La CNIL vient d’annoncer qu’elle a sanctionné la société Saf Logistics à hauteur de 200 000 euros pour avoir collecté une quantité trop importante de données auprès de ses salariés, porté atteinte à leur vie privée et ne pas avoir suffisamment coopéré avec les services de l’Autorité.
C’est à la suite d’un signalement d’un salarié de cette société de fret aérien dont la société-mère est localisée en Chine, que la Cnil a ouvert l’enquête. Ce salarié a signalé que dans le cadre d’un recrutement interne pour un poste au sein de la société-mère, Saf Logistic collectait des données relatives à la vie privée de ses employés.
“Lors de ses investigations, la CNIL a relevé plusieurs manquements concernant, en particulier, une collecte excessive de données, le non-respect de l’interdiction de traitement de données sensibles et de données relatives à des infractions, ainsi qu’un défaut de coopération avec les services de la CNIL.”
La CNIL a retenu quatre manquements au RGPD
4 manquements, à la minimisation des données, à l’interdiction de traiter des données sensibles, à celle de collecter ou de traiter des données relatives aux infractions, aux condamnations et aux mesures de sûreté ainsi qu’à l’obligation de coopérer avec les services de la CNIL ont été retenus.
La CNIL relève ainsi que la société collectait, via des formulaires, un grand nombre d’informations sur les membres de la famille des salariés tel que leur identité, leurs coordonnées, leur fonction, leur employeur et leur situation maritale.
En outre, plusieurs informations devant obligatoirement être renseignées dans les formulaires étaient “des données sensibles telles que le groupe sanguin, l’appartenance ethnique et l’affiliation politique“.
Par ailleurs, la société conservait “des extraits de casiers judiciaires de salariés travaillant dans le fret aérien, alors même que ces derniers faisaient déjà l’objet d’une habilitation délivrée par les autorités compétentes après enquête administrative.”
Enfin, lorsque la CNIL a sollicité auprès de la société la traduction du formulaire qui était rédigé en langue chinoise, celle-ci “a produit une traduction incomplète, dans laquelle les champs relatifs à l’appartenance ethnique ou l’affiliation politique étaient manquants“. L’Autorité précise qu’elle a dû elle-même traduire le formulaire.
Afin de déterminer le montant de la sanction, la CNIL a notamment pris en compte le fait que plusieurs des manquements retenus concernent “des principes clé du RGPD.”
