La CNIL met en demeure l’École 42 pour vidéosurveillance excessive
Avant la fessée
L’École 42 chère à Xavier Niel a été mise en demeure par la CNIL suite à une longue série de violations de données personnelles. La commission lui laisse deux mois pour corriger ces défaillances, avant d’envisager d’éventuelles sanctions.
Suite à une décision prise dix jours plus tôt, la CNIL a effectué les 12 et 13 février un contrôle sur place au sein de l’école, soit antérieurement à l’entrée en vigueur du règlement général sur la protection des données personnelles.
Une précision utile pour comprendre la procédure mise en œuvre. C’est en tout cas à cette occasion qu’elle a constaté une série de manquements à la loi de 1978. Premièrement, la commission a épinglé le déploiement de plusieurs caméras de vidéosurveillance, filmant de manière constante plusieurs « lieux de vie ».
Si ces yeux électroniques sont tolérés sur les lieux d’accès ou les espaces de circulation, elle estime que les caméras ne peuvent, sauf circonstances exceptionnelles, filmer les espaces de travail, l’amphithéâtre, les espaces de pause, l’entrée desservant les sanitaires, ainsi que les postes de travail de plusieurs membres du personnel administratif.
Des caméras filmant en continu des lieux de vie
Sur ce point, prévient la gardienne des données personnelles, « le fait de filmer en continu les postes de travail de certains employés est disproportionné » sauf circonstance particulière, « par exemple lorsqu’un employé manipule des fonds ou des objets de valeur ou lorsque le responsable de traitement est à même de justifier de vols ou de dégradations commises sur ces zones ».
Sur la même veine, l’École 42 a failli à informer correctement les étudiants concernés puisque le règlement intérieur n’indique pas les destinataires des données ni la durée de conservation des images. De même, les personnes extérieures ne sont alertées que par un autocollant prévenant que l’établissement est sous vidéosurveillance. Ce qui n’est pas suffisant.
Des images accessibles par tous les étudiants
La sécurité et la confidentialité des données a également fait l’objet de critiques. Une application présente sur l’intranet permet aux étudiants d’avoir « accès, en temps réel aux images issues des caméras filmant les zones qui leur sont accessibles. Par ailleurs, les membres du personnel administratif ont quant à eux accès, grâce à une autre application, à l’ensemble des images ».
Selon l’école, « le dispositif permet aux étudiants de retrouver leurs camarades au sein de l’école et que le choix de leur ouvrir l’accès aux images permet de les rassurer sur ce que visualisent les caméras ».
Cette ouverture a été cependant mal accueillie par l’autorité, pour qui seules les personnes spécialement habilitées peuvent y avoir accès, sauf à compromettre la confidentialité des données personnelles captées.
Des commentaires dans un champ libre jugés disproportionnés
Sur le terrain du droit à l’information, les candidats qui s’inscrivent en ligne ne sont pas alertés des traitements de données. De même, dans la base de données des étudiants, une colonne « champ libre » a été prévue, sans être encadrée par une quelconque procédure.
Or, dans ce champ, plusieurs commentaires très personnels ont été portés, comme ceux-ci, concernant un élève : « il a enfin été diagnostiqué de plusieurs maladies graves », « procès avec son ancien employeur », « dépression », « sa mère a eu un cancer juste avant sa rentrée ».
Aux yeux de la CNIL, « l’inscription au sein de la base de données, à laquelle l’ensemble de l’équipe administrative accède, d’informations relatives à l’état de santé de l’étudiant ou à sa situation familiale, apparait disproportionnée au regard de la finalité du traitement, en l’espèce, la gestion pédagogique de l’étudiant. »
Des mots de passe pas assez solides
Autre bug : « aucune durée de conservation n’a été définie par l’association s’agissant des données renseignées par les candidats, qu’ils aient échoué aux tests d’admissibilité ou qu’ils aient intégré l’école ». Là encore, la délibération épingle un traitement disproportionné, les données personnelles devant être conservées pendant une durée qui n’excède pas celle nécessaire aux finalités pour lesquelles elles ont été collectées et traitées, et pas à durée illimitée…
Même coup de griffe à l’encontre de la politique des mots de passe : l’espace personnel des étudiants de cette école d’informatique n’est composé que de 8 caractères alphanumériques avec lettres majuscules et minuscules. Or, selon la délibération, « une authentification reposant sur l’utilisation d’un mot de passe insuffisamment complexe peut conduire à une compromission des comptes associés et à des attaques par des tiers non autorisés, par exemple des attaques par force brute ».
Ces mots de passe sont d’ailleurs adressés en clair par email, et il n’est pas demandé aux étudiants d’en créer un nouveau lors de leur première connexion. « Cela implique que dans le cas où l’étudiant ne procède pas lui-même au renouvellement de son mot de passe, celui-ci ne sera jamais renouvelé et restera connu des administrateurs de l’école. »
Une mise en demeure rendue volontairement publique par la CNIL
La CNIL a ainsi adressé une longue mise en demeure à l’École 42, lui demandant une mise à jour de son système d’information, comme en témoigne cette liste bien fournie :
L’école a deux mois pour corriger le tir. À défaut, elle encourt jusqu’à 1 500 000 euros d’amende, si la procédure de sanction est engagée. Remarquons que la CNIL a décidé de rendre publique sa mise en demeure.
Dans la délibération dédiée à cette prise de décision, le bureau a spécialement souhaité « sensibiliser les professionnels du secteur sur cette difficulté alors que le nombre de plaintes relatives à l’usage de la vidéosurveillance connaît une forte croissance et révèle ainsi une préoccupation grandissante des personnes ».
