CNIL
La présidente de la CNIL a récemment mis en demeure deux établissements d’enseignement supérieur de respecter le RGPD concernant des fichiers utilisés pour la gestion administrative et pédagogique. Les points de non-conformité portent notamment sur la durée de conservation des données, l’information des étudiants et la sécurité des données.
Lors de contrôles sur pièces, c’est-à-dire sur la base de documents transmis par les établissements, la CNIL a relevé plusieurs manquements relatifs à la durée de conservation, à l’information des étudiants, à l’absence d’encadrement du recours à des sous-traitants et à la sécurité.
Ces établissements n’ont pas prévu de durée de conservation précise pour l’ensemble des traitements de données à caractère personnel des étudiants, ni prévu de système de purge et d’archivage. Or, les données personnelles des étudiants ne peuvent être conservées indéfiniment.
De plus, ces établissements n’informent pas correctement les étudiants concernant la collecte de leurs données via les différents formulaires qu’ils remplissent au cours de leur scolarité. En effet, certains formulaires font apparaître des mentions d’information devenues obsolètes depuis l’entrée en application du règlement général sur la protection des données (RGPD) alors qu’il est nécessaire de vérifier leur mise à jour pour l’ensemble des supports (formulaires d’inscription, newsletters, mailings, sites web, etc.). Elles doivent comporter l’ensemble des mentions prévues par le RGPD, qui impose une information complète et précise.
Par ailleurs, les établissements ont eu recours à plusieurs sous-traitants dans le cadre des traitements de données à caractère personnel des étudiants. Ils n’ont pas été en mesure d’adresser à la CNIL les contrats de sous-traitance dûment signés comportant l’ensemble des mentions prévues par le RGPD.
Enfin, ces établissements n’avaient pas mis en place de politique contraignante relative aux mots de passe pour garantir un niveau de sécurité minimal en la matière, contrairement aux recommandations de la CNIL.
La présidente de la CNIL a donc mis en demeure les deux établissements de se mettre en conformité fin 2022.
Ces mises en demeure sont l’occasion de rappeler que le respect des règles de protection des données à personnelles est un facteur de transparence et de confiance.
Les mises en demeure ne sont pas des sanctions. En effet, aucune suite ne sera donnée à ces procédures si ces deux établissements se conforment à la loi dans un délai de deux mois. Si l’établissement ne se conforme pas à la mise en demeure, la présidente pourra saisir la formation restreinte de la CNIL en vue du prononcé d’une sanction.
Mots-clés : cybersécurité, sécurité informatique, protection des données, menaces cybernétiques, veille cyber, analyse de vulnérabilités, sécurité des réseaux, cyberattaques, conformité RGPD, NIS2, DORA, PCIDSS, DEVSECOPS, eSANTE, intelligence artificielle, IA en cybersécurité, apprentissage automatique, deep learning, algorithmes de sécurité, détection des anomalies, systèmes intelligents, automatisation de la sécurité, IA pour la prévention des cyberattaques.
Bots et IA biaisées : une menace silencieuse pour la cybersécurité des entreprises Introduction Les…
Cloudflare en Panne : Causes Officielles, Impacts et Risques pour les Entreprises Le 5 décembre…
Introduction La cybersécurité est aujourd’hui une priorité mondiale. Récemment, la CISA (Cybersecurity and Infrastructure Security…
La transformation numérique face aux nouvelles menaces Le cloud computing s’impose aujourd’hui comme un…
Les attaques par déni de service distribué (DDoS) continuent d'évoluer en sophistication et en ampleur,…
Face à l'adoption croissante des technologies d'IA dans les PME, une nouvelle menace cybersécuritaire émerge…
This website uses cookies.