La société SAF LOGISTICS (ci-après  » la société « ), établie à PUTEAUX (F – 92800), exerce une activité de transport de fret aérien en provenance de la Chine et à destination de l’Europe.

La société faisait partie du groupe international SINOTRANS LTD, qui fait lui-même partie du CHINA MERCHANTS GROUP, propriété de l’Etat chinois. La plupart des salariés de la société sont des ressortissants chinois résidant et travaillant en France et dont les contrats de travail sont soumis à la loi française.

Le 4 août 2020, la Commission nationale de l’informatique et des libertés (ci-après  » la CNIL  » ou  » la Commission « ) a été saisie de deux plaintes qui signalaient que la société avait demandé à l’ensemble de son personnel de renseigner, par l’intermédiaire d’un formulaire rédigé en langue chinoise envoyé le 30 juillet 2020, de nombreuses informations relatives à leur vie privée, notamment l’ethnie, l’affiliation à un parti politique, leur situation familiale ainsi que le nom de leurs parents, de leurs éventuels frères, sœurs et enfants.

A- Sur la qualité de responsable de traitement de SAF LOGISTICS

Le responsable de traitement est défini, aux termes de l’article 4, point 7, du RGPD, comme  » la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement « .

Le traitement objet de la présente procédure concerne la collecte de données par le biais d’un formulaire envoyé par la société aux salariés souhaitant candidater à un poste en Chine afin d’alimenter ce qui est qualifié de  » base de talents interne  » par SAF LOGISTICS.

En premier lieu, la formation restreinte rappelle que le responsable de traitement est la personne qui détermine les finalités du traitement mis en œuvre, c’est-à-dire le résultat attendu ou recherché, et les moyens de ce traitement, c’est-à-dire la façon de parvenir à ce résultat.

A titre d’éclairage, dans ses lignes directrices sur les notions de responsable du traitement et de sous-traitant, qui ont été adoptées le 7 juillet 2021, le Comité européen de protection des données (CEPD) explicite la définition du responsable de traitement en ces termes :  » La détermination des finalités et des moyens revient à décider respectivement du « pourquoi » et du « comment » du traitement : pour une opération de traitement particulière, le responsable du traitement est l’acteur qui a déterminé la raison pour laquelle le traitement a lieu (c’est-à-dire « à quelles fins » ou « pourquoi ») et comment cet objectif sera atteint (c’est-à-dire quels moyens doivent être mis en œuvre pour atteindre l’objectif). Une personne physique ou morale qui exerce cette influence sur le traitement de données à caractère personnel participe ainsi à la détermination des finalités et des moyens du traitement en question, conformément à la définition énoncée à l’article 4, paragraphe 7, du RGPD. Le responsable du traitement doit décider à la fois des finalités et des moyens du traitement, comme indiqué plus haut. Par conséquent, le responsable du traitement ne peut pas se limiter à déterminer uniquement la finalité. Il doit également prendre des décisions concernant les moyens du traitement. À l’inverse, la partie qui agit comme sous-traitant ne peut jamais déterminer la finalité du traitement « .

Il ressort donc tant du RGPD que de la lecture qui en est faite par le CEPD que l’organisme qui définit les finalités pour lesquelles un traitement de données à caractère personnel est mis en œuvre ainsi que les modalités pratiques de ce traitement doit être qualifié de responsable du traitement. La formation restreinte considère que la notion de responsable de traitement doit faire l’objet d’une appréciation concrète prenant en compte l’ensemble des éléments permettant d’attribuer cette qualité à une entité.

En second lieu, la formation restreinte note qu’il ressort des éléments communiqués à la CNIL que c’est la société SAF LOGISTICS qui a demandé à la société-mère chinoise de lui transmettre le formulaire, afin de le diffuser à ses salariés. Ce n’est donc pas la société-mère qui a donné l’ordre à SAF LOGISTICS de transmettre le formulaire aux salariés, mais bien cette dernière qui a pris cette décision en tant que responsable de traitement. Il apparait ainsi que la société, en souhaitant identifier les salariés potentiellement intéressés par un départ en Chine, a défini le  » pourquoi  » du traitement. Ensuite, en se procurant le formulaire auprès de la société-mère et en le diffusant à une vingtaine de personnes, la société a défini les moyens du traitement, autrement dit le  » comment « .

