La CNIL met en demeure deux établissements de l’enseignement supérieur

La CNIL met en demeure deux établissements de l’enseignement supérieur

La Commission nationale de l’informatique et des libertés a annoncé la mise en demeure, fin 2022, de deux établissements de l’enseignement supérieur pour non-respect du Règlement général sur la protection des données (RGPD).

Elle ne nomme pas ces établissements, pour lesquels elle a relevé plusieurs manquements à la législation européenne :

  • Pas de durée de conservation définie de l’ensemble des traitements de données à caractère personnel des étudiants, aucun système de purge et d’archivage prévu ;
  • Les étudiants ne sont pas informés des collectes de leurs données personnelles via les différents formulaires qu’ils remplissent au cours de leur scolarité ;
  • Recours à plusieurs sous-traitants dans le cadre des traitements de données à caractère personnel des étudiants, mais incapacité à soumettre à la CNIL les contrats signés comportant l’ensemble des mentions prévues par le RGPD ;
  • Aucune mise en place de politique contraignante relative aux mots de passe pour garantir un niveau de sécurité minimal en la matière, contrairement aux recommandations de la CNIL.

Les établissements ont deux moins pour se mettre en conformité. À défaut, ils risquent des sanctions.