La protection des données à caractère personnel est une question cruciale dans notre société de plus en plus numérique. Les établissements d’enseignement supérieur ne sont pas exemptés de cette obligation de respecter les règles de protection des données, comme l’a rappelé récemment la présidente de la CNIL.
Mise en demeure établissements supérieurs
Au cours de contrôles sur pièces, la CNIL a relevé plusieurs manquements relatifs à la durée de conservation, à l’information des étudiants, à l’absence d’encadrement du recours à des sous-traitants et à la sécurité de deux établissements d’enseignement supérieur.
Ces établissements n’ont pas prévu de durée de conservation précise pour l’ensemble des traitements de données à caractère personnel des étudiants, ce qui est contraire au RGPD. Ils n’ont pas non plus prévu de système de purge et d’archivage, ce qui pose un risque pour la vie privée des étudiants.
Les établissements n’informent pas correctement les étudiants concernant la collecte de leurs données, et certains formulaires utilisés font apparaître des mentions d’information obsolètes. Enfin, les établissements ont eu recours à plusieurs sous-traitants dans le cadre des traitements de données à caractère personnel des étudiants, sans fournir les contrats de sous-traitance dûment signés comportant l’ensemble des mentions prévues par le RGPD.
Face à ces manquements, la présidente de la CNIL a mis en demeure les deux établissements de se mettre en conformité d’ici fin 2022. Cette mise en demeure n’est pas une sanction, mais une obligation de respecter la loi dans un délai de deux mois.
Il est important de rappeler que le respect des règles de protection des données est un facteur de transparence et de confiance, en particulier pour les établissements d’enseignement supérieur, qui sont responsables de la gestion de données sensibles concernant leurs étudiants.
Les établissements d’enseignement supérieur doivent donc veiller à respecter scrupuleusement les règles de protection des données, notamment en prévoyant une durée de conservation précise pour les traitements de données à caractère personnel, en informant correctement les étudiants concernant la collecte de leurs données, en encadrant le recours à des sous-traitants et en mettant en place des politiques contraignantes en matière de sécurité des mots de passe.
Mise en demeure établissements supérieurs, les manquements
Les manquements identifiés par la CNIL concernant les établissements d’enseignement supérieur sont les suivants :
- L’absence de durée de conservation précise pour l’ensemble des traitements de données à caractère personnel des étudiants, ainsi que l’absence de système de purge et d’archivage.
- L’absence d’information correcte des étudiants concernant la collecte de leurs données, avec des mentions d’information obsolètes présentes sur certains formulaires.
- Le recours à des sous-traitants dans le cadre des traitements de données à caractère personnel des étudiants, sans fournir les contrats de sous-traitance dûment signés comportant l’ensemble des mentions prévues par le RGPD.
- L’absence de politique contraignante relative aux mots de passe pour garantir un niveau de sécurité minimal en la matière, contrairement aux recommandations de la CNIL.
