La CNIL met en demeure l'École 42 pour vidéosurveillance excessive

La CNIL met en demeure l’École 42 pour vidéosurveillance excessive

Avant la fessée

Avatar de l'auteur
Marc Rees

Publié dans

Droit

30/10/2018 6 minutes
25

La CNIL met en demeure l'École 42 pour vidéosurveillance excessive

L’École 42 chère à Xavier Niel a été mise en demeure par la CNIL suite à une longue série de violations de données personnelles. La commission lui laisse deux mois pour corriger ces défaillances, avant d’envisager d’éventuelles sanctions.

Suite à une décision prise dix jours plus tôt, la CNIL a effectué les 12 et 13 février un contrôle sur place au sein de l’école, soit antérieurement à l’entrée en vigueur du règlement général sur la protection des données personnelles.

Une précision utile pour comprendre la procédure mise en œuvre. C’est en tout cas à cette occasion qu’elle a constaté une série de manquements à la loi de 1978. Premièrement, la commission a épinglé le déploiement de plusieurs caméras de vidéosurveillance, filmant de manière constante plusieurs « lieux de vie ».

Si ces yeux électroniques sont tolérés sur les lieux d’accès ou les espaces de circulation, elle estime que les caméras ne peuvent, sauf circonstances exceptionnelles, filmer les espaces de travail, l’amphithéâtre, les espaces de pause, l’entrée desservant les sanitaires, ainsi que les postes de travail de plusieurs membres du personnel administratif.

Des caméras filmant en continu des lieux de vie

Sur ce point, prévient la gardienne des données personnelles, « le fait de filmer en continu les postes de travail de certains employés est disproportionné » sauf circonstance particulière, « par exemple lorsqu’un employé manipule des fonds ou des objets de valeur ou lorsque le responsable de traitement est à même de justifier de vols ou de dégradations commises sur ces zones ».

Sur la même veine, l’École 42 a failli à informer correctement les étudiants concernés puisque le règlement intérieur n’indique pas les destinataires des données ni la durée de conservation des images. De même, les personnes extérieures ne sont alertées que par un autocollant prévenant que l’établissement est sous vidéosurveillance. Ce qui n’est pas suffisant.

Des images accessibles par tous les étudiants

La sécurité et la confidentialité des données a également fait l’objet de critiques. Une application présente sur l’intranet permet aux étudiants d’avoir « accès, en temps réel aux images issues des caméras filmant les zones qui leur sont accessibles. Par ailleurs, les membres du personnel administratif ont quant à eux accès, grâce à une autre application, à l’ensemble des images ».

Selon l’école, « le dispositif permet aux étudiants de retrouver leurs camarades au sein de l’école et que le choix de leur ouvrir l’accès aux images permet de les rassurer sur ce que visualisent les caméras ».

Cette ouverture a été cependant mal accueillie par l’autorité, pour qui seules les personnes spécialement habilitées peuvent y avoir accès, sauf à compromettre la confidentialité des données personnelles captées.

Des commentaires dans un champ libre jugés disproportionnés

Sur le terrain du droit à l’information, les candidats qui s’inscrivent en ligne ne sont pas alertés des traitements de données. De même, dans la base de données des étudiants, une colonne « champ libre » a été prévue, sans être encadrée par une quelconque procédure.

Or, dans ce champ, plusieurs commentaires très personnels ont été portés, comme ceux-ci, concernant un élève : « il a enfin été diagnostiqué de plusieurs maladies graves », « procès avec son ancien employeur », « dépression », « sa mère a eu un cancer juste avant sa rentrée ».

Aux yeux de la CNIL, « l’inscription au sein de la base de données, à laquelle l’ensemble de l’équipe administrative accède, d’informations relatives à l’état de santé de l’étudiant ou à sa situation familiale, apparait disproportionnée au regard de la finalité du traitement, en l’espèce, la gestion pédagogique de l’étudiant. »

Des mots de passe pas assez solides

Autre bug : « aucune durée de conservation n’a été définie par l’association s’agissant des données renseignées par les candidats, qu’ils aient échoué aux tests d’admissibilité ou qu’ils aient intégré l’école ». Là encore, la délibération épingle un traitement disproportionné, les données personnelles devant être conservées pendant une durée qui n’excède pas celle nécessaire aux finalités pour lesquelles elles ont été collectées et traitées, et pas à durée illimitée…  

Même coup de griffe à l’encontre de la politique des mots de passe : l’espace personnel des étudiants de cette école d’informatique n’est composé que de 8 caractères alphanumériques avec lettres majuscules et minuscules. Or, selon la délibération, « une authentification reposant sur l’utilisation d’un mot de passe insuffisamment complexe peut conduire à une compromission des comptes associés et à des attaques par des tiers non autorisés, par exemple des attaques par force brute ».

