Great place to lie ? Quelques éléments de réponse

Bonjour à toutes et à tous,

A la suite de l’alerte remontée par l’équipe CFTC, le « compliance & data protection officer » de Worldline a mené l’enquête. Il apporte plusieurs éléments de réponse à nos interrogations que nous vous présentons aujourd’hui.

Très bonne lecture !

Comment Great Place to Work traite nos données ?

1. Le Client (Worldline) envoie à GPTW un fichier des participants (les salariés)
2. GPTW envoie des mails individualisés aux participants, puis collecte les réponses et finalement les associe à un « identifiant interne d’anonymat » attribué par GPTW pour chaque participant
3. GPTW supprime ensuite les données d’identification
4. Worldline peut alors effectuer des requêtes dans la base des réponses GPTW (purgée des données d’identification), et selon les critères de regroupement préalablement définis dans le fichier des participants. Toute requête sur un effectif inférieur à 5 ne retournera aucune réponse.
5. La DRH prépare ensuite des reporting concernant les entités et les transmet au management de ces entités

Cette mécanique « d’anonymisation » semble très imparfaite. Comme nous le rappelions précédemment,  l’anonymisation rend impossible l’identification d’une personne à partir d’un jeu de données et permet, ainsi, de respecter sa vie privée. C’est une opération irréversible : dès lors que les données sont anonymisées, il est impossible de revenir en arrière et d’identifier l’auteur d’une réponse.

La solution mise en place par GPTW n’est pas satisfaisante. « L’anonymisation » n’est que partielle et présente des risques de ré-identification.

En effet, à la fois l’outil de requêtage mis à disposition du client (Worldline) pourrait lui permettre, à travers un jeu de requêtes bien construit, de déterminer précisément les réponses d’un salarié (par exemple si les requêtes permettent de limiter les réponses en fonction de l’âge, l’ancienneté, le département, l’équipe, etc.). Ensuite, et comme évoqué dans notre article précédent, la possibilité de limiter la consolidation des réponses à un échantillon de taille très réduite (5 salariés) introduit la possibilité d’une réponse unanime du groupe de salarié considéré. La direction pourrait alors identifier facilement les salariés ayant « mal » répondu à une question donnée.

D’une manière plus générale, l’utilisation d’un identifiant interne d’anonymat apparait en complète contradiction avec une anonymisation des données des salariés. En effet cet identifiant unique permet théoriquement (il semblerait que cela soit interdit dans la pratique) de récupérer l’ensemble des réponses d’un participant. Cet identifiant crée un lien entre le salarié et ses réponses alors même que l’opération d’anonymisation doit s’atteler en premier lieu à casser ce lien. Ce risque n’est peut-être que théorique, mais l’existence de cet identifiant suffit à attester que GPTW ne respecte pas les obligations de la CNIL et ne se conforme pas au règlement européen sur la protection des données.

Sur les niveaux de regroupement des réponses

Le DPO de Worldline a précisé aux élus du CSE que l’outil de requêtage de GPTW permettait de récupérer une information consolidée jusqu’au niveau d’une équipe, à condition que l’équipe soit constituée d’au moins 5 salariés. Il ajoute juste après que Worldline France n’utilise pas cette possibilité et limite ses requêtes aux niveaux des pôles et des départements.

Coté CFTC nous avons la preuve que cette affirmation est fausse : les réponses de certaines équipes ont été consolidées et présentées à leurs managers.

La suite

Ce point  sera discuté lors de la prochaine réunion plénière du CSE, le 22 juillet 2021.

En fonction des réponses de la direction, nous envisagerons la possibilité de nous rapprocher de la CNIL.

Bien à vous

Toute l’équipe CFTC