publicité

Ecole 42 : codez, vous êtes filmés… beaucoup trop


Législation : L'Ecole 42 de développeurs fondée par Xavier Niel est rappelée à l'ordre par la Cnil, pour ses pratiques en matière de données personnelles, mais surtout pour son utilisation excessive de la vidéosurveillance, dont la plupart des images sont accessibles aux étudiants.

 

Voulue et financée par Xavier Niel, le fondateur de Free, l'Ecole 42 a été lancée en 2013 en France avec un concept novateur - qui a depuis fait des émules : "révolutionner" la formation des développeurs avec une école ouverte à tous, gratuite et proposant une méthode basée sur la collaboration.

Associée au nom de Niel, l'Ecole 42 a naturellement suscité l'intérêt et fait l'objet de nombreuses enquêtes journalistiques, dont certaines dénonçaient des pratiques parmi les étudiants. Une chose est sûre, il ne s'agit pas d'une école comme les autres avec des étudiants très autonomes. Autonomie qui va jusqu'à leur ouvrir l'accès au système de vidéosurveillance - ce qui ne sera pas sans poser quelques problèmes à son directeur en 2015…

Fessée pour Ecole 42 sur la sécurité et la vidéosurveillance

Cet accès à la vidéosurveillance est-il bénéfique à la qualité de l'enseignement et aux compétences des étudiants ? Cela reste à démontrer. Ce qui est établi en revanche, c'est l'obligation d'encadrement de la vidéosurveillance. Et la Cnil vient de le rappeler à l'Ecole 42 au travers d'une mise en demeure.

L'autorité de protection, qui a procédé à un contrôle en février dernier dans les locaux parisiens, juge la vidéosurveillance "excessive" et en infraction avec la loi Informatique et Libertés. La direction de l'Ecole doit procéder à des changements sous deux mois, et notamment couper l'image aux étudiants.

Dans sa mise en demeure, rendue par ailleurs publique, la Cnil constate l'omniprésence de la vidéosurveillance. Les caméras, 60 au total, filment en effet "en permanence les espaces de travail des étudiants, les bureaux dédiés au personnel administratif ainsi que des lieux de vie telle que la cafétéria."

Le gendarme de la vie privée note parallèlement que "les personnes filmées n’étaient pas correctement informées." Mais la mise à disposition des images issues du système constitue sans doute le cœur du problème et lui vaut sa qualification d'excessive.

Ainsi, "la plupart des images issues de la vidéosurveillance étaient accessibles en temps réel aux étudiants sur le réseau intranet de l’école à partir de leur espace personnel", dont la sécurité de l'accès est d'ailleurs jugée trop faible. Or, la présidente de la Cnil rappelle "que l’accès aux images issues du dispositif devait être strictement réservé aux personnes habilitées, en raison de leur fonction au sein de l’école."

Les étudiants (800 sont formés chaque année) n'entrent pas dans cette catégorie. Officiellement, la finalité des caméras est la "protection des biens et des personnes". Ont accès à l'ensemble des images les agents de sécurité, mais aussi le personnel administratif. Quant aux étudiants, leur accès se cantonne au "temps réel" et uniquement aux caméras visualisant "les lieux qui leur sont accessibles."

L'établissement justifie ce dispositif en précisant qu'il "permet aux étudiants de retrouver leurs camarades au sein de l’école et que le choix de leur ouvrir l’accès aux images permet de les rassurer sur ce que visualisent les caméras."

Mais les étudiants, comme le personnel administratif, ont droit à une meilleure information et de ne pas vivre en permanence sous l'œil d'une caméra. L'autorité considère excessive une pratique consistant à placer des salariés ou des étudiants sous surveillance constante, plus encore lorsque la sécurité du système apparaît fragile en raison de l'utilisation de mots de passe faibles - parfois envoyés en clair par email.

Etudiants filmés dans la piscine

Pour se mettre en conformité, L'Ecole 42 doit par conséquent "redimensionner son système de vidéosurveillance en cessant de filmer en permanence les salles de cours et lieux de vie", mais aussi contrôler strictement les accès aux images.

La vidéosurveillance peut filmer les accès de l’établissement et les espaces dits de "circulation", mais pas en revanche les "lieux de vie pendant les heures d’ouverture de l’établissement". Quant au fait de filmer en continu les postes de travail de certains employés, la pratique est qualifiée de tout simplement disproportionnée par la Cnil.

L'association 42 devra enfin fournir une information "complète et immédiate" à toute personne susceptible d’être filmée au travers du système de vidéosurveillance. Celle-ci explique qu'aujourd'hui le personnel et les étudiants sont informés "par le biais d’une mention dans le règlement intérieur". Des autocollants apposés sur les portes d’entrée de l’école informent par ailleurs les intervenants extérieurs, précise encore l'Ecole 42. Insuffisant donc, répond la Cnil.

Voilà pour les obligations en termes de vidéosurveillance. Toutefois, les infractions relevées par la Cnil ne s'arrêtent pas là. L'Ecole va devoir revoir ses pratiques en matière de collecte et de conservation des données. Le contrôle a révélé la saisie de commentaires litigieux dans les profils des étudiants (ex : " Sa mère a eu un cancer juste avant sa rentrée").

L'établissement devra aussi, notamment, cesser de conserver toutes les données relatives aux candidats ayant échoué aux tests d’admission, et purger les données après le départ des étudiants. Plus généralement, l'Ecole doit "définir et mettre en œuvre une politique de durée de conservation des données qui n’excède pas la durée nécessaire aux finalités pour lesquelles ces données sont collectées."

Suite à cette mise en demeure, l'Ecole 42, qui s'est donnée pour vocation de former les développeurs de demain et des créateurs d'entreprises, pourrait s'investir dans une nouvelle mission en sensibilisant ses étudiants aux principes du security by design et security by default introduits par le RGPD. En attendant, Piscine pour tout le monde.

A lire aussi :

Enquête géolocalisée en apps troubles : et la lumière fut pour les données personnelles ?

Combien d'utilisateurs partagent sans le savoir leurs données personnelles, dont leurs géolocalisation, lors de...

Articles relatifs

Contenus sponsorisés

Contenus partenaires

Réagissez à l'article

Connectez vous ou Enregistrez-vous pour commencer la discussion
publicité