Le droit de grève est « un principe fondamental de notre temps » d’après la décision du Conseil d’Etat du 7 juillet 1950 (CE, 7 juill. 1950, n°01645, Dehaene). A cet égard, le code du travail protège les salariés de toute mesure discriminatoire en raison de l’exercice normal du droit de grève (1). A priori, c’est sur ce fondement que l’organisation syndicale CGT aurait pu attaquer les fichiers collectant notamment les jours de grèves des salariés de la RATP. Ce fichier était constitué dans le cadre de la procédure d’avancement de carrière des salariés dans différents centres de bus. Toutefois, ce n’est pas pour cette raison que la RATP a été lourdement sanctionnée le 29 octobre dernier. L’organisation syndicale CGT avait en effet saisi la CNIL. Preuve de sa bonne foi, 5 jours plus tard, la RATP a notifié à la CNIL une violation des données à caractère personnel, complétée le 4 juin 2020 par la déclaration de l’utilisation d’un fichier contraire aux dispositions du RGPD dans le cadre des commissions de classement des agents du département bus. Les commissions de classement sont tenues annuellement au niveau de chaque unité opérationnelle afin de trancher les propositions d’avancement des salariés. Après un contrôle sur pièce, l’envoi d’un questionnaire à la Direction de la RATP, un contrôle sur place dans trois centres de bus différents, la fourniture d’éléments complémentaires, la formation restreinte de la CNIL s’est finalement réunie. A cette occasion, la conformité de l’entier dispositif a été contrôlé. Ainsi, plusieurs points ont été examinés par la CNIL. 1) Sur la qualité de responsable de traitement de la RATP et l’imputabilité des traitements en cause L’article 4.7 du RGPD définit le responsable du traitement comme « la personne physique ou morale, […] qui, seul ou conjointement avec d'autres qui détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre ». Pour la CNIL, la RATP est, in fine, responsable de traitement et à ce titre, les manquements lui sont imputables. La CNIL souligne que les fichiers en cause ne relèvent pas d’un incident isolé dans un centre de bus déterminé mais d’une pratique plus généralisée et surtout constatée dans les centres de bus contrôlés par la CNIL. Ainsi, la défense selon laquelle les fichiers litigieux sont par nature contraires à ses règles de fonctionnement n’a pas convaincu. 2) Le manquement relatif à la minimisation des données collectées La minimisation des données collectées est un principe fondamental du RGPD. Les données collectées par l’employeur doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Ainsi les données qui ne sont pas utiles ne doivent pas être collectées. Le responsable de traitement est le garant de la stricte application de cette règle. En l’espèce, outre les éléments classiques et déterminants pour l’étude de l’avancement d’un agent (date d’embauche, date des entretiens d’appréciation et de progrès, les éventuelles plaintes des clients rapports d’information, sanctions notamment) figurait le nombre de jours d’absence au cours des années évaluées. A ce titre, figuraient dans ces fichiers des données relatives aux motifs d’indisponibilité des agents, dont, notamment le nombre de jours de grève par agent au cours de la période (soit des trois dernières années). « Il apparait excessif et contraire au principe de minimisation d’individualiser la catégorie du nombre de jours de grève parmi les absences recensées et de traiter ainsi ces données pour ces finalités ». Ainsi, outre le fait que cette manœuvre consacre l’existence d’un fichier recensant les jours de grève par salarié et que sa prise en compte pour l’évolution de ces derniers semble être discriminatoire, ce fichier n’est pas conforme à l’article 5 du RGPD imposant une collecte de données minimales. Attention donc aux données collectées et traitées au sein des entreprises. La CNIL veille au respect de cette règle essentielle, selon laquelle il ne faut collecter et traiter uniquement les données utiles à l’exécution du contrat de travail. 3) Le manquement relatif à la durée de conservation et la sécurité des données La RATP avait mis en place une application permettant de visualiser et d’extraire des données à partir de cinq applications informatiques mises en œuvre pour le traitement et la gestion des ressources humaines du département bus. Outre le fait que l’outil n’est pas adapté aux besoins opérationnels, les données de la base active du logiciel étaient conservées pendant six ans. Cette longue durée a été jugée non conforme avec le principe de limitation de la durée de conservation des données. La durée de conservation des données des fichiers de préparation des commissions au sein des centres de bus a également été contrôlée. Il a été observé que ces fichiers étaient conservés plus de plus de trois ans et ce également après la tenue des commissions. Le plus révélateur étant que la RATP avait estimé la durée nécessaire de conservation de ces fichiers à 18 mois après la commission de classement. Ainsi, une fois que les durées de conservation sont fixées par le DPO, il est impératif de veiller à son strict respect. Les paramètres de confidentialité de l’application ont également été examinés. Les opérationnels disposaient des mêmes informations que les assistants RH. La politique d’habilitation ne permettait pas de distinguer selon les qualités. Ainsi, pour la CNIL, l’application ne respectait pas la confidentialité nécessaire aux données personnelles. *** Pour tous ces manquements, la RATP a été condamnée à une amende administrative d’un montant de 400.000 €. Afin de montrer les risques associés à ce type de manquements la délibération de la CNIL a été rendue publique sur son site mais également sur Légifrance. Cette publicité de la délibération est heureusement pour la RATP limitée à un an : à l’expiration de ce délai à compter de sa publication la délibération sera anonymisée. La Garanderie Avocats suit très attentivement ces questions et leur sensible évolution pour accompagner au mieux ses clients relativement à ces sujets qui entrent pleinement dans la transition sociale. (1) Aux termes de l’article L.1132-2 du code du travail « aucun salarié ne peut être sanctionné, licencié ou faire l'objet d'une mesure discriminatoire mentionnée à l'article L. 1132-1 en raison de l'exercice normal du droit de grève ».