La CNIL met en demeure un établissement scolaire pour vidéosurveillance excessive

La CNIL met en demeure un établissement scolaire pour vidéosurveillance excessive

Œil pour œil, dent pour dent

Avatar de l'auteur
Marc Rees

Publié dans

Droit

25/07/2018 6 minutes
38

La CNIL met en demeure un établissement scolaire pour vidéosurveillance excessive

L’Institut des techniques informatiques et commerciales (ITIC) a été mis en demeure par la CNIL pour ses excès en matière de vidéosurveillance. C’est lors d’un contrôle sur place que la commission a pu identifier un florilège de problèmes au travers de ces yeux électroniques.

Cette vidéosurveillance, censée protéger les biens et éviter les débordements d’étudiants, avait été déclarée en mai 2009. Les 700 inscrits chaque année en moyenne étaient bien avertis dans les conditions générales attachées au contrat d’inscription, mais non les 10 à 15 salariés administratifs outre les 60 enseignants. Un panneau était certes placardé au 190 bis boulevard de Charonne, mais non au numéro 133 du même boulevard, là où elle dispose d’autres locaux. En tout, 40 caméras étaient réparties dans ces deux établissements, activées dès détection de mouvement.

La CNIL, après son contrôle sur place, a repéré plusieurs contrariétés aux dispositions encadrant la vidéosurveillance. D’abord un défaut d’information patent puisque « les personnes concernées ne sont pas informées notamment de l’identité du responsable du traitement, des destinataires, de la durée de conservation des images ou des droits des personnes ». S’agissant des salariés, l’information est tout simplement absente.

Ces faits peuvent être en contrariété avec les articles 131-41 et R625-10 du Code pénal combinés, qui sanctionnent ces défaillances d’une peine d’amende pouvant atteindre 7 500 euros.

Pas de videosurveillance sur les lieux de vie, sauf circonstances exceptionnelles 

Les caméras filmaient en continu, dès qu’un mouvement était détecté dans toutes les salles de classe et des lieux de vie des étudiants, tels la cafétéria ou les espaces consacrés au déjeuner libre. Or, pour la commission, « si des caméras peuvent filmer les accès de l’établissement (entrées et sorties) et les espaces de circulation, il est exclu de filmer les lieux de vie pendant les heures d’ouverture de l’établissement, sauf circonstances exceptionnelles non démontrées en l’espèce ». La société a bien évoqué des violences entre étudiants, parfois avec les enseignants, mais il n’y a eu aucun élément tangible tel qu’un dépôt de plainte ou un compte rendu d’incident. Selon la CNIL, ce système est donc excessif puisqu’il place les sujets dans le cadre d’une surveillance permanente.

L’une des caméras permettait également de filmer le bureau de la responsable des inscriptions et même « de manière continue le poste de travail d’une salariée ». « Manifestement disproportionné », conclut là encore la CNIL, alors que la loi exige des « données adéquates, pertinentes et non excessives au regard des finalités ».

Un logiciel et un Windows sans mot de passe

Autre constat : « l’accès au logiciel de visionnage ne nécessite aucun mot de passe pour se connecter au compte administrateur du logiciel ». De plus, « la session Windows du poste de travail du directeur ne nécessite pas de mot de passe et n’est jamais déconnectée ». Elle voit cette fois un manquement aux obligations de l’article 34 de la loi de 1978 qui exige des précautions utiles « pour préserver la sécurité des données ». Des faits susceptibles d’être sanctionnés cette fois d’une amende pouvant atteindre 1,5 million d’euros.

Ce n’est pas tout. Les enregistrements les plus anciens remontent au 28 décembre 2017, soit vieux de 49 jours lors du contrôle. Or, dans sa déclaration, l’ITIC avait affiché une durée de conservation de 30 jours. Les données ont donc été stockées pour une durée excessive. Le Code pénal prévoit là aussi une amende maximale de 1,5 million d’euros.

