Sanction CNIL 2023-013 SAF LOGISTICS
Amende de 200 000 € prononcée le 18 septembre 2023
•Traitement concernant des salariés :
Collecte de données via un formulaire transmis aux salariés candidatant à un poste en Chine afin d’alimenter la « base de talents interne »
•Manquements au RGPD identifiés :
❌ Collecte excessive de données
❌ Traitement de données sensibles
❌ Traitement du casier judiciaire des salariés
❌ Manquement à l’obligation de coopérer avec la CNIL
1.Collecte excessive et inadéquate de données
La société collectait le nom, prénom, date et lieu de naissance, sexe, lien de parenté, numéro de téléphone, employeur et fonctions de l’entourage du salarié (frères et sœurs, ascendants et descendants)
Manquement au principe de minimisation : « Stricte adéquation entre les données collectés et les raisons présidant à leur collecte » portant atteinte à la vie privées des personnes concernées.
De part:
- le nombre de champs de données demandés :
- le nombre de personnes concernées alors qu’une seule suffit
- le caractère obligatoire du formulaire
2. Traitement de données personnelles sensibles
Le formulaire demandait aux employés leur appartenance ethnique ainsi que leur affiliation politique.
•Ces données sont sensibles au sens de l’Article 9 du RGPD
•La CNIL estime que le consentement des employés n’a pas été valablement recueilli:
- Aucune preuve du recueil de consentement
- Absence de caractère libre : Obligation pour les salariés de remplir le formulaire pour candidater
3. Consultation du casier judiciaire par l’employeur
Des extraits de casier judiciaire B3 se trouvaient dans les dossiers individuels des salariés.
•En matière d’activité de fret aérien, exercée par l’entreprise, seul la police peut examiner les casiers judiciaires des salariés afin de leur délivrer par la suite une habilitation.
•Pour tout salarié, l’employeur peut consulter l’extrait de casier mais n’est pas autorisé à le conserver
En conservant le casier judiciaire après consultation, l’entreprise commets un manquement.
4. Manquement à l’obligation de coopérer avec les services CNIL
•Dissimulation volontaire par la société des champs relatifs aux données sensibles à la CNIL traduisant une volonté de ne pas coopérer.
•Mensonge sur la date d’arrêt de la collecte de données sensibles
Edouard Verbecq, Avocat Associé
Baptiste Simian, Juriste
•Lien vers la décision :
•Communiqué de la CNIL :
Pas de contribution, soyez le premier