Les contrôles de la Cnil ont mis au jour de nombreux manquements au RGPD de la part de deux établissements d’enseignement supérieur. Durées de conservation indéfinies, mots de passe faibles ou encore défaut d’information : les directions ont encore fort à faire pour protéger les données de leurs étudiants.
Les établissements scolaires et d’enseignement supérieur sont de véritables mines de données personnelles, qu’il s’agisse de celles de leurs élèves et étudiants ou des personnels administratifs ou pédagogiques. Deux établissements d’enseignement supérieur viennent ainsi de se faire épingler par la Cnil. On ne sait si les deux contrevenants sont des universités ou encore des grandes écoles, ni si ces mises en demeures font suite à des plaintes d’étudiants.
Mais toujours est-il que les deux établissements sont enjoints de respecter le RGPD dans les fichiers qu’ils emploient pour la gestion administrative et pédagogique. A l’occasion de contrôles sur pièces, le gendarme des données personnelles a constaté plusieurs manquements. A commencer par l’absence de durée de conservation « pour l’ensemble des traitements de données à caractère personnel des étudiants », le tout n’étant assorti ni de « purge », ni d’archivage.
Mauvaise note
En outre, les deux établissements en question n’ont pas vraiment actualisé les mentions d’informations relatifs aux traitements et à la protection des données personnelles sur leurs divers supports. « Certains formulaires font apparaître des mentions d’information devenues obsolètes depuis l’entrée en application du règlement général sur la protection des données (RGPD) » écrit la Cnil.
Autre point problématique : les contrats de sous-traitance. Selon le régulateur, les mis en demeure ont recours à plusieurs sous-traitants dans le cadre des traitements de données à caractère personnel des étudiants, mais se sont avérés incapables de produire des contrats « dûment signés » et comportant les mentions prévues par le RGPD. Enfin, le minimum de sécurité n’est pas assuré, puisque les deux établissements n’ont pas mis en place de « politique contraignante relative aux mots de passe ».
Bref, zéro pointé pour les deux établissements d’enseignement supérieur, mis en demeure en fin d’année dernière et qui ont encore deux mois pour rentrer dans le rang et échapper au couperet du gendarme des données personnelles. Et accessoirement protéger les données personnelles de leurs étudiants, un public dont les données sont particulièrement demandées.