Délibération SAN-2023-013 du 18 septembre 2023

Délibération de la formation restreinte no SAN-2023-013 du 18 septembre 2023 concernant la société SAF LOGISTICS

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Monsieur Philippe-Pierre CABOURDIN, vice-président, Mesdames Anne DEBET et Christine MAUGÜÉ, et Messieurs Alain DRU et Bertrand du MARAIS, membres ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;

Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu les saisines no 20013079 et n° 20013664 ;

Vu la décision n° 2021-221C du 29 juin 2021 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification de la conformité des traitements de données à caractère personnel mis en œuvre par la société SAF LOGISTICS ou pour son compte, aux dispositions du règlement (UE) 2016/679 susvisé et de la loi n°78-17 du 6 janvier 1978 modifiée et, le cas échéant aux dispositions des articles L. 251-1 et suivants du code de la sécurité intérieure ;

Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 3 juin 2022 ;

Vu le rapport de Madame Sophie LAMBREMON, commissaire rapporteure, notifié à la société SAF LOGISTICS le 21 février 2023 ;

Vu les observations écrites versées par la société SAF LOGISTICS le 11 avril 2023 ;

Vu la réponse de la rapporteure à ces observations, notifiée le 11 mai 2023 au conseil de la société ;

Vu les observations écrites versées par la société SAF LOGISTICS le 12 juin 2023 ;

Vu les autres pièces du dossier ;

Étaient présents, lors de la séance de la formation restreinte du 13 juillet 2023 :

- Madame Sophie LAMBREMON, commissaire, entendue en son rapport ;

En qualité de représentants de la société SAF LOGISTICS :

[…]

La société SAF LOGISTICS ayant eu la parole en dernier ;

La formation restreinte a adopté la décision suivante :

I. Faits et procédure

1. La société SAF LOGISTICS (ci-après " la société "), établie à LA GRANDE ARCHE 1 PARVIS DE LA DEFENSE PAROI NORD à PUTEAUX (92800), exerce une activité de transport de fret aérien en provenance de la Chine et à destination de l’Europe. La société a été créée le 12 avril 2017. Elle employait, en 2020, […] salariés. Elle a réalisé, en 2020, un chiffre d’affaires d’environ […], pour un résultat net d’environ […] euros, en 2021 un chiffre d’affaires de […] d’euros pour un résultat net de […] euros environ, puis en 2022, un chiffre d’affaires d’environ […] d’euros, pour un résultat net […] euros.

2. La société faisait partie du groupe international SINOTRANS LTD, qui fait lui-même partie du CHINA MERCHANTS GROUP, propriété de l’Etat chinois. Le 22 juillet 2022, la société SINOTRANS HF (SHANGAI) INTERNATIONAL LOGISTICS CO., LTD, associée unique de la société SINOTRANS AIR FRANCE a cédé l’ensemble de ses parts à la société de droit polonais SCM PAL, elle-même propriété d’une société chinoise, basée à Hong-Kong. Le 30 juillet 2022, la société a changé sa dénomination sociale pour celle de SAF LOGISTICS. Son gérant reste inchangé, en la personne de Monsieur […]. La plupart des salariés de la société sont des ressortissants chinois résidant et travaillant en France et dont les contrats de travail sont soumis à la loi française.

3. Le 4 août 2020, la Commission nationale de l’informatique et des libertés (ci-après " la CNIL " ou " la Commission ") a été saisie de deux plaintes qui signalaient que la société avait demandé à l’ensemble de son personnel de renseigner, par l’intermédiaire d’un formulaire rédigé en langue chinoise envoyé le 30 juillet 2020, de nombreuses informations relatives à leur vie privée, notamment l’ethnie, l’affiliation à un parti politique, leur situation familiale ainsi que le nom de leurs parents, de leurs éventuels frères, sœurs et enfants. Par courriers des 13 août et 17 septembre 2020, les services de la CNIL ont sollicité des informations complémentaires sur le traitement visé dans les plaintes.

4. En application de la décision n° 2021-221C du 29 juin 2021 de la Présidente de la CNIL une mission de contrôle a eu lieu le 21 octobre 2021, au sein des locaux de la société SAF LOGISTICS, situés à LA GRANDE ARCHE 1 PARVIS DE LA DEFENSE PAROI NORD à PUTEAUX (92800).

5. Cette mission a eu pour principal objet de procéder à la vérification de la conformité des traitements de données à caractère personnel mis en œuvre par la société SAF LOGISTICS ainsi que de tout traitement lié, aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après " le RGPD ") et de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée (ci-après " la loi Informatique et Libertés ") et, le cas échéant aux dispositions des articles L.251-1 et suivants du code de la sécurité intérieure. Cette mission a donné lieu à l’établissement du procès-verbal n° 2021-221/1, et à des documents communiqués par la société les 4 novembre 2021, 18 mars et 22 avril 2022. A ces occasions, la société a produit deux traductions en français du formulaire en question.

6. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 3 juin 2022, désigné Madame Sophie LAMBREMON en qualité de rapporteure sur le fondement de l’article 39 du décret n°2019-536 du 29 mai 2019 modifié.

7. À l’issue de son instruction, la rapporteure a, le 21 février 2023, fait notifier à la société un rapport détaillant les manquements aux articles 5-1-c), 9, 10 et 31 du RGPD qu’elle estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de prononcer une amende administrative à l’encontre de la société et que cette décision soit rendue publique mais ne permette plus d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

8. Le 11 avril 2023, la société a produit ses observations en réponse au rapport de sanction.

9. La rapporteure a répondu aux observations de la société le 11 mai 2023.

10. Le 12 juin 2023, la société a produit de nouvelles observations en réponse à celles de la rapporteure.

11. Par courrier du 22 juin 2023, la rapporteure a informé le conseil de la société que l’instruction était close, en application de l’article 40, III, du décret modifié n° 2019-536 du 29 mai 2019.

12. Par courrier du 22 juin 2023, la société a été informée que le dossier était inscrit à l’ordre du jour de la formation restreinte du 13 juillet 2023.

13. La rapporteure et la société ont présenté des observations orales lors de la séance de la formation restreinte du 13 juillet 2023.

II- Motifs de la décision

A- Sur la qualité de responsable de traitement de SAF LOGISTICS

14. Le responsable de traitement est défini, aux termes de l’article 4, point 7, du RGPD, comme " la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ".

15. Le traitement objet de la présente procédure concerne la collecte de données par le biais d’un formulaire envoyé par la société aux salariés souhaitant candidater à un poste en Chine afin d’alimenter ce qui est qualifié de " base de talents interne " par SAF LOGISTICS.

16. La rapporteure considère qu’en l’espèce, s’il n’est pas contesté que le formulaire litigieux n’a pas été élaboré par SAF LOGISTICS mais par sa maison mère chinoise, la société Sinotrans Hongfeng Shanghai limited, ceci n’exclut pas que la société SAF LOGISTICS doit être regardée comme responsable de traitement pour les raisons suivantes.

17. Tout d’abord, elle rappelle que, à la suite de la demande d’un salarié souhaitant travailler en Chine, la société s’est rapprochée de sa société-mère pour obtenir le formulaire afin de le transmettre aux autres salariés pour la première fois le 30 juillet 2020. La rapporteure note à cet égard que si SAF LOGISTICS n’avait pas pris l’initiative de solliciter le formulaire auprès de la société-mère dans le but de le diffuser à ses salariés, le traitement en cause n’aurait pas eu lieu.

18. La rapporteure considère ensuite que la société traite une partie des données renseignées par ses salariés par le biais du formulaire litigieux pour une autre finalité déterminée par elle et qui apparait propre à ses besoins, à savoir lui permettre de contacter les proches des salariés en cas de problème.

19. En défense, la société estime que son rôle dans la diffusion du formulaire ne suffit pas à lui conférer la qualité de responsable de traitement. Elle a indiqué lors de la séance de la formation restreinte ne pas avoir utilisé les données issues du formulaire pour son propre compte dès lors que le formulaire a été établi par la société mère dans le cadre du recrutement de salariés en Chine, et ne pas avoir utilisé les données issues du formulaire pour informer les proches des salariés en cas d’urgence.

20. Dans ses observations, la société soutient qu’elle s’est limitée à diffuser le formulaire à une vingtaine de salariés, ce qui n’implique pas qu’elle ait eu un rôle déterminant ou une influence dans la détermination des finalités et des moyens du traitement. Elle affirme ainsi, dans ses observations en réponse, qu’" elle a agi comme une simple " boite aux lettres " pour les personnes qui souhaitent postuler auprès de la Société Mère " et qu’elle n’a donc défini ni les finalités, ni les moyens du traitement.

21. Au cours de la séance devant la formation restreinte, la société a finalement indiqué que c’est le salarié souhaitant travailler en Chine qui avait lui-même diffusé le formulaire auprès de ses collègues.

22. En premier lieu, la formation restreinte rappelle que le responsable de traitement est la personne qui détermine les finalités du traitement mis en œuvre, c’est-à-dire le résultat attendu ou recherché, et les moyens de ce traitement, c’est-à-dire la façon de parvenir à ce résultat.

