Caméras partout, images accessibles en temps réel, conservation des données, mots de passe en clair… L’école de Xavier Niel est dans le viseur de la Cnil.
À voir aussi sur Konbini
Il y a quelque chose de pourri au paradis des codeurs. Si l’école d’informatique 42, fondée par Xavier Niel en 2013 sur la promesse de mettre la France à la page en termes de pédagogie et de formation, connaît un succès indéniable auprès des jeunes bidouilleurs de code et s’est imposée comme l’une des principales pépinières informatiques de France, l’établissement semble avoir pris quelques libertés avec les règlements qui gouvernent la protection de la vie privée de ses 800 étudiants.
Le 30 octobre, dans un communiqué de presse, la Commission nationale informatique et libertés (Cnil) a rendu publique la mise en demeure l’association à but non lucratif qui gère l’école et lui reproche, entre autres, une “surveillance excessive” de ses étudiants. Après un contrôle des locaux en février 2018, la Cnil “a constaté que des caméras filmaient en permanence les espaces de travail des étudiants, les bureaux dédiés au personnel administratif ainsi que des lieux de vie telle que la cafétéria”.
D’autre part, ces dispositions étaient prises sans que les personnes filmées en soient informées correctement, précise la commission. Enfin, et c’est peut-être le plus grave, “la plupart des images issues de la vidéosurveillance étaient accessibles en temps réel aux étudiants sur le réseau intranet de l’école à partir de leur espace personnel”.
Un dispositif dont on a du mal à comprendre l’utilité, à part celle de permettre aux étudiants de se surveiller entre eux. La mise en demeure datant du 8 octobre, l’établissement a désormais deux mois pour se mettre en conformité avec la loi en redimensionnant son système de surveillance, en “cessant de filmer en permanence les salles de cours et lieux de vie” et en restreignant l’accès aux images aux seules personnes habilitées par l’école.
Si la Cnil prend soin de préciser que la mise en demeure n’est en aucun cas une sanction, son communiqué ne raconte pas tout : la décision de mise en demeure, publiée sur Legifrance, offre pléthore de détails sur les pratiques de l’établissement de Xavier Niel, qui dépassent la seule “vidéosurveillance excessive” mise en avant dans le communiqué.
On y apprend entre autres que l’établissement est équipé de 60 caméras qui filment non seulement les espaces de travail des étudiants, mais aussi “une entrée desservant les sanitaires, ainsi que les postes de travail de plusieurs membres du personnel administratif”, ce qui est autrement intrusif.
Commentaires déplacés, mots de passe en clair et manquements en pagaille
Et la surveillance n’est pas le seul problème relevé par la Cnil. Lors de l’inscription aux tests d’admissibilité, les étudiants doivent se créer un compte sur le site de l’école pour passer la première épreuve à distance, mais “aucune information relative au traitement des données n’est délivrée aux candidats”, constate l’organisme. Mieux, “les comptes créés par les étudiants ne sont jamais supprimés” par l’établissement, ce qui signifie que leurs données personnelles sont conservées sans limite de temps.
Pas mieux du côté de l’interface dédiée à la gestion des étudiants, où la Cnil a constaté la présence de “commentaires tels que : ‘A enfin été diagnostiqué de plusieurs maladies graves […]’, ‘Entre le procès avec son ancien employeur, […] et sa dépression, [X] n’a pas du tout pu se consacrer à 42, il a à nouveau rechuté dans la dépression’, ‘Sa mère a eu un cancer juste avant sa rentrée […]’.” Élégant. Enfin, constate la Cnil, l’école envoie aux étudiants des mots de passe générés automatiquement leur permettant d’accéder à leur espace personnel… en clair, par e-mail, sans obligation de modification.
Rien d’étonnant, donc, à lire la ribambelle de manquements aux textes de lois énumérés par la commission lors de la publication de sa décision de mise en demeure : manquement à l’obligation de définir une durée de conservation des données proportionnée à la finalité du traitement, manquement à l’obligation d’informer les personnes, manquement à l’obligation d’assurer la sécurité et la confidentialité des données…
La Cnil, en évitant de prononcer des sanctions et en utilisant plusieurs fois le mot “disproportionné” pour évaluer les pratiques de l’école, verse dans l’euphémisme poli. Car chez 42, au vu du rapport, on semble peu se soucier des obligations légales concernant la protection des données personnelles des étudiants. Pour une pépinière de codeurs, c’est quand même assez gênant. D’autant plus que, comme rappelle Le Monde, la date de mise en demeure permet au Règlement général sur la protection des données (RGPD) de s’appliquer pleinement dans ce cas.
