La société SAF Logistics est une société dans le transport intermodal de marchandises, dont la société-mère est située en Chine. Elle a demandé à l’ensemble de ses salariés de renseigner un formulaire leur demandant d’indiquer de nombreuses informations personnelles parmi lesquelles figuraient notamment leur ethnie, l’affiliation à un parti politique, leur situation familiale, le nom de leurs parents ainsi que de leurs éventuels frères, sœurs et enfants.
Saisie de deux plaintes de salariés, la CNIL a procédé à un contrôle.
A l’issue de ces opérations de contrôle, la CNIL a prononcé une amende de 200.000 euros à l’encontre de la société SAF Logistics, pour différents manquements.
Conformément aux dispositions de l’article 5.1.c du RGPD, les données à caractère personnel doivent être adéquates, pertinentes, et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
En l’espèce, la société SAF Logistics a collecté de nombreuses informations (p. ex. fonction occupée, employeur, situation maritale) concernant plusieurs membres de la famille des salariés aux fins de disposer d’un contact en cas d’urgence.
Pour la CNIL, la collecte des nom, prénom, lien de parenté et numéro d’un unique proche de chaque salarié est suffisante.
Selon les dispositions de l’article 9 du RGPD, il est en principe interdit pour un responsable de traitement de traiter des données à caractère personnel sensibles. Les exceptions à cette interdiction sont strictement énumérées (article 9.2 du RGPD).
En l’espèce, la société SAF Logistics a collecté de nombreuses données sensibles de salariés (p. ex. groupe sanguin, ethnie, affiliation à un parti politique), alors qu’aucune dérogation prévue à l’article 9.2 du RGPD n’était mobilisable.
Conformément aux dispositions de l’article 10 du RGPD et de la réglementation applicable, si un employeur peut demander à un salarié de produire l’extrait de son casier judiciaire afin de vérifier ses antécédents judiciaires, il ne peut en conserver une copie.
En outre, pour l’accès à certaines fonctions dites « sensibles », des textes peuvent prévoir la vérification par certaines autorités des casiers judiciaires des salariés. Lorsque la vérification est assurée par une autorité, l’employeur n’a pas besoin de consulter, ni de conserver l’extrait de casier judiciaire.
En l’espèce, la société SAF Logistics consultait et conservait les extraits de casiers judiciaires de salariés qui avaient fait l’objet d’une habilitation délivrée par les autorités compétentes après enquête administrative. De surcroît, elle conservait également les extraits de casiers judiciaires des salariés qui n’avaient pas fait l’objet de cette habilitation.
Selon l’article 31 du RGPD, le responsable du traitement doit coopérer avec l’autorité de contrôle dans l’exécution de ses missions.
En l’espèce, la CNIL a demandé à la société SAF Logistics de lui fournir la traduction du formulaire litigieux qui était rédigé en langue chinoise. Elle n’a reçu qu’une traduction incomplète tronquée des champs relatifs à l’appartenance ethnique ou l’affiliation politique.