L’indication du nombre de jours de grève des agents dans un fichier des ressources humaines vient de valoir à la RATP une amende de 400 000 euros de la part de la Cnil. L’affaire a été mise en avant par une organisation syndicale (en l’occurrence la CGT-RATP) qui a constaté que ces données étaient intégrées dans les fichiers d’évaluation servant à l’avancement de carrière. En l’occurrence, le sujet concernait plusieurs centres de bus (Bords de Marne, Aubervilliers et Vitry sur Seine, mais aussi Quai de Seine, Paris Sud-Ouest et Rives-Nord) après une enquête de la Cnil.
La RATP n’a pas contesté « la constitution de fichiers contenant des données relatives au nombre de jours de grève des agents mais souligne que cette pratique est contraire à ses règles internes ». Elle rejette la faute sur « une erreur technique due à la mauvaise maîtrise de l’outil Excel ». Un argument rejeté par le régulateur évoquant la responsabilité de la régie dans le traitement des données au titre du RGPD. Elle constate par ailleurs la persistance et le fait que cela ne soit pas un acte isolé.
Conservation des données et politique d’habilitation épinglées
Mais ce n’est pas tout, le manquement de la RATP concerne aussi la durée de conservation des données. Elle cible l’application DORA, un outil de visualisation et d’extraction de données (notamment dans les fichiers Excel cités précédemment) à partir de cinq applications informatiques, qui sont mises en œuvre pour le traitement et la gestion des ressources humaines du département Bus. Au cours de ses contrôles, la Commission a trouvé que la RATP conservait l’ensemble de ces données dans la base active de l’application, accessible à un grand nombre d’agents, pour une durée qui excède celle qui est nécessaire pour accomplir les finalités recherchées. De même, la conservation des fichiers d’évaluation des conducteurs pouvait atteindre 3 ans après la tenue des commissions d’avancement. La bonne pratique est de 18 mois.
Enfin dernier tacle de la Cnil, la RATP ne différenciait pas suffisamment les différents niveaux d’habilitation des agents. En effet, l’outil DORA ne permet pas de garantir que les personnes habilitées ont accès aux seules données strictement nécessaires à leurs fonctions. Elle estime que la politique d’habilitation devrait être plus fine et permettre la création de davantage de profils différents, relatifs aux fonctions des agents ou aux centres de bus auxquels ils sont affectés.
Commentaire