Données personnelles des élèves : le rectorat de Normandie et la députée S. Krimi sanctionnés par la CNIL
Paru dans Scolaire le mardi 22 septembre 2020.
Un parlementaire ne peut être considéré comme un agent d'une collectivité. C'est peut-être le principal enseignement de deux décisions prises par la CNIL après que la députée de la 4e circonscription de la Manche, Sonia Krimi, a fait l'objet d'une plainte alors qu'elle avait adressé des courriers de félicitation aux lycéens lauréats du baccalauréat 2019 du département. Elle l'avait déjà fait en 2018 pour les lauréats avec mention "Très bien" de sa circonscription. Une plainte est adressée à la CNIL qui interroge l'élue. Celle-ci indique qu'à sa demande, le rectorat lui a adressé un fichier Excel "comportant les coordonnées des lauréats du baccalauréat du département". Un membre de son équipe a procédé au traitement "des noms, prénoms et adresses postales des bacheliers" avant de détruire le fichier. Elle écope, ainsi que le rectorat, d'un "rappel à l’ordre". La CNIL "a décidé de rendre publiques ses décisions, compte tenu du nombre de personnes concernées, du fait que certaines d’entre elles étaient mineures, ainsi que des fonctions publiques exercées par Madame Sonia Krimi".
Dans ses délibérations, la formation restreinte de la CNIL note que le service en charge des examens et concours du rectorat a transmis à la députée "les noms, prénoms, dates de naissance, adresses postales, noms des établissements de scolarisation, baccalauréats obtenus et les mentions éventuellement reçues de 11 856 lycéens du département de la Manche lauréats du baccalauréat 2019". Ces données sont issues "du traitement automatisé de données à caractère personnel relatif à la gestion des examens et concours scolaires dénommé OCEAN", soumis au respect du RGPD.
Elle note encore que "le cabinet de la rectrice d’académie avait été mis en copie des différents échanges de courriels" entre le collaborateur de l'élue et les services du rectorat", mais que "la délégation à la protection des données du rectorat n’avait pas été consultée". Et elle pointe plusieurs éléments juridiques qui excèdent la question des données et du respect du RGPD.
C'est ainsi que "le rectorat apparaît seul responsable du contrôle de la légalité des demandes qu’il reçoit", il a transmis des données sensibles "dans des conditions non sécurisées, à savoir par l’envoi d’un fichier Excel en pièce jointe non chiffrée d’un courriel" susceptible d'être intercepté. Il n'a procédé à aucun contrôle quant à l’utilisation et à la suppression de ces données "que la demande de production d’une attestation sur l’honneur de destruction du fichier". Enfin la CNIL distingue clairement l'élue des agents des collectivités territoriales participant au service public d'éducation. "Elle rappelle que les collectivités territoriales sont des structures administratives distinctes de l’Etat, qui prennent en charge les intérêts de la population d’un territoire précis. Dans ces conditions, un parlementaire ne peut être assimilé à une collectivité territoriale ou à un agent d’une telle collectivité" qui, s'il y est habilité, peut être destinataire d'un tel fichier.