Utiliser un fichier de données personnelles en dehors de la finalité pour laquelle il a été mis en place et/ou par une personne non destinataire légitime du fichier expose à une sanction CNIL.
Rappels à l’ordre de la CNIL
La formation restreinte de la CNIL a prononcé deux rappels à l’ordre à l’encontre du rectorat de l’académie de Normandie et de Madame Sonia KRIMI, députée de la 4e circonscription de la Manche. Dans les deux cas, la sanction fait suite à l’utilisation illicite de données issues du fichier national « OCEAN », dédié à la gestion des examens et concours scolaires.
Courriers de félicitations aux lauréats du baccalauréat
La députée de la 4e circonscription de la Manche avait adressé des courriers de félicitations aux lauréats du baccalauréat 2019 du département de la Manche. Les investigations menées par la CNIL ont permis d’établir que les données personnelles des lycéens provenaient du fichier national « OCEAN », normalement dédié à la gestion des examens et concours scolaires. Ces données ont été communiquées par le rectorat de l’académie de Normandie en réponse à une demande faite par Mme Sonia KRIMI.
Détournement de finalité
La transmission de ces données par l’académie et leur utilisation par la députée étaient illicites, car non prévues lors de la création du fichier « OCEAN ». En effet, l’arrêté du 22 avril 2013, adopté par le ministre de l’Éducation nationale, ne prévoit ni la communication des données de ce fichier aux parlementaires ni leur utilisation par ces derniers. La formation restreinte a ainsi retenu un manquement à l’article 5(1.a) du règlement général sur la protection des données (RGPD), qui dispose que les données personnelles doivent être « traitées de manière licite ».
La formation restreinte a décidé de rendre publiques ses décisions, compte tenu du nombre de personnes concernées (11 846 lycéens), du fait que certaines d’entre elles étaient mineures, ainsi que des fonctions publiques exercées par la députée.
Fichier Excel indifférencié
A noter que le volume des données personnelles transmises dépassait le périmètre de la demande de l’élue. En effet, celle-ci demandait à être destinataire des noms, prénoms, mentions au baccalauréat et adresses postales des bacheliers de sa circonscription uniquement. Or, il a été indiqué à la délégation CNIL que, par manque de temps, les services du rectorat avaient transmis à la députée une liste globale, laissant à cette dernière la liberté de faire son propre tri dans les données issues du traitement OCEAN précité.
Ainsi, le rectorat a indiqué à la CNIL que l’imminence des départs en congé des agents rendait plus difficile d’extraire les données afférentes aux seuls bacheliers domiciliés dans la 4ème circonscription de la Manche .
Manquement à l’obligation de traiter les données de manière licite
L’article 5-1-a) du RGPD dispose que les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée.
Aux termes de l’article 3 de l’arrêté du 22 avril 2013 portant création d’un traitement automatisé de données à caractère personnel relatif à la gestion des examens et concours scolaires dénommé OCEAN , les agents des services académiques figurent parmi les destinataires habilités à recevoir communication des données personnelles issues de ce traitement, pour les seuls candidats à l’examen de l’académie qui les concerne. Les services du rectorat de l’académie de Caen – auquel s’est substitué le rectorat de l’académie de Normandie depuis le 1er janvier 2020 – disposaient donc d’un accès légitime, sur le fondement dudit arrêté, aux données personnelles du traitement OCEAN pour les lycéens du département de la Manche.
En revanche, les parlementaires ne figurent pas parmi la liste des personnes habilitées par l’arrêté du 22 avril 2013 à être destinataires des données personnelles issues du traitement OCEAN.
En effet, si aux termes de l’article 3 de l’arrêté du 22 avril 2013 peuvent également être destinataires de données du traitement les agents habilités des collectivités territoriales participant au service public de l’éducation qui en font la demande (…), les collectivités territoriales sont des structures administratives distinctes de l’Etat, qui prennent en charge les intérêts de la population d’un territoire précis. Dans ces conditions, un parlementaire ne peut être assimilé ni à une collectivité territoriale ni à un agent d’une telle collectivité au sens de l’arrêté précité.