La CNIL rappelle régulièrement aux établissements d’enseignement leurs obligations en matière de protection des données à caractère personnel. Fin 2022, la CNIL a mis en demeure deux établissements d’enseignement supérieur pour non-respect du RGPD, suite à des contrôles sur la gestion des données administratives et pédagogiques des étudiants. Les manquements concernaient la durée de conservation des données, l’information insuffisante des étudiants, l’absence de contrats conformes avec les sous-traitants, et des mesures de sécurité, notamment sur les mots de passe. En juillet 2024, la CNIL a prononcé, via sa procédure simplifiée, une amende administrative de 20 000 euros à l’encontre d’un établissement d’enseignement supérieur privé pour non-respect des exigences de minimisation des données, durée de conservation et défaut de sécurité des données.
Décision CNIL, procédure simplifiée du 25 juillet 2024