La CNIL a rappelé à l’ordre[1] le rectorat de l’Académie de Normandie[2], le 3 septembre 2020, pour avoir accepté de communiquer à une députée de la Manche, les données personnelles des lycéens qui avaient obtenu le baccalauréat 2019. La députée, qui a également fait l’objet d’une procédure[3], en avait fait la demande afin d’envoyer des courriers de félicitations aux bacheliers.

La Commission a rappelé au rectorat que les parlementaires ne font pas partie des personnes habilitées à recevoir et traiter les données personnelles des lycéens qui sont contenues dans leur logiciel de gestion des examens et concours scolaires (OCEAN). Ces données n’auraient donc pas dû être transmises, conformément au RGPD[4].

Le moyen de communication de ces données est aussi en cause, car les données ont transité par e-mail entre les deux parties, sans que le contenu soit protégé par un mot de passe et sans chiffrement. Les e-mails n’étant pas un moyen de communication sécurisé, la confidentialité des données n’a donc pas pu être garantie[5].

Les données concernées sont les noms, prénoms, dates de naissance, adresses postales, noms des établissements de scolarisation et mentions des 11 856 lycéens du département de la Manche ayant obtenu le baccalauréat en 2019.

Lire :

Notes et références

  1. La CNIL ne peut pas émettre d’amende contre les organismes publics comme le rectorat de des académies françaises. Voir « Les organismes publics peuvent-ils être sanctionnés en cas de non respect du RGPD ? ».
  2. Au moment des faits, il s’agissait du rectorat de l’Académie de Caen. Ce dernier a cependant été remplacé par le rectorat de Académie de Normandie depuis le 1er janvier 2020.
  3. La CNIL a rappelé à l’ordre une députée de la Manche pour avoir demandé et traité les données personnelles de lycéens (source : CNIL, SAN-2020-005, 3 septembre 2020, Députée). Voir « Une députée rappelée à l’ordre pour avoir traité illicitement les données personnelles des lycéens de sa circonscription ».
  4. le RGPD demande que les données à caractère personnel soient « traitées de manière licite » (source : RGPD, article 5-1-a). En l’absence de base légale, les données ont donc été traitées de manière illicite par le rectorat.
  5. La confidentialité des données transmises par e-mail n’est pas garantie. Les données à caractère ne peuvent pas donc être transitées par e-mail sans chiffrement. Voir « Peut-on envoyer des données à caractère personnel par e-mail ? ».

Sigles et acronymes

  • CNIL : Commission Nationale de l'Informatique et des Libertés
  • RGPD : Règlement Général sur la Protection des Données