La CNIL1 a rappelé à l’ordre2 le rectorat de l’Académie de Normandie3, le 3 septembre 2020, pour avoir accepté de communiquer à Madame Sonia Krimi, députée de la 4ème circonscription de la Manche, les données personnelles des lycéens qui avaient obtenu le baccalauréat 2019. La députée, qui a également fait l’objet d’une procédure4, en avait fait la demande afin d’envoyer des courriers de félicitations aux bacheliers.

La Commission a rappelé au rectorat que les parlementaires ne font pas partie des personnes habilitées à recevoir et traiter les données personnelles des lycéens qui sont contenues dans leur logiciel de gestion des examens et concours scolaires (OCEAN). Ces données n’auraient donc dû pas du être transmises, au regard du RGPD5.

Le moyen de communication de ces données est aussi en cause, car les données ont transité par e-mail entre les deux parties, sans que le contenu soit protégé par un mot de passe et sans chiffrement. Les e-mails n’étant pas un moyen de communication sécurisé, la confidentialité des données n’a pas pu donc être garantie.

Les données concernées sont les noms, prénoms, dates de naissance, adresses postales, noms des établissements de scolarisation et mentions de 11 856 lycéens du département de la Manche ayant obtenu le baccalauréat en 2019.

Lire la décision complète

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. Les organismes publics peuvent uniquement être rappelés à l’ordre mais ne peuvent pas faire l’objet d’une amende. Voir « Que risque-t-on en cas de non-respect du RGPD ? ».
  3. Au moment des faits, il s’agissait du rectorat de l’Académie de Caen. Ce dernier a cependant été remplacé par le rectorat de Académie de Normandie depuis le 1er janvier 2020.
  4. La CNIL a rappelé à l’ordre Madame Sonia Krimi, députée de la 4ème circonscription de la Manche pour avoir demandé et traité les données personnelles de lycéens (source : CNIL, SAN-2020-005, 3 septembre 2020, KRIMI). Voir « La députée SONIA KRIMI rappelée à l’ordre pour avoir demandé et obtenu des données personnelles sur des lycéens ».
  5. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).