Portfolio#RGPD
25 juillet 2019

L’école 42 sort (enfin) du viseur de la Cnil

L'école 42 avait été épinglée pour ses pratiques irrégulières, notamment en matière de vidéosurveillance. Elle a depuis révisé ses pratiques pour se mettre en conformité avec le RGPD.

Ça a mis plus de temps que prévu mais c’est officiel : l’école 42 est sortie du collimateur de la Cnil. L’institution a officiellement clôt la mise en demeure qu’elle avait adressée à la structure éducative en octobre dernier. Dans un communiqué rendu public mardi, la Cnil a révélé que « les manquements constatés lors du contrôle avaient cessé. L’association a en effet pris des mesures pour se mettre en conformité avec le RGPD et la loi« . À l’automne, la Cnil avait enjoint l’école à se mettre en conformité sous deux mois. Dix mois plus tard, le dossier est donc enfin refermé. Il faut dire que les irrégularités étaient nombreuses.

Les caméras de surveillance filmaient en continu, à la fois des postes de travail d’étudiants mais aussi de salariés ainsi que des lieux de vie, ce qui allait à l’encontre du respect de la vie privée des uns et des autres. En outre, les étudiants avaient accès aux images en temps réel des caméras placées dans les lieux où ils étaient autorisés à circuler. Une entorse à la loi que n’avait pas manqué de relever la Cnil. « S’agissant de la vidéosurveillance, l’association a retiré ou réorienté les caméras filmant les espaces de travail, les lieux de détente des étudiants et les postes du personnel« , précise l’institution dans sa décision rendue le 23 juillet et attestant des efforts déployés par l’école.

Une politique d’information révisée

42 a aussi rectifié sa politique d’information relative à la durée de conservation et à l’accès aux images des caméras, autre point sensible du dossier. « L’école a complété les panneaux d’information relatifs à la vidéosurveillance ainsi que les mentions présentes sur son site internet« , souligne ainsi la Cnil. L’institution s’est également réjoui que « l’association a modifié sa politique en exigeant des étudiants et du personnel qu’ils choisissent des mots de passe suffisamment robustes et en prévoyant un renouvellement régulier des mots des passes des agents de sécurité, qui accèdent au système de vidéosurveillance« .

En revanche, elle ne donne aucune précision sur ce qu’il est advenu de la base de données des étudiants et candidats qui mentionnait des informations à caractère personnel, à l’instar de données médicales. Dans son premier rapport, la Cnil estimait alors que les informations contenues dans le fichier, qui plus est pour une durée indéterminée, n’étaient pas nécessaires à la bonne gestion des étudiants. La clôture de la procédure laisse penser que le fichier a été amendé, voire supprimé, afin que l’école se mette en conformité avec les recommandations de la Cnil.