23. A titre d’éclairage, dans ses lignes directrices sur les notions de responsable du traitement et de sous-traitant, qui ont été adoptées le 7 juillet 2021, le Comité européen de protection des données (CEPD) explicite la définition du responsable de traitement en ces termes : " La détermination des finalités et des moyens revient à décider respectivement du "pourquoi" et du "comment" du traitement : pour une opération de traitement particulière, le responsable du traitement est l’acteur qui a déterminé la raison pour laquelle le traitement a lieu (c’est-à-dire "à quelles fins" ou "pourquoi") et comment cet objectif sera atteint (c’est-à-dire quels moyens doivent être mis en œuvre pour atteindre l’objectif). Une personne physique ou morale qui exerce cette influence sur le traitement de données à caractère personnel participe ainsi à la détermination des finalités et des moyens du traitement en question, conformément à la définition énoncée à l’article 4, paragraphe 7, du RGPD. Le responsable du traitement doit décider à la fois des finalités et des moyens du traitement, comme indiqué plus haut. Par conséquent, le responsable du traitement ne peut pas se limiter à déterminer uniquement la finalité. Il doit également prendre des décisions concernant les moyens du traitement. À l’inverse, la partie qui agit comme sous-traitant ne peut jamais déterminer la finalité du traitement ".

24. Il ressort donc tant du RGPD que de la lecture qui en est faite par le CEPD que l’organisme qui définit les finalités pour lesquelles un traitement de données à caractère personnel est mis en œuvre ainsi que les modalités pratiques de ce traitement doit être qualifié de responsable du traitement. La formation restreinte considère que la notion de responsable de traitement doit faire l’objet d’une appréciation concrète prenant en compte l’ensemble des éléments permettant d’attribuer cette qualité à une entité.

25. En second lieu, la formation restreinte note qu’il ressort des éléments communiqués à la CNIL que c’est la société SAF LOGISTICS qui a demandé à la société-mère chinoise de lui transmettre le formulaire, afin de le diffuser à ses salariés. Ce n’est donc pas la société-mère qui a donné l’ordre à SAF LOGISTICS de transmettre le formulaire aux salariés, mais bien cette dernière qui a pris cette décision en tant que responsable de traitement. Dans ses observations en réponse du 11 avril 2023, la société précise à ce propos : " L’envoi de ce formulaire faisait suite à la demande d’un employé chinois qui souhaitait postuler en Chine et connaitre le processus de candidature. SAF a pris contact avec la société mère en Chine à ce sujet " et qu’elle avait " envoyé un formulaire à des salariés dans l’hypothèse où certains d’entre eux auraient la volonté d’aller travailler auprès de la société mère en Chine ". Il apparait ainsi que la société, en souhaitant identifier les salariés potentiellement intéressés par un départ en Chine et non uniquement le salarié ayant fait la demande initiale, a défini le " pourquoi " du traitement. Ensuite, en se procurant le formulaire auprès de la société-mère et en le diffusant à une vingtaine de personnes, la société a défini les moyens du traitement, autrement dit le " comment ".

26. S’agissant de l’argument présenté en séance par la société selon lequel c’est le salarié souhaitant partir en Chine qui aurait transmis le formulaire à ses collègues, la formation restreinte relève qu’outre le fait que cet argument contredit les écritures de la société, il ressort du dossier que ce formulaire a été diffusé aux salariés par la société au moyen de la messagerie WeChat.

27. La formation restreinte considère donc, compte tenu de ces éléments, que la société SAF LOGISTICS doit être qualifiée de responsable du traitement lié à la collecte des données renseignées par le biais du formulaire.

B- Sur la compétence de la CNIL

28. L’article 3-1) du RGPD dispose que " le présent règlement s'applique au traitement des données à caractère personnel effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union ".

29. L’article 55-1 du RGPD dispose que " chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l’Etat membre dont elle relève ".

30. L’article 8-2° de la loi Informatique et Libertés précise en outre que " la Commission nationale de l'informatique et des libertés (…) veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France ".

31. La société considère que dans la mesure où elle n’est pas responsable du traitement lié au formulaire, la CNIL n’est pas compétente pour prononcer une mesure correctrice à son encontre.

32. La formation restreinte rappelle que la CNIL est compétente pour veiller, sur le territoire français, à ce que les traitements auxquels les dispositions du RGPD ou de la loi du 6 janvier 1978 modifiée qui s’appliquent soient mis en œuvre conformément aux dispositions de ces textes.

33. En l’espèce, la formation restreinte relève que, dès lors que la société SAF LOGISTICS, qui est responsable du traitement lié au formulaire, est établie sur le territoire de l’Union Européenne, en l’occurrence en France, les critères de la compétence territoriale de la CNIL sont remplis.

