La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Monsieur Alexandre LINDEN, président, et de Mesdames Anne DEBET, Sylvie LEMMET et Christine MAUGÜE, membres ;
Vu la Convention no 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée, notamment ses articles 20 et suivants ;
Vu l’ordonnance n° 2014-1329 du 6 novembre 2014 relative aux délibérations à distance des instances administratives à caractère collégial ;
Vu le décret no 2019-536 du 29 mai 2019 pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;
Vu la délibération n° 2020-037 du 2 avril 2020 relative à l’organisation des délibérations de la Commission nationale de l’informatique et des libertés pendant l’état d’urgence sanitaire liée au covid-19 ;
Vu la décision n° 2019-213C du 25 octobre 2019 de la Présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification de tous les traitements mis en œuvre par ou pour le compte du rectorat de Z ;
Vu la décision de la Présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 12 mars 2020 ;
Vu la saisine […] reçue par la Commission nationale de l'informatique et des libertés le 8 août 2019 ;
Vu le rapport de Madame Dominique CASTERA, commissaire rapporteur, notifié au rectorat de X le 3 juin 2020 ;
Vu les observations écrites de Monsieur […], secrétaire général de l’académie, pour la rectrice de X et par délégation, reçues le 3 juillet 2020 ;
Vu les autres pièces du dossier ;
Etaient présents à distance, lors de la séance de la formation restreinte du 16 juillet 2020 qui s’est tenue en visioconférence :
Mme Dominique CASTERA, commissaire, en son rapport ;
En qualité de représentants du rectorat de X :
- […]
La formation restreinte a adopté la décision suivante :
I.Faits et procédure
Le 5 août 2019, la Commission nationale de l’informatique et des libertés (ci-après la CNIL ou la Commission ) a été saisie d’une plainte concernant l’envoi par Madame Y, députée de […], de courriers de félicitations aux lauréats du diplôme du baccalauréat 2019 de sa circonscription.
En réponse au courrier du service des plaintes daté du 20 septembre 2019, Madame Y a avisé la CNIL, par courrier en date du 4 octobre 2019, que son équipe avait été rendue destinataire, à sa demande, d’un fichier Excel émanant des services du rectorat de Z – auquel s’est substitué depuis le 1er janvier 2020 le rectorat de X – comportant les coordonnées des lauréats du baccalauréat du département. Madame Y a en outre informé la CNIL qu’un membre de son équipe avait procédé au traitement des noms, prénoms et adresses postales des bacheliers de son département présents dans le fichier à des fins de publipostage, le temps d’une demi-journée, et avait ensuite procédé à la destruction dudit fichier. Enfin, Madame Y a indiqué qu’elle adressait un courrier de félicitations aux bacheliers chaque année depuis son élection, en 2017.
Par décision n° 2019-213C du 25 octobre 2019, la Présidente de la CNIL a fait procéder à une mission de vérification auprès du rectorat de Z. Cette mission s’est effectuée sur pièces, le rectorat ayant répondu le 18 novembre 2019 à une lettre de la CNIL du 30 octobre, reçue le 4 novembre.
Il résulte des investigations menées par les services de la Commission que le service en charge des examens et concours du rectorat a transmis à Madame Y, le 18 juillet 2019, sous la forme d’un fichier de format Excel attaché en pièce jointe non chiffrée (non protégée par mot de passe) d’un courriel électronique, les noms, prénoms, dates de naissance, adresses postales, noms des établissements de scolarisation, baccalauréats obtenus et les mentions éventuellement reçues de 11 856 lycéens du département de […] lauréats du baccalauréat 2019.
La délégation a été informée que les données étaient issues du traitement automatisé de données à caractère personnel relatif à la gestion des examens et concours scolaires dénommé OCEAN , créé par un arrêté du 22 avril 2013. Il lui a également été indiqué que seules les données des lycéens ayant consenti à la transmission de leurs données à une collectivité territoriale lors de leur inscription à l’examen avaient été transmises.
