La télésurveillance des examens en ligne

Si la télésurveillance des examens à distance peut être intrusive et donc s’avérer problématique, elle présente tout de même des avantages. Étudiants en situation de handicap, étudiants à l’étranger ou étudiants ayant des difficultés pour se rendre sur le lieu de l’examen, les examens en ligne permettent parfois de régler des situations difficiles.

La CNIL autorise la surveillance à distance des examens en ligne si l’établissement met en place des mesures respectueuses du RGPD mais également qui ne pénalisent pas les étudiants afin d’éviter des problèmes de connexion, des risques de dysfonctionnement du matériel ou encore une incompatibilité des systèmes d’exploitation.

La CNIL précise les conditions suivant lesquelles la télésurveillance est possible :

1. Le respect des principes généraux du RGPD. Leur application est primordiale puisque des données du candidat et de ses proches peuvent être collectées, et la biométrie peut être utilisée.
2. La proportionnalité et l’efficacité de l’outil de télésurveillance. La proportionnalité doit s’apprécier au regard du contexte et de l’enjeu de l’épreuve. Ainsi, une surveillance renforcée parait appropriée pour le passage d’un concours d’entrée dans une école, mais pas pour un examen blanc. L’efficacité suppose que l’outil de télésurveillance puisse prévenir la fraude. Si aucun équilibre ne peut être trouvé entre la proportionnalité et l’efficacité, le système sera considéré comme intrusif.
3.  L’existence d’une alternative en présentiel. La télésurveillance ne doit pas constituer une alternative de confort destinée uniquement à rendre moins contraignante ou moins coûteuse pour l’établissement l’organisation de l’examen.

La CNIL considère certaines mesures comme appropriées telles que la télésurveillance vidéo et audio du candidat sans conservation des données, la télésurveillance via un partage d’écran, le blocage de l’accès à d’autres onglets, ou encore la vérification ponctuelle de l’environnement du candidat sans conservation de données.

Inversement, la CNIL juge intrusifs certains moyens qui proposent d’avoir recours à l’analyse automatique de l’environnement du candidat par la détection d’un niveau sonore anormal, et du comportement (fréquence de frappe, direction du regard, émotions, etc.). Une étude au cas par cas devra être menée pour chaque dispositif dans ce cas.

Dans tous les cas, le responsable de traitement devra consulter son DPO, les dispositifs devront être testés en amont des épreuves et les données chiffrées, et aucun dispositif ne devra conduire à une décision automatique ayant un effet immédiat pour le candidat.

Contrôles et amendes de la CNIL : qui, quoi, combien ?

Toute entreprise ne respectant par la loi informatique et libertés ou le RGPD s’expose à des contrôles de la CNIL. En effet, même si la Commission peut se saisir seule d’un cas en particulier, elle intervient souvent après des plaintes et signalements.

Le contrôle de la CNIL peut s’effectuer sur place ou à distance. Le responsable de traitement devra ainsi présenter la documentation de sa conformité aux agents. Lorsque la Commission constate des manquements et avant le prononcé de toute sanction, il lui est possible de mettre en demeure le responsable de traitement, de prononcer un rappel à l’ordre ou encore de limiter le flux de données ou le traitement concerné.

Pour déterminer le montant des amendes, plusieurs indicateurs seront pris en compte tels que la nature et la gravité de l’infraction ; le caractère volontaire, ou encore le degré de coopération avec l’autorité. La CNIL n’hésite pas à prononcer des amendes dissuasives, mais qui restent tout de même proportionnées au chiffre d’affaires de l’entreprise. Le montant de l’amende ne pourra toutefois dépasser les 4% du chiffre d’affaires annuel mondial de l’entreprise ou 20 millions d’euros.

En 2022, l’autorité de protection a prononcé 21 sanctions pour un montant total de plus de 100 millions d’euros ainsi que 147 mises en demeure. Sont visées des communes et collectivités publiques, des PME et multinationales. Chaque organisme est donc concerné par l’application du RGPD.

Les données sensibles, des données à risque

En juin dernier, une société proposant des consultations de voyance a écopé d’une amende de 150 000 euros pour la collecte de données de santé et relatives à l’orientation sexuelle sans avoir recueilli le consentement préalable des personnes concernées.

Les données sensibles sont une catégorie particulière de données personnelles dont le traitement peut présenter des risques pour les droits et libertés des personnes. Sont considérées comme des données sensibles l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses et philosophiques, l’appartenance syndicale, les données génétiques et biométrique, les données de santé, ainsi que les données concernant l’orientation ou la vie sexuelle d’une personne.
Chaque entreprise peut être amenée à traiter des données sensibles  à différents stades de la relation avec ses collaborateurs (travailleur handicapé, congé maternité, empreinte digitale, …).

Toutefois, le règlement européen interdit les traitements des données sensibles tout en prévoyant certaines exceptions à ce principe. En effet, leur traitement présente un risque important pour les droits et libertés des personnes concernées : ces dernières peuvent être victimes de discriminations à l’embauche, à l’accès à des services, ou encore faire l’objet de préjudices financiers si ces données étaient divulguées. Ainsi, pour réaliser un traitement de données sensibles, il est nécessaire de le fonder sur l’une des six bases juridiques tel que c’est le cas pour les données personnelles, ainsi que de se trouver dans l’une des exceptions prévues par le règlement. Contraintes de leur porter une attention particulière et de prévoir une protection accrue face aux risques de cybersécurité, les entreprises peuvent faire appel à un DPO pour les accompagner et conseiller sur cette thématique.

Le principe de transparence du RGPD

Récemment, une société qui effectue de la publicité ciblée s’est fait sanctionner d’une amende de 40 millions d’euros par la CNIL notamment pour ne pas avoir informé les utilisateurs sur les traitements effectués. Ces derniers n’étaient pas en mesure de comprendre quelles données détenait la société sur eux et pour quelles raisons exactes ; la politique de confidentialité publiée sur le site internet n’étant pas claire à ce sujet.

Le principe de transparence prévu par le RGPD exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. La forme est donc aussi importante que le fond.

Où donner les informations requises ? le site internet peut être un bon emplacement. Les textes légaux tels que la politique de confidentialité, la politique de cookies ou encore les mentions légales contribuent à l’information de la personne concernée et sont aisément accessibles. Ces textes doivent refléter l’activité et le fonctionnement de l’entreprise, et diffèrent donc d’un organisme à un autre.

Quand donner ces informations ? Dès lors que le responsable de traitement collecte des données ou qu’il modifie une composante du traitement de données. Tel sera le cas lors de la souscription d’un contrat, de l’ouverture d’un compte, ou encore du remplissage d’un formulaire par exemple. Cette information peut prendre plusieurs formes telles que des mentions écrites, l’envoi d’un mail, etc.

L’information et la transparence des traitements vis-à-vis des utilisateurs est un des principes fars du RGPD qu’il convient de respecter scrupuleusement. Si vous souhaitez en savoir plus sur les informations à communiquer ainsi que la forme qu’elles doivent prendre, pensez à contacter à un DPO pour être conseillé sur ce sujet.