Le 18 septembre 2023, la Commission Nationale de l’Informatique et des Libertés (« CNIL ») a sanctionné une société chinoise exerçant une activité de transport de fret aérien en provenance de Chine depuis la France. Au regard de la gravité des manquements constatés, la CNIL a prononcé une sanction pécuniaire d’un montant de 200 000 euros et a rendu publique la décision.
Rappelons que la CNIL est compétente pour connaître de la conformité des traitements effectués par la société chinoise dès lors que le traitement litigieux est effectué sur le territoire français et ce, peu importe le lieu d’établissement du siège social de l’entreprise contrôlée (article 3-1 du RGPD).
Une décision motivée par plusieurs manquements au RGPD
En effet, plusieurs manquements au Règlement Européen sur la Protection des Données (« RGPD ») ont été constatés, à la suite de deux plaintes déposées par des salariés de l’entreprise. Afin de contacter les proches des salariés en cas d’urgence, la société chinoise a demandé à l’ensemble de ses salariés résidant en France, de remplir un formulaire comportant de nombreuses informations telles que l’ethnie, l’affiliation à un parti politique, la situation familiale ainsi que le nom des parents, frères et sœurs éventuels.
Après avoir qualifié la société chinoise comme responsable de traitement au sens de l’article 4, point 7 du RGPD, la CNIL a relevé différents manquements :
- Manquement à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données (article 5 du RGPD) ;
- Manquement à l’interdiction de traiter des catégories particulières de données à caractère personnel (article 9 du RGPD) ;
- Manquement à l’interdiction de collecter ou de traiter des données relatives aux infractions, aux condamnations et aux mesures de sûreté (article 10 du RGPD) ;
- Manquement à l’obligation de coopérer avec les services de la CNIL (article 31 du RGPD).
Dans un premier temps, il sera intéressant de revenir sur la qualification retenue par la CNIL avant de se concentrer sur les multiples manquements constatés.
Sur la qualification de la filiale comme responsable de traitement au sens de l’article 4 du RGPD
La Commission précise les raisons pour lesquelles l’entreprise chinoise, filiale d’un grand groupe chinois, doit être qualifiée comme responsable de traitement au sens de la réglementation européenne.
La CNIL prend en considération l’entité qui a pris l’initiative de créer ce formulaire. En l’occurrence, la filiale chinoise a demandé à la maison mère de concevoir un formulaire destiné aux salariés souhaitant travailler en Chine pour répondre à une demande interne. Par la suite, la filiale a utilisé ce même formulaire pour collecter les informations nécessaires à contacter les proches de salariés. Ainsi, l’entreprise est à l’origine de la création du questionnaire et a utilisé les données collectées à des fins différentes de celles initialement prévues, conformément à ses propres besoins.
Pour ces raisons, la filiale chinoise a été désignée comme responsable de traitement, même si elle n’était pas à l’origine de la rédaction dudit questionnaire. En tant que responsable de traitement, cette dernière a, par ailleurs, manqué à de nombreuses obligations.
Sur le manquement à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données
Afin de contacter les proches des salariés en cas d’urgence, l’entreprise a élaboré un formulaire visant à la collecte obligatoire – les questions étant précédées d’un astérisque – d’informations relatives à la vie personnelle tant des salariés que de leur entourage : nom, prénom, date et lieu de naissance, sexe, lien de parenté, numéro de téléphone, employeur, fonctions et situation maritale des parents et éventuels frères et/ou sœurs, ethnie, option politique etc.
La Commission relève, à cet égard que la collecte de ces données n’est pas justifiée au regard de la finalité recherchée. Si la finalité est légitime, il n’apparaît pas nécessaire, ni pertinent de collecter autant d’informations relevant de la vie privée d’une personne à la seule fin de la contacter. En collectant des données non nécessaires à l’accomplissement de la finalité, la société a manqué à son obligation au titre de l’article 5 du RGPD.
Sur le manquement à l’interdiction de traiter des catégories particulières de données à caractère personnel
L’ethnie, l’opinion politique ou encore le groupe sanguin sont considérés comme des catégorie particulière de données selon l’article 9 du RGPD. Si leur collecte est interdite par principe, le recueil du consentement explicite de la personne concernée peut permettre au responsable de traitement de traiter lesdites données. Ce consentement doit ainsi être libre, spécifique, éclairé et univoque et ce, afin que la personne qui n’y consent ne soit pénalisée ou privée du service.
En l’espèce, l’entreprise chinoise indiquait qu’elle précisait à ses salariés, lors de l’envoi desdits formulaires, que « les données sont volontairement communiquées par les salariés » ou encore que « les salariés ont donné leurs consentements explicites au traitement de ces données pour l’objectif de postuler les postes internes du groupe ». Il résulte de cette communication qu’en ne renseignant pas les informations requises, le salarié était, de fait, privé de candidater en Chine.
Ces constatations ont conduit la CNIL à conclure que le consentement des employés ne respectait pas les critères du RGPD. La liberté du consentement est remise en question et notamment eu égard au contexte hiérarchique dans lequel s’inscrit l’envoi du formulaire. A titre d’exemple, le salarié engagé dans une démarche de mobilité auprès de son employeur se trouve obligé de répondre au questionnaire litigieux. Il résulte de ce qui précède que le fait pour les salariés d’avoir rempli le formulaire en question ne saurait être assimilé à un consentement valable au sens requis par l’article 9 du RGPD.
Sur le manquement à l’interdiction de collecter ou de traiter des données relatives aux infractions, aux condamnations et aux mesures de sûreté
Lors de son contrôle sur place, la Commission a constaté l’existence d’extraits de casier judiciaire archivés aux dossiers individuels des salariés dont les contrats de travail étaient en cours d’exécution.
Si, en vertu de la loi (article L. 6342-3 du Code des transports), la société était en mesure de consulter les extraits de casiers judiciaires pour ses employés non soumis à une procédure d’habilitation, elle n’était pas autorisée à les conserver. Il résulte de ce qui précède qu’en consultant et conservant lesdits extraits en dehors des cas prévus par la loi, la société a manqué à ses obligations au titre de l’article 10 du RGPD.
Sur le manquement à l’obligation de coopérer avec les services de la CNIL
Le 17 septembre 2020, la CNIL sollicitait auprès de la société contrôlée la communication de « la traduction complète du formulaire y compris le contenu des listes déroulantes ». Ladite société n’a alors joint qu’une traduction complète du formulaire et non les menus déroulants. Plusieurs échanges et requêtes ont dû avoir eu lieu entre l’entreprise et la Commission pour obtenir l’ensemble du menu déroulant, comprenant les questions relatives à l’ethnie, l’opinion politique ou encore le groupe sanguin des personnes concernées.
La dissimulation des lignes relatives à la collecte de ces données caractérise, selon la Commission, un obstacle à l’exercice de la mission de contrôle de la CNIL.
De plus, la Commission relève que la société n’a pas cessé l’envoi dudit formulaire aux salariés après la réception du courrier de la CNIL le 13 août 2020, contrairement à ce qu’elle avait pu affirmer. La société n’a ainsi pas fourni d’informations fiables à la délégation de contrôle.
Dans ces conditions, la Commission considère que la société a méconnu l’article 31 du règlement. L’ensemble de ces manquements et leur gravité, mis à la lumière des capacités financières de l’entreprise, a amené la Commission à prononcer à l’encontre de la société chinoise une amende administrative d’un montant de 200 000 euros et à rendre publique sa délibération qui sera anonymisée à l’expiration d’un délai de deux ans à compter de sa publication.
Vous accompagner dans le développement de vos projets, former vos équipes : nous mettons nos expertises à votre service !