La Cnil a prononcé une nouvelle sanction le 18 septembre dernier à l’encontre de la société S*L*, pour un montant de 200 000 euros : https://cnil.fr/fr/collecte-excessive-de-donnees-et-manque-de-cooperation-la-cnil-sanctionne-la-societe-saf-logistics.

Il s’agit d’une des premières et rares décisions dans le domaine des données RH.

Les raisons de cette sanction sont doubles, une de fond et une de forme.

Sur le fond, la Cnil a retenu un manquement au principe de minimisation des données protégé par l’article 5-1 du RGPD. La société avait distribué des formulaires aux salariés pour recueillir leurs informations. Or, la nature des informations en question étaient à caractère privé qui n’ont pas de lien avec le travail, en ce qu’elles concernent leur identité, leurs coordonnées, leur fonction, leur employeur ainsi que leur situation maritale. Ainsi, la société aurait manqué à son obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données.

Ensuite, la Cnil constate un manquement à l’interdiction de traiter des données sensibles au sens de l’article 9 du RGPD toujours sur le même formulaire. Cette fois-ci il s’agit de la collecte d’informations à caractère sensible comme le groupe sanguin et l’appartenance ethnique. En principe, le traitement de ces données est interdit sauf à démontrer que les informations sont manifestement rendues publiques par la personne concernée (1), qu’elles sont nécessaires à la sauvegarde de la vie humaine (2), que leur utilisation est justifiée par l’intérêt public et autorisé par la CNIL (3), qu’elles concernent les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique, politique ou syndicale (4) ou que la personne concernée a donné son consentement exprès (5). Le fait que les éléments du questionnaire soient facultatifs n’a pas été retenu par la Cnil qui a considéré qu’en raison du déséquilibre des rapports de force dans le cadre des relations de travail, le formulaire n’avait pas réellement de caractère facultatif.

De plus, la Cnil constate un manquement à l’interdiction de collecter ou de traiter des données relatives aux infractions, aux condamnations et aux mesures de sûreté au sens de l’article 10 du RGPD. En effet, la société avait conservé des casiers judiciaires de certains de ses salariés alors qu’elle avait simplement le droit de les consulter sans les conserver.

Sur la forme la Cnil a considéré que l’entreprise avait manqué à l’obligation de coopérer avec ses services conformément à l’article 31 du RGPD en lui communiquant des documents partiels ou partiellement tronqués.

Ce qu’il faut retenir de cette décision ?

Les entreprises de type BtoB sont nécessairement moins exposées que les entreprises BtoC car elles échappent à toutes les problématiques liées aux données clients/prospects.

Ceci étant précisé, elles peuvent, comme en témoigne cette décision, être sanctionnées au titre des manquements relatifs aux données de leurs salariés.

Or, il existe de nombreuses situations ou l’entreprise peut être défaillante dans la gestion RH du RGPD qu’il s’agisse du registre des traitements, de l’information des salariés ou des candidats, de la durée de conservation, de la gestion des sous-traitants ou encore du droit d’accès des collaborateurs ou pour les groupes internationaux souvent des problématiques de flux.

Sur le point particulier du droit d’accès des salariés, on peut s’attendre à une décision de l’autorité de contrôle tant le RGPD est aujourd’hui instrumentalisé dans le cadre de procédures prudhommales au grand dam des DRH et des DSI.

Enfin, si la coopération avec la Cnil lors d’un contrôle ne limite pas le risque de sanction, il est clair qu’un manquement à cette obligation, en plus d’être une potentielle infraction pénale, conduit nécessairement à une augmentation de l’amende administrative prononcée.

Auteurs : 

Eric Barbry, associé

Basma Boujid, juriste