Collecte excessive de données et manque de coopération : la Commission nationale de l’informatique et des libertés inflige de lourdes sanctions à une société de fret aérien

Publié par le dans , | Consulté 208 Fois

Par Mathilde APPY, étudiante du Master 2 Droit des médias électroniques

L’illustration d’une collecte excessive de données et d’un manque de coopération.

La CNIL a sanctionné, le 18 septembre 2023 une société de fret aérien à hauteur de 200 000 euros pour avoir collecté une quantité trop importante de données de ses salariés, ce qui caractérise une atteinte manifeste à leur vie privée, et pour ne pas avoir adéquatement coopéré avec les services de l’autorité. 

En l’espèce, un salarié de cette société a effectué un signalement auprès de la CNIL après avoir remarqué une collecte des données relatives à la vie privée des salariés dans le cadre d’un recrutement interne pour un poste au sein de la société-mère. 

Après avoir procédé a un contrôle de la légalité du formulaire utilisé pour la collecte des données des salariés, la CNIL a constaté plusieurs manquements comportant une collecte excessive de données, le non-respect de l’interdiction de traitement de données sensibles et de données relatives à des infractions et enfin un défaut de coopération avec ses services. 

Plusieurs manquements sanctionnés impliquant des principes essentiels du RGPD : 

Le principe de minimisation des données

La formation restreinte de la CNIL a considéré que, de par le nombre et la variété des informations collectées, cette collecte menait à porter atteinte à la vie privée des salariés, ainsi qu’au principe de minimisation des données. En effet, l’article 5-1 c) du RGPD dispose que « les données à caractère personnel doivent être : c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Le principe de minimisation implique que le responsable de traitement collecte et traite uniquement les données qui sont nécessaires au traitement. 

A l’occasion d’une délibération en date du 28 juillet 2020, la CNIL avait déjà sanctionné l’atteinte au principe de minimisation des données, en effet, la société Spartoo avait reçu une injonction sous astreinte de se conformer au RGPD mais également une amende administrative de 250.000 euros. Ainsi la CNIL veille à ce que seules les informations pertinentes et strictement nécessaires au regard de la finalité du fichier soient traitées.

L’interdiction de traiter des données sensibles.

Lors de son contrôle, la CNIL a soulevé que la société ne satisfaisait aucune des conditions lui permettant de collecter des données sensibles prévues par le RGPD à son article 9.2. En effet, l’article 9.1 dispose que « Le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits. »

L’interdiction de collecter ou de traiter des données relatives aux infractions, aux condamnations et aux mesures de sûreté. 

Le contrôle de la CNIL a révélé que la société conservait des extraits de casiers judiciaires des salariés alors même que ces derniers faisaient déjà l’objet d’une habilitation délivrée par les autorités compétentes après enquête administrative, alors que la société ne remplissait pas les conditions pour consulter ou conserver les casiers judiciaires de ses salariés. En effet, l’article 10 du RGPD dispose que « Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l’article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique. » Ainsi, la CNIL impose des conditions pour traiter ces catégories de données particulièrement sensibles. 

L’obligation de coopérer avec les services de la CNIL

Afin de procédé à un contrôle de légalité du formulaire utilisé pour la collecte des données des salariés, la CNIL a sollicité une traduction du formulaire rédigé en langue chinoise. La société en ayant produit une traduction incomplète, la formation restreinte de la CNIL a considéré que cette dernière avait intentionnellement cherché à empêcher la CNIL d’exercer ses pouvoirs de contrôle. En effet, l’article 31 du RGPD dispose que « Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, leurs représentants coopèrent avec l’autorité de contrôle, à la demande de celle-ci, dans l’exécution de ses missions. »

L’illustration d’un droit d’accès des salariés aux données les concernant collectées par l’employeur.

Cette délibération de la CNIL ne manque pas de réaffirmer le droit d’accès des salariés aux données les concernant collectées par l’employeur. En effet, l’article 15 du RGPD prévoit un droit d’accès pour la personne concernée par le traitement de ses données personnelles. La personne concernée a le droit d’obtenir de la part du responsable de traitement les informations suivantes : 

  • Si ses données sont traitées
  • Pour quelle finalité 
  • Quelle catégorie de données
  • Les destinataire de ces données ou les catégories de destinataire 
  • La durée de conservation des données ou les critères permettant de déterminer cette durée 
  • L’existence du droit de demander la suppression, la rectification, l’opposition ou la limitation du traitement des données 
  • Le droit de faire une réclamation à une autorité de contrôle
  • Les informations disponibles relatives à la source 
  • L’existence d’une prise de décision automatisée
  • Le transfert de ces donnés à l’étranger

Dans un premier temps, les salariés ont le droit d’être informés individuellement, et le cas échéant collectivement par l’intermédiaire des instances représentatives du personnel, de la collecte, de l’utilisation et de la conservation de leurs données personnelles.

Les employés actuels tout comme les anciens employés de l’entreprise ont normalement le droit d’accéder aux informations recueillies par l’employeur les concernant, non seulement pour vérifier leur exactitude, mais aussi pour rassembler des preuves en cas de litige potentiel avec l’entreprise. Récemment, la première chambre de la Cour de Justice de l’Union européenne à confirmé ce droit dans un arrêt en date du 22 juin 2023. En effet, dans sa conclusion, la Cour avait considéré que « le RGPD doit être interprété en ce sens que les informations relatives à des opérations de consultation des données à caractère personnel d’une personne, portant sur les dates et les finalités de ces opérations, constituent des informations que cette personne a le droit d’obtenir du responsable du traitement ».

Sources :

Délibération SAN-2023-013 du 18 septembre 2023

Délibération SAN-2020-003 du 28 juillet 2020

Le règlement général sur la protection des données – RGPD

CJUE 22 juin 2023