La CNIL met en demeure 2 établissements d’enseignement supérieur pour non respect du RGPD. Le problème concernait leurs fichiers administratifs et pédagogiques.
Premier manquement constaté : la durée de conservation des données. En effet, les établissements n’ont pas prévu de durée précise de conservation pour les données des étudiants, ni de système de purge contrairement à l’obligation du RGPD de ne pas pouvoir conserver de données pour une durée illimitée.
Ensuite, concernant la mise à jour des informations, les établissements ne l’ont pas fait. En effet, des mentions obsolètes depuis l’entrée en vigueur du RGPD étaient visibles dans des formulaires. La CNIL invite donc les établissements à vérifier la mise à jour des bonnes mentions pour tous leurs supports.
Puis, concernant les sous-traitants, les établissements n’ont pas pu transmettre des contrats de sous-traitance signés et comportant l’ensemble des mentions prévues par le juge RGPD.
Par ailleurs, concernant la sécurité, la CNIL constate une politique de gestion des mots de passe pas assez protectrice.
La CNIL a donc invité les établissements à corriger ces manquements et à se conformer aux exigences du RGPD, n’imposant pas à ce stade de sanctions.