La délégation a par ailleurs été informée que le cabinet de la rectrice d’académie avait été mis en copie des différents échanges de courriels intervenus entre le collaborateur de Madame Y et les services du rectorat à l’occasion de cette communication. La délégation à la protection des données du rectorat n’avait en revanche pas été consultée préalablement à la transmission de ces données personnelles.
En outre, il ressort des informations portées à la connaissance de la CNIL que le volume des données personnelles transmises dépassait le périmètre de la demande de l’élue. En effet, celle-ci demandait uniquement à être destinataire des noms, prénoms, mentions au baccalauréat et adresses postales des bacheliers de sa circonscription. Sur ce point, il a été indiqué à la délégation que, par manque de temps, les services du rectorat avaient transmis à la députée une liste globale, laissant à cette dernière la liberté de faire son propre tri dans les données issues du traitement OCEAN précité. Ainsi, le rectorat a indiqué à la CNIL que l’imminence des départs en congé des agents rendait plus difficile d’extraire les données afférentes aux seuls bacheliers domiciliés dans […] . Il ressort par ailleurs des informations transmises qu’un fichier rassemblant les données des lauréats ayant obtenu la mention Très bien dans tout le département de […] a été transmis en 2018 à Madame Y, alors même que cette dernière avait limité sa demande aux coordonnées des lauréats ayant obtenu la mention Très bien dans sa seule circonscription.
Aux fins d’instruction de ces éléments, la Présidente de la CNIL a désigné Madame Dominique CASTERA en qualité de rapporteure, le 12 mars 2020, sur le fondement de l’article 22 de la loi du 6 janvier 1978 modifiée.
À l’issue de son instruction, la rapporteure a fait notifier par huissier de justice, le 3 juin 2020, au rectorat de X un rapport détaillant le manquement au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données (ci-après le Règlement ou le RGPD ) qu’elle estimait constitué en l’espèce.
Ce rapport proposait à la formation restreinte de la Commission de prononcer à l’encontre du rectorat de X un rappel à l’ordre, pour sa méconnaissance de l’article 5-1-a) du Règlement, qui prévoit l’obligation de traiter les données personnelles de manière licite. Il proposait également que cette décision soit rendue publique mais qu’elle ne permette plus d’identifier nommément le rectorat à l’expiration d’un délai de deux ans à compter de son adoption. Le courrier de notification du rapport indiquait au rectorat qu’il disposait d’un délai d’un mois pour communiquer ses observations écrites.
Une convocation à la séance de la formation restreinte du 16 juillet 2020 a été signifiée au rectorat de X par huissier de justice, le 15 juin 2020.
Le 3 juillet 2020, le rectorat de X a produit des observations écrites.
Lors de la séance de la formation restreinte du 16 juillet 2020, la rapporteure a maintenu les propositions formulées dans son rapport de sanction.
II.Motifs de la décision
1.Sur le droit applicable
La formation restreinte rappelle que les données personnelles transmises à Madame Y par les services du rectorat de Z sont issues du traitement automatisé de données à caractère personnel relatif à la gestion des examens et concours scolaires dénommé OCEAN , créé par l’arrêté du 22 avril 2013.
La mise en œuvre du traitement OCEAN est soumise, depuis le 25 mai 2018, au respect des exigences posées par le RGPD.
En conséquence, le RGPD étant applicable aux faits de l’espèce, la formation restreinte apprécie les manquements au regard de ce texte.
2.Sur la détermination du responsable de traitement
L’article 4-7) du RGPD définit le responsable du traitement comme la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement .
La formation restreinte observe qu’en l’espèce les services du rectorat de Z ont déterminé de manière autonome la finalité du traitement des données à caractère personnel considéré, en décidant seuls de procéder à l’extraction des données personnelles du traitement OCEAN en vue de leur transmission à Madame Y. En effet, il ne ressort pas des investigations menées par les services de la CNIL que la transmission des données personnelles du traitement OCEAN à Madame Y serait intervenue sur instruction du ministère de l’Education nationale, responsable du traitement de données à caractère personnel OCEAN , ni que ce ministère ait été informé de cette transmission.