Deux mois pour rectifier le tir

La société a désormais deux mois pour rectifier le tir, sous peine de voir engager une procédure de sanction. Elle devra en particulier cesser de filmer les classes et lieux de vie pendant les heures d’ouvertures de l’école, et de placer sous surveillance constante ses salariés.

Il doit procéder également à l’information des personnes concernées, en application du règlement général sur la protection des données personnelles : identité du responsable du traitement, durée de conservation des données, rappel des droits des personnes et de la manière de les exercer, etc. Des données qu’il faudra apposer également sur les panneaux d’information placés à chacune des entrées.

Sur le terrain informatique, chaque utilisateur aura à disposer d’un compte individuel. Les sessions Windows seront verrouillées au bout d’un certain temps d’inactivité. Les mots de passe devront être « composés d’au minimum 12 caractères, contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial ». Ceux composés d’au moins 8 caractères contiendront 3 des 4 catégories de ces caractères. La commission demande aussi un système pour se protéger des soumissions automatisées et intensives, par exemple avec un système de captcha.

Des images conservées un mois, non au-delà

Enfin, l’ITIC devra « mettre en œuvre une politique de durée de conservation des données à caractère personnel » conforme au RGPD, « qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées, notamment en ne conservant pas les enregistrements des images du dispositif de vidéosurveillance au-delà d’un mois ».

La délibération, rendue publique par la CNIL, est importante car elle scelle le nouvel encadrement de ces caméras de surveillance après la mise en application du règlement général sur la protection des données. La commission a d’ailleurs publié une note qui fait le point sur les règles en vigueur dans les établissements scolaires.

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Pas de videosurveillance sur les lieux de vie, sauf circonstances exceptionnelles 

Un logiciel et un Windows sans mot de passe

Deux mois pour rectifier le tir

Des images conservées un mois, non au-delà

Commentaires (38)


C’est suite à une plainte de l’élève Benalla? <img data-src=" />


Dans les établissements scolaires on ne parle pas de vidéosurveillance mais de vidéoprotection, nuance&nbsp;<img data-src=" /><img data-src=" />


Hmmm, de la vidéointrusion !


d’abord j’ai pensé : “la CNIL a vite réagi” !

mince…..c’est UNE AUTRE école (oups) !!! <img data-src=" />



https://www.nextinpact.com/news/106885-a-paris-porte-clefs-connecte-obligatoire-…


Il serait plutôt devant les écrans de surveillance lui.😎


C’est moche pour une structure d’enseignement informatique (et commercial)… faites ce que je dis pas ce que je fais <img data-src=" />


C’est clair : un compte administrateur sans mot de passe, pour une école qui propose un diplôme de Bachelor (Bac+3) informatique réseaux et sécurité !


+1



Ça fait pas sérieux du tout pour une école orientée informatique, surtout que les manquements constatés sont clairs, qu’il n’y avait pas d’ambiguïté sur leur illicéité.



La CNIL a été gentille je trouve.


L’Institut des techniques informatiques et commerciales (ITIC), un logiciel et un Windows sans mot de passe

En 2018 ?








skankhunt42 a écrit :



L’Institut des techniques informatiques et commerciales (ITIC), un logiciel et un Windows sans mot de passe

En 2018 ?





Si tu savais …









LostSoul a écrit :



Si tu savais …





Ils n’ont pas dit de quelle version de Windows il s’agissait…



Peut-être Win 3.11 for Workgroup ? <img data-src=" />





Des données qu’il faudra apposer également sur les panneaux d’information placés à chacune des entrées.





Et pour un village ça se passe comment? Dans mon petit village tranquille de 300 habitants, le maire, héritier rentier, s’est fait laver le cerveau par des commerciaux de la vidéosurveillance, et veut en mettre partout, avec notre argent, pour que son château ne soit plus cambrioler <img data-src=" />



Il devra mettre des panneaux d’informations CNIL a chaque entrée du village? <img data-src=" />


Je suis tout de même étonné du 2 poids 2 mesures.



