Sanctions et jurisprudences de l’ESRI européen

SupDPO propose à ses membres une synthèse des sanctions et jurisprudences prononcées par les Autorités de contrôle européennes (« Data Protection Authorities » ou « DPA » ci-après), et qui sont liées aux activités de l’enseignement supérieur, de la recherche et de l’innovation. Extraits.

Dernière mise à jour 23/07/2021

Biométrie

  • La DPA espagnole a mis en garde un département régional de l’enseignement public et des universités pour ne pas avoir suffisamment informé leurs travailleurs sur un système d’identification biométrique qui était en train d’être mis en œuvre.
  • Le tribunal administratif provincial de Varsovie a annulé la décision de la DPA polonaise d’imposer une amende de 4 389 € à une école pour le traitement de données biométriques d’enfants.

COVID19 –

  • La Cour d’appel d’Amsterdam a jugé que la pandémie de Covid19 constituait une situation particulière qui a permis à une université d’introduire une surveillance électronique obligatoire lors des examens en ligne. Ni le conseil étudiant ni le conseil de faculté n’avaient le droit d’être impliqués dans les processus décisionnels.
  • La DPA italienne a constaté que la divulgation de certaines bases de données concernant Covid19 par les écoles d’une province italienne peut permettre l’identification des élèves et leur état de santé, même lorsque les données identifiant directement les élèves sont supprimées.

Diffusion de données personnelles excessive et illicite sur Internet

  • La DPA italienne a sanctionné d’une amende de 200 000 € un responsable de traitement ayant diffusé sur son site les données personnelles d’étudiants acceptés ou rejetés en tant que bénéficiaires de bourses, sur la base, notamment de la violation de l’article 5, paragraphe 1, point a) c) du RGPD (non-nécessité de la diffusion) ainsi que l’article 6, paragraphe 1, point c) e) du RGPD (absence d’une législation nationale réglementaire appropriée).

Données personnelles rendues publiques par la personne concernée –

  • La Cour administrative supérieure de Lüneburg (OVG Lüneburg) a constaté que l’article 9, paragraphe 2, point e) du RGPD autorise le traitement des données à caractère personnel que la personne concernée a rendues publiques. La Cour a jugé que le Conseil étudiant peut examiner publiquement toute opinion d’un employé de l’université rendue publique par ledit employé.

DPO –

  • Moyen du DPO – La DPA luxembourgeoise a infligé une amende de 18 000 € à un responsable de traitement pour ne pas avoir fourni à son DPO les ressources et le cadre organisationnel nécessaires pour mener à bien ses missions. Elle a infligé une seconde amende de 15 000 € à un autre organisme pour ne pas avoir invité son DPO à toutes les réunions pertinentes, ni laissé le DPO rapporter directement au plus haut niveau de la direction.
  • Absence de DPO – La DPA italienne a prononcée une amende de 75 000 € à l’encontre d’un Ministère pour absence de désignation d’un DPO et diffusion de données personnelles sur Internet

Envoi de données personnelles par mail –

  • La DPA belge a estimé que l’envoi d’une newsletter aux parents d’élèves avec toutes les adresses e-mail visibles en copie visible était une violation de l’article 5, paragraphe 1, point b), car cela ne correspondait pas aux attentes raisonnables de la parents de faire distribuer leur adresse e-mail.
  • La DPA française a prononcé à l’encontre d’un rectorat un rappel à l’ordre, pour sa méconnaissance de l’article 5-1-a) du règlement no 2016/679 du 27 avril 2016 relatif à la protection des données suite à l’envoi des données personnelles de 11 856 lycéens (personnes mineures) dans des conditions non sécurisées, à savoir par l’envoi d’un fichier Excel en pièce jointe non chiffrée d’un courriel.

Formulaire de collecte de données sensibles –

  • Le CEPB annulé la décision de la DPA d’interdire à une municipalité d’utiliser un formulaire numérique pour enquêter sur les comportements d’intimidation dans ses écoles locales.
  • La DPA espagnole a imposé trois sanctions d’avertissement différentes à un Ministère pour avoir enfreint les articles 5 (1) (a), 9 (1) et 13 GDPR sur le traitement des données des enquêtes auxquelles ont répondu des écoliers.

Transfert de données sensibles –

  • Santé – La DPA hongroise a déterminé que le transfert de données de santé sans protection par mot de passe à des médecins généralistes non autorisés à accéder à ces données constitue une violation de données entraînant un risque élevé pour les droits et libertés des personnes physiques. La situation d’urgence causée par l’épidémie de Covid-19 et les tâches connexes des entités publiques ne les dispensent pas de prendre des mesures de sécurité des données appropriées et de traiter les données personnelles légalement conformément au RGPD.

