La CNIL vient d’émettre un avis concernant un projet d’arrêté portant sur la mise en oeuvre d’un traitement de données à caractère personnel dénommé « Trouver mon master », arrêté pris au lendemain de l’avis. 

Aujourd’hui, « Trouver mon master » est un simple portail visant à informer les étudiants sur « l’offre nationale de formations menant au diplôme de master n’impliquant pas le traitement de données personnelles ». Mais le gouvernement souhaitait en faire un téléservice de l’administration électronique qui permettrait « aux étudiants de licence n’ayant pas reçu de réponse positive à leurs candidatures en première année de master de saisir, par voie électronique, le recteur afin de se voir présenter des propositions d’admission dans une telle formation ».

Etant donné que ce projet porte sur un traitement de données personnelles, le ministère de l’éducation nationale, de l’enseignement supérieur et de la recherche a saisi la CNIL pour avis.

Avis positif sur certains points …

 

Les finalités du traitement sont, d’après la CNIL, « déterminées, explicites et légitimes ». Si « le présent projet d’arrêté […] permet de saisir le recteur et de recevoir ses propositions d’admission par voie électronique […] il n’a en revanche pas pour objet de déposer une candidature auprès d’un établissement proposant une formation de master ».

Elle confirme également la licéité des destinataires du traitement, lesquels sont limités aux seules « personnes habilitées au sein de la DGESIP du ministère, dans les rectorats des régions académiques et les rectorats d’académie […] et dans les établissements d’enseignement supérieur ».

Concernant les droits des personnes, le droit d’opposition ne s’applique pas au traitement. Si la CNIL ne trouve rien à redire à ce propos, elle justifie sa position par le fait que « la demande auprès du recteur s’effectue « par l’intermédiaire d’un téléservice national créé à cet effet » ».

… Réserves et recommandations sur d’autres

 

Le premier point sur lequel la commission porte des recommandations concerne la nature des données traitées. Celles-ci sont relatives à leur [celle des étudiants] « identité (noms, prénoms, date et lieu de naissance, identifiant national étudiant), à leurs coordonnées (adresses postale et électronique, numéro de téléphone) et à leurs identifiants de connexion », mais l’arrêté doit considérer les réponses de l’étudiant comme étant des données et informations enregistrées. L’arrêté pris le 16 juin reprend cette recommandation.

La CNIL recommande également que la durée de conservation des données en base active soit modulable, et que celle en base d’archives intermédiaires soit réduite à 6 mois. Or, on s’aperçoit que cela n’a pas été pris en compte dans l’arrêté du 16 juin 2017.

Aussi, concernant l’information des personnes concernées, il est nécessaire que les mentions relatives au traitement des données soient « portées à la connaissance de la personne concernée, au moins lors de sa première connexion au téléservice, de façon claire, compréhensible et visible grâce, par exemple, à l’aide une fenêtre pop-up ».

Enfin, la commission émet diverses recommandations quant à la sécurité : conformité au Référentiel Général de Sécurité (RGS), identifiants sécurisés, gestion des habilitations, etc. Toutefois, l’arrêté ne comprend aucune disposition relative à la sécurité des bases de données.

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *