Mise en demeure par la CNIL d'établissements de l'enseignement supérieur

La CNIL a mis en demeure des établissements d'enseignements car ils ne respectent pas le RGPD.

L'institution à l'issue d'un contrôle considère que ces établissements ne respectent pas correctement l'utilisation des fichiers pour la gestion administrative et pédagogique.

"Les points de non-conformité portent notamment sur la durée de conservation des données, l’information des étudiants et la sécurité des données" souligne la CNIL.

Le devoir d'information négligé

Le régulateur pointe l'insuffisance d'information des étudiants sur le traitement de leurs données. La CNIL relève que certains formulaires contiennent des mentions d’information obsolètes "alors qu’il est nécessaire de vérifier leur mise à jour pour l’ensemble des supports (formulaires d’inscription, newsletters, mailings, sites web, etc.). Elles doivent comporter l’ensemble des mentions prévues par le RGPD, qui impose une information complète et précise" prévient la CNIL.

La conformité RGPD des sous-traitants

Autre élément. Les établissements ont eu recours à plusieurs sous-traitants pour traiter les données des étudiants. Or, les établissements n'ont pas veillé à la conformité des sous-traitants et n'ont pas été en mesure de fournir les contrats conformes au RGPD.

La sécurité

Autre point majeur : "ces établissements n’avaient pas mis en place de politique contraignante relative aux mots de passe pour garantir un niveau de sécurité minimal en la matière, contrairement aux recommandations de la CNIL.

Pour en savoir plus : https://www.cnil.fr/fr/enseignement-superieur-mise-en-demeure-de-deux-etablissements-pour-non-conformite-au-rgpd

Patrice Remeur pour Prorisk cyber