécifique doit être adressée à la CNIL.

3. qualité du lanceur d’alerte : Désormais, une alerte professionnelle peut être émise par un membre du personnel de l’organisme ou un collaborateur extérieur et occasionnel.

4. traitement de l’identité du lanceur d’alerte: Les éléments de nature à identifier l’émetteur de l’alerte ne peuvent être divulgués, sauf à l’autorité judiciaire, qu’avec le consentement de la personne.De même, les éléments de nature à identifier la personne mise en cause par un signalement ne peuvent être divulgués, sauf à l’autorité judiciaire, qu’une fois établi le caractère fondé de l’alerte.

5. transferts de données hors de l’Union Européenne: La référence au Privacy Shield substitue désormais celle au Safe Harbor.

6. durées de conservation des données : Lorsqu’ une alerte est considérée comme n’entrant pas dans le champ du dispositif dès son recueil par le responsable de traitement, les données la concernant doivent immédiatement être supprimées ou archivées après anonymisation.

Lorsqu’une alerte n’est pas suivie d’une procédure disciplinaire ou judiciaire, la suppression ou l’archivage après anonymisation doit intervenir dans un délai de deux mois après la clôture des vérifications, dans les conditions détaillées par la délibération.

7. information des personnes:  L’information doit être délivrée à l’ensemble des utilisateurs potentiels du dispositif, c’est-à-dire aux membres du personnel mais également aux collaborateurs extérieurs et occasionnels.

L’information doit notamment contenir les étapes de la procédure de recueil des signalements, définir les différents destinataires et les conditions auxquelles les signalements peuvent être adressés à chacun d’entre eux.

Formalité accomplir : Les organismes qui auraient déjà accompli des formalités n’ont aucune démarche à effectuer sur ce point; ils devront s’assurer de respecter les nouvelles conditions posées par le texte.

Si aucune formalité n’a été accomplie, les organismes concernés pourront procéder à un engagement de conformité ou, le cas échéant, saisir la CNIL d’une demande d’autorisation spécifique si leur traitement n’est pas conforme à l’AU-004.

Pour en savoir plus :

> Autorisation unique AU-004 

> [rectificatif] Délibération n° 2017-191 du 22 juin 2017 portant modification de la délibération n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositif