Blog Données personnelles

Utiliser les données du rectorat pour féliciter des bacheliers n’est pas conforme au RGPD

Par deux délibérations en date du 3 septembre 2020, la CNIL a rappelé à l’ordre la députée de la 4ème circonscription de la Manche ainsi que le rectorat de l’académie de Normandie.

A la suite de l’annonce des résultats du baccalauréat, la députée Madame Sonia Krimi, a demandé au rectorat de l’académie de Caen de lui fournir les coordonnées des lycéens ayant obtenu le diplôme avec mention très bien pour les féliciter par un courrier.

En réponse à cette demande, le rectorat a adressé à la députée, en 2018 et en 2019, un fichier excel par mail composé des données personnelles de tous les lycéens de la Manche.

Dans ces délibérations, la CNIL a rappelé à l’ordre la députée et le rectorat, en sa qualité de responsable du traitement des données personnelles des lycéens, pour manquement à l’obligation de traiter les données de manière licite.

En effet, la députée n’était pas fondée à demander à être destinataire de ce fichier au regard de l’article 3 de l’arrêté du 22 avril 2013, qui n’autorise cet accès qu’aux collectivités territoriales et à leurs agents.

En outre, des éléments aggravants s’ajoutaient à ce manquement, tels que le nombre important de personnes concernées, le fait que les personnes concernées étaient mineures au moment des faits.

La CNIL souligne que la qualité d’élue de la députée pouvait susciter des attentes légitimes en termes de légalité et de rigueur.

De son côté, le rectorat n’a pas fait preuve de suffisamment de diligence en accédant à cette demande. La procédure à suivre dans ce cas est celle permettant de vérifier s’il s’agit d’une demande émanant d’un tiers autorisé. La CNIL a publié un guide pratique récemment sur ce sujet.

Le rectorat a transmis le fichier global comportant l’ensemble des données des lauréats du baccalauréat et non simplement ceux de la 4ème circonscription de la Manche comme demandé.

Les conditions de transmission de ce document n’étaient pas sécurisées. En effet, celui-ci a été transmis par mail et n’était pas chiffré. Il aurait pu être intercepté par un pirate informatique qui disposait alors des données en clair.

Enfin, ce fichier a été transmis sans qu’aucun contrôle de sa suppression effective soit réalisé par la députée une fois le traitement achevé.