Le rectorat de l’académie de Normandie, ainsi qu’une députée, ont fait l’objet d’un rappel à l’ordre de la CNIL dans le cadre d’un échange de données à caractère personnel visant à féliciter des bacheliers.
La CNIL a été saisie d’une plainte concernant l’envoi, par une députée, de courriers de félicitations aux lauréats du baccalauréat 2019.
Après avoir été interrogée par la CNIL sur les faits qui lui étaient rapportés, la députée a affirmé que son équipe avait été rendue destinataire, à sa demande, d’un fichier émanant du rectorat de l’académie de Normandie, comportant les coordonnées des lauréats du baccalauréat du département. Elle a expliqué que son équipe avait traité les nom, prénom, et adresse postale de ces lauréats aux fins de publipostage, et avait ensuite détruit le fichier.
Les investigations menées par la CNIL ont révélé que les données étaient issues du traitement « OCEAN », relatif à la gestion des examens et concours scolaires, créé par un arrêté de 2013.
La CNIL, qui souligne que cet arrêté ne listait pas les parlementaires comme personnes habilitées à être destinataires des données issues du traitement OCEAN, a considéré que la députée ne pouvait donc pas être rendue destinataire de ces données, et n’était pas habilitée à opérer un traitement distinct, en son nom et pour son compte, des données. Le rectorat, pour sa part, ne pouvait pas procéder à un transfert de données à caractère personnel à une personne ne figurant pas sur la liste des personnes autorisées à accéder aux données.
Tant la députée, que le rectorat, ont, en conséquence, méconnu les termes de l’arrêté de 2013 et, partant, ont procédé à un traitement illicite des données.
La CNIL a, par ailleurs, relevé un certain nombre d’éléments aggravants :
- le nombre élevé de personnes concernées ;
- le caractère sensible du public affecté, composé en grande partie de mineurs ;
- concernant la députée, le fait qu’elle exerce des fonctions publiques, dont la qualité d’élue suscite des attentes légitimes en termes de légalité et de rigueur ;
- concernant le rectorat :
– le fait que les données ont été envoyées à la députée dans des conditions non sécurisées, à savoir l’envoi d’un fichier Excel en pièce jointe non chiffrée d’un courriel ;
– le fait que la demande de la députée n’a pas fait l’objet d’une analyse par les services du rectorat, et n’a pas été transmise au DPO pour avis ;
– le fait que la transmission a eu lieu sans aucune forme de contrôle a prioriet sans autre forme de contrôle a posteriori, quant à l’utilisation et la suppression des données personnelles par les équipes de la députée, que la demande de production d’une attestation sur l’honneur de destruction du fichier.
La CNIL a, en conséquence, prononcé un rappel à l’ordre à l’encontre de la députée et du rectorat.
Lien vers les décisions de la CNIL :
