Enseignement supérieur : mise en demeure de deux établissements pour non-conformité au RGPD
La présidente de la CNIL a récemment mis en demeure deux établissements d’enseignement supérieur de respecter le RGPD concernant des fichiers utilisés pour la gestion administrative et pédagogique. Les points de non-conformité portent notamment sur la durée de conservation des données, l’information des étudiants et la sécurité des données.
Plusieurs manquements au RGPD
Lors de contrôles sur pièces, c’est-à-dire sur la base de documents transmis par les établissements, la CNIL a relevé plusieurs manquements relatifs à la durée de conservation, à l’information des étudiants, à l’absence d’encadrement du recours à des sous-traitants et à la sécurité.
Ces établissements n’ont pas prévu de durée de conservation précise pour l’ensemble des traitements de données à caractère personnel des étudiants, ni prévu de système de purge et d’archivage. Or, les données personnelles des étudiants ne peuvent être conservées indéfiniment.
De plus, ces établissements n’informent pas correctement les étudiants concernant la collecte de leurs données via les différents formulaires qu’ils remplissent au cours de leur scolarité. En effet, certains formulaires font apparaître des mentions d’information devenues obsolètes depuis l’entrée en application du règlement général sur la protection des données (RGPD) alors qu’il est nécessaire de vérifier leur mise à jour pour l’ensemble des supports (formulaires d’inscription, newsletters, mailings, sites web, etc.). Elles doivent comporter l’ensemble des mentions prévues par le RGPD, qui impose une information complète et précise.
Par ailleurs, les établissements ont eu recours à plusieurs sous-traitants dans le cadre des traitements de données à caractère personnel des étudiants. Ils n’ont pas été en mesure d’adresser à la CNIL les contrats de sous-traitance dûment signés comportant l’ensemble des mentions prévues par le RGPD.
Enfin, ces établissements n’avaient pas mis en place de politique contraignante relative aux mots de passe pour garantir un niveau de sécurité minimal en la matière, contrairement aux recommandations de la CNIL.
Des mises en demeure de respecter le RGPD
La présidente de la CNIL a donc mis en demeure les deux établissements de se mettre en conformité fin 2022.
Ces mises en demeure sont l’occasion de rappeler que le respect des règles de protection des données à personnelles est un facteur de transparence et de confiance.
Les mises en demeure ne sont pas des sanctions. En effet, aucune suite ne sera donnée à ces procédures si ces deux établissements se conforment à la loi dans un délai de deux mois. Si l’établissement ne se conforme pas à la mise en demeure, la présidente pourra saisir la formation restreinte de la CNIL en vue du prononcé d’une sanction.