Ces mots de passe sont d’ailleurs adressés en clair par email, et il n’est pas demandé aux étudiants d’en créer un nouveau lors de leur première connexion. « Cela implique que dans le cas où l’étudiant ne procède pas lui-même au renouvellement de son mot de passe, celui-ci ne sera jamais renouvelé et restera connu des administrateurs de l’école. »

Une mise en demeure rendue volontairement publique par la CNIL

La CNIL a ainsi adressé une longue mise en demeure à l’École 42, lui demandant une mise à jour de son système d’information, comme en témoigne cette liste bien fournie :

CNIL ecole 42

L’école a deux mois pour corriger le tir. À défaut, elle encourt jusqu’à 1 500 000 euros d’amende, si la procédure de sanction est engagée. Remarquons que la CNIL a décidé de rendre publique sa mise en demeure.

Dans la délibération dédiée à cette prise de décision, le bureau a spécialement souhaité « sensibiliser les professionnels du secteur sur cette difficulté alors que le nombre de plaintes relatives à l’usage de la vidéosurveillance connaît une forte croissance et révèle ainsi une préoccupation grandissante des personnes ».

Le sujet avait d'ailleurs déjà fait l'objet d'une communication par l'autorité, pas plus tard que le 19 septembre dernier.

25

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Des caméras filmant en continu des lieux de vie

Des images accessibles par tous les étudiants

Des commentaires dans un champ libre jugés disproportionnés

Des mots de passe pas assez solides

Une mise en demeure rendue volontairement publique par la CNIL

Commentaires (25)


J’avoue que déjà être filmé en permanence ça me soulerai, mais qu’en plus n’importe quel autre élève puisse me pister et savoir où je suis à un instant T… fuck off… o_o



Je dois être trop vieux pour ces conneries…


L’école 42, le meilleur des mondes… <img data-src=" />

Mine de rien, pour une école d’info, ça la fout mal d’être aussi peu au fait des bonnes pratiques.








Inny a écrit :



L’école 42, le meilleur des mondes… <img data-src=" />

Mine de rien, pour une école d’info, ça la fout mal d’être aussi peu au fait des bonnes pratiques.





Non justement, ça donne aux étudiants un bon aperçu de ce qui se fait en entreprise <img data-src=" />



Surtout qu’il y a d’autres moyens, par exemple, ils pourraient détecter où est ouverte la session d’un élève, c’est beaucoup moins intrusif et tout aussi efficace. Ou alors, les élèves s’envoient des sms “à l’ancienne”, ça fait moins techno mais c’est beaucoup plus humain.


”… lorsqu’un employé manipule des fonds ou des objets de valeur ou lorsque

le responsable de traitement est à même de justifier de vols ou de dégradations

commises sur ces zones ».



..comme des ordinateurs !



“pardon……je suis loin, déjà—-&gt;[]



“les mots de passe sont d’ailleurs adressés en clair par email”



C’est ce qui me choque le plus dans tout ça…tout leur système de gestion de mot de passe est sans doute à reprendre (y compris le stockage).

&nbsp;

Et là pour le coup c’est vraiment ridicule pour une école d’info…


Trop tard pour Sadirac 🤚🍑


<img data-src=" />


C’est déjà le cas en plus, leur tentative de légitimation est ridicule.


<img data-src=" /> C’est lui qui aurait du prendre une fesse&nbsp;<img data-src=" />


C’est pas mieux que dans d’autre école d’info. Ca sent la politique quand même sur la raison de la publication de l’avis.


Est-ce qu’il y a une raison pour laquelle la CNIL met toujours en demeure en premier lieu ? Je veux dire, nul n’est censé ignoré la loi etc etc, donc pourquoi les entreprises ont une sorte de passe-droit qui dit “Si vous faites des conneries et qu’on vous choppe, on vous donne l’occasion de réparer la connerie sans conséquence” ? C’est une volonté politique ?








