Vidéosurveillance, confidentialité, base de données : l’école 42 mise en demeure par la Cnil

Les startups ne sont pas les seules dans le collimateur de la Cnil. Après avoir épinglé les pratiques non conformes de plusieurs d’entre elles – Teemo, qui est depuis rentré dans les rangs, et plus récemment SingleSpot – c’est au tour de l’école 42 de voir les foudres du régulateur s’abattre sur elle. Dans une décision rendue publique ce mardi mais datant du 8 octobre, qui fait suite à une visite d’une délégation de la Cnil dans l’école en février dernier, l’institution porte une lumière crue sur les pratiques de l’école de code créée par Xavier Niel.

Une « surveillance permanente » des personnels et des étudiants

La Cnil pointe plusieurs problèmes majeurs au sein de l’école. Tout d’abord, l’institution s’inquiète de l’utilisation qui peut être faite du dispositif de 60 caméras de vidéosurveillance disséminées dans l’établissement. Et notamment le fait que plusieurs caméras filment en continu à la fois des postes de travail d’étudiants mais aussi de salariés ainsi que des lieux de vie (cafétéria, espaces de pause). « Si la CNIL considère de manière constante que des caméras peuvent filmer les accès de l’établissement (entrées et sorties) et les espaces de circulation, il est toutefois exclu de filmer les lieux de vie pendant les heures d’ouverture de l’établissement, sauf circonstances exceptionnelles, non démontrées en l’espèce« , souligne la décision qui fustige une « surveillance permanente » des personnels et des étudiants.

Autre problème de taille : les étudiants ont accès aux images en temps réel que filment les caméras installées dans les espaces dans lesquels ils sont autorisés à circuler. « La CNIL considère que l’accès aux images issues du système de vidéosurveillance doit être strictement réservé aux personnes habilitées au regard de leur fonction, par exemple, les agents en charge de la sécurité ou certains membres du personnel administratif. Permettre l’accès aux images issues de la vidéosurveillance à toute personne non habilitée, conduit à compromettre la confidentialité des données traitées. » L’institution souligne également que les étudiants comme les visiteurs ne sont pas informés ni de la durée de conservation ni des destinataires des images liées à la vidéosurveillance.

Une base de données intégrant notamment des informations médicales

Autre point de crispation pour la Cnil : l’existence d’une base de données qui recense des informations pour le moins surprenantes sur le profil des étudiants. « La délégation a constaté (…) la présence de commentaires tels que il a enfin été diagnostiqué de plusieurs maladies graves […], Entre le procès avec son ancien employeur, […]et sa dépression, [X] n’a pas du tout pu se consacrer à 42 , il a à nouveau rechuté dans la dépression , Sa mère a eu un cancer juste avant sa rentrée […]. » Des informations « disproportionnées au regard de la finalité du traitement, en l’espèce, la gestion pédagogique de l’étudiant« , estime la Cnil.

D’autant plus que ce fichier recense à la fois les étudiants de l’école 42 mais aussi les candidats qui n’ont finalement pas intégré 42 à l’issue des tests préliminaires. Et, ce, sans aucune durée maximale de conservation des informations. « L’association a indiqué que les données concernant les candidats ayant échoué aux tests sont conservées en base active sans limite de temps afin de s’assurer que ces candidats ne puissent plus s’inscrire mais également à des fins statistiques. S’agissant ensuite des données relatives aux étudiants ayant intégré l’école, l’association a expliqué qu’elles étaient conservées afin de permettre une analyse, à des fins pédagogiques, des différents parcours des étudiants« , explique le document.

Une défense rejetée par la Cnil, qui rappelle que « les données à caractère personnel doivent être conservées uniquement le temps nécessaire à l’accomplissement de la finalité qui était poursuivie lors de leur collecte. En l’espèce, si la conservation des données des candidats ayant échoué aux tests apparait légitime, il revient à l’association de s’assurer que seules les données permettant l’identification des candidats soient conservées. Par ailleurs, la conservation pour une durée indéfinie des comptes des candidats aux tests et des dossiers pédagogiques des étudiants même lorsque ceux-ci ont quitté l’école n’est pas proportionnée à la finalité du traitement, en l’occurrence l’analyse des parcours suivis au sein de l’école« .

L’école 42 a désormais deux mois pour modifier ses pratiques et en aviser la Cnil. Si l’établissement ne veut pas perdre de son prestige et continuer à former les meilleurs développeurs tout en intégrant les derniers standards en matière de traitement des données, il va devoir rapidement se mettre à niveau.

source : Maddyness – Le Magazine des Startups Françaises October 31, 2018 at 08:55AM