Insécurité IT et violation de données (mesures techniques insuffisantes) –

  • Outil de gestion de la scolarité – La DPA suédoise a infligé une amende de 392 000 € à un Conseil pédagogique après avoir reçu de nombreuses plaintes selon lesquelles le nouveau système informatique utilisé pour l’administration de l’éducation, a subi des violations de données.
  • Outil ID étudiants et photos – La DPA islandaise a infligé une amende de 23 585 € à un responsable de traitement responsable d’un système de gestion électronique des écoles (« Mentor web system ») pour n’avoir pas mis en œuvre les mesures techniques et organisationnelles appropriées, ce qui a entraîné une violation de données affectant 424 enfants (Le numéro du système étudiant était visible dans l’URL d’une page spécifique du système Mentor. En adaptant un script pour envoyer des milliers de requêtes au système avec des nombres aléatoires à six chiffres, une partie non autorisée avait obtenu des informations sur les numéros d’identification et les photos de 423 élèves des écoles maternelles et primaires islandaises).
  • Gestion des droits et accès aux données de santé – La DPA suédoise a estimé que l’accès aux dossiers médicaux doit être restreint en fonction de la nécessité pour chaque travailleur de soins d’exercer son travail. La DPA a donc infligé une amende d’environ 391 000 € à un hôpital universitaire pour violation des articles 5 et 32 ​​du RGPD. La DPA suédoise a également infligé une amende d’environ 34 000 € à un autre hôpital universitaire pour avoir donné à son personnel un accès plus large aux dossiers médicaux qu’il n’en avait besoin pour faire son travail, et une amende de 248 000€ à une région suédoise pour n’avoir pas, pour la deuxième fois depuis 2015, mis en œuvre les mesures organisationnelles et techniques nécessaires pour restreindre l’accès aux dossiers médicaux.

Examen par visioconference et proctoring

  • Défaut de mesures de sécurité – Des plaintes ont été transmises à la DPA polonaise à propos de l’organisation d’examens sous forme de visioconférence : Les enregistrements, au cours desquels un contrôle d’identité des étudiants (au moyen de la présentation de la carte étudiante ou de la carte d’identité) était organisé, ont été rendu disponibles non seulement aux candidats, mais aussi à d’autres personnes ayant accès au système de e-learning ou encore à des tiers via un lien direct. L’Université n’a pas signalé la violation de données à la DPA et n’a pas informé les personnes concernées, ce pourquoi elle a été sanctionnée d’une amende de 5 500 €.
  • Outil de proctoring – La DPA portugaise a ordonné à un établissement d’enseignement de cesser d’utiliser une application de surveillance pour évaluer les étudiants en ligne, car l’application enfreignait les principes de légalité, de limitation des finalités et de minimisation des données et de transfert des données vers un fournisseur américain Etats-Unis, celui-ci étant basé uniquement sur les clauses contractuelles type sans aucune mesure complémentaire. La DPA a également ordonné à l’institution de demander au sous-traitant concerné de supprimer toutes les données précédemment stockées.

Possibilité de sanctions des établissements d’enseignement et responsabilité vis à vis des sous-traitants

  • La DPA italienne a infligé une amende de 80 000 € à un établissement public pour avoir rendu publiques sur son site web les données personnelles de candidats qui participaient à un concours. La DPA a confirmé que l’organisme, en tant que responsable du traitement des données, était responsable de la violation des données, et qu’à ce titre il aurait du vérifier activement le respect des mesures de ptoection des données déclarées par le sous-traitant fournissant la solution de gestion des candidatures en ligne (art. 28.h du RGPD).
  • La DPA belge a estimé qu’un établissement d’enseignement n’est pas exempté des amendes administratives en vertu de l’article 83, paragraphe 7, du RGPD et de l’article 221, paragraphe 2, de la loi belge sur la protection des données.

Procédures de conformité non respectées –

  • La DPA norvégienne a infligé une amende de 4 900 € à une municipalité pour avoir obligé les étudiants à utiliser une application de fitness dans les cours de gym sans procéder d’abord à une évaluation des risques et à une DPIA, et pour le manque de routines de sécurité, violant ainsi l’article 32, paragraphe 1, point b ) cf. Article 5 RGPD, article 35 et article 24, paragraphe 1, respectivement.

Projet de recherche et données sensibles –

  • La DPA suédoise a infligé une amende d’environ 54 483 € à une université pour avoir divulgué et stocké des données personnelles sensibles issues d’enquêtes pénales en violation de l’article 5, paragraphe 1, point f), et de l’article 32 (notamment un rapport d’enquête a été envoyé dans un courrier électronique non crypté, tandis que 108 autres rapports ont été stockés auprès d’un fournisseur de cloud américain sans garanties appropriées). L’Autorité a également souligné que le responsable du traitement n’avait pas signalé l’affaire à la DPA comme le prévoit l’article 33 .

Reconnaissance faciale –

  • La DPA suédoise a infligé une amende de 20 000 € à une école pour avoir utilisé la technologie de reconnaissance faciale pour enregistrer la présence des élèves. La Cour d’appel de Stockholm a confirmé la décision.
  • La DPA slovène a décidé qu’il n’y avait aucune base légale pour mener une méthode d’apprentissage à distance qui utilise des technologies ou des logiciels de reconnaissance faciale non testés permettant de contrôler le comportement individuel. L’enseignant souhaitait enregistrer toute la pièce où les étudiants passaient l’examen, enregistrer l’image et le son pendant toute la durée de l’examen, enregistrer spécifiquement les oreilles, les poignets, et les mains des élèves avant le début de l’examen et avoir la possibilité (pour l’enseignant) d’allumer la caméra et le son, à l’improviste pendant les cours.