En tant qu’individu, dès qu’on enfreint une règle, aussi anodine soit-elle, et qu’on se fait prendre, on paie une amende (je pense au code de la route par ex).



Là on a affaire à des négligences assez graves au répercussions autrement plus importantes que de se garer en double file, et non seulement il n’y a pas de sanction mais juste un avertissement (et une injonction de bien faire sous 2 mois, quand même).



Franchement quel pourrait être la motivation d’une quelconque société de faire comme il faut après ce genre de publicité ? Au pire ils se font contrôler, et on leur donnera les bonnes conduites à adopter et 2 mois de délais…



Tout. Va. Bien.


Vous pensez vraiment que ce sont les profs d’informatique qui ont installé le Windows du directeur ? <img data-src=" />





Les mots de passe devront être «&nbsp;composés d’au minimum 12

caractères, contenant au moins une lettre majuscule, une lettre

minuscule, un chiffre et un caractère spécial&nbsp;». Ceux composés d’au moins 8 caractères contiendront 3 des 4 catégories de ces caractères.





Comment la CNIL compte vérifier cette demande ? Il faut fournir le mot de passe ?








Jarodd a écrit :



Vous pensez vraiment que ce sont les profs d’informatique qui ont installé le Windows du directeur ? <img data-src=" />







Comment la CNIL compte vérifier cette demande ? Il faut fournir le mot de passe ?





Tu peux le montrer via l’administration du domaine dans la configuration par exemple (AD sur Windows ou un simple annuaire LDAP)



C’est bien de faire rêver avec ces amendes maximales mais y a-t-il la moindre chance que l’établissement soit condamné aussi sévèrement ?


Il vaux mieux d’abord avertir sur les différents&nbsp; manquement puis ensuite punir si les délais ne sont pas respectés.



La CNIL est avant tout un organisme servant à prévenir, cotrôler et non uniquement à punir.








LostSoul a écrit :



Si tu savais …





Petite fiction, au hasard : le boss de l’école est paternaliste, colérique et totalement imperméable à toute notion de sens commun. Il attrape le responsable et : « Machin ! J’arrive pas à regarder la console des caméras. T’as deux minutes pour me virer ce 0!$*% de mot de passe, ou bien c’est moi qui te vire. »



Ça serait dommage de prendre 3 millions d’amende pour une raison aussi futile. <img data-src=" />


si tu savais la catastrophe du système informatique dans des écoles qui dispensent principalement des cours d’info .


”…dès qu’un mouvement était détecté dans toutes les salles de classe et des

lieux de vie des étudiants, tels la cafétéria ou les espaces consacrés

au déjeuner libre.”

&nbsp;«&nbsp;de manière continue le poste de travail d’une salariée&nbsp;»

&nbsp;Y’a un grand malade de la vidéo surveillance dans cet établissement, cela touche au voyeurisme même…. <img data-src=" />








eglyn a écrit :



Tu peux le montrer via l’administration du domaine dans la configuration par exemple (AD sur Windows ou un simple annuaire LDAP)





Tu peux montrer le mot de passe en clair sur un AD ou un LDAP?



vidéoPROTECTION


A chaque fois qu’une route change de commune pour la tienne, oui il faut un panneau comme quoi la commune est équipée.

10 entrées, 10 panneaux :)

D’ailleurs une déclaration de caméras pour une commune est limitée dans le temps et doit être renouvelés.








wanou a écrit :



Tu peux montrer le mot de passe en clair sur un AD ou un LDAP?





Bein tu peux montrer la config de la password policy



Je répond non, je&nbsp;rappelle la loi et s’il insiste, je contacte la CNIL.


A ma connaissance, seulement s’il est stocké en clair, sinon tu pourras voir uniquement le hash.

