CNIL
La présidente de la CNIL a récemment mis en demeure deux établissements d’enseignement supérieur de respecter le RGPD concernant des fichiers utilisés pour la gestion administrative et pédagogique. Les points de non-conformité portent notamment sur la durée de conservation des données, l’information des étudiants et la sécurité des données.
Lors de contrôles sur pièces, c’est-à-dire sur la base de documents transmis par les établissements, la CNIL a relevé plusieurs manquements relatifs à la durée de conservation, à l’information des étudiants, à l’absence d’encadrement du recours à des sous-traitants et à la sécurité.
Ces établissements n’ont pas prévu de durée de conservation précise pour l’ensemble des traitements de données à caractère personnel des étudiants, ni prévu de système de purge et d’archivage. Or, les données personnelles des étudiants ne peuvent être conservées indéfiniment.
De plus, ces établissements n’informent pas correctement les étudiants concernant la collecte de leurs données via les différents formulaires qu’ils remplissent au cours de leur scolarité. En effet, certains formulaires font apparaître des mentions d’information devenues obsolètes depuis l’entrée en application du règlement général sur la protection des données (RGPD) alors qu’il est nécessaire de vérifier leur mise à jour pour l’ensemble des supports (formulaires d’inscription, newsletters, mailings, sites web, etc.). Elles doivent comporter l’ensemble des mentions prévues par le RGPD, qui impose une information complète et précise.
Par ailleurs, les établissements ont eu recours à plusieurs sous-traitants dans le cadre des traitements de données à caractère personnel des étudiants. Ils n’ont pas été en mesure d’adresser à la CNIL les contrats de sous-traitance dûment signés comportant l’ensemble des mentions prévues par le RGPD.
Enfin, ces établissements n’avaient pas mis en place de politique contraignante relative aux mots de passe pour garantir un niveau de sécurité minimal en la matière, contrairement aux recommandations de la CNIL.
La présidente de la CNIL a donc mis en demeure les deux établissements de se mettre en conformité fin 2022.
Ces mises en demeure sont l’occasion de rappeler que le respect des règles de protection des données à personnelles est un facteur de transparence et de confiance.
Les mises en demeure ne sont pas des sanctions. En effet, aucune suite ne sera donnée à ces procédures si ces deux établissements se conforment à la loi dans un délai de deux mois. Si l’établissement ne se conforme pas à la mise en demeure, la présidente pourra saisir la formation restreinte de la CNIL en vue du prononcé d’une sanction.
Sécurité des mots de passe : bonnes pratiques pour éviter les failles La sécurité des…
Ransomware : comment prévenir et réagir face à une attaque Le ransomware est l’une des…
Cybersécurité et e-commerce : protéger vos clients et vos ventes En 2025, les sites e-commerce…
Les ransomwares : comprendre et se défendre contre cette menace En 2025, les ransomwares représentent…
RGPD et cybersécurité : comment rester conforme en 2025 Depuis sa mise en application en…
VPN : un outil indispensable pour protéger vos données Le VPN, ou « Virtual Private…
This website uses cookies.