La CNIL a rappelé à l’ordre une députée de la Manche, le 3 septembre 2020, pour avoir demandé au rectorat de l’académie de Normandie[1] des informations personnelles sur les lycéens qui avaient obtenu le baccalauréat en vue de leur envoyer des courriers de félicitations.

La Commission a indiqué à la députée ainsi qu’au rectorat de l’Académie de Normandie, qui a également fait l’objet d’une procédure[2], que les parlementaires n’étaient pas habilités à recevoir ou traiter les données personnelles des lycéens. Les données ont donc été traitées de manière illicite d’un point de vue du RGPD[3].

Ces données ont été extraites du logiciel de gestion des examens et concours scolaires (OCEAN) du rectorat et transmises par e-mail à la députée sans chiffrement ni mot de passe. Elles contenaient les noms, prénoms, dates de naissance, adresses postales, noms des établissements de scolarisation et mentions de 11 856 lycéens du département de la Manche ayant obtenu le baccalauréat en 2019.

Lire :

Notes et références

  1. Au moment des faits, il s’agissait du rectorat de l’Académie de Caen. Ce dernier a cependant été remplacé par le rectorat de Académie de Normandie depuis le 1er janvier 2020.
  2. La CNIL a rappelé à l’ordre le rectorat de l’Académie de Normadie pour avoir transmis les données personnelles de lycéens à la députée (source : CNIL, SAN-2020-006, 3 septembre 2020, Académie de Normandie). Voir « Le rectorat de l’académie de Normandie rappelé à l’ordre pour avoir divulgué des données personnelles sur des lycéens ».
  3. le RGPD demande que les données à caractère personnel soient « traitées de manière licite » (source : RGPD, article 5-1-a). En l’absence de base légale, les données ont donc été traitées de manière illicite par la Députée.

Sigles et acronymes

  • CNIL : Commission Nationale de l'Informatique et des Libertés
  • RGPD : Règlement Général sur la Protection des Données