La récente sanction de la CNIL est intéressante à plus d’un titre, nous en avons vu des points avec une newsletter précédente la semaine dernière, mais voici ci-après les points intéressants de cette décision concernant l’obligation du responsable de traitement en matière de sécurité et de confidentialité des données et plus particulièrement en matière de configuration des accès à un traitement.
Ainsi cette sanction porte sur des extractions effectuées à partir de bases de données relatives à la gestion des RH (appelée DORA) à fin de préparer les réunions statuant sur les avancements des collaborateurs.
Il semblerait qu’en l’espèce, le fait que les données aient été accessibles à un nombre trop important de personnes aurait entrainé une violation de données.
La formation restreinte pointe ainsi 2 manquements à l’obligation de sécurité et de confidentialité, en l’espèce le responsable de traitement n’aurait pas appliqué une stricte gestion des habilitations pour :
- procéder à des extractions dans la base de données et
- préparer les réunions statuant sur les avancements.
Sur le 1er manquement, à l’occasion de la procédure, la délégation de la CNIL a constaté que tous les collaborateurs habilités pouvaient, quelles que soient leurs missions, consulter mais également extraire les données alors même que la base comporte un volume très important de données relative à l’ensemble des collaborateurs des Départements concernés.
La formation restreinte confirme qu’il s’agit d’une violation du RGPD et développe un raisonnement juridique particulièrement simple :
- Premièrement « le responsable de traitement doit mettre en place des mesures appropriées pour assurer la confidentialité des données et éviter que les données soient traitées de façon illicite par le fait de personnes qui n’ont pas besoin d’en connaître » (on semble comprendre ici que c’est une des nombreuses personnes habilitées à accéder aux données qui est à l’origine de la violation de données, à savoir en la transmission des données au syndicat),
- Deuxièmement : La prévention des mésusages et des violations de données peut être en partie assurée par des mesures organisationnelles, notamment en :
- informant les utilisateurs du système d’information sur les données qu’ils sont autorisés à traiter pour leurs missions,
- contrôlant l’usage qui en est fait, notamment aux moyens de journaux de connexion, et
- sanctionnant disciplinairement le non-respect des règles applicables,
- troisièmement : en complément de ces mesures, la gestion des habilitations à consulter ou à utiliser un système d’information doit tendre à limiter les accès aux seules données à caractère personnel dont un utilisateur a besoin pour l’accomplissement de ses missions, notamment en définissant des profils d’habilitation dans les systèmes en séparant les tâches et les domaines de responsabilité.
Ainsi la formation restreinte rappelle que le responsable de traitement doit mettre en place, en fonction de la plus ou moins grande diversité des missions des utilisateurs, une politique de gestion des habilitations appropriée à l’importance et à la sensibilité des données traitées, ainsi qu’aux risques auxquels les personnes concernées sont exposées, en fonction des moyens dont il peut disposer.
Sur le 2nd manquement : les habilitations d’accès aux fichiers de préparation des réunions statuant sur les avancements
Lors du contrôle, il a été constaté que dans un service, les fichiers de préparation des réunions statuant sur les avancements étaient accessibles sur un serveur à tous les participants aux réunions pour lesquelles ils étaient établis.
En effet, la formation restreinte relève que :
- s’il est légitime pour les responsables d’équipe d’avoir accès aux données à caractère personnel des collaborateurs sous leur responsabilité en amont des réunions en vue de se prononcer sur leur éventuel avancement,
- il n’apparaît pas proportionné que les données à caractère personnel de l’ensemble des collaborateurs du Département soient à leur disposition sur un serveur.
En conséquence, la formation restreinte considère qu’en laissant à tous les responsables d’équipe, l’accès aux fichiers préparatoires aux réunions d’avancement, sans distinction selon qu’ils s’agissent de collaborateurs sous leur responsabilité ou non, le responsable de traitement a violé l’article 32 du RGPD.
Pour consulter notre dernière newsletter sur cette sanction : SANCTION PRONONCEE PAR LA CNIL POUR LA PRESENCE DE DONNEES SUR LE NOMBRE DE JOURS DE GREVE DANS LE TRAITEMENT D’EVALUATION DU PERSONNEL | Actualités & publications (helenelebon-avocat.fr)