B- Sur la compétence de la CNIL

La CNIL est compétente, sur le fondement de l’article 3-1) du RGPD, pour connaître du traitement des données à caractère personnel mis en œuvre dans le cadre du formulaire transmis à ses salariés par la société SAF LOGISTICS.

C- Sur le manquement à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données en application de l’article 5, paragraphe 1, c) du RGPD

L’article 5, paragraphe 1, c) du RGPD prévoit que les données à caractère personnel doivent être  » adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) « . Lorsque les données sont collectées sur le fondement de l’intérêt légitime, cette collecte ne doit en outre pas porter une atteinte disproportionnée à la vie privée, au regard des objectifs poursuivis par la société.

La formation restreinte rappelle que l’appréciation du respect du principe de minimisation des données repose sur la stricte adéquation entre les données collectées et les raisons présidant à leur collecte.

Elle considère que si la finalité visant à pouvoir contacter les proches d’un salarié en cas d’urgence est légitime, il n’en demeure pas moins qu’en transmettant le formulaire aux salariés, la société était responsable de la collecte des données de ces derniers et de leur transmission à la société-mère. En l’espèce, la société collecte des informations relatives à l’entourage des salariés (frères et sœurs, ascendants, descendants) telles que le nom, prénom, date et lieu de naissance, sexe, lien de parenté, numéro de téléphone, employeur, fonctions et situation maritale, conduisant ainsi à porter atteinte à la vie privée des salariés.

A cet égard, la formation restreinte observe tout d’abord qu’il n’est pas nécessaire de collecter autant d’informations si l’objectif de cette collecte est simplement de disposer des coordonnées d’une personne à contacter.

Ensuite, elle note que le formulaire propose de renseigner les informations relatives à plusieurs membres de la famille. Or, la formation restreinte observe qu’il n’est pas nécessaire à la société de collecter des données concernant autant de personnes différentes pour atteindre cette finalité.

Enfin, la formation restreinte considère que le nombre important et la variété des données à caractère personnel collectées n’est pas justifié au regard de la finalité de contact des proches en cas d’urgence et qu’il serait suffisant de renseigner le nom, le prénom, le lien de parenté et le numéro de téléphone du proche du salarié à contacter en cas d’urgence.

La formation restreinte note par ailleurs que même si les données n’ont finalement pas été exploitées par la société, ces informations ont tout de même été collectées puisqu’elles étaient marquées d’un astérisque et donc obligatoirement renseignées par les salariés de la société. Or dès lors que la société a pris la décision de transmettre le formulaire établi par la société-mère à ses salariés, il était de sa responsabilité de vérifier la nature des informations demandées à ses salariés.

Il résulte de ce qui précède qu’en collectant des données qui n’étaient pas toutes nécessaires à l’accomplissement de la finalité annoncée, la société a manqué à son obligation au titre de l’article 5(1)(c) du RGPD.

D- Sur le manquement à l’interdiction de traiter des catégories particulières de données à caractère personnel en application de l’article 9 du RGPD

Aux termes de l’article 9 du RGPD, le traitement des données à caractère personnel qui révèle des données concernant l’origine ethnique, les opinions politiques, les convictions religieuses ou la santé d’une personne physique est interdit sauf s’il relève d’une des conditions prévues à l’article 9-2-a) à j) du RGPD.

Aux termes de l’article 4 (15) du RGPD, les  » données concernant la santé  » sont  » les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique […] « .

En application de l’article 4 (11) du RGPD, la notion de  » consentement  » s’entend comme toute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

La formation restreinte note qu’il n’est pas contesté que les données à caractère personnel collectées par SAF LOGISTICS sont des données particulières au sens de l’article 9 du RGPD. La formation restreinte relève que les constatations effectuées par la délégation de la CNIL lors du contrôle et la traduction du formulaire en cause permettent de démontrer que la société collecte des catégories particulières de données à caractère personnel, dont certaines, précédées d’un astérisque, devaient obligatoirement être renseignées par les salariés. Il s’agit en particulier des informations relatives à l’appartenance ethnique des salariés ( » minorité  » dans le formulaire) et à leur affiliation politique.

