C’est une procédure engagée depuis plusieurs mois par la CNIL à l’encontre de l’Ecole 42, qui vient de voir son terme, aujourd’hui, avec la levée de l’injonction qui lui était faite depuis le mois d’octobre 2018.
Cette dernière avait engagé à l’automne dernier, la responsabilité de l’Association gestionnaire de l’établissement par la voie d’une mise en demeure, afin que cette dernière se conforme à la règlementation sur la protection des données personnelles.
L’objet de cette procédure, entamée bien antérieurement à la mise en place du RGPD, visait tout un parc de caméras de vidéosurveillance installées dans les locaux.
Salles de classes, lieux de vie, postes de travail des salariés, rien n’échappait au contrôle, à l’insu d’étudiants comme de salariés qui n’avaient fait l’objet d’aucune information préalable de l’installation en cause comme de la destination des données recueillies ou des durées de conservation des images enregistrées.
Une situation désormais conforme grâce à une série de mesures prises mais qui doivent s’inscrire durablement.
Après avoir imparti un délai de deux mois, la CNIL a fort heureusement constaté que l’ensemble des dispositions avaient été prises afin de remédier à cette situation somme toute désagréable, « L’association [ayant]retiré ou réorienté les caméras filmant les espaces de travail, les lieux de détente des étudiants et les postes du personnel ».
Ce n’est pas tout : une application permettait les étudiants à l’origine du système et gestionnaires des informations, d’avoir accès à l’intégralité des images, 24 h/24 et en temps réel.
Un dispositif complémentaire afin de palier à cette consultation a été mis en place et les prive désormais de tout accès comme informe les usagers des locaux de la présence des caméras de surveillance par un affichage interne, comme sur le site internet de 42.
La gestion des profils personnels également visée.
Un autre reproche était formé par Marie-Laure Denis, présidente de la CNIL, au président de l’Association 42, s’attachant à la gestion des mots de passe des profils étudiants : « une authentification reposant sur l’utilisation d’un mot de passe insuffisamment complexe peut conduire à une compromission des comptes associés et à des attaques par des tiers non autorisés, par exemple des attaques par force brute ».
Les espaces personnels seront désormais par un mot de passe de 8 caractères alphanumériques renouvelé régulièrement afin de limiter les risques en matière de compromission.
Une réponse qui convient donc à la CNIL qui lève la voie de toute sanction aujourd’hui mais rappelle que l’ensemble des dispositifs pris doivent s’inscrire dans la durée, au risque de voir une politique stricte appliquée.
