L’Institut des techniques informatiques et commerciales (ITIC) a été mis en demeure par la CNIL pour ses excès en matière de vidéosurveillance. C’est lors d’un contrôle sur place que la commission a pu identifier un florilège de problèmes au travers de ces yeux électroniques.
Cette vidéosurveillance, censée protéger les biens et éviter les débordements d’étudiants, avait été déclarée en mai 2009. Les 700 inscrits chaque année en moyenne étaient bien avertis dans les conditions générales attachées au contrat d’inscription, mais non les 10 à 15 salariés administratifs outre les 60 enseignants. Un panneau était certes placardé au 190 bis boulevard de Charonne, mais non au numéro 133 du même boulevard, là où elle dispose d’autres locaux. En tout, 40 caméras étaient réparties dans ces deux établissements, activées dès détection de mouvement.
La CNIL, après son contrôle sur place, a repéré plusieurs contrariétés aux dispositions encadrant la vidéosurveillance. D’abord un défaut d’information patent puisque « les personnes concernées ne sont pas informées notamment de l’identité du responsable du traitement, des destinataires, de la durée de conservation des images ou des droits des personnes ». S’agissant des salariés, l’information est tout simplement absente.
Ces faits peuvent être en contrariété avec les articles 131 - 41 et R625-10 du Code pénal combinés, qui sanctionnent ces défaillances d’une peine d’amende pouvant atteindre 7 500 euros.
Pas de videosurveillance sur les lieux de vie, sauf circonstances exceptionnelles
Les caméras filmaient en continu, dès qu’un mouvement était détecté dans toutes les salles de classe et des lieux de vie des étudiants, tels la cafétéria ou les espaces consacrés au déjeuner libre. Or, pour la commission, « si des caméras peuvent filmer les accès de l’établissement (entrées et sorties) et les espaces de circulation, il est exclu de filmer les lieux de vie pendant les heures d’ouverture de l’établissement, sauf circonstances exceptionnelles non démontrées en l’espèce ». La société a bien évoqué des violences entre étudiants, parfois avec les enseignants, mais il n’y a eu aucun élément tangible tel qu’un dépôt de plainte ou un compte rendu d’incident. Selon la CNIL, ce système est donc excessif puisqu’il place les sujets dans le cadre d’une surveillance permanente.
L’une des caméras permettait également de filmer le bureau de la responsable des inscriptions et même « de manière continue le poste de travail d’une salariée ». « Manifestement disproportionné », conclut là encore la CNIL, alors que la loi exige des « données adéquates, pertinentes et non excessives au regard des finalités ».
Un logiciel et un Windows sans mot de passe
Autre constat : « l’accès au logiciel de visionnage ne nécessite aucun mot de passe pour se connecter au compte administrateur du logiciel ». De plus, « la session Windows du poste de travail du directeur ne nécessite pas de mot de passe et n’est jamais déconnectée ». Elle voit cette fois un manquement aux obligations de l’article 34 de la loi de 1978 qui exige des précautions utiles « pour préserver la sécurité des données ». Des faits susceptibles d’être sanctionnés cette fois d’une amende pouvant atteindre 1,5 million d’euros.
Ce n’est pas tout. Les enregistrements les plus anciens remontent au 28 décembre 2017, soit vieux de 49 jours lors du contrôle. Or, dans sa déclaration, l’ITIC avait affiché une durée de conservation de 30 jours. Les données ont donc été stockées pour une durée excessive. Le Code pénal prévoit là aussi une amende maximale de 1,5 million d’euros.
Deux mois pour rectifier le tir
La société a désormais deux mois pour rectifier le tir, sous peine de voir engager une procédure de sanction. Elle devra en particulier cesser de filmer les classes et lieux de vie pendant les heures d’ouvertures de l’école, et de placer sous surveillance constante ses salariés.
Il doit procéder également à l’information des personnes concernées, en application du règlement général sur la protection des données personnelles : identité du responsable du traitement, durée de conservation des données, rappel des droits des personnes et de la manière de les exercer, etc. Des données qu’il faudra apposer également sur les panneaux d’information placés à chacune des entrées.
Sur le terrain informatique, chaque utilisateur aura à disposer d’un compte individuel. Les sessions Windows seront verrouillées au bout d’un certain temps d’inactivité. Les mots de passe devront être « composés d’au minimum 12 caractères, contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial ». Ceux composés d’au moins 8 caractères contiendront 3 des 4 catégories de ces caractères. La commission demande aussi un système pour se protéger des soumissions automatisées et intensives, par exemple avec un système de captcha.
Des images conservées un mois, non au-delà
Enfin, l’ITIC devra « mettre en œuvre une politique de durée de conservation des données à caractère personnel » conforme au RGPD, « qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées, notamment en ne conservant pas les enregistrements des images du dispositif de vidéosurveillance au-delà d’un mois ».
La délibération, rendue publique par la CNIL, est importante car elle scelle le nouvel encadrement de ces caméras de surveillance après la mise en application du règlement général sur la protection des données. La commission a d’ailleurs publié une note qui fait le point sur les règles en vigueur dans les établissements scolaires.
Commentaires (38)
#1
C’est suite à une plainte de l’élève Benalla? " />
#2
Dans les établissements scolaires on ne parle pas de vidéosurveillance mais de vidéoprotection, nuance " />" />
#3
Hmmm, de la vidéointrusion !
#4
d’abord j’ai pensé : “la CNIL a vite réagi” !
mince…..c’est UNE AUTRE école (oups) !!! " />
https://www.nextinpact.com/news/106885-a-paris-porte-clefs-connecte-obligatoire-…
#5
Il serait plutôt devant les écrans de surveillance lui.😎
#6
C’est moche pour une structure d’enseignement informatique (et commercial)… faites ce que je dis pas ce que je fais " />
#7
C’est clair : un compte administrateur sans mot de passe, pour une école qui propose un diplôme de Bachelor (Bac+3) informatique réseaux et sécurité !
