Dans une délibération du 18 septembre 2023, la formation restreinte de la CNIL condamne la société SAF LOGISTICS, société de fret aérien dont la société mère est localisée en Chine, à une amende administrative de 200 000 euros, assortie de la publicité de la décision. Divers manquements sont sanctionnés: la violation du principe de minimisation de la collecte, le traitement illégal de données sensibles et d’infraction et la violation de l’obligation de coopérer avec la CNIL.
Dans cette affaire, un salarié de la société SAF LOGISTICS souhaitait travailler au sein de la maison mère située en Chine. La société SAF LOGISTICS s’était alors rapprochée de celle-ci pour obtenir un formulaire de candidature, qu’elle avait diffusé à plusieurs salariés. De façon surprenante, ce formulaire requerait des salariés qu’ils renseignent un nombre important d’informations sur leurs proches ainsi que leur appartenance ethnique, leur groupe sanguin ou encore leur affiliation politique.
Saisie de deux plaintes, la CNIL a décidé de mener une mission de contrôle. Ses investigations ont abouti à la condamnation de la société SAF LOGISTICS qui, en sa qualité de responsable de traitement, avait commis plusieurs violations aux règles du RGPD.
La société SAF LOGISTICS responsable de traitement
La société contestait sa qualité de responsable de traitement et faisait valoir qu’elle n’avait été qu’une « boîte aux lettres pour les personnes qui souhaitaient postuler auprès de la Société Mère ».
Pour la CNIL, la société SAF LOGISTICS a agi en qualité de responsable de traitement en déterminant les finalités et les moyens du traitement lié à la collecte des données renseignées par le formulaire. Elle relève que la société en cause était à l’initiative de la transmission et diffusion du formulaire par la société mère à un ensemble de salariés en vue d’identifier ceux qui pourraient potentiellement être intéressés par un départ en Chine. Ce faisant, la société déterminait bien la finalité du traitement. Quant aux moyens, la CNIL décide qu’en « se procurant le formulaire auprès de la société-mère et en le diffusant à une vingtaine de personnes », la société les avait bien déterminés.
L’application de la qualification de responsable de traitement à la société SAF LOGISTICS peut surprendre au premier abord puisque le traitement mis en œuvre a été dicté par la requête du salarié désireux de travailler en Chine et réalisé sur la base d’un formulaire établi par la maison mère. La société en cause pourrait effectivement apparaître comme un simple intermédiaire entre les acteurs en présence, qui agit uniquement pour répondre à la demande du salarié, sans avoir à décider de quoi que ce soit. Néanmoins, le raisonnement adopté par la CNIL doit être validé car l’action de la société SAF LOGISTICS se révèle bien plus importante en réalité. Une fois la demande faite par le salarié, c’est elle qui est à la manœuvre et qui décide de mettre en place un traitement visant à identifier les personnes potentiellement intéressées pour rejoindre la maison mère. Son pouvoir de décision est donc bien plus grand que ce que la société laisse transparaître.
La société SAF LOGISTICS condamnée pour divers manquements au RGPD
Dans le formulaire, les salariés devaient indiquer des informations relatives à leur entourage (frères et sœurs, ascendants, descendants) telles que le nom, prénom, date et lieu de naissance, sexe, lien de parenté, numéro de téléphone, employeur, fonctions et situation maritale. Logiquement, cette collecte est jugée disproportionnée au regard de sa finalité, qui était d’identifier des personnes à contacter en cas d’urgence.
Les salariés devaient également préciser des données sensibles, à savoir leur appartenance ethnique, leur groupe sanguin et leur affiliation politique. La CNIL observe que la société ne produit aucun document permettant d’attester que le consentement des salariés aurait été recueilli et qu’en tout état de cause, un tel consentement n’aurait pas été libre puisque les salariés n’avaient pas d’autres choix que de remplir le formulaire s’ils souhaitaient obtenir un poste en Chine.
L’enquête met également en lumière le fait que la société SAF LOGISTICS conserve des extraits de casier judiciaire de ses salariés, soit une catégorie particulière de données au sens du RGPD. Or, ce traitement n’est légal ni pour les salariés soumis à l’obtention d’une habilitation, ni pour les salariés non soumis à une telle obligation pour lesquels l’employeur dispose d’un simple droit de consultation des données concernées et non d’un droit de conservation.
Enfin, la société est condamnée pour n’avoir pas coopéré avec la CNIL, en lui fournissant des traductions du formulaire tronquées des questions et propositions liées aux données sensibles.
En définitive, la condamnation prononcée par la CNIL est fondée. Pour l’avenir, il faut conseiller aux entreprises dont les maisons mères sont hors de l’Union européenne de s’assurer de la conformité des documents et demandes provenant de ces dernières, ce qui est précisément ce que prévoit le RGPD.
![Dalloz IP/IT - Droit de la propriété intellectuelle et du numérique](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg"/>)