La Commission Nationale de l’Informatique et des Libertés (CNIL) a récemment infligé une amende de 200 000 euros à la société SAF Logistics pour divers manquements relatifs à la protection des données personnelles de ses employés. Cette décision, qui a été rendue publique le 18 septembre 2023, soulève plusieurs questions cruciales en matière de conformité au Règlement Général sur la Protection des Données (RGPD).
🟠 Contexte de l’affaire
SAF Logistics, une société de fret aérien dont la société-mère est basée en Chine, a été signalée à la CNIL par un de ses salariés. Ce dernier a révélé que l’entreprise collectait des données sensibles et personnelles par le biais d’un formulaire envoyé par la société aux salariés souhaitant candidater à un poste en Chine dans le cadre d’un recrutement interne pour le compte de la société mère. Les deux plaintes déposées signalaient que la société avait demandé à l’ensemble de son personnel de renseigner de nombreuses informations relatives à leur vie privée, notamment l’ethnie, l’affiliation à un parti politique, leur situation familiale ainsi que le nom de leurs parents, de leurs éventuels frères sœurs et enfants.
A la suite de cette alerte, la CNIL a effectué un contrôle sur place afin d’évaluer la légalité des pratiques de l’entreprise en matière de collecte de données et du traitement potentiel qui a pu en être fait. Le contrôle visait à déterminer si la collecte de ces données était proportionnée au droit au respect de la vie privée.
🟠 Manquements identifiés
Quatre manquements majeurs ont été identifiés lors de cette enquête. Le premier concerne la violation de l’article 5-1 c du RGPD qui stipule que les données collectées doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire ». Le second manquement est lié à l’article 9 du RGPD qui interdit le traitement de données sensibles. Le troisième manquement concerne l’article 10 du RGPD qui interdit la collecte ou le traitement de données relatives aux infractions, aux condamnations et aux mesures de sûreté. Enfin, le quatrième manquement est relatif à l’article 31 du RGPD qui impose une obligation de coopérer avec les services de la CNIL.
En effet dans sa décision, elle précise que si la finalité visant à pouvoir contacter les proches d’un salarié en cas d’urgence est légitime, il n’en demeure pas moins qu’en transmettant le formulaire aux salariés, la société était responsable de la collecte des données de ces derniers et de leur transmission à la société mère. La société, en collectant des informations notamment relatives à l’entourage des salariés, telles que le nom, prénom, date et lieu de naissance, sexe, lien de parenté, numéro de téléphone, employeur, fonctions et situations maritales, avait ainsi porté atteinte à la vie privée des salariés.
🟠 Conséquences et implications
L’amende de 200 000 euros infligée à SAF Logistics est significative et sert d’avertissement à toutes les entreprises qui négligeraient les principes fondamentaux du RGPD. La CNIL a pris en compte la gravité des manquements ainsi que les capacités financières de la société afin de fixer le montant de la sanction (articles 5-1c), 9 et 83 du RGPD). Cette affaire met en lumière l’importance pour les entreprises de se conformer strictement aux réglementations en vigueur, non seulement afin d’éviter des sanctions financières, mais aussi afin de maintenir la confiance de leurs employés et clients.
🟠 Conclusion
En résumé, cette affaire est un rappel sévère que le respect des réglementations sur la protection des données est non seulement une obligation légale, mais aussi une nécessité pour la réputation et la viabilité des entreprises dans le monde numérique actuel.
Pour en savoir plus / sources :
https://www.actualitesdudroit.fr/browse/affaires/immateriel/42445/collecte-excessive-de-donnees-et-manque-de-cooperation-la-cnil-sanctionne-la-societe-saf-logistics