Le 16 février 2023, la CNIL a mis en demeure deux établissements d’enseignement supérieur pour les enjoindre à se conformer au RGPD en ce qui concerne les fichiers employés dans leurs activités administratives et pédagogiques.
Les aspects de non conformité englobent, entre autres, la période de rétention des informations, la communication aux étudiants, et la protection des données.
Le cabinet revient sur les points clés de cette actualité :
Mise en demeure de la CNIL
Lors de vérifications basées sur l’examen de documents fournis par les établissements, la CNIL a constaté plusieurs infractions liées à la conservation des données, à l’information des étudiants, à l’absence de supervision des sous-traitants, ainsi qu’à la sécurité.
Tout d’abord, il est apparu que ces établissements n’avaient pas défini de période de rétention précise pour l’ensemble des données personnelles des étudiants, et n’avaient pas mis en place de mécanisme pour purger et archiver ces données. Il est important de noter que les données personnelles des étudiants ne peuvent être conservées indéfiniment.
De plus, les établissements ne fournissaient pas aux étudiants une information adéquate concernant la collecte de leurs données à travers les différents formulaires qu’ils remplissaient pendant leur scolarité. Certains de ces formulaires comportaient des informations obsolètes depuis l’entrée en vigueur du RGPD, et il était nécessaire de les mettre à jour sur tous les supports (formulaires d’inscription, newsletters, courriels, sites web, etc.). Ces informations doivent être conformes au RGPD, qui exige une information complète et précise.
En outre, ces établissements ont fait appel à plusieurs sous-traitants pour gérer les données personnelles des étudiants, mais n’ont pas été en mesure de fournir à la CNIL les contrats de sous-traitance dûment signés, comprenant toutes les informations requises par le RGPD.
Enfin, les établissements n’avaient pas instauré de politique contraignante en ce qui concerne les mots de passe pour assurer un niveau de sécurité minimal, en contradiction avec les recommandations de la CNIL.
Les recommandations aux établissements d’enseignement
Il convient de rappeler que les mises en demeure ne sont pas des sanctions !
Elles doivent être considérés par les établissements d’enseignement supérieur comme des outils d’amélioration de leur conformité numérique.
Les établissements d’enseignement supérieur présentent la particularité que leur fonctionnement nécessite la collecte et le traitement d’une multitude de données dont certaines revêtent un caractère personnel.
Les établissements d’enseignement supérieur collectent, traitent et gèrent ainsi des données relevant du personnel administratif (salarié), d’enseignants, d’étudiants, ou encore de candidats.
Cette hétérogénéité est susceptible de présenter certaines difficultés s’agissant des données collectées pour chacun des traitements et ainsi une vigilance particulière quant à la mise en conformité aux dispositions « RGPD ».
Par conséquent, la protection des données constitue un enjeu de sécurité pour les établissements d’enseignement supérieur.
Un cabinet à votre écoute
Le cabinet connaît le fonctionnement des établissements supérieurs et vous accompagne dans toutes les étapes de mise en conformité.