Plusieurs de nos confrères, à commencer par Le Parisien ont fait état d'une délibération encore non-publiée de la CNIL mettant en cause le groupe d'intermédiation en enseignement privé à domicile Acadomia, plus exactement la société AIS 2. L'affaire prenant de l'ampleur au fil des reprises de l'information faute d'une réponse rapide de la mise en cause, la CNIL a publié sur son site la délibération en question, en date du 22 avril 2010, afin d'éclaircir la situation. A son tour, Acadomia a alors publié une réponse laconique dénonçant plusieurs inexactitudes et indiquant que certains problèmes réels étaient en voie de règlement. Les effets sur l'image d'Acadomia de ce scandale seront sans doute considérables. Après l'affaire des huissiers, c'est une nouvelle démonstration de l'importance d'une bonne gestion des fichiers nominatifs.
Des mentions illicites
Le problème initial est la présence dans des fichiers d'enseignants, de postulants à des postes d'enseignants, de parents et d'enfants de mentions illicites, souvent insultantes. L'existence de ces mentions illicites montre une nouvelle fois le danger des zones de commentaires libres dans le traitement de données nominatives. Certaines informations ont été collectées abusivement, notamment le numéro INSEE « de sécurité sociale » dont l'usage est très encadré, étant une clé potentielle de nombreux recoupements illégitimes d'informations sensibles.
Par ailleurs, la nature même des fichiers pose soucis : Acadomia insiste sur le fait que les fichiers concernés ont été déclarés alors que, selon la CNIL, les déclarations ne sont pas conformes à la réalité. Par exemple, Acadomia aurait utilisé une norme simplifiée inappropriée et sans respecter ses limites et prescriptions. Parmi ces prescriptions, la durée de conservation des informations est un élément essentiel.
Crédit photo D.R.
[[page]]
Introduites par la réforme de 2004 de la loi Informatique et Libertés, les normes simplifiées sont conçues pour alléger les obligations déclaratoires des entreprises. Il suffit en effet d'indiquer qu'un traitement courant (comme une gestion de personnels par exemple) respecte une norme précise pour être dispenser de le décrire en détail, la description étant incluse dans la norme. Or si, pour une raison quelconque, le traitement -même légitime- ne respecte pas strictement une norme, une déclaration ordinaire complète doit être réalisée. La CNIL peut alors juger de la pertinence et de la légalité de chaque élément par rapport à la finalité déclarée du traitement.
La différence d'interprétation des faits entre Acadomia et la CNIL semble bien relever des difficultés d'application au cas d'espèce d'une norme simplifiée, en l'occurrence celle consacrée à la gestion du personnel. Certains traitements n'auraient pas été, de toutes les façons, déclarés. Une déclaration inexacte ou manquante peut être punie de 5 ans d'emprisonnement et 300 000 euros d'amende.
Une sanction des plus légères aux effets graves
Malgré les graves manquements constatés et relevés par nos confrères comme dans le communiqué de la CNIL, l'autorité administrative n'a prononcé qu'un simple avertissement destiné de toutes les façons à publication. Cette sanction est la plus légère que peut prononcer la CNIL (en dehors d'une simple mise en demeure de respecter la loi) et son côté dissuasif repose uniquement sur l'effet catastrophique sur l'image de l'entreprise parmi ses clients, fournisseurs et partenaires, notamment lorsque cette entreprise est cotée en bourse. Au moment où nous écrivons cet article, le cours d'Acadomia est d'ailleurs en chute.
Il est donc crédible que, comme Acadomia l'indique, le groupe travaille actuellement à réparer des dysfonctionnements locaux et limités.
Malgré tout, dans des circonstances assez similaires concernant des études d'huissiers, la CNIL avait, suite à un premier contrôle, adressé un simple avertissement et un rappel à la loi puis, suite à un second contrôle ayant vérifié la non-prise en compte de l'avertissement, sanctionné les coupables d'une lourde amende administrative.
L'impact de cette affaire sur l'image d'Acadomia sera sans aucune doute considérable. Les DSI doivent donc toujours être conscients de l'importance majeure de convenablement gérer les fichiers de données nominatives, surtout concernant leurs clients.