CNIL
La présidente de la CNIL a récemment mis en demeure deux établissements d’enseignement supérieur de respecter le RGPD concernant des fichiers utilisés pour la gestion administrative et pédagogique. Les points de non-conformité portent notamment sur la durée de conservation des données, l’information des étudiants et la sécurité des données.
Lors de contrôles sur pièces, c’est-à-dire sur la base de documents transmis par les établissements, la CNIL a relevé plusieurs manquements relatifs à la durée de conservation, à l’information des étudiants, à l’absence d’encadrement du recours à des sous-traitants et à la sécurité.
Ces établissements n’ont pas prévu de durée de conservation précise pour l’ensemble des traitements de données à caractère personnel des étudiants, ni prévu de système de purge et d’archivage. Or, les données personnelles des étudiants ne peuvent être conservées indéfiniment.
De plus, ces établissements n’informent pas correctement les étudiants concernant la collecte de leurs données via les différents formulaires qu’ils remplissent au cours de leur scolarité. En effet, certains formulaires font apparaître des mentions d’information devenues obsolètes depuis l’entrée en application du règlement général sur la protection des données (RGPD) alors qu’il est nécessaire de vérifier leur mise à jour pour l’ensemble des supports (formulaires d’inscription, newsletters, mailings, sites web, etc.). Elles doivent comporter l’ensemble des mentions prévues par le RGPD, qui impose une information complète et précise.
Par ailleurs, les établissements ont eu recours à plusieurs sous-traitants dans le cadre des traitements de données à caractère personnel des étudiants. Ils n’ont pas été en mesure d’adresser à la CNIL les contrats de sous-traitance dûment signés comportant l’ensemble des mentions prévues par le RGPD.
Enfin, ces établissements n’avaient pas mis en place de politique contraignante relative aux mots de passe pour garantir un niveau de sécurité minimal en la matière, contrairement aux recommandations de la CNIL.
La présidente de la CNIL a donc mis en demeure les deux établissements de se mettre en conformité fin 2022.
Ces mises en demeure sont l’occasion de rappeler que le respect des règles de protection des données à personnelles est un facteur de transparence et de confiance.
Les mises en demeure ne sont pas des sanctions. En effet, aucune suite ne sera donnée à ces procédures si ces deux établissements se conforment à la loi dans un délai de deux mois. Si l’établissement ne se conforme pas à la mise en demeure, la présidente pourra saisir la formation restreinte de la CNIL en vue du prononcé d’une sanction.
Le règlement DORA : un tournant majeur pour la cybersécurité des institutions financières Le 17…
L’Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié un rapport sur les…
Directive NIS 2 : Comprendre les nouvelles obligations en cybersécurité pour les entreprises européennes La…
Alors que la directive européenne NIS 2 s’apprête à transformer en profondeur la gouvernance de…
L'intelligence artificielle (IA) révolutionne le paysage de la cybersécurité, mais pas toujours dans le bon…
Des chercheurs en cybersécurité ont détecté une intensification des activités du groupe APT36, affilié au…
This website uses cookies.