34. La CNIL est dès lors compétente, sur le fondement de l’article 3-1) du RGPD, pour connaître du traitement des données à caractère personnel mis en œuvre dans le cadre du formulaire transmis à ses salariés par la société SAF LOGISTICS.

C- Sur le manquement à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données en application de l’article 5, paragraphe 1, c) du RGPD

35. L’article 5, paragraphe 1, c) du RGPD prévoit que les données à caractère personnel doivent être " adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ". Lorsque les données sont collectées sur le fondement de l’intérêt légitime, cette collecte ne doit en outre pas porter une atteinte disproportionnée à la vie privée, au regard des objectifs poursuivis par la société.

36. La rapporteure considère que la société a manqué au principe de minimisation s’agissant des données collectées par SAF LOGISTICS pour la finalité liée au contact des proches des salariés en cas d’urgence, dans la mesure où certaines données n’apparaissent pas pertinentes pour atteindre cet objectif.

37. En défense, la société soutient que dans la mesure où elle n’est pas responsable du traitement lié au formulaire litigieux, et que les informations renseignées dans le formulaire étaient destinées à la société mère pour contacter les proches des salariés en cas d’urgence, il ne saurait lui être reproché un manquement au principe de minimisation. La société indique ensuite avoir pris la décision de cesser la communication du formulaire aux salariés à la suite de la réception des premiers courriers de la CNIL.

38. La formation restreinte rappelle que l’appréciation du respect du principe de minimisation des données repose sur la stricte adéquation entre les données collectées et les raisons présidant à leur collecte.

39. Elle considère que si la finalité visant à pouvoir contacter les proches d’un salarié en cas d’urgence est légitime, il n’en demeure pas moins qu’en transmettant le formulaire aux salariés, la société était responsable de la collecte des données de ces derniers et de leur transmission à la société-mère. En l’espèce, la société collecte des informations relatives à l’entourage des salariés (frères et sœurs, ascendants, descendants) telles que le nom, prénom, date et lieu de naissance, sexe, lien de parenté, numéro de téléphone, employeur, fonctions et situation maritale, conduisant ainsi à porter atteinte à la vie privée des salariés.

40. A cet égard, la formation restreinte observe tout d’abord qu’il n’est pas nécessaire de collecter autant d’informations si l’objectif de cette collecte est simplement de disposer des coordonnées d’une personne à contacter.

41. Ensuite, elle note que le formulaire propose de renseigner les informations relatives à plusieurs membres de la famille. Or, la formation restreinte observe qu’il n’est pas nécessaire à la société de collecter des données concernant autant de personnes différentes pour atteindre cette finalité.

42. Enfin, la formation restreinte considère que le nombre important et la variété des données à caractère personnel collectées n’est pas justifié au regard de la finalité de contact des proches en cas d’urgence et qu’il serait suffisant de renseigner le nom, le prénom, le lien de parenté et le numéro de téléphone du proche du salarié à contacter en cas d’urgence.

43. La formation restreinte note par ailleurs que même si les données n’ont finalement pas été exploitées par la société, ces informations ont tout de même été collectées puisqu’elles étaient marquées d’un astérisque et donc obligatoirement renseignées par les salariés de la société. Or dès lors que la société a pris la décision de transmettre le formulaire établi par la société-mère à ses salariés, il était de sa responsabilité de vérifier la nature des informations demandées à ses salariés.

44. Il résulte de ce qui précède qu’en collectant des données qui n’étaient pas toutes nécessaires à l’accomplissement de la finalité annoncée, la société a manqué à son obligation au titre de l’article 5(1)(c) du RGPD.

D- Sur le manquement à l’interdiction de traiter des catégories particulières de données à caractère personnel en application de l’article 9 du RGPD

45. Aux termes de l’article 9 du RGPD, le traitement des données à caractère personnel qui révèle des données concernant l’origine ethnique, les opinions politiques, les convictions religieuses ou la santé d'une personne physique est interdit sauf s’il relève d’une des conditions prévues à l’article 9-2-a) à j) du RGPD.

46. Aux termes de l’article 4 (15) du RGPD, les " données concernant la santé " sont " les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique […] ".

47. En application de l’article 4 (11) du RGPD, la notion de " consentement " s’entend comme toute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.

48. La rapporteure relève que la traduction du formulaire communiquée le 25 septembre 2020 au soutien de la plainte initiale, a permis de révéler que certaines des données collectées auprès des salariés relèvent des catégories particulières visées à l’article 9 du RGPD. Or, la rapporteure considère que dès lors qu’il est obligatoire de remplir ces champs du formulaire pour pouvoir candidater en Chine, le consentement des salariés n’est pas librement donné, et qu’il n’est pas exclu que le refus d’un salarié de remplir ces champs l’empêche de candidater en Chine.

