La DPA française (CNIL) a infligé une amende de 400 000 euros à la RATP (l'exploitant du système de transport public de Paris). En mai 2020, un syndicat a déposé une plainte auprès de la CNIL alléguant que le nombre de jours de grève exercés par le personnel était inclus dans les fichiers servant à préparer les décisions de promotion. La CNIL a ensuite mené des investigations dans plusieurs centres de bus RATP. Celles-ci ont permis de confirmer cette pratique dans trois centres de bus RATP. La CNIL a indiqué que les fichiers d'évaluation des performances et des perspectives de promotion ne devaient contenir que les données nécessaires à l'évaluation des salariés. En particulier, il suffisait d'indiquer le nombre total de jours d'absence sans qu'il soit besoin de rentrer dans le détail et de distinguer les jours associés à l'exercice. du droit de grève. Elle a constaté que l'utilisation des données sur le nombre de jours de grève des agents n'était pas nécessaire à ces fins, et que la RATP violait ainsi le principe de minimisation des données énoncé à l'article 5 (1) (c) du RGPD. Par ailleurs, la DPA a constaté que la RATP avait conservé de manière excessive nombre de données de ses salariés. En effet, la RATP a conservé les dossiers d'évaluation des agents pendant plus de trois ans après la commission de promotion, alors que leur conservation n'était requise que pendant 18 mois après la tenue de ces commissions. En outre, la CNIL a constaté que la RATP ne différenciait pas suffisamment les niveaux d'autorisation du personnel, permettant à plus de personnel que nécessaire d'accéder à certaines données. Pour cette raison, la CNIL a conclu que la RATP avait manqué à son obligation de mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de protection adapté au risque.