Si la société soutient que le formulaire était facultatif et que les salariés ont donné leur consentement, la formation restreinte note que la société n’a produit aucun document permettant d’attester que le consentement des salariés aurait été recueilli pour collecter leurs données à caractère personnel dans le cadre dudit formulaire. La formation restreinte considère en outre, que dès lors qu’un salarié souhaitait candidater en Chine, il n’avait d’autre véritable choix que de remplir ce formulaire et en particulier de renseigner les données sensibles qui étaient marquées d’un astérisque.

Sur ce point, la formation restreinte souligne que les lignes directrices 5/2020 du CEPD adoptées le 4 mai 2020 sur le consentement précisent que :  » Un déséquilibre des rapports de force peut également avoir lieu dans le cadre des relations de travail. Au vu de la dépendance résultant de la relation employeur/employé, il est peu probable que la personne concernée soit en mesure de refuser de donner son consentement à son employeur concernant le traitement de ses données sans craindre ou encourir des conséquences négatives suite à ce refus « .

La formation restreinte estime que le consentement des salariés ne pouvait pas être qualifié de libre, et ce d’autant moins s’agissant de salariés engagés dans une démarche de mobilité auprès de leur employeur. Les conditions prévues par l’article 4(11) du RGPD relatives au consentement ne sont par conséquent pas remplies.

La formation restreinte note enfin qu’aucun élément produit par la société ne permet de considérer que les autres dérogations à l’interdiction de traiter des catégories particulières de données à caractère personnel sont mobilisables en l’espèce en application de l’article 9-2 b) à j) du RGPD.

Il résulte de ce qui précède que la formation restreinte considère que le fait pour les salariés d’avoir rempli le formulaire en question, contenant des catégories particulières de données, ne saurait être assimilé à un consentement valable pouvant déroger à l’interdiction de traiter leurs données  » sensibles « , comme prévu par l’article 9(2)(a) du RGPD. Les dérogations prévues à l’article 9-2-b) à j) du RGPD ne sont pas non plus mobilisables en l’espèce.

E- Sur le manquement à l’interdiction de collecter ou de traiter des données relatives aux infractions, aux condamnations et aux mesures de sûreté en application de l’article 10 du RGPD

Les dispositions de l’article 10 du RGPD, prévoient que le  » traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l’article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées « .

La formation restreinte note que s’agissant des salariés soumis à la procédure d’habilitation, l’article L. 6342-3 du Code des transports prévoit que les  » services de police et de gendarmerie nationales  » consultent le casier judiciaire des salariés dans le cadre d’une enquête administrative avant de délivrer l’habilitation nécessaire. L’article L. 6342-3 du Code des transports prévoit que  » [l]a délivrance de cette habilitation est précédée d’une enquête administrative donnant lieu à consultation, le cas échéant, du bulletin n°2 du casier judiciaire et des traitements automatisés de données à caractère personnel gérés par les services de police et de gendarmerie nationales relevant des dispositions de l’article 31 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, à l’exception des fichiers d’identification « . Ainsi, l’employeur n’a pas à procéder à ces vérifications lorsque celles-ci sont assurées par une autorité habilitée.

La formation restreinte considère ensuite, concernant les salariés qui ne sont pas soumis à la procédure d’habilitation, que si la société pouvait consulter les extraits de casiers judiciaires des salariés, elle n’était pas autorisée à les conserver.

 Il résulte de ce qui précède qu’en consultant et conservant des extraits de casiers judiciaires de ses salariés en dehors des cas prévus par la loi, la société a manqué à ses obligations au titre de l’article 10 du RGPD.

(Extraits de : CNIL, Délibération SAN-2023-013 du 18 septembre 2023 : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000048110233?init=true&page=1&query=san-2023-013&searchField=ALL&tab_selection=all)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)