Xerto a écrit :



Est-ce qu’il y a une raison pour laquelle la CNIL met toujours en demeure en premier lieu ? Je veux dire, nul n’est censé ignoré la loi etc etc, donc pourquoi les entreprises ont une sorte de passe-droit qui dit “Si vous faites des conneries et qu’on vous choppe, on vous donne l’occasion de réparer la connerie sans conséquence” ? C’est une volonté politique ?





Et bien non. Il vaut mieux dans bien des cas faire un avertissement et que la personne ou la boîte se mette en conformité. Cela permet a tout le monde de gagner du temps et de l’énergie. Par contre si cela persiste…



Vraiment sale.








Antwan a écrit :



Trop tard pour Sadirac 🤚🍑





Justement, cette histoire de mots de passe faibles m’étonne énormément: RN n’a pas dû mettre une seule fois les pieds dans leur “bocal”, ce n’est pas possible autrement. Socialement, il est ce qu’il est, mais techniquement, je n’imagine pas qu’il ait pu autant régresser…&nbsp;



Oh il a du les avoir ses fesses… <img data-src=" />


Etant directeur, je pense que&nbsp;ca fait longtemps qu’il a pas touche a de l’admin sys. La ou il a surtout peche c’est qu’il est le garant que les choses se passent bien dans son ecole et que les etudiants soit safe. Le coup des mots de passe et des cameras partout ils se sont un peu emportes dirons nous….


https://www.cnil.fr/fr/mission-4-controler-et-sanctionner



C’est un choix que la formation restreinte de la CNIL peut faire, soit taper direct soit mettre en demeure de se conformer à la législation.

Y’a quand même une conséquence à une mise en demeure publique en termes d’image.


Parce que les dirigeants de Free ont trop de relations haut placées pour être condamnables.

Il n’y a pas que la CNIL d’ailleurs ! Le CSA c’est pareil, on le voit avec Hanouna.


https://www.csa.fr/Arbitrer/Comment-le-CSA-peut-il-sanctionner



Le pouvoir de sanction du CSA est gradué.



Et par ailleurs, C8 a déjà eu plusieurs condamnations. Avant de chercher le complot, renseignez-vous un peu, l’info est disponible très facilement.








Groupetto a écrit :



“les mots de passe sont d’ailleurs adressés en clair par email”



C’est ce qui me choque le plus dans tout ça…tout leur système de gestion de mot de passe est sans doute à reprendre (y compris le stockage).





Attention, le contexte laisse comprendre qu’il s’agit de l’initialisation du mot de passe, pas de la fonction “mot de passe oublié”.

Potentiellement (mais je ne sais pas si c’est le cas ici), le mail de confirmation d’inscription peut être envoyé avec un mot de passe généré à la volée, qui est ensuite salé et hashé pour insertion en base. Seul ce mot de passe initial est en clair, toute récupération est bien impossible. Et idéalement (et contrairement à l’implémentation École 42), le changement est obligatoire à la première connexion.



Sans parler du reste, il semble normal qu’un élève traversant une situation difficile ait une mention spéciale dans les bases de données pour autoriser un suivi personnalisé, sans le forcer à expliquer que s’il est absent c’est parce que sa mère est en phase terminale…


C’est pareil pour le CSA. En tant qu’autorité indépendante, s’ils sanctionnent eux-mêmes directement, ils sont hors la loi. Ils doivent d’abord adresser une mise en demeure. Ils peuvent cependant saisir le procureur en cas de violation grave.


Ça me rappelle le sujet du film “The Circle”


Je n’ai aucune idée de la taille de l’école, mais en général, il n’y a pas 50 élèves en situation extrême et il est possible de gérer ça sans inscription dans un champ libre pour l’éternité. Au pire un peu utiliser un booléen pour indiquer une situation hors norme et provoquer un traitement manuel du dossier. Il y a probablement quelqu’un dans l’école qui est capable de se souvenir pendant toute la durée de l’année scolaire qu’un ou deux étudiants sont dans une situation difficile.



Dans une école d’info, ils sont sensés savoir que le texte libre dans les dossiers personnels c’est le strike assuré…