49. En défense, la société précise que les salariés n’étaient pas dans l’obligation de remplir le formulaire qui était destiné aux salariés souhaitant candidater en Chine. Elle rappelle qu’elle a informé la CNIL dans un courrier du 9 septembre 2020, que " les données sont volontairement communiquées par les salariés ", et que " les salariés ont donné leurs consentements explicites au traitement de ces données à caractère personnel pour l’objective (sic) de postuler les postes internes du groupe ". De la même manière, la société note que lors de son contrôle sur place, la délégation de contrôle de la CNIL a été informée que " Les services des ressources humaines ont précisé aux salariés qu’il n’était pas obligatoire de répondre à ce formulaire sauf s’ils souhaitaient travailler en Chine ". La société considère ainsi que le manquement n’est pas caractérisé.

50. La formation restreinte note qu’il n’est pas contesté que les données à caractère personnel collectées par SAF LOGISTICS sont des données particulières au sens de l’article 9 du RGPD. La formation restreinte relève que les constatations effectuées par la délégation de la CNIL lors du contrôle et la traduction du formulaire en cause permettent de démontrer que la société collecte des catégories particulières de données à caractère personnel, dont certaines, précédées d’un astérisque, devaient obligatoirement être renseignées par les salariés. Il s’agit en particulier des informations relatives à l’appartenance ethnique des salariés (" minorité " dans le formulaire) et à leur affiliation politique.

51. Si la société soutient que le formulaire était facultatif et que les salariés ont donné leur consentement, la formation restreinte note que la société n’a produit aucun document permettant d’attester que le consentement des salariés aurait été recueilli pour collecter leurs données à caractère personnel dans le cadre dudit formulaire. La formation restreinte considère en outre, que dès lors qu’un salarié souhaitait candidater en Chine, il n’avait d’autre véritable choix que de remplir ce formulaire et en particulier de renseigner les données sensibles qui étaient marquées d’un astérisque.

52. Sur ce point, la formation restreinte souligne que les lignes directrices 5/2020 du CEPD adoptées le 4 mai 2020 sur le consentement précisent que : " Un déséquilibre des rapports de force peut également avoir lieu dans le cadre des relations de travail. Au vu de la dépendance résultant de la relation employeur/employé, il est peu probable que la personne concernée soit en mesure de refuser de donner son consentement à son employeur concernant le traitement de ses données sans craindre ou encourir des conséquences négatives suite à ce refus ".

53. La formation restreinte estime que le consentement des salariés ne pouvait pas être qualifié de libre, et ce d’autant moins s’agissant de salariés engagés dans une démarche de mobilité auprès de leur employeur. Les conditions prévues par l’article 4(11) du RGPD relatives au consentement ne sont par conséquent pas remplies.

54. La formation restreinte note enfin qu’aucun élément produit par la société ne permet de considérer que les autres dérogations à l’interdiction de traiter des catégories particulières de données à caractère personnel sont mobilisables en l’espèce en application de l’article 9-2 b) à j) du RGPD.

55. Il résulte de ce qui précède que la formation restreinte considère que le fait pour les salariés d’avoir rempli le formulaire en question, contenant des catégories particulières de données, ne saurait être assimilé à un consentement valable pouvant déroger à l’interdiction de traiter leurs données " sensibles ", comme prévu par l’article 9(2)(a) du RGPD. Les dérogations prévues à l’article 9-2-b) à j) du RGPD ne sont pas non plus mobilisables en l’espèce.

E- Sur le manquement à l’interdiction de collecter ou de traiter des données relatives aux infractions, aux condamnations et aux mesures de sûreté en application de l’article 10 du RGPD

56. Les dispositions de l’article 10 du RGPD, prévoient que le " traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l’article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées ".

57. L’article 777-3 du code de procédure pénale prévoit qu’" Aucun fichier ou traitement de données à caractère personnel détenu par une personne quelconque ou par un service de l'Etat ne dépendant pas du ministère de la justice ne pourra mentionner, hors les cas et dans les conditions prévus par la loi, des jugements ou arrêts de condamnation ".

58. La rapporteure relève qu’il ressort des constatations effectuées par la délégation de la CNIL lors du contrôle sur place du 21 octobre 2021 que des extraits du casier judiciaire, précisément le bulletin n°3, se trouvaient dans les dossiers individuels de salariés dont les contrats de travail sont en cours d’exécution.