La formation restreinte relève également que les services du rectorat de Z ont jouit d’une importante liberté dans la détermination du champ et des modalités de la transmission du fichier de données à caractère personnel communiqué à Madame Y. En l’espèce, ce sont les services du rectorat qui ont été à l’initiative de l’extraction des données personnelles du traitement OCEAN et qui ont piloté la transmission du fichier. Ils ont ainsi décidé de la nature des données personnelles à extraire et ont déterminé les modalités de communication de ces données. L’ensemble de ces opérations sont intervenues sous le contrôle du cabinet de la rectrice d’académie.
Enfin, le rectorat apparaît seul responsable du contrôle de la légalité des demandes qu’il reçoit et qui portent sur la transmission de données personnelles issues du traitement OCEAN . A cet égard, la formation restreinte relève que le délégué à la protection des données du rectorat est habituellement en charge d’examiner la légalité de telles demandes. Par ailleurs, le rectorat a annoncé la mise en place, à partir de janvier 2020, d’une procédure interne à ses services visant à conditionner la transmission de données personnelles issues du traitement OCEAN aux collectivités territoriales à la signature préalable d’une convention avec l’académie.
En conséquence, la formation restreinte considère que le rectorat de Z – auquel s’est substitué le rectorat de X à compter du 1er janvier 2020 – a agi en qualité de responsable du traitement s’agissant du traitement distinct opéré à partir des données à caractère personnel issues de la base de données OCEAN .
3.Sur le manquement à l’obligation de traiter les données de manière licite
L’article 5-1-a) du RGPD dispose que les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée .
La formation restreinte observe qu’aux termes de l’article 3 de l’arrêté du 22 avril 2013 portant création d’un traitement automatisé de données à caractère personnel relatif à la gestion des examens et concours scolaires dénommé OCEAN , les agents des services académiques figurent parmi les destinataires habilités à recevoir communication des données personnelles issues de ce traitement, pour les seuls candidats à l’examen de l’académie qui les concernent. Les services du rectorat de Z disposaient donc d’un accès légitime, sur le fondement dudit arrêté, aux données personnelles dudit traitement pour les lycéens du département de […].
La formation restreinte relève en revanche que les parlementaires ne figurent pas parmi la liste des personnes habilitées par l’arrêté du 22 avril 2013 à être destinataires des données personnelles issues du traitement OCEAN.
En effet, si la formation restreinte note qu’aux termes de l’article 3 de l’arrêté du 22 avril 2013 peuvent également être destinataires de données du traitement les agents habilités des collectivités territoriales participant au service public de l’éducation qui en font la demande (…) , elle rappelle que les collectivités territoriales sont des structures administratives distinctes de l’Etat, qui prennent en charge les intérêts de la population d’un territoire précis. Dans ces conditions, un parlementaire ne peut être assimilé à une collectivité territoriale ou à un agent d’une telle collectivité au sens de l’arrêté précité.
En conséquence, la formation restreinte considère qu’en transmettant des données personnelles issues du traitement OCEAN à Madame Y, en sa qualité de députée, alors que les parlementaires ne figurent pas parmi la liste des personnes autorisées à accéder aux données aux termes de l’arrêté du 22 avril 2013 précité, le rectorat a procédé à un traitement illicite des données personnelles.
Ces faits sont constitutifs d’un manquement à l’article 5-1-a) du RGPD.
4.Sur les éléments aggravants
En premier lieu, la formation restreinte relève que les données personnelles ont été transmises par le rectorat à Madame Y dans des conditions non sécurisées, à savoir par l’envoi d’un fichier Excel en pièce jointe non chiffrée d’un courriel. Ces modalités de transmission de données personnelles ne permettent pas de se prémunir contre leur interception par un tiers et, dès lors, présentent un risque d’atteinte à leur intégrité. A cet égard, la formation restreinte rappelle que la CNIL recommande, comme précaution élémentaire de sécurité, le chiffrement des données personnelles avant leur enregistrement sur un support physique, ou leur transmission par messagerie électronique, et d’assurer la confidentialité du mot de passe de déchiffrement en le transmettant par un autre canal que celui par lequel les données personnelles sont communiquées, par exemple par téléphone lorsque les données sont envoyées par courriel.
