La CNIL révèle avoir mis en demeure l’association derrière l’École 42 de corriger dès que possible son système de vidéosurveillance, en cessant de filmer en permanence les salles de classe et les lieux de vie. Mais ce n'est pas le seul manquement identifié.

En lançant l’École 42 en 2013, Xavier Niel s’engageait à fournir une formation unique et une pédagogie révolutionnaire. Cette promesse, l’établissement scolaire la brandit encore aujourd’hui. Mais en chemin, il semble que l’école se soit quelque peu égarée vis-à-vis de la législation. À tel point que la CNIL, après un contrôle en début d’année, a décidé de passer à l’action ce mardi 30 octobre.

La Commission nationale de l’informatique et des libertés annonce en effet la mise en demeure l’association à but non lucratif qui est derrière ce projet. Elle reproche surtout à 42 d’avoir mis en place une « vidéosurveillance excessive », qu’elle décrit en ces termes dans son communiqué de presse — la mise en demeure elle-même date du 8 octobre, mais elle n’avait pas encore été rendue publique :

« Des caméras filmaient en permanence les espaces de travail des étudiants, les bureaux dédiés au personnel administratif ainsi que des lieux de vie telle que la cafétéria. En outre, les personnes filmées n’étaient pas correctement informées. Par ailleurs, la plupart des images issues de la vidéosurveillance étaient accessibles en temps réel aux étudiants sur le réseau intranet de l’école à partir de leur espace personnel ».

surveillance-camera
Jonathan McIntosh

Inadmissible. 42 a donc deux mois pour se mettre en conformité. Si les modifications adéquates sont apportées (arrêt de la vidéosurveillance en permanence, limitation stricte de l’accès aux images aux personnes habilitées, et informations complète et immédiate aux personnes susceptibles d’être filmées), alors l’affaire en restera là. Sinon, la CNIL se réunira pour prononcer une sanction.

« Compte tenu du caractère intrusif du dispositif, de la nécessité d’informer les nombreux étudiants de l’école et de rappeler leurs obligations aux responsables d’établissements d’enseignement supérieur déployant de tels systèmes de vidéosurveillance, la CNIL a décidé de rendre publique cette mise en demeure », explique l’autorité administrative pour justifier son choix de médiatiser ce dossier.

L’instance en profite d’ailleurs pour rappeler sa fiche pratique sur la vidéosurveillance dans les établissements scolaires, notamment supérieurs. Celle-ci rappelle en particulier les règles et les obligations à respecter afin de ne pas porter atteinte à la vie privée des personnes filmées. Des considérations que, manifestement, l’École 42 a manqué ou oublié, puisque son système est hors des clous.

La CNIL pointe une cascade de manquements

Il est toutefois à noter que la mise en demeure de la CNIL est loin de ne traiter que du seul problème de la vidéosurveillance. Les manquements relevés par l’institution sont pour le moins nombreux, qu’il s’agisse de la politique des mots de passe de l’école, de son respect des textes réglementaires ou de la conservation des données.

Ainsi, la CNIL demande à l’établissement d’arrêter d’envoyer par mail le mot de passe en clair aux étudiants et de prévoir une procédure pour qu’ils le modifient dès leur première connexion. En outre, il est demandé à l’école d’appliquer des contraintes sur la conception des mots de passe, afin qu’ils respectent une longueur minimale correcte et soient conformes avec les bonnes pratiques de sécurité.

mot de passe password
Mark Burnett

Il est aussi réclamé une révision de la politique de conservation des données, par exemple en purgeant des données relatives aux étudiants ayant quitté l’établissement , en fixant une durée de conservation des données cohérente au regard des finalités de la collecte ou encore en prenant des mesures pour éviter que des commentaires excessifs saisis par le personnel administratif ne figurent dans les profils des étudiants.

Plus généralement, la CNIL rappelle que bon nombre de ces directives ne sont que la traduction des dispositions contenues dans le Règlement général sur la protection des données (RGPD), dont l’entrée en application est effective depuis le 25 mai 2018. Ce texte s’applique aussi à l’École 42, dans la mesure où des données personnelles sont en jeu –car collectées, traitées et conservées.

Partager sur les réseaux sociaux