Vidéosurveillance excessive, commentaires sur l’état de santé des étudiants, mots de passe envoyés sans protection informatique : la Commission nationale informatique et libertés (CNIL) a annoncé, mardi 30 octobre, avoir mis en demeure l’école informatique 42 pour de nombreux manquements à la protection des données personnelles de ses étudiants.

Il est notamment reproché à l’établissement parisien, créé en 2013 par Xavier Niel, actionnaire à titre individuel du Monde, de ne pas correctement informer le personnel et les étudiants de la gestion des images captées par les 60 caméras de vidéosurveillance de l’école. Au cours d’un contrôle effectué en février, la CNIL a constaté « que des caméras filmaient en permanence les espaces de travail des étudiants, les bureaux dédiés au personnel administratif ainsi que des lieux de vie ». Une application, disponible sur le réseau intranet de l’école, permet aux étudiants de consulter en direct les images de vidéosurveillance des lieux auxquels ils ont accès, ce qui conduit selon la CNIL « à compromettre la confidentialité des données traitées ». L’association éponyme 42, qui a créé l’école, a justifié ce dispositif en expliquant qu’il « permet aux étudiants de retrouver leurs camarades au sein de l’école et que le choix de leur ouvrir l’accès aux images permet de les rassurer sur ce que visualisent les caméras », rapporte la CNIL dans une décision rendue publique le 30 octobre.

Lire aussi : Après quarante ans d’existence, la CNIL face à de nouveaux défis

« Sa mère a eu un cancer juste avant sa rentrée »

La CNIL met également en cause la gestion des données personnelles des candidats et élèves de l’école 42 : la base de données des profils des étudiants comporte un champ libre de renseignement, dans lequel la délégation de la CNIL a observé des commentaires portant sur l’état de santé des étudiants ou leur situation familiale :

« Il a enfin été diagnostiqué de plusieurs maladies graves (…), Entre le procès avec son ancien employeur, (…) et sa dépression, [X] n’a pas du tout pu se consacrer à 42, il a à nouveau rechuté dans la dépression, Sa mère a eu un cancer juste avant sa rentrée (…). »

La présence de ces informations « apparaît disproportionnée au regard de la finalité du traitement, en l’espèce, la gestion pédagogique de l’étudiant », commente la CNIL, qui demande à l’école 42 de prendre des mesures pour empêcher la saisie de ces commentaires, ainsi que de supprimer les profils des candidats qui ne sont pas scolarisés dans l’établissement, pour certains encore présents dans les bases de données.

La commission a enfin demandé à l’école 42 de renforcer la sécurité informatique autour des accès des étudiants à leur espace personnel : composés de seulement huit caractères, envoyés par courriel en clair – c’est-à-dire sans chiffrement du message – aux élèves sans être accompagnés de consigne pour les modifier à la première connexion, de tels mots de passe peuvent « conduire à une compromission des comptes associés et à des attaques par des tiers non autorisés », souligne la CNIL.

Mise en demeure le 8 octobre, l’école 42 doit, dans un délai de deux mois, se mettre en conformité sur l’ensemble des points notés par la CNIL sous peine de sanction, a précisé la commission dans un communiqué.

Lire aussi : A l’école 42, des filles victimes de sexisme et de harcèlement