La CNIL sanctionne le groupe Acadomia pour de nombreux manquements : mentions illicites apparaissant dans des fichiers mal tenus, non-respect des durées de conservation, etc. Le groupe a répondu laconiquement aux accusations. Nouvelle démonstration de la nécessité d'une saine gestion des données personnelles.
Plusieurs de nos confrères, à commencer par Le Parisien ont fait état d'une délibération encore non-publiée de la CNIL mettant en cause le groupe d'intermédiation en enseignement privé à domicile Acadomia, plus exactement la société AIS 2. L'affaire prenant de l'ampleur au fil des reprises de l'information faute d'une réponse rapide de la mise en cause, la CNIL a publié sur son site la délibération en question, en date du 22 avril 2010, afin d'éclaircir la situation. A son tour, Acadomia a alors publié une réponse laconique dénonçant plusieurs inexactitudes et indiquant que certains problèmes réels étaient en voie de règlement.
Les effets sur l'image d'Acadomia de ce scandale seront sans doute considérables. Après l'affaire des huissiers, c'est une nouvelle démonstration de l'importance d'une bonne gestion des fichiers nominatifs.
Des mentions illicites
Le problème initial est la présence dans des fichiers d'enseignants, de postulants à des postes d'enseignants, de parents et d'enfants de mentions illicites, souvent insultantes. L'existence de ces mentions illicites montre une nouvelle fois le danger des zones de commentaires libres dans les traitements de données nominatives. Certaines données ont été collectées abusivement, notamment le numéro INSEE « de sécurité sociale » dont l'usage est très encadré, étant une clé potentielle de nombreux recoupements illégitimes d'informations sensibles.
L'importance de respecter les normes simplifiées
Par ailleurs, la nature même des fichiers pose soucis : Acadomia insiste sur le fait que les fichiers concernés ont été déclarés alors que, selon la CNIL, les déclarations ne sont pas conformes à la réalité. Par exemple, Acadomia aurait utilisé une norme simplifiée inappropriée et sans respecter ses limites et prescriptions. Parmi ces prescriptions, la durée de conservation des informations est un élément essentiel.
Introduites par la réforme de 2004 de la loi Informatique et Libertés, les normes simplifiées sont conçues pour alléger les obligations déclaratoires des entreprises. Il suffit en effet d'indiquer qu'un traitement courant (comme une gestion de personnels par exemple) respecte une norme précise pour être dispenser de le décrire en détail, la description étant incluse dans la norme. Or si, pour une raison quelconque, le traitement -même légitime- ne respecte pas strictement une norme, une déclaration ordinaire complète doit être réalisée. La CNIL peut alors juger de la pertinence et de la légalité de chaque élément par rapport à la finalité déclarée du traitement.
La différence d'interprétation des faits entre Acadomia et la CNIL semble bien relever des difficultés d'application au cas d'espèce d'une norme simplifiée, en l'occurrence celle consacrée à la gestion du personnel.
Certains traitements n'auraient pas été, de toutes les façons, déclarés.
Une déclaration inexacte ou manquante peut être punie de 5 ans d'emprisonnement et 300 000 euros d'amende.
Viadeo
toute l'actualité "Juridique"
Juridique
Rendez-vous
Comment mesurez-vous la qualité de service de votre DSI ?
