Amende de 400000€ pour Régie Autonome Des Transports Parisiens

Amende de € pour Régie Autonome Des Transports Parisiens

Commission Nationale de l'Informatique et des Libertés (CNIL)

Demander une démo

Date de l'amende

4/11/2021

Structure ou entité mise en cause :

Régie Autonome Des Transports Parisiens

Quelle est la base légale ?

Non-respect des principes généraux de traitement des données

Détail des faits

La DPA française (CNIL) a infligé une amende de 400 000 euros à la RATP (l'exploitant du système de transport public de Paris). En mai 2020, un syndicat a déposé une plainte auprès de la CNIL alléguant que le nombre de jours de grève exercés par le personnel était inclus dans les fichiers servant à préparer les décisions de promotion. La CNIL a ensuite mené des investigations dans plusieurs centres de bus RATP. Celles-ci ont permis de confirmer cette pratique dans trois centres de bus RATP. La CNIL a indiqué que les fichiers d'évaluation des performances et des perspectives de promotion ne devaient contenir que les données nécessaires à l'évaluation des salariés. En particulier, il suffisait d'indiquer le nombre total de jours d'absence sans qu'il soit besoin de rentrer dans le détail et de distinguer les jours associés à l'exercice. du droit de grève. Elle a constaté que l'utilisation des données sur le nombre de jours de grève des agents n'était pas nécessaire à ces fins, et que la RATP violait ainsi le principe de minimisation des données énoncé à l'article 5 (1) (c) du RGPD. Par ailleurs, la DPA a constaté que la RATP avait conservé de manière excessive nombre de données de ses salariés. En effet, la RATP a conservé les dossiers d'évaluation des agents pendant plus de trois ans après la commission de promotion, alors que leur conservation n'était requise que pendant 18 mois après la tenue de ces commissions. En outre, la CNIL a constaté que la RATP ne différenciait pas suffisamment les niveaux d'autorisation du personnel, permettant à plus de personnel que nécessaire d'accéder à certaines données. Pour cette raison, la CNIL a conclu que la RATP avait manqué à son obligation de mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de protection adapté au risque.

Articles du RGPD concernés :

- Article 5 : Principes relatifs au traitement des données à caractère personnel
- Article 5 : Principes relatifs au traitement des données à caractère personnel
- Article 5 : Principes relatifs au traitement des données à caractère personnel
- Article 32 : Sécurité du traitement
Télécharger le document officiel de la décision

Questions fréquemment posées

Vous avez encore des questions? Contactez-nous! Nous serons ravis de vous aider.

Qu’est-ce que Leto et à qui s’adresse la solution ?

Leto est une suite logicielle qui aide les entreprises à piloter leur conformité RGPD, la sécurité des données et la sensibilisation des équipes, sans complexité inutile.La solution s’adresse aussi bien aux PME qu’aux ETI, et accompagne les dirigeants, DPO, équipes juridiques, RH et techniques dans la mise en œuvre concrète et continue de la conformité.

Combien de temps faut-il pour mettre en place Leto ?

La prise en main est rapide. En quelques jours, vous pouvez cartographier vos traitements, structurer votre feuille de route RGPD et commencer à sensibiliser vos équipes.Leto repose sur des modèles prêts à l’emploi, une automatisation poussée et un accompagnement guidé par l’IA, ce qui réduit fortement le temps et l’effort nécessaires.

En quoi Leto est-il différent des autres outils RGPD ?

Leto ne se limite pas à produire de la documentation. La plateforme automatise les tâches chronophages, facilite la collaboration entre équipes et transforme la conformité en un processus vivant et pilotable.Avec Hari, l’IA de Leto, vous êtes guidé à chaque étape : génération de documents, réponses aux questionnaires sécurité, priorisation des actions et aide à la décision.

Mes données sont-elles en sécurité avec Leto ?

Oui. Leto est conçu selon les principes de privacy by design.La plateforme ne copie pas vos données personnelles, l’hébergement est 100 % français et les mesures de sécurité sont intégrées nativement pour garantir la confidentialité, l’intégrité et la traçabilité des informations.

Puis-je tester Leto avant de m’engager ?

Oui. Vous pouvez demander une démonstration personnalisée afin de découvrir concrètement la plateforme, ses fonctionnalités et son adéquation avec vos enjeux. Cette démo vous permet d’évaluer rapidement la valeur de Leto pour votre organisation, sans engagement.

Leto peut-il remplacer un DPO ou un cabinet de conseil RGPD ?

Leto est un outil d'aide à la conformité, pas un remplacement du DPO. La plateforme automatise les tâches chronophages et structure votre démarche, mais les décisions et analyses de fond restent de la responsabilité des équipes ou du DPO. Pour les entreprises sans DPO interne ni profil en charge du sujet RGPD, Leto propose un accompagnement complémentaire via des partenaires certifiés.

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026