Donc ça indiquerait un autre type de soucis.


c’est comme dans les affaires graves (meurtre, etc…)

on nous donne “la peine encourue” (20 ans max.)

et…au final le gars écope de 5 ans = pff !!! <img data-src=" />


Tu peux montrer la configuration de la sécurité des mots de passe, dans un AD, tu vois la longueur, le minimum de complexité, etc…



&nbsp;








eglyn a écrit :



Tu peux montrer la configuration de la sécurité des mots de passe, dans un AD, tu vois la longueur, le minimum de complexité, etc…

&nbsp;





Tu peux voir la longueur et la complexité minimum qui sont configurées par un admin ou les longueurs et complexités réelles des mots de passe utilisateurs?









graphseb a écrit :



Petite fiction, au hasard : le boss de l’école est paternaliste, colérique et totalement imperméable à toute notion de sens commun. Il attrape le responsable et : « Machin ! J’arrive pas à regarder la console des caméras. T’as deux minutes pour me virer ce 0!$*% de mot de passe, ou bien c’est moi qui te vire. »





Exactly !



celle fixée par l’admin… en dessous de laquelle les utilisateurs ne peuvent pas aller.



Si l’admin a mis “mini 32 caractères, 1+ maj, 1+ numérique, 1+ non alpha et différent des 50 précédents, etc.”, d’abord c’est un sadique, on est d’accord, ensuite personne ne pourra y déroger (mais quelqu’un pourra avoir 50 caractères si ça lui chante)


Non, on parle toujours de “peine MAXIMALE encourue”. Celle-ci n’est pas systématiquement appliquée puisque derrière c’est à l’appréciation de la Justice selon les faits.



Tu crois qu’à l’époque pré-HADOPI la Justice allait condamner à 5 ans de prison + 300k€ d’amende le gars qui avait téléchargé l’album de Britney Spears sur emule ?









WereWindle a écrit :



celle fixée par l’admin… en dessous de laquelle les utilisateurs ne peuvent pas aller.



Si l’admin a mis “mini 32 caractères, 1+ maj, 1+ numérique, 1+ non alpha et différent des 50 précédents, etc.”, d’abord c’est un sadique, on est d’accord, ensuite personne ne pourra y déroger (mais quelqu’un pourra avoir 50 caractères si ça lui chante)







Et ça finira en post-it à l’écran de toute façon.



avec 50 mdp non répétables (le 1er peut devenir le 51ème), on sera plus proche de la fiche bristol A5 que du post-it <img data-src=" />




Tu crois qu’à l’époque pré-HADOPI la Justice allait condamner à 5 ans de prison + 300k€ d’amende

le gars qui avait téléchargé l’album de Britney Spears sur emule ?



heureusement que j’avais préciser :

“….dans les affaires graves (meurtre, etc…) ”



ça……“c’est-du-pipi-d’chat”, pour moi

mais bon !


L’appréciation personnelle n’est pas la question : la Loi défini une peine maximale, la Justice l’apprécie et l’applique selon les faits.



La Justice n’est pas binaire, et fort heureusement… Et j’espère qu’elle continuera à être prônée par rapport à la vindicte populaire à laquelle beaucoup cèdent bien trop vite.








vizir67 a écrit :



Tu crois qu’à l’époque pré-HADOPI la Justice allait condamner à 5 ans de prison + 300k€ d’amende

le gars qui avait téléchargé l’album de Britney Spears sur emule ?



heureusement que j’avais préciser :

“….dans les affaires graves (meurtre, etc…) ”



ça……“c’est-du-pipi-d’chat”, pour moi

mais bon !



Celui qui télécharge Maitre Gims lui mérite largement les 300k€ d’amende et les 5 ans d’emprisonnement <img data-src=" />









Patch a écrit :



Celui qui télécharge Maitre Gims lui mérite largement les 300k€ d’amende et les 5 ans d’emprisonnement <img data-src=" />





Remarque, en prison, il sera sapé comme jamais…