La CNIL sanctionne une entreprise pour collecte excessive de données personnelles des salariés

Actualité
RH RGPD

La CNIL a sanctionné le 18 septembre une entreprise pour collecte excessive de données personnelles de ses salariés.

La CNIL sanctionne une entreprise pour collecte excessive de données personnelles des salariés
Publié le
Télécharger en PDF

Le 18 septembre 2023, la CNIL a sanctionné la société SAF LOGISTICS à hauteur de 200 000 euros pour avoir collecté une quantité trop importante de données auprès de ses salariés, porté atteinte à leur vie privée et ne pas avoir suffisamment coopéré avec les services de la CNIL.

La société SAF LOGISTICS est une société de fret aérien dont la société-mère est localisée en Chine. Un salarié a signalé à la CNIL que, dans le cadre d’un recrutement interne pour un poste au sein de la société-mère, SAF LOGISTICS collectait des données relatives à la vie privée de ses employés.

La CNIL a alors procédé à un contrôle sur place afin de vérifier la légalité du formulaire utilisé pour la collecte.

Lors de ses investigations, la CNIL a relevé plusieurs manquements concernant, en particulier, une collecte excessive de données, le non-respect de l’interdiction de traitement de données sensibles et de données relatives à des infractions, ainsi qu’un défaut de coopération avec les services de la CNIL.

4 manquements au RGPD ont été retenus :

  • Un manquement à la minimisation des données :

Par le biais du formulaire envoyé à ses salariés, la société collectait un grand nombre d’informations sur les membres de la famille des salariés tel que leur identité, leurs coordonnées, leur fonction, leur employeur et leur situation maritale.

La formation restreinte a considéré que le nombre et la variété des informations collectées était trop important, ce manquement conduisant à porter atteinte à la vie privée des salariés.

  • Un manquement à l’interdiction de traiter des données sensibles :

La CNIL a constaté que plusieurs informations devant obligatoirement être renseignées dans le formulaire étaient des données sensibles telles que le groupe sanguin, l’appartenance ethnique et l’affiliation politique.

La formation restreinte a constaté que la société ne satisfaisait aucune des conditions prévues par le RGPD (article 9.2) pour collecter ces données sensibles.

  • Un manquement à l’interdiction de collecter ou de traiter des données relatives aux infractions, aux condamnations et aux mesures de sûreté :

La formation restreinte a relevé que la société conservait des extraits de casiers judiciaires de salariés travaillant dans le fret aérien, alors même que ces derniers faisaient déjà l’objet d’une habilitation délivrée par les autorités compétentes après enquête administrative. Elle a considéré que la société ne remplissait pas les conditions pour consulter ou conserver les casiers judiciaires de ses salariés.

En outre, s’agissant des salariés qui n’étaient pas soumis à cette procédure d’habilitation, la société pouvait consulter leurs casiers judiciaires mais non les conserver.

  • Un manquement à l’obligation de coopérer avec les services de la CNIL :

Lorsque la CNIL a sollicité auprès de la société la traduction du formulaire qui était rédigé en langue chinoise, celle-ci a produit une traduction incomplète, dans laquelle les champs relatifs à l’appartenance ethnique ou l’affiliation politique étaient manquants. La CNIL a ainsi dû faire traduire elle-même le formulaire afin de pouvoir disposer de l’intégralité des champs du formulaire. La formation restreinte considère ainsi que la société a intentionnellement cherché à empêcher la CNIL d’exercer ses pouvoirs de contrôle.

Communiqué CNIL du 28 septembre 2023.

Voir la délibération de la CNIL