L’École 42 chère à Xavier Niel a été mise en demeure par la CNIL suite à une longue série de violations de données personnelles. La commission lui laisse deux mois pour corriger ces défaillances, avant d’envisager d’éventuelles sanctions.
Suite à une décision prise dix jours plus tôt, la CNIL a effectué les 12 et 13 février un contrôle sur place au sein de l’école, soit antérieurement à l’entrée en vigueur du règlement général sur la protection des données personnelles.
Une précision utile pour comprendre la procédure mise en œuvre. C’est en tout cas à cette occasion qu’elle a constaté une série de manquements à la loi de 1978. Premièrement, la commission a épinglé le déploiement de plusieurs caméras de vidéosurveillance, filmant de manière constante plusieurs « lieux de vie ».
Si ces yeux électroniques sont tolérés sur les lieux d’accès ou les espaces de circulation, elle estime que les caméras ne peuvent, sauf circonstances exceptionnelles, filmer les espaces de travail, l’amphithéâtre, les espaces de pause, l’entrée desservant les sanitaires, ainsi que les postes de travail de plusieurs membres du personnel administratif.
Des caméras filmant en continu des lieux de vie
Sur ce point, prévient la gardienne des données personnelles, « le fait de filmer en continu les postes de travail de certains employés est disproportionné » sauf circonstance particulière, « par exemple lorsqu’un employé manipule des fonds ou des objets de valeur ou lorsque le responsable de traitement est à même de justifier de vols ou de dégradations commises sur ces zones ».
Sur la même veine, l’École 42 a failli à informer correctement les étudiants concernés puisque le règlement intérieur n’indique pas les destinataires des données ni la durée de conservation des images. De même, les personnes extérieures ne sont alertées que par un autocollant prévenant que l’établissement est sous vidéosurveillance. Ce qui n’est pas suffisant.
Des images accessibles par tous les étudiants
La sécurité et la confidentialité des données a également fait l’objet de critiques. Une application présente sur l’intranet permet aux étudiants d’avoir « accès, en temps réel aux images issues des caméras filmant les zones qui leur sont accessibles. Par ailleurs, les membres du personnel administratif ont quant à eux accès, grâce à une autre application, à l’ensemble des images ».
Selon l’école, « le dispositif permet aux étudiants de retrouver leurs camarades au sein de l’école et que le choix de leur ouvrir l’accès aux images permet de les rassurer sur ce que visualisent les caméras ».
Cette ouverture a été cependant mal accueillie par l’autorité, pour qui seules les personnes spécialement habilitées peuvent y avoir accès, sauf à compromettre la confidentialité des données personnelles captées.
Des commentaires dans un champ libre jugés disproportionnés
Sur le terrain du droit à l’information, les candidats qui s’inscrivent en ligne ne sont pas alertés des traitements de données. De même, dans la base de données des étudiants, une colonne « champ libre » a été prévue, sans être encadrée par une quelconque procédure.
Or, dans ce champ, plusieurs commentaires très personnels ont été portés, comme ceux-ci, concernant un élève : « il a enfin été diagnostiqué de plusieurs maladies graves », « procès avec son ancien employeur », « dépression », « sa mère a eu un cancer juste avant sa rentrée ».
Aux yeux de la CNIL, « l’inscription au sein de la base de données, à laquelle l’ensemble de l’équipe administrative accède, d’informations relatives à l’état de santé de l’étudiant ou à sa situation familiale, apparait disproportionnée au regard de la finalité du traitement, en l’espèce, la gestion pédagogique de l’étudiant. »
Des mots de passe pas assez solides
Autre bug : « aucune durée de conservation n’a été définie par l’association s’agissant des données renseignées par les candidats, qu’ils aient échoué aux tests d’admissibilité ou qu’ils aient intégré l’école ». Là encore, la délibération épingle un traitement disproportionné, les données personnelles devant être conservées pendant une durée qui n’excède pas celle nécessaire aux finalités pour lesquelles elles ont été collectées et traitées, et pas à durée illimitée…
Même coup de griffe à l’encontre de la politique des mots de passe : l’espace personnel des étudiants de cette école d’informatique n’est composé que de 8 caractères alphanumériques avec lettres majuscules et minuscules. Or, selon la délibération, « une authentification reposant sur l’utilisation d’un mot de passe insuffisamment complexe peut conduire à une compromission des comptes associés et à des attaques par des tiers non autorisés, par exemple des attaques par force brute ».
Ces mots de passe sont d’ailleurs adressés en clair par email, et il n’est pas demandé aux étudiants d’en créer un nouveau lors de leur première connexion. « Cela implique que dans le cas où l’étudiant ne procède pas lui-même au renouvellement de son mot de passe, celui-ci ne sera jamais renouvelé et restera connu des administrateurs de l’école. »
Une mise en demeure rendue volontairement publique par la CNIL
La CNIL a ainsi adressé une longue mise en demeure à l’École 42, lui demandant une mise à jour de son système d’information, comme en témoigne cette liste bien fournie :
L’école a deux mois pour corriger le tir. À défaut, elle encourt jusqu’à 1 500 000 euros d’amende, si la procédure de sanction est engagée. Remarquons que la CNIL a décidé de rendre publique sa mise en demeure.
Dans la délibération dédiée à cette prise de décision, le bureau a spécialement souhaité « sensibiliser les professionnels du secteur sur cette difficulté alors que le nombre de plaintes relatives à l’usage de la vidéosurveillance connaît une forte croissance et révèle ainsi une préoccupation grandissante des personnes ».
Le sujet avait d'ailleurs déjà fait l'objet d'une communication par l'autorité, pas plus tard que le 19 septembre dernier.
