La société de transports SAF Logistics est sanctionnée d’une amende de 200 000 € pour avoir collecté trop de données auprès de ses salariés, porté atteinte à leur vie privée et ne pas avoir suffisamment coopéré avec les services de la Cnil.
Une enquête de la Cnil déclenchée par une dénonciation d’un salarié
C’est une dénonciation, comme souvent, qui a déclenché l’enquête de la Cnil. Un salarié a signalé à la Cnil que SAF Logistics collectait des données relatives à la vie privée de ses employés lors d’un recrutement interne pour un poste au sein de la société-mère. SAF Logistics est une société de fret aérien dont la société-mère est localisée en Chine.
La Cnil a procédé à un contrôle sur place afin de vérifier la légalité du formulaire utilisé pour la collecte
La Cnil a retenu 4 manquements au RGPD. Via un formulaire envoyé à ses salariés, SAF Logistics collectait un grand nombre d’informations sur les membres de la famille des salariés tel que leur identité, leurs coordonnées, leur fonction, leur employeur et leur situation maritale. Il s’agit d’un manquement à la minimisation des données (article 5-1 c du RGPD). Cette collecte excessive portait atteinte à la vie privée des salariés.
Collecte de l’appartenance ethnique et de l’affiliation politique
Autre point, la Cnil a constaté que plusieurs informations devant obligatoirement être renseignées dans le formulaire étaient des données sensibles telles que le groupe sanguin, l’appartenance ethnique et l’affiliation politique. Or la société ne satisfaisait aucune des conditions prévues par le RGPD (article 9.2) pour collecter ces données sensibles. Il s’agit d’un manquement à l’interdiction de traiter des données sensibles (article 9 du RGPD).
SAF Logistics conservait des extraits de casiers judiciaires de salariés travaillant dans le fret aérien
La Cnil estime que la société ne remplit pas les conditions pour consulter ou conserver les casiers judiciaires de ses salariés. Il s’agit d’un manquement à l’interdiction de collecter ou de traiter des données relatives aux infractions, aux condamnations et aux mesures de sûreté (article 10 du RGPD). S’agissant des salariés qui n’étaient pas soumis à cette procédure d’habilitation, la société pouvait consulter leurs casiers judiciaires mais non les conserver.
Traduction incomplète du formulaire depuis le chinois
Enfin, SAF Logistics a fait preuve d’un manque de coopération lors de l’enquête. Lorsque la Cnil a sollicité auprès de la société la traduction du formulaire qui était rédigé en chinois, celle-ci a produit une traduction incomplète, dans laquelle les champs relatifs à l’appartenance ethnique ou l’affiliation politique étaient manquants.
La Cnil a dû faire traduire elle-même le formulaire afin de disposer de l’intégralité des champs du formulaire. La formation restreinte considère que la société a intentionnellement cherché à empêcher la Cnil d’exercer ses pouvoirs de contrôle. Il s’agit d’un manquement à l’obligation de coopérer avec les services de la CNIL (article 31 du RGPD).
