Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Collecte excessive de données et manque de coopération : la CNIL sanctionne la société SAF LOGISTICS

septembre 2023 par CNIL

Le 18 septembre 2023, la CNIL a sanctionné la société SAF LOGISTICS à hauteur de 200 000 euros pour avoir collecté une quantité trop importante de données auprès de ses salariés, porté atteinte à leur vie privée et ne pas avoir suffisamment coopéré avec les services de la CNIL.

Le contexte

La société SAF LOGISTICS est une société de fret aérien dont la société-mère est localisée en Chine. Un salarié a signalé à la CNIL que, dans le cadre d’un recrutement interne pour un poste au sein de la société-mère, SAF LOGISTICS collectait des données relatives à la vie privée de ses employés.

La CNIL a alors procédé à un contrôle sur place afin de vérifier la légalité du formulaire utilisé pour la collecte.

Lors de ses investigations, la CNIL a relevé plusieurs manquements concernant, en particulier, une collecte excessive de données, le non-respect de l’interdiction de traitement de données sensibles et de données relatives à des infractions, ainsi qu’un défaut de coopération avec les services de la CNIL.

En conséquence, la formation restreinte – organe de la CNIL chargé de prononcer des sanctions – a prononcé une amende de 200 000 euros à l’encontre de SAF LOGISTICS.

Afin de déterminer le montant de la sanction, la CNIL a notamment pris en compte le fait que plusieurs des manquements retenus concernent des principes clé du RGPD.
Les manquements sanctionnés

La CNIL a retenu quatre manquements au RGPD à l’encontre de la société SAF LOGISTICS.
Un manquement à la minimisation des données (article 5-1 c du RGPD)

Par le biais du formulaire envoyé à ses salariés, la société collectait un grand nombre d’informations sur les membres de la famille des salariés tel que leur identité, leurs coordonnées, leur fonction, leur employeur et leur situation maritale.

La formation restreinte a considéré que le nombre et la variété des informations collectées était trop important, ce manquement conduisant à porter atteinte à la vie privée des salariés.
Un manquement à l’interdiction de traiter des données sensibles (article 9 du RGPD)

La CNIL a constaté que plusieurs informations devant obligatoirement être renseignées dans le formulaire étaient des données sensibles telles que le groupe sanguin, l’appartenance ethnique et l’affiliation politique.

La formation restreinte a constaté que la société ne satisfaisait aucune des conditions prévues par le RGPD (article 9.2) pour collecter ces données sensibles.
Un manquement à l’interdiction de collecter ou de traiter des données relatives aux infractions, aux condamnations et aux mesures de sûreté (article 10 du RGPD)

La formation restreinte a relevé que la société conservait des extraits de casiers judiciaires de salariés travaillant dans le fret aérien, alors même que ces derniers faisaient déjà l’objet d’une habilitation délivrée par les autorités compétentes après enquête administrative. Elle a considéré que la société ne remplissait pas les conditions pour consulter ou conserver les casiers judiciaires de ses salariés.

En outre, s’agissant des salariés qui n’étaient pas soumis à cette procédure d’habilitation, la société pouvait consulter leurs casiers judiciaires mais non les conserver.
Un manquement à l’obligation de coopérer avec les services de la CNIL (article 31 du RGPD)

Lorsque la CNIL a sollicité auprès de la société la traduction du formulaire qui était rédigé en langue chinoise, celle-ci a produit une traduction incomplète, dans laquelle les champs relatifs à l’appartenance ethnique ou l’affiliation politique étaient manquants. La CNIL a ainsi dû faire traduire elle-même le formulaire afin de pouvoir disposer de l’intégralité des champs du formulaire. La formation restreinte considère ainsi que la société a intentionnellement cherché à empêcher la CNIL d’exercer ses pouvoirs de contrôle.
Texte reference
La délibération

Délibération de la formation restreinte no SAN-2023-013 du 18 septembre 2023 concernant la société SAF LOGISTICS - Légifrance

Pour approfondir

Le contrôle de la CNIL
Les procédures de sanction
Les enquêtes administratives de sécurité
[EN] Excessive data collection and lack of cooperation : the CNIL imposed a sanction on the company SAF LOGISTICS

Les textes de référence

Article 5.1.c du RGPD (minimisation des données)
Article 9 du règlement général sur la protection des données (données sensibles)
Article 10 du RGPD (collecte et utilisation de données personnelles relatives aux condamnations pénales et infractions)
Article 31 du RGPD (coopération avec l’autorité de contrôle)


Voir les articles précédents

    

Voir les articles suivants