Les entreprises prennent vont elles-mêmes au devant de leur mauvaise réputation en ne respectant pas la loi. Surtout lorsque la sanction de la Cnil est rendue publique.
Le 18 septembre 2023, la CNIL a sanctionné la société SAF LOGISTICS à hauteur de 200 000 euros pour avoir collecté une quantité trop importante de données auprès de ses salariés, porté atteinte à leur vie privée et ne pas avoir suffisamment coopéré avec les services de la CNIL.
Le contexte
La société SAF LOGISTICS est une société de fret aérien dont la société-mère est localisée en Chine. Un salarié a signalé à la CNIL que, dans le cadre d’un recrutement interne pour un poste au sein de la société-mère, SAF LOGISTICS collectait des données relatives à la vie privée de ses employés.
La CNIL a alors procédé à un contrôle sur place afin de vérifier la légalité du formulaire utilisé pour la collecte.
Lors de ses investigations, la CNIL a relevé plusieurs manquements concernant, en particulier, une collecte excessive de données, le non-respect de l’interdiction de traitement de données sensibles et de données relatives à des infractions, ainsi qu’un défaut de coopération avec les services de la CNIL.
En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer des sanctions – a prononcé une amende de 200 000 euros à l’encontre de SAF LOGISTICS.
Afin de déterminer le montant de la sanction, la CNIL a notamment pris en compte le fait que plusieurs des manquements retenus concernent des principes clé du RGPD.
Les manquements sanctionnés
La CNIL a retenu quatre manquements au RGPD à l’encontre de la société SAF LOGISTICS.
Un manquement à la minimisation des données (article 5-1 c du RGPD)
Par le biais du formulaire envoyé à ses salariés, la société collectait un grand nombre d’informations sur les membres de la famille des salariés tel que leur identité, leurs coordonnées, leur fonction, leur employeur et leur situation maritale.
La formation restreinte a considéré que le nombre et la variété des informations collectées était trop important, ce manquement conduisant à porter atteinte à la vie privée des salariés.
Un manquement à l’interdiction de traiter des données sensibles (article 9 du RGPD)
La CNIL a constaté que plusieurs informations devant obligatoirement être renseignées dans le formulaire étaient des données sensibles telles que le groupe sanguin, l’appartenance ethnique et l’affiliation politique.
La formation restreinte a constaté que la société ne satisfaisait aucune des conditions prévues par le RGPD (article 9.2) pour collecter ces données sensibles.
Un manquement à l’interdiction de collecter ou de traiter des données relatives aux infractions, aux condamnations et aux mesures de sûreté (article 10 du RGPD)
La formation restreinte a relevé que la société conservait des extraits de casiers judiciaires de salariés travaillant dans le fret aérien, alors même que ces derniers faisaient déjà l’objet d’une habilitation délivrée par les autorités compétentes après enquête administrative. Elle a considéré que la société ne remplissait pas les conditions pour consulter ou conserver les casiers judiciaires de ses salariés.
En outre, s’agissant des salariés qui n’étaient pas soumis à cette procédure d’habilitation, la société pouvait consulter leurs casiers judiciaires mais non les conserver.
Un manquement à l’obligation de coopérer avec les services de la CNIL (article 31 du RGPD)
Lorsque la CNIL a sollicité auprès de la société la traduction du formulaire qui était rédigé en langue chinoise, celle-ci a produit une traduction incomplète, dans laquelle les champs relatifs à l’appartenance ethnique ou l’affiliation politique étaient manquants. La CNIL a ainsi dû faire traduire elle-même le formulaire afin de pouvoir disposer de l’intégralité des champs du formulaire. La formation restreinte considère ainsi que la société a intentionnellement cherché à empêcher la CNIL d’exercer ses pouvoirs de contrôle.
Plus d’infos : https://www.cnil.fr/fr/collecte-excessive-de-donnees-et-manque-de-cooperation-la-cnil-sanctionne-la-societe-saf-logistics
Voir nos prestations en e-réputation : https://www.votre-reputation.com/
