Le 22 septembre, la formation contentieuse de la Cnil a rendu publics deux rappels à l’ordre concernant un détournement de finalité de données personnelles.
Les faits et le contentieux
En août 2019, une députée de la Manche a adressé à tous les lycéens ayant obtenu leur baccalauréat une lettre de félicitations pour leur succès. À la suite d’une plainte, la Cnil a établi que les données ayant permis cet envoi étaient issues du fichier « OCEAN », normalement dédié à la gestion des examens et concours scolaires.
En conséquence, en vertu du principe de finalité limitée du fichier, les données de celui-ci ne pouvaient être strictement utilisées que dans les cas prévus par l’arrêté du 22 avril 2013 du Ministère de l’Éducation nationale. Le rectorat de l’académie de Normandie avait donc failli en dépassant les limites d’utilisation de ces données et en les mettant à la disposition de la députée.
La Cnil a donc constaté un manquement à l’article 5 du RGPD qui dispose que les données personnelles doivent être « traitées de manière licite ».
C’est pourquoi la formation restreinte de la Cnil (formation contentieuse) a prononcé un double rappel à l’ordre :
À l’encontre du rectorat de l’académie de Normandie ;
À l’encontre de la députée.
Elle a également choisi de rendre publiques ces délibérations.
Des négligences coupables
Il est significatif que des autorités publiques comme une académie soient aussi peu au fait des rigueurs de la réglementation sur la protection des données personnelles, au point de diffuser les données d’élèves qui pour beaucoup étaient de surcroît mineurs, sur la simple demande de l’équipe d’une députée, pas vraiment au fait des lois, alors même que « Nul n’est censé ignorer la loi ».
Lire l’article du 22 septembre sur le site de la Cnil.
Afin que nul n’en ignore, la Cnil renvoie en fin d’article à une page présentant La chaîne répressive de la Cnil, qui permet de se faire une idée des moyens de contrôle, d’investigation et de sanctions de la Cnil.
