Le Comité européen pour la protection des données indique que l’équivalent norvégien de la CNIL a imposé une amende administrative de 120 000 euros à l’encontre de la municipalité d’Oslo, et spécialement son Agence pour l’éducation.
L’autorité reproche à la mairie de ne pas avoir mis en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté sur l’application mobile Skolemelding. Une solution dédiée à la communication entre le personnel de l’école, les parents et les élèves.
Ainsi, la mauvaise sécurisation de cette solution permettait à un utilisateur tiers de modifier les données personnelles de plus de 63 000 élèves. De même « en raison de tests de sécurité inadéquats avant le lancement de l'application, celle-ci contenait des failles de sécurité bien connues ».
Autre problème : un champ libre où des parents ont pu révéler des éléments sensibles relatifs à la santé de leur enfant. Une mesure peu compatible avec le principe du « privacy by design » cher au RGPD. Selon l’autorité de contrôle, il eut été préférable d’utiliser par exemple une liste déroulante ou un système de cases à cocher.
« La municipalité d'Oslo n'a pas fait appel de la décision ».
Commentaires (6)