L'école 42 lancée par Xavier Niel en mars 2013 vient d'être mise en demeure par la Cnil sur plusieurs points dont son système de vidéosurveillance. Une délégation du régulateur a mené une mission de contrôle les 12 et 13 février derniers et ont constaté plusieurs infractions.
Sur la vidéosurveillance, l'école « a mis en place un système de vidéosurveillance comportant 60 caméras à des fins de protection des biens et des personnes ». La délégation constate que « les caméras composant le dispositif permettent de visualiser l'ensemble des espaces de travail dédiés aux étudiants (par exemple, la caméra E1-SM-SE ) ainsi que des espaces de pause telle que la cafétéria (par exemple, la caméra KFET-RESTO-SO ) ou encore l'accès aux sanitaires (caméra EO-WC). La délégation a également constaté que certaines caméras permettent de visualiser en continu des postes de travail des salariés (par exemple, la caméra E3-BOCAL ) et les espaces de pauses qui leur sont dédiés (par exemple, la caméra E3-TERRASSE ) ». Or pour le régulateur, « le fait de filmer en continu les postes de travail de certains employés est disproportionné » et d'ajouter, « aucun élément apporté par l'association ne permet de justifier que les étudiants et le personnel soient placés sous surveillance permanente ».
Autre infraction pour la Cnil, les étudiants grâce à une application disponible sur le réseau intranet de l'école, ont accès, en temps réel aux images issues des caméras filmant les zones qui leur sont accessibles. Cet accès adresse un double objectif selon l'école en permettant « aux étudiants de retrouver leurs camarades au sein de l'école et de les rassurer sur ce que visualisent les caméras ». Une mauvaise pratique pour le régulateur qui « considère que l'accès aux images issues du système de vidéosurveillance doit être strictement réservé aux personnes habilitées au regard de leur fonction, par exemple, les agents en charge de la sécurité ou certains membres du personnel administratif ». Et des dérives sont possibles. On se souvient de l'épisode de la « fessée » de Nicolas Sadirac, l'ancien directeur de l'école 42, prise par une vidéosurveillance et diffusée ensuite sur Internet.
Un traitement des données des étudiants défaillant
Autre point qui agace la Cnil, le traitement des données des étudiants. Aucune information sur ce traitement n'est fournie lors de l'inscription des candidats. Qu'ils échouent ou intègrent l'école, l'association n'a prévu aucune durée de conservation des données. Par ailleurs, « les profils des étudiants au sein de la base de données comportent un champ libre qui permet aux membres du personnel de renseigner des informations permettant de justifier les choix pédagogiques effectués pour les étudiants tels que le report d'une période d'examens ou la prolongation de la scolarité. » Or dans ces champs libres, on y trouve des remarques surprenantes, « diagnostiqué de plusieurs maladies graves [...], Entre le procès avec son ancien employeur, [...]et sa dépression, [...] n'a pas du tout pu se consacrer à 42 , il a à nouveau rechuté dans la dépression, Sa mère a eu un cancer juste avant sa rentrée [...] ». Pour la Cnil, « l'inscription au sein de la base de données, à laquelle l'ensemble de l'équipe administrative accède, d'informations relatives à l'état de santé de l'étudiant ou à sa situation familiale, apparaît disproportionnée au regard de la finalité du traitement, en l'espèce, la gestion pédagogique de l'étudiant ».
Enfin, le régulateur pointe du doigt les mots de passe affectés aux étudiants et aux agents de sécurité. Pour les premiers, l'école leur envoie par courriel un mot de passe en clair de 8 caractères avec une minuscule et une majuscule, sans demande de changement lors de la première connexion. Insuffisant pour la Cnil qui prône des mots de passe de 12 caractères ou de 8 caractères avec « la temporisation d'accès au compte après plusieurs échecs, (suspension temporaire de l'accès dont la durée augmente à mesure des tentatives), la mise en place d'un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (ex : captcha ) et/ou le blocage du compte après plusieurs tentatives d'authentification infructueuses (au maximum 10) ».
La Cnil laisse deux mois à l'école 42 pour modifier les infractions constatées. En cas de non-respect des exigences, le régulateur se réunira en formation restreinte pour prononce des sanctions.
Commentaire