bce_106_6

Académie ESJ, et cacadémie esj

  • La Cnil met en demeure l’école 42 pour ses pratiques de « vidéosurveillance excessive » Elisa Braun - 30 Octobre 2018 - Le Figaro
    http://www.lefigaro.fr/secteur/high-tech/2018/10/30/32001-20181030ARTFIG00104-la-cnil-met-en-demeure-l-ecole-42-pour-ses-pratiq

    L’école d’informatique de Xavier Niel dispose de 60 caméras qui filment en permanence les élèves et salariés. Le gendarme des données personnelles y voit une grave atteinte à la vie privée.

    L’#école_42 a beaucoup fait pour s’ériger en formation modèle dans le domaine des technologies. Mais la décision rendue par le gendarme des données personnelles, la Commission Nationale Informatique et Libertés (CNIL), risque d’écorner sérieusement cette image. Le régulateur vient de mettre en demeure l’école créée par #Xavier_Niel pour plusieurs manquements à la loi en matière de gestion des #données_personnelles. De graves atteintes à la #vie_privée des élèves, anciens élèves et salariés ont ainsi été constatées.

    Une « surveillance constante »
    La Cnil remarque que près de 60 caméras « [filment] en continu l’ensemble des espaces de travail occupés par les étudiants, les espaces de pauses ainsi que les bureaux du personnel administratif, plaçant ainsi l’ensemble des personnes concernées sous une #surveillance constante ». La #vidéosurveillance est qualifiée d’excessive par le régulateur, qui souligne que seules certaines circonstances particulières, comme le transfert de fonds, justifient l’attention que l’école 42 porte jusqu’aux allées et venues des visiteurs aux toilettes. Or, « en l’espèce, aucun élément apporté par [l’école] ne permet de justifier que les étudiants et le personnel soient placés sous #surveillance permanente », tranche le régulateur.

    D’autre part, la délégation de la Cnil s’étonne de « la mise en place d’un dispositif inédit au sein de l’école en ce que les étudiants peuvent accéder en temps réel à la plupart des images issues de la vidéosurveillance, ce qui permet à tout moment de savoir où se trouve chacun d’entre eux, ce qu’il fait et avec qui il se trouve ». Des observateurs extérieurs notent également que l’accès aux images de l’école est protégé par un code d’accès à seulement 5 chiffres qu’il est facile, pour un pirate, de contourner. Cette facilité d’accès globale avait notamment permis à certaines vidéos de nature compromettante de fuiter de l’école. L’an dernier, une enquête de l’Usine Digitale rapportait plus largement que l’école informatique était gangrenée par une #atmosphère_sexiste. « Les images de vidéosurveillance des locaux, accessibles aux étudiants, servent aux garçons à repérer les filles qu’ils aimeraient bien draguer », rapportait une jeune femme.

    Commentaires personnels sur les élèves
    D’autres éléments portant sur la gestion administrative des étudiants sont aussi pointés du doigt par la #Cnil. Ainsi, l’école 42 conserve indéfiniment les données des personnes ayant passé le test d’entrée, sans en informer les principaux intéressés. La base de données pédagogique comporte en outre des commentaires sur les élèves de nature particulièrement sensible. « Il a enfin été diagnostiqué de plusieurs maladies graves […] » ou encore « entre le procès avec son ancien employeur, […]et sa dépression, [X] n’a pas du tout pu se consacrer à 42, il a à nouveau rechuté dans la dépression, sa mère a eu un cancer juste avant sa rentrée […] » sont des commentaires observés par le régulateur. Des informations financières sur le niveau d’endettement ont également été constatées. Si de telles données peuvent être utiles au suivi pédagogique des élèves, le régulateur s’étonne de ce qu’elles soient accessibles à n’importe quel membre de l’administration et ne fassent pas l’objet d’une procédure de sécurisation particulière.

    Enfin, quelques détails techniques ont également de quoi surprendre, de la part d’une école censée former des développeurs back-end (c’est-à-dire qui gèrent les infrastructures informatiques derrière les sites Web, et touchent donc à l’aspect de la sécurité des données). L’école 42 envoie ainsi les mots de passe en clair aux élèves, pour accéder à leur espace personnel. Ce mot de passe est jugé « d’une robustesse insuffisante car [composé] de 8 caractères alphanumériques comprenant des lettres majuscules et minuscules. » L’école 42 se rend ainsi coupable, pour la Cnil, d’un manquement à l’obligation d’assurer la sécurité et la confidentialité des données.

    L’école a désormais deux mois pour rectifier le tir, faute de quoi elle se rend passible de sanctions pouvant aller jusqu’à une amende de 1,5 million d’euros. Comme le rappelle la Cnil, « cette mise en demeure ne revêt pas le caractère d’une sanction. À ce titre, aucune suite ne sera donnée à la procédure si l’organisme concerné se conforme en tout point aux exigences de la mise en demeure dans le délai imparti. Si tel est le cas, celle-ci fera l’objet d’une clôture qui sera également rendue publique ». Contactée, l’école 42 n’a pas encore donné suite aux sollicitations du Figaro.