Le sujet avait d'ailleurs déjà fait l'objet d'une communication par l'autorité, pas plus tard que le 19 septembre dernier.
Commentaires (25)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 30/10/2018 à 15h05
J’avoue que déjà être filmé en permanence ça me soulerai, mais qu’en plus n’importe quel autre élève puisse me pister et savoir où je suis à un instant T… fuck off… o_o
Je dois être trop vieux pour ces conneries…
Le 30/10/2018 à 15h06
L’école 42, le meilleur des mondes…
" />
Mine de rien, pour une école d’info, ça la fout mal d’être aussi peu au fait des bonnes pratiques.
Le 30/10/2018 à 15h11
Le 30/10/2018 à 15h27
Surtout qu’il y a d’autres moyens, par exemple, ils pourraient détecter où est ouverte la session d’un élève, c’est beaucoup moins intrusif et tout aussi efficace. Ou alors, les élèves s’envoient des sms “à l’ancienne”, ça fait moins techno mais c’est beaucoup plus humain.
Le 30/10/2018 à 16h22
”… lorsqu’un employé manipule des fonds ou des objets de valeur ou lorsque
le responsable de traitement est à même de justifier de vols ou de dégradations
commises sur ces zones ».
..comme des ordinateurs !
“pardon……je suis loin, déjà—->[]
Le 30/10/2018 à 17h03
“les mots de passe sont d’ailleurs adressés en clair par email”
C’est ce qui me choque le plus dans tout ça…tout leur système de gestion de mot de passe est sans doute à reprendre (y compris le stockage).
Et là pour le coup c’est vraiment ridicule pour une école d’info…
Le 02/11/2018 à 13h32
C’est pareil pour le CSA. En tant qu’autorité indépendante, s’ils sanctionnent eux-mêmes directement, ils sont hors la loi. Ils doivent d’abord adresser une mise en demeure. Ils peuvent cependant saisir le procureur en cas de violation grave.
Le 02/11/2018 à 13h36
Ça me rappelle le sujet du film “The Circle”
Le 04/11/2018 à 20h48
Je n’ai aucune idée de la taille de l’école, mais en général, il n’y a pas 50 élèves en situation extrême et il est possible de gérer ça sans inscription dans un champ libre pour l’éternité. Au pire un peu utiliser un booléen pour indiquer une situation hors norme et provoquer un traitement manuel du dossier. Il y a probablement quelqu’un dans l’école qui est capable de se souvenir pendant toute la durée de l’année scolaire qu’un ou deux étudiants sont dans une situation difficile.
Dans une école d’info, ils sont sensés savoir que le texte libre dans les dossiers personnels c’est le strike assuré…
Le 30/10/2018 à 17h59
Trop tard pour Sadirac 🤚🍑
Le 30/10/2018 à 18h36
Le 30/10/2018 à 20h51
C’est déjà le cas en plus, leur tentative de légitimation est ridicule.
Le 30/10/2018 à 22h25
Le 31/10/2018 à 06h05
C’est pas mieux que dans d’autre école d’info. Ca sent la politique quand même sur la raison de la publication de l’avis.
Le 31/10/2018 à 06h54
Est-ce qu’il y a une raison pour laquelle la CNIL met toujours en demeure en premier lieu ? Je veux dire, nul n’est censé ignoré la loi etc etc, donc pourquoi les entreprises ont une sorte de passe-droit qui dit “Si vous faites des conneries et qu’on vous choppe, on vous donne l’occasion de réparer la connerie sans conséquence” ? C’est une volonté politique ?
Le 31/10/2018 à 08h07
Le 31/10/2018 à 08h24
Vraiment sale.
Le 31/10/2018 à 08h31
Le 31/10/2018 à 09h49
Oh il a du les avoir ses fesses…
" />
Le 31/10/2018 à 22h19
Etant directeur, je pense que ca fait longtemps qu’il a pas touche a de l’admin sys. La ou il a surtout peche c’est qu’il est le garant que les choses se passent bien dans son ecole et que les etudiants soit safe. Le coup des mots de passe et des cameras partout ils se sont un peu emportes dirons nous….
Le 01/11/2018 à 14h29
https://www.cnil.fr/fr/mission-4-controler-et-sanctionner
C’est un choix que la formation restreinte de la CNIL peut faire, soit taper direct soit mettre en demeure de se conformer à la législation.
Y’a quand même une conséquence à une mise en demeure publique en termes d’image.
Le 01/11/2018 à 18h53
Parce que les dirigeants de Free ont trop de relations haut placées pour être condamnables.
Il n’y a pas que la CNIL d’ailleurs ! Le CSA c’est pareil, on le voit avec Hanouna.
Le 02/11/2018 à 06h24
https://www.csa.fr/Arbitrer/Comment-le-CSA-peut-il-sanctionner
Le pouvoir de sanction du CSA est gradué.
Et par ailleurs, C8 a déjà eu plusieurs condamnations. Avant de chercher le complot, renseignez-vous un peu, l’info est disponible très facilement.
Le 02/11/2018 à 09h43
Le 02/11/2018 à 11h19
Sans parler du reste, il semble normal qu’un élève traversant une situation difficile ait une mention spéciale dans les bases de données pour autoriser un suivi personnalisé, sans le forcer à expliquer que s’il est absent c’est parce que sa mère est en phase terminale…