59. La rapporteure considère que s’agissant des salariés soumis à une procédure d’habilitation, ce sont les " services de police et de gendarmerie " qui consultent le casier judiciaire et non l’employeur, et que s’agissant des employés qui ne sont pas soumis à une procédure d’habilitation, l’employeur peut seulement consulter le casier judiciaire.

60. En défense, la société soutient dans le cadre de ses observations que tous les salariés ne sont pas soumis à la procédure d’habilitation décrite, et que par conséquent, la société pouvait consulter les extraits du bulletin n°3 compte tenu de son " activité de fret aérien, de la réception des marchandises, de la manutention, et des salariés manipulant des objets de grande valeur ". Par ailleurs, la société ne conteste pas la conservation d’extraits du bulletin n°3 mais précise que leur conservation n’était pas systématique.

61. La formation restreinte note que s’agissant des salariés soumis à la procédure d’habilitation, l’article L. 6342-3 du Code des transports prévoit que les " services de police et de gendarmerie nationales " consultent le casier judiciaire des salariés dans le cadre d’une enquête administrative avant de délivrer l’habilitation nécessaire. L’article L. 6342-3 du Code des transports prévoit que " [l]a délivrance de cette habilitation est précédée d’une enquête administrative donnant lieu à consultation, le cas échéant, du bulletin n°2 du casier judiciaire et des traitements automatisés de données à caractère personnel gérés par les services de police et de gendarmerie nationales relevant des dispositions de l'article 31 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, à l'exception des fichiers d'identification ". Ainsi, l’employeur n’a pas à procéder à ces vérifications lorsque celles-ci sont assurées par une autorité habilitée.

62. La formation restreinte considère ensuite, concernant les salariés qui ne sont pas soumis à la procédure d’habilitation, que si la société pouvait consulter les extraits de casiers judiciaires des salariés, elle n’était pas autorisée à les conserver.

63. Il résulte de ce qui précède qu’en consultant et conservant des extraits de casiers judiciaires de ses salariés en dehors des cas prévus par la loi, la société a manqué à ses obligations au titre de l’article 10 du RGPD.

F- Sur le manquement à l’obligation de coopérer avec les services de la CNIL en application de l’article 31 du RGPD

64. L’article 31 du RGPD dispose que " le responsable du traitement et le sous-traitant ainsi que, le cas échéant, leurs représentants coopèrent avec l'autorité de contrôle, à la demande de celle-ci, dans l'exécution de ses missions ".

65. La rapporteure relève que lorsque les services de la CNIL ont sollicité le 17 septembre 2020 auprès de la société l’envoi de la liste exhaustive des données collectées au moyen du formulaire, la société a transmis par courrier le 25 septembre 2020 un tableau présenté comme la liste demandée, ainsi que sa traduction en français. La rapporteure note toutefois que lorsque les services de la CNIL ont constaté que le tableau fourni comportait un nombre de lignes inférieur au formulaire original qui avait été transmis par le salarié à l’origine de la plainte, la CNIL a de nouveau sollicité une traduction du formulaire. La société a, le 4 novembre 2021, produit une nouvelle pièce présentée comme étant une traduction complète du formulaire qui comportait un nombre de lignes plus important que lors de la première communication mais qui ne correspondait toujours pas au nombre de lignes présentes dans le formulaire.

66. La rapporteure relève que dans les deux traductions produites par la société, les champs relatifs à l’origine ethnique, au groupe sanguin ou à l’affiliation politique n’apparaissent pas. La rapporteure estime que de tels agissements caractérisent un obstacle à l’exercice de la mission de contrôle de la CNIL.

67. En outre, la rapporteure relève que si la société a déclaré avoir cessé la collecte des données à caractère personnel des salariés après la réception du courrier de la CNIL, il ressort des pièces transmises par la société à la délégation de la CNIL que le formulaire a continué à être utilisé au moins jusqu’au 18 novembre 2020.

68. En défense, la société soutient avoir transmis le formulaire complet en langue chinoise dès le début de la procédure, accompagné d’un tableau en langue française reprenant non pas tous les champs du formulaire litigieux mais seulement les différentes catégories de données à caractère personnel qu’elle collectait pour son propre compte. La société reconnait ensuite avoir fourni à la CNIL une traduction incomplète du formulaire le 4 novembre 2021 mais soutient qu’il ne s’agit pas d’un défaut de coopération mais plutôt d’une " grossière négligence du traducteur " et d’un " manque de diligence " de la société qui " dispose de peu de ressources administratives et de personnel francophone ".

69. La société ajoute ensuite qu’elle a cessé l’envoi du formulaire aux salariés plusieurs semaines après la réception du courrier de la CNIL du 13 août 2020, ce qui explique l’envoi du formulaire aux salariés le 18 novembre 2020, et que cet envoi est une erreur imputable à une assistante du service des ressources humaines.

