Blog Données personnelles
La CNIL reproche le manque de coopération lors d’un contrôle : la société SAF Logistics condamnée pour collecte excessive de données
La société SAF Logistics est une société dans le transport intermodal de marchandises, dont la société-mère est située en Chine. Elle a demandé à l’ensemble de ses salariés de renseigner un formulaire leur demandant d’indiquer de nombreuses informations personnelles parmi lesquelles figuraient notamment leur ethnie, l’affiliation à un parti politique, leur situation familiale, le nom de leurs parents ainsi que de leurs éventuels frères, sœurs et enfants.
Saisie de deux plaintes de salariés, la CNIL a procédé à un contrôle.
A l’issue de ces opérations de contrôle, la CNIL a prononcé une amende de 200.000 euros à l’encontre de la société SAF Logistics, pour différents manquements.
1/ Manquement au principe de minimisation de données (article 5.1.c du RGPD)
Conformément aux dispositions de l’article 5.1.c du RGPD, les données à caractère personnel doivent être adéquates, pertinentes, et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
En l’espèce, la société SAF Logistics a collecté de nombreuses informations (p. ex. fonction occupée, employeur, situation maritale) concernant plusieurs membres de la famille des salariés aux fins de disposer d’un contact en cas d’urgence.
Pour la CNIL, la collecte des nom, prénom, lien de parenté et numéro d’un unique proche de chaque salarié est suffisante.
2/ Manquement à l’interdiction de traiter des données sensibles (article 9 du RGPD)
Selon les dispositions de l’article 9 du RGPD, il est en principe interdit pour un responsable de traitement de traiter des données à caractère personnel sensibles. Les exceptions à cette interdiction sont strictement énumérées (article 9.2 du RGPD).
En l’espèce, la société SAF Logistics a collecté de nombreuses données sensibles de salariés (p. ex. groupe sanguin, ethnie, affiliation à un parti politique), alors qu’aucune dérogation prévue à l’article 9.2 du RGPD n’était mobilisable.
3/ Manquement à l’interdiction de traiter des données relatives aux infractions, aux condamnations et aux mesures de sûreté (article 10 du RGPD)
Conformément aux dispositions de l’article 10 du RGPD et de la réglementation applicable, si un employeur peut demander à un salarié de produire l’extrait de son casier judiciaire afin de vérifier ses antécédents judiciaires, il ne peut en conserver une copie.
En outre, pour l’accès à certaines fonctions dites « sensibles », des textes peuvent prévoir la vérification par certaines autorités des casiers judiciaires des salariés. Lorsque la vérification est assurée par une autorité, l’employeur n’a pas besoin de consulter, ni de conserver l’extrait de casier judiciaire.
En l’espèce, la société SAF Logistics consultait et conservait les extraits de casiers judiciaires de salariés qui avaient fait l’objet d’une habilitation délivrée par les autorités compétentes après enquête administrative. De surcroît, elle conservait également les extraits de casiers judiciaires des salariés qui n’avaient pas fait l’objet de cette habilitation.
4/ Manquement à l’obligation de coopérer avec les services de la CNIL (article 31 du RGPD)
Selon l’article 31 du RGPD, le responsable du traitement doit coopérer avec l’autorité de contrôle dans l’exécution de ses missions.
En l’espèce, la CNIL a demandé à la société SAF Logistics de lui fournir la traduction du formulaire litigieux qui était rédigé en langue chinoise. Elle n’a reçu qu’une traduction incomplète tronquée des champs relatifs à l’appartenance ethnique ou l’affiliation politique.