Deux établissements d’enseignement supérieur ont été mis en demeure par la présidente de la CNIL pour de multiples manquements au RGPD, concernant des fichiers utilisés pour la gestion administrative et pédagogique. Une occasion de rappeler que les grandes entreprises ne sont pas les seules entités soumises au règlement européen.
Après un contrôle sur pièces, la CNIL a relevé plusieurs manquements relatifs à la durée de conservation, l’information des étudiants, l’absence d’encadrement du recours à des sous-traitants et à la sécurité.
En effet, aucune durée de conservation n’était prévue pour l’ensemble des traitements de données personnes des étudiants, ni de système de purge ou d’archivage. Elles étaient donc conservées indéfiniment.
En outre, les formulaires fournis aux étudiants pour la collecte de leurs données personnelles ne comportaient aucune mention d’information, ou ces dernières étaient obsolètes.
De plus, les établissements n’ont pu fournir à la CNIL les contrats de sous-traitance dûment signés et comportant l’ensemble des mentions prévues par le RGPD.
Finalement, aucune politique contraignante relative aux mots de passe n’a été implantée, contrevenant aux recommandations de la CNIL.
Pour l’ensemble de ces motifs, les deux établissements ont été mis en demeure à la fin de 2022 et ont deux mois pour se conformer à la loi. La CNIL rappelle ainsi que toute entité traitant des données se doit de respecter le RGPD, et qu’il s’agit là d’un facteur de transparence et de confiance.
Pour en savoir plus
Enseignement supérieur : mise en demeure de deux établissements pour non-conformité au RGPD, CNIL, 13 février 2023.
La CNIL met à jour ses recommandations pour l’authentification par mots de passe, Laura Martini, 9 novembre 2022