En deuxième lieu, la formation restreinte considère que les conditions dans lesquelles la transmission des données personnelles a eu lieu en l’espèce traduisent une certaine négligence de la part du rectorat dans l’analyse et le traitement de la demande qui lui était adressée par la députée.
La formation restreinte rappelle à cet égard, d’une part, que la légalité de la demande présentée par la députée n’a pas fait l’objet d’une analyse par les services du rectorat de l’académie - ni n’a été transmise au délégué à la protection des données pour avis - et que, d’autre part, le traitement illicite des données personnelles issues de la base de données OCEAN est caractérisé pour la deuxième année consécutive - puisque le rectorat a reconnu avoir déjà transmis en 2018 les données de l’ensemble des lauréats du département titulaire d’une mention Très bien à Madame Y.
La formation restreinte relève en outre que les services du rectorat ont transmis à la députée un fichier global comportant les données de l’ensemble des lauréats du département, dépassant ainsi le champ territorial de […] pour lequel Madame Y exerce ses fonctions de représentation. Il en résulte que le rectorat a transmis à la députée plus de données personnelles que cette dernière n’en avait demandé et, en tout état de cause, plus que ce que les dispositions de l’arrêté du 22 avril 2013 prévoient au profit des agents habilités des collectivités territoriales participant au service public de l’éducation.
Enfin, la formation restreinte relève que la transmission des données personnelles est intervenue sans aucune forme de contrôle a priori et sans autre forme de contrôle a posteriori, quant à l’utilisation et la suppression des données personnelles par les équipes de la députée, que la demande de production d’une attestation sur l’honneur de destruction du fichier.
En troisième lieu, la formation restreinte note que le traitement illicite intervenu concerne un nombre important de personnes, puisque les données de 11 856 lycéens ont ainsi été transmises hors du cadre légal prévu par l’arrêté du 22 avril 2013.
La formation restreinte observe enfin le caractère sensible du public affecté, dès lors qu’une partie des personnes concernées par le traitement illicite des données à caractère personnel étaient mineures au moment des faits.
III.Sur les mesures correctrices et leur publicité
Aux termes du III de l’article 20 de la loi du 6 janvier 1978 modifiée :
Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes :
1° Un rappel à l'ordre ; […]
En premier lieu, s’agissant de la mesure proposée par la rapporteure, la formation restreinte considère que le manquement précité justifie que soit prononcé un rappel à l’ordre à l’encontre du rectorat de X, qui s’est substitué au rectorat de Z à compter du 1er janvier 2020, pour les motifs suivants.
La formation restreinte relève d’abord que le manquement à l’article 5-1-a) est caractérisé par la transmission des données à caractère personnel à une personne qui, aux termes de l’article 3 de l’arrêté du 22 avril 2013, ne figure pas parmi les destinataires habilités à recevoir communication des données issues du traitement OCEAN .
Elle observe ensuite que les données ont été transmises par le rectorat à Madame Y pour la deuxième année consécutive, que ces données ont été transmises dans des conditions non sécurisées (fichier Excel en pièce jointe non chiffrée d’un courriel), que la légalité de la demande présentée par la députée n’a pas fait l’objet d’une analyse par les services du rectorat de l’académie, ni n’a été transmis au délégué à la protection des données pour avis, que les données transmises par le rectorat excédaient celles visées par la demande de la députée et que le rectorat n’a procédé à aucun contrôle effectif de la destruction du fichier de données.
En second lieu, concernant la publicité de sa décision, la formation restreinte considère que compte tenu de la sensibilité du public concerné et du nombre de personnes concernées par le traitement illicite des données, la publicité de la décision de rappel à l’ordre pour une durée d’un an apparaît justifiée.
PAR CES MOTIFS
La formation restreinte de la CNIL, après en avoir délibéré, décide de :
prononcer à l’encontre du rectorat de X un rappel à l’ordre, pour sa méconnaissance de l’article 5-1-a) du règlement no 2016/679 du 27 avril 2016 relatif à la protection des données ;
rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément le rectorat de X à l’expiration d’un délai d’un an à compter de sa publication.
Le président
Alexandre LINDEN
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.