70. En premier lieu, la formation restreinte note que mis à part la traduction du formulaire, la société a produit tous les documents demandés par la CNIL. La formation restreinte prend ensuite acte de ce que la transmission par la société le 25 septembre 2020 d’un tableau en français qui ne correspondait pas à la traduction du formulaire peut être le fruit d’une incompréhension relative à la formulation de la demande faite par la CNIL à la société, de fournir " la liste exhaustive des données collectées auprès des salariés, en nous transmettant, le cas échéant, une copie du formulaire demandant ces données aux salariés ", qui ne faisait pas explicitement référence à la traduction du formulaire. En revanche, la société n’explique pas pourquoi la traduction du formulaire produite par la société à l’issue du contrôle était incomplète. En effet, la demande de pièces complémentaires issue du procès-verbal de contrôle du 21 octobre 2021 demandait en des termes non équivoques la communication de " la traduction complète du formulaire, y compris le contenu des listes déroulantes ", et le bordereau de pièces joint à la réponse de la société du 4 novembre 2021 présente la pièce n°2 comme étant la " Traduction française complète du formulaire ", et reprenant ainsi les termes de la demande de la CNIL, à l’exception de la référence aux menus déroulants. La formation restreinte considère ainsi que la société avait une parfaite compréhension de la demande formulée par la CNIL.

71. En deuxième lieu, la formation restreinte note que dans le document présenté par la société comme une traduction des listes déroulantes du formulaire dans son courrier du 4 novembre 2021, les mentions litigieuses sont omises. Comme l’a relevé la rapporteure, le nombre de lignes du document présenté comme une traduction du formulaire et produit par la société était largement inférieur au nombre de lignes du formulaire en langue chinoise. La CNIL a en effet constaté que le formulaire original comporte 89 lignes à compléter, tandis que la deuxième traduction du formulaire produite par la société comporte 50 lignes.

72. La formation restreinte note qu’après avoir demandé à la société de lui transmettre la traduction complète du formulaire, les services de la CNIL ont eu recours à un traducteur externe pour faire traduire le formulaire. Ils ont ainsi constaté que les traductions produites par la société avaient omis les champs litigieux à renseigner tels que l’origine ethnique et l’appartenance à un parti politique. La formation restreinte en conclut ainsi que la société a sciemment retiré les références aux données sensibles des versions traduites des formulaires, ce qui traduit une volonté de ne pas coopérer avec les services de la CNIL et de chercher à empêcher la CNIL d’exercer ses pouvoirs de contrôle. Par ailleurs, la société, qui ne conteste pas que la traduction fournie était incomplète, se contente d’indiquer qu’il s’agit d’une " grossière négligence du traducteur ", sans expliquer pour quelle raison seuls les champs contenant des données particulières étaient omis. Cet argument n’est en tout état de cause pas recevable dès lors que la société est responsable des pièces qu’elle transmet à la CNIL et qu’il lui incombait de vérifier que les traductions produites étaient complètes, comme annoncé dans le bordereau de pièces.

73. En troisième lieu, la formation restreinte constate que la société n’a pas cessé l’envoi du formulaire aux salariés après la réception du courrier de la CNIL du 13 août 2020 comme elle l’avait pourtant affirmé. En effet, il ressort des constations de la CNIL que des formulaires ont été envoyés aux salariés le 18 novembre 2020 par l’intermédiaire de la messagerie " WeChat ", soit plus de trois mois après ledit courrier. Ainsi, elle n’a pas fourni d’informations fiables à la délégation de contrôle.

74. En conséquence, la formation restreinte relève que les déclarations de la société sont contredites par les constatations de la CNIL, ce qui traduit une volonté manifeste de la société de ne pas coopérer avec les services de la CNIL, et une intention de chercher à empêcher la CNIL d’exercer ses pouvoirs de contrôle.

75. Dans ces conditions, la formation restreinte considère que la société a méconnu l’obligation prévue par l’article 31 du RGPD.

II. Sur les mesures correctrices et leur publicité

76. Aux termes du III de l’article 20 de la loi du 6 janvier 1978 modifiée :

" Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : […] 7° À l'exception des cas où le traitement est mis en œuvre par l'État, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83. "

77. L’article 83 du RGPD prévoit que " Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives ", avant de préciser les éléments devant être pris en compte pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de cette amende.

A. Sur le prononcé d’une amende administrative et son montant

a. Sur le prononcé d’une amende administrative

78. La société considère que l’amende administrative proposée est disproportionnée par rapport aux manquement allégués, en raison du nombre de personnes concernées, de l’absence de tout bénéfice tiré du manquement et de la cessation de l’envoi du formulaire par la société.

