La CNIL vient de clôturer la procédure de mise en demeure qu’elle avait ouverte en octobre 2018. L’association derrière l’École 42 s’est conformée à la législation sur les données personnelles.
En février 2018, l’autorité réalisait un contrôle sur place au terme duquel elle constatait une série de manquements à la législation en vigueur, antérieure au RGPD.
En particulier, une série de caméras de vidéosurveillance filmait en continu plusieurs salles de cours, des lieux de vie et des postes de travail d’employés. Dans le règlement intérieur, les personnes concernées n’étaient informées ni des destinataires des données ni de la durée de conservation des images. Ce n’est pas tout, une application permettait aux étudiants d’avoir accès en temps réel à ces images.
L’école a finalement revu et corrigé ce système. « L’association a retiré ou réorienté les caméras filmant les espaces de travail, les lieux de détente des étudiants et les postes du personnel » constate aujourd’hui la CNIL, laquelle avait pourtant offert deux mois de délai à 42, le 8 octobre dernier.
De plus, note l’autorité, des mesures ont été prises « pour que les étudiants et le personnel non autorisé ne puissent plus avoir accès aux images issues de la vidéosurveillance ». Les informations complètes afférentes à ce dispositif sont également placardées sur des panneaux et dans les mentions légales du site.
L’association a de même revu sa politique de mot de passe. L’espace personnel des étudiants n’était protégé que par un mot de 8 caractères alphanumériques avec majuscules et minuscules. Or, selon la délibération de 2018, « une authentification reposant sur l’utilisation d’un mot de passe insuffisamment complexe peut conduire à une compromission des comptes associés et à des attaques par des tiers non autorisés, par exemple des attaques par force brute ».