#8
+1
Ça fait pas sérieux du tout pour une école orientée informatique, surtout que les manquements constatés sont clairs, qu’il n’y avait pas d’ambiguïté sur leur illicéité.
La CNIL a été gentille je trouve.
#9
L’Institut des techniques informatiques et commerciales (ITIC), un logiciel et un Windows sans mot de passe
En 2018 ?
#10
#11
#12
Des données qu’il faudra apposer également sur les panneaux d’information placés à chacune des entrées.
Et pour un village ça se passe comment? Dans mon petit village tranquille de 300 habitants, le maire, héritier rentier, s’est fait laver le cerveau par des commerciaux de la vidéosurveillance, et veut en mettre partout, avec notre argent, pour que son château ne soit plus cambrioler " />
Il devra mettre des panneaux d’informations CNIL a chaque entrée du village? " />
#13
Je suis tout de même étonné du 2 poids 2 mesures.
En tant qu’individu, dès qu’on enfreint une règle, aussi anodine soit-elle, et qu’on se fait prendre, on paie une amende (je pense au code de la route par ex).
Là on a affaire à des négligences assez graves au répercussions autrement plus importantes que de se garer en double file, et non seulement il n’y a pas de sanction mais juste un avertissement (et une injonction de bien faire sous 2 mois, quand même).
Franchement quel pourrait être la motivation d’une quelconque société de faire comme il faut après ce genre de publicité ? Au pire ils se font contrôler, et on leur donnera les bonnes conduites à adopter et 2 mois de délais…
Tout. Va. Bien.
#14
Vous pensez vraiment que ce sont les profs d’informatique qui ont installé le Windows du directeur ? " />
Les mots de passe devront être « composés d’au minimum 12
caractères, contenant au moins une lettre majuscule, une lettre
minuscule, un chiffre et un caractère spécial ». Ceux composés d’au moins 8 caractères contiendront 3 des 4 catégories de ces caractères.
Comment la CNIL compte vérifier cette demande ? Il faut fournir le mot de passe ?
#15
#16
C’est bien de faire rêver avec ces amendes maximales mais y a-t-il la moindre chance que l’établissement soit condamné aussi sévèrement ?
#17
Il vaux mieux d’abord avertir sur les différents manquement puis ensuite punir si les délais ne sont pas respectés.
La CNIL est avant tout un organisme servant à prévenir, cotrôler et non uniquement à punir.
#18
#19
Ça serait dommage de prendre 3 millions d’amende pour une raison aussi futile. " />
#20
si tu savais la catastrophe du système informatique dans des écoles qui dispensent principalement des cours d’info .
#21
”…dès qu’un mouvement était détecté dans toutes les salles de classe et des
lieux de vie des étudiants, tels la cafétéria ou les espaces consacrés
au déjeuner libre.”
« de manière continue le poste de travail d’une salariée »
Y’a un grand malade de la vidéo surveillance dans cet établissement, cela touche au voyeurisme même…. " />
#22
#23
vidéoPROTECTION
#24
A chaque fois qu’une route change de commune pour la tienne, oui il faut un panneau comme quoi la commune est équipée.
10 entrées, 10 panneaux :)
D’ailleurs une déclaration de caméras pour une commune est limitée dans le temps et doit être renouvelés.
#25
#26
Je répond non, je rappelle la loi et s’il insiste, je contacte la CNIL.
#27
A ma connaissance, seulement s’il est stocké en clair, sinon tu pourras voir uniquement le hash.
Donc ça indiquerait un autre type de soucis.
#28
c’est comme dans les affaires graves (meurtre, etc…)
on nous donne “la peine encourue” (20 ans max.)
et…au final le gars écope de 5 ans = pff !!! " />
#29
Tu peux montrer la configuration de la sécurité des mots de passe, dans un AD, tu vois la longueur, le minimum de complexité, etc…
#30
#31
#32
celle fixée par l’admin… en dessous de laquelle les utilisateurs ne peuvent pas aller.
Si l’admin a mis “mini 32 caractères, 1+ maj, 1+ numérique, 1+ non alpha et différent des 50 précédents, etc.”, d’abord c’est un sadique, on est d’accord, ensuite personne ne pourra y déroger (mais quelqu’un pourra avoir 50 caractères si ça lui chante)
#33
Non, on parle toujours de “peine MAXIMALE encourue”. Celle-ci n’est pas systématiquement appliquée puisque derrière c’est à l’appréciation de la Justice selon les faits.
Tu crois qu’à l’époque pré-HADOPI la Justice allait condamner à 5 ans de prison + 300k€ d’amende le gars qui avait téléchargé l’album de Britney Spears sur emule ?
#34
avec 50 mdp non répétables (le 1er peut devenir le 51ème), on sera plus proche de la fiche bristol A5 que du post-it " />
#35
Tu crois qu’à l’époque pré-HADOPI la Justice allait condamner à 5 ans de prison + 300k€ d’amende
le gars qui avait téléchargé l’album de Britney Spears sur emule ?
heureusement que j’avais préciser :
“….dans les affaires graves (meurtre, etc…) ”
ça……“c’est-du-pipi-d’chat”, pour moi
mais bon !
#36
L’appréciation personnelle n’est pas la question : la Loi défini une peine maximale, la Justice l’apprécie et l’applique selon les faits.
La Justice n’est pas binaire, et fort heureusement… Et j’espère qu’elle continuera à être prônée par rapport à la vindicte populaire à laquelle beaucoup cèdent bien trop vite.
#37
#38