79. La formation restreinte rappelle qu’elle doit tenir compte, pour le prononcé d’une amende administrative, des critères précisés à l’article 83 du RGPD, tels que la nature, la gravité et la durée de la violation, la portée ou la finalité du traitement concerné, le nombre de personnes affectées, les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, le fait que la violation a été commise par négligence, le degré de coopération avec l’autorité de contrôle et dans certain cas, le niveau de dommage subi par les personnes.

80. S’agissant du manquement au principe de minimisation des données à caractère personnel, la formation restreinte relève que ce manquement conduit à porter atteinte à la vie privée des salariés et de tiers, en permettant la collecte d’informations relatives aux membres de leur famille.

81. S’agissant du manquement à l’obligation de recueillir le consentement des personnes concernées au traitement de données sensibles, la formation restreinte relève que le consentement des salariés n’a pas été obtenu de manière libre dès lors que certaines informations devaient obligatoirement être renseignées et que la société n’a pas produit d’élément permettant de constater que le consentement des salariés avait été obtenu pour le recueil de leurs données à caractère personnel pour la finalité de candidater en Chine, ni que les autres exceptions prévues à l’article 9-2 b) à j) du RGPD étaient mobilisables.

82. S’agissant du manquement à l’interdiction de collecter ou de traiter des données relatives aux infraction, aux condamnations et aux mesures de sûreté, la formation restreinte considère que le fait pour la société de conserver des extraits de casiers judiciaires des salariés est particulièrement intrusif et peut révéler des informations sur ces derniers dont la société n’est pas autorisée à avoir connaissance.

83. S’agissant du manquement à l’obligation de coopérer avec les services de la CNIL, la formation restreinte considère que l’envoi par la société de traductions volontairement incomplètes du formulaire malgré plusieurs sollicitations, et la fourniture à la CNIL d’informations inexactes concernant l’arrêt de l’envoi du formulaire aux salariés démontrent la volonté de chercher à empêcher la CNIL d’exercer ses pouvoirs de contrôle.

84. Enfin, la formation restreinte relève que le fait que la société ait cessé d’envoyer le formulaire aux salariés n’exonère par la société de sa responsabilité pour les manquements constatés.

85. En conséquence, la formation restreinte considère qu’il y a lieu de prononcer une amende administrative au regard des manquements constitués aux article 5- 1-c), 9, 10 et 31 du RGPD.

b. Sur le montant de l’amende administrative

86. La formation restreinte relève d’abord que les manquements relatifs aux articles 5-1-c) et 9 du RGPD sont des manquements à des principes clé du RGPD, susceptibles de faire l’objet, en vertu de l’article 83 du RGPD, d’une amende administrative pouvant s’élever jusqu’à 20 000 000 euros et jusqu’à 4 % du chiffre d’affaires annuel, le montant le plus élevé étant retenu.

87. La formation restreinte rappelle ensuite que les amendes administratives doivent être à la fois dissuasives et proportionnées. La formation restreinte relève que la société SAF LOGISTICS a réalisé, en 2021, un chiffre d’affaires d’environ […] d’euros, pour un résultat net de […] euros environ, et en 2022, un chiffre d’affaires de […] d’euros, pour un résultat net […] euros.

88. Dès lors, au regard de la responsabilité de la société, de ses capacités financières et des critères pertinents de l’article 83 du Règlement évoqués ci-avant, la formation restreinte estime qu’une amende administrative d’un montant de deux cent mille euros, au regard des manquements constitués aux articles 5-1-c), 9, 10 et 31 du RGPD apparait justifié.

B. Sur la publicité

89. Pour justifier cette demande de publicité, la rapporteure invoque notamment la gravité des manquements reprochés, dès lors qu’ils touchent à des principes clés du RGPD. La société conteste la proposition de la rapporteure de rendre publique la présente décision. Elle considère qu’au vu du risque pour la viabilité économique de la société et de sa bonne volonté, la publicité de la mesure de sanction serait disproportionnée.

90. La formation restreinte considère que la publicité de la présente décision se justifie au regard de la gravité des manquements en cause et des catégories de données collectées par la société.

91. Enfin, la mesure est proportionnée dès lors que la décision n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

• prononcer à l’encontre de la société SAF LOGISTICS une amende administrative d’un montant de deux cent mille euros (200 000 €) au regard des manquements constitués aux articles 5-1-c), 9, 10 et 31 du règlement (UE) n° 2016/679 du 27 avril 2016 relatif à la protection des données ;

• rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

Le vice-président

Philippe-Pierre CABOURDIN

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.

Retourner en haut de la page