Ai-je le droit de publier les données personnelles de mes étudiants ?
X s’inscrit à une formation en cours d’emploi auprès d’une Université.
Lors de la séance d’information d’ouverture de la session, il reçoit alors un document très complet intitulé « Dossier d’accueil », qui présente notamment les modules et leur calendrier, les différents intervenants et le règlement de la formation.
Il découvre avec étonnement qu’y figurent aussi non seulement la liste des participants de la session, mais aussi celles de toutes les sessions précédentes depuis l’ouverture du cours en 2001, à savoir tous les noms, prénom, fonction et entreprise, numéro de téléphone et adresse courrielle.
La formation comportant un module Protection des données, X en parle à l’animatrice du cours, qui indique la non-conformité d’une telle publication et expose les raisons au comité stratégique.
La publication de ces listes anciennes viole les principes de proportionnalité, finalité, licéité, transparence et exactitude qui régissent le traitement des données personnelles. Il est mis fin à cette pratique.
Recommandations
Les données personnelles doivent être traitées selon les principes de licéité, finalité, proportionnalité, bonne foi et transparence de la collecte, exactitude et sécurité.
En l’occurrence, les données personnelles sont publiées chaque année à l’insu personnes concernées, elles ne sont plus à jour, elles excèdent ce qui est nécessaire dans le cadre du cursus et du légitime réseautage, et sont utilisées à d’autres fins que celles pour lesquelles elles avaient été collectées. Publier les données personnelles de base de la session en cours et de la précédente, sur une plate-forme informatique interne serait en revanche conforme aux différents principes.
Principes de base
Art. 4, Licéité, proportionnalité, finalité, art. 5 exactitude
Ressources