Le 18 septembre dernier, la Commission nationale de l’informatique et des libertés (CNIL) a infligé une amende de 200 000 euros à la société SAF LOGISTICS, une entreprise de fret aérien. Cette sanction fait suite à une enquête de la CNIL, déclenchée après qu’un employé ait signalé la collecte de données sensibles à des fins de recrutement interne au sein de la société-mère de SAF LOGISTICS, basée en Chine. Au cours de ses investigations, la CNIL a mis en lumière plusieurs manquements graves aux dispositions du Règlement général sur la protection des données (RGPD).
On vous détaille cette affaire dans cet article.
Les manquements relevés
Le principe minimisation des données non respecté
Le premier manquement à l’égard de SAF LOGISTICS concerne le non respect du principe de minimisation des données, un principe clé du RGPD (article 5-1 c). Une quantité excessive d’informations sur les membres de la famille des employés (leur identité, leurs coordonnées, leur fonction, leur employeur et leur situation maritale) étaient récoltées. Cette collecte excessive a été jugée attentatoire à la vie privée des salariés et a été sévèrement critiquée par la formation restreinte de la CNIL.
Le non respect de ce principe de minimisation est une erreur fréquente commise par les TPE/PME. Vite, découvrez le Top 10 des erreurs les plus fréquentes en entreprise concernant la protection des données !
Manquement à l’interdiction de traiter des données sensibles
Un autre manquement majeur a été observé par la CNIL concernant l’interdiction de traiter des données sensibles, conformément à l’article 9 du RGPD. La CNIL a constaté que plusieurs informations requises dans le formulaire de recrutement étaient des données sensibles, telles que le groupe sanguin, l’appartenance ethnique et l’affiliation politique. La collecte de ces données est interdite sauf des cas spécifiques (listés à l’article 9), et SAF Logistics ne correspondait à aucun de ces cas.
Une collecte et un traitement de données relatives aux infractions, aux condamnations et aux mesures de sûreté, pourtant interdits
La troisième faille majeure relevée par la CNIL concerne l’interdiction de collecter ou de traiter des données relatives aux infractions, aux condamnations et aux mesures de sûreté, comme le dispose l’article 10 du RGPD. La CNIL a découvert que SAF LOGISTICS conservait des extraits de casiers judiciaires de ses employés travaillant dans le fret aérien, même si ces employés avaient déjà fait l’objet d’une habilitation délivrée par les autorités compétentes après une enquête administrative. La formation restreinte a jugé que la société ne remplissait pas les conditions nécessaires pour consulter ou conserver de telles informations, créant ainsi une autre violation du RGPD.
La sanction de la non-coopération avec l’autorité de contrôle
Enfin, la CNIL a souligné un manquement à l’obligation de coopérer avec les services de la CNIL, conformément à l’article 31 du RGPD. Lorsque la CNIL a demandé à SAF LOGISTICS la traduction du formulaire rédigé en chinois, l’entreprise a fourni une traduction incomplète, en omettant notamment les champs relatifs à l’appartenance ethnique ou l’affiliation politique. La CNIL a donc dû prendre en charge elle-même la traduction complète du formulaire. La formation restreinte a interprété cette action comme une tentative délibérée de SAF LOGISTICS pour entraver les pouvoirs de contrôle de la CNIL.
Une sanction de 200 000 euros
Pour déterminer le montant de l’amende, la CNIL a pris en considération le fait que les manquements de SAF LOGISTICS touchaient à des principes fondamentaux du RGPD.
La sanction de 200 000 euros, annoncée avec fermeté par la CNIL, vise à rappeler aux entreprises l’importance de la protection des données personnelles et les conséquences graves qui peuvent découler de leur non-respect.
L’affaire SAF LOGISTICS met en évidence l’engagement de la CNIL à faire respecter les droits en matière de protection des données personnelles. Les manquements graves constatés dans ce cas rappellent l’importance cruciale pour les entreprises de se conformer rigoureusement aux dispositions du RGPD afin d’éviter des sanctions financières significatives et les dégâts réputationnels engendrés.