Juridique

Enseignement supérieur : mise en demeure de deux établissements pour non-conformité au RGPD

La présidente de la CNIL a récemment mis en demeure deux établissements d’enseignement supérieur de respecter le RGPD concernant des fichiers utilisés pour la gestion administrative et pédagogique. Les points de non-conformité portent notamment sur la durée de conservation des données, l’information des étudiants et la sécurité des données.

Plusieurs manquements au RGPD

Lors de contrôles sur pièces, c’est-à-dire sur la base de documents transmis par les établissements, la CNIL a relevé plusieurs manquements relatifs à la durée de conservation, à l’information des étudiants, à l’absence d’encadrement du recours à des sous-traitants et à la sécurité.

Ces établissements n’ont pas prévu de durée de conservation précise pour l’ensemble des traitements de données à caractère personnel des étudiants, ni prévu de système de purge et d’archivage. Or, les données personnelles des étudiants ne peuvent être conservées indéfiniment.

De plus, ces établissements n’informent pas correctement les étudiants concernant la collecte de leurs données via les différents formulaires qu’ils remplissent au cours de leur scolarité. En effet, certains formulaires font apparaître des mentions d’information devenues obsolètes depuis l’entrée en application du règlement général sur la protection des données (RGPD) alors qu’il est nécessaire de vérifier leur mise à jour pour l’ensemble des supports (formulaires d’inscription, newsletters, mailings, sites web, etc.). Elles doivent comporter l’ensemble des mentions prévues par le RGPD, qui impose une information complète et précise.

Par ailleurs, les établissements ont eu recours à plusieurs sous-traitants dans le cadre des traitements de données à caractère personnel des étudiants. Ils n’ont pas été en mesure d’adresser à la CNIL les contrats de sous-traitance dûment signés comportant l’ensemble des mentions prévues par le RGPD.

Enfin, ces établissements n’avaient pas mis en place de politique contraignante relative aux mots de passe pour garantir un niveau de sécurité minimal en la matière, contrairement aux recommandations de la CNIL.

Des mises en demeure de respecter le RGPD

La présidente de la CNIL a donc mis en demeure les deux établissements de se mettre en conformité fin 2022.

Ces mises en demeure sont l’occasion de rappeler que le respect des règles de protection des données à personnelles est un facteur de transparence et de confiance.

Les mises en demeure ne sont pas des sanctions. En effet, aucune suite ne sera donnée à ces procédures si ces deux établissements se conforment à la loi dans un délai de deux mois. Si l’établissement ne se conforme pas à la mise en demeure, la présidente pourra saisir la formation restreinte de la CNIL en vue du prononcé d’une sanction.

sOURCE

Veille-cyber

Share
Published by
Veille-cyber

Recent Posts

Sécurité des mots de passe : bonnes pratiques pour éviter les failles

Sécurité des mots de passe : bonnes pratiques pour éviter les failles La sécurité des…

1 semaine ago

Ransomware : comment prévenir et réagir face à une attaque

Ransomware : comment prévenir et réagir face à une attaque Le ransomware est l’une des…

1 semaine ago

Cybersécurité et e-commerce : protéger vos clients et vos ventes

Cybersécurité et e-commerce : protéger vos clients et vos ventes En 2025, les sites e-commerce…

2 semaines ago

Les ransomwares : comprendre et se défendre contre cette menace

Les ransomwares : comprendre et se défendre contre cette menace En 2025, les ransomwares représentent…

2 semaines ago

RGPD et cybersécurité : comment rester conforme en 2025

RGPD et cybersécurité : comment rester conforme en 2025 Depuis sa mise en application en…

2 semaines ago

VPN : un outil indispensable pour protéger vos données

VPN : un outil indispensable pour protéger vos données Le VPN, ou « Virtual Private…

2 semaines ago

This website uses cookies.