RGPD : la Mairie d’Oslo sanctionnée par la CNIL norvégienne

Le Comité européen pour la protection des données indique que l’équivalent norvégien de la CNIL a imposé une amende administrative de 120 000 euros à l’encontre de la municipalité d’Oslo, et spécialement son Agence pour l’éducation. 

L’autorité reproche à la mairie de ne pas avoir mis en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté sur l’application mobile Skolemelding. Une solution dédiée à la communication entre le personnel de l’école, les parents et les élèves.

Ainsi, la mauvaise sécurisation de cette solution permettait à un utilisateur tiers de modifier les données personnelles de plus de 63 000 élèves. De même « en raison de tests de sécurité inadéquats avant le lancement de l’application, celle-ci contenait des failles de sécurité bien connues ».

Autre problème : un champ libre où des parents ont pu révéler des éléments sensibles relatifs à la santé de leur enfant. Une mesure peu compatible avec le principe du « privacy by design » cher au RGPD. Selon l’autorité de contrôle, il eut été préférable d’utiliser par exemple une liste déroulante ou un système de cases à cocher. 

« La municipalité d’Oslo n’a pas fait appel de la décision ».