Acadomia : souriez, vous êtes fichés !

Par délibération n°2010-113 en date du 22 avril 2010, la CNIL vient d’adresser un avertissement public à ACADOMIA après avoir constaté de nombreuses irrégularités au sein de ses fichiers.

Le 22 avril 2010, la CNIL a décidé d’adresser un avertissement public à l’encontre de la société AIS 2, exerçant sous la célèbre enseigne Acadomia, eu égard à la nature des données à caractère personnel traitées, au nombre de manquements constatés et à leur particulière gravité.

Acadomia est le n°1 français des prestations de services éducatifs. La principale activité de la société consiste à sélectionner des enseignants puis de proposer leurs services de soutien scolaire à ses clients, majoritairement des parents d’élèves.

Les 12 et 13 novembre 2009, une délégation de la CNIL a procédé à un contrôle dans les locaux de la société et a notamment constaté des irrégularités sur les traitements de données suivants : d’une part, les candidats, 179.763 fiches pour la plupart issues du formulaire en ligne du site internet Acadomia et de l’autre, la gestion des 23.831 intervenants inscrits et des 131.704 enseignants démissionnaires n’ayant plus aucun lien avec Acadomia.

Dans le cadre du premier traitement de fichiers, des commentaires tels que "a eu une leucémie", "négligé, pas sain, sent le tabac et la cave, a l’air à l’ouest, sent la transpiration (ne connaît pas le déo)" agrémentaient les fiches des candidats conservées depuis leur création en avril 2006.

Dans le cadre du second traitement, des commentaires similaires se retrouvaient sur les fiches : "hospitalisé en urgence pour une tumeur cancéreuse au cerveau de grade 3", "avait eu des problèmes avec la justice suite à des échanges de photos pédophiles".

Enfin une troisième base de données clients/prospects d’environ 500.000 fiches gérée par la société depuis 2004 comportait le même type de renseignements pour le moins peu usuels tel que "père pas malin du tout (voire crétin)" pour les parents d’élèves et, "élève retourné en prison !", "s’est faite violée à pâques par son cousin !", parmi les commentaires pour les élèves et leur entourage.

Si la société avait procédé à certaines formalités déclaratives (engagement de conformité à la norme simplifiée n°48, déclaration du site internet www.prof.acadomia.fr), elle n’avait selon la CNIL pas procédé aux formalités concernant la gestion des candidatures aux postes d’intervenants, à la gestion des enseignants inscrits ainsi que la gestion des clients et prospects.

Selon la CNIL, la société ACADOMIA a manqué à plusieurs obligations découlant de la loi informatique et liberté et notamment :

• La violation des droits et libertés mentionnés à l’article 1er de la loi du 6 janvier 1978, c’est à dire l’adéquation, la pertinence et le caractère non-excessif des données (pour les commentaires excessifs, inappropriés voire insultants sur ces personnes, susceptibles de porter gravement atteinte à leur vie privée)*. Ainsi par exemple, le numéro de sécurité sociale ne peut être légitimement demandé avant le recrutement d’un candidat.

• Le manquement à l’obligation de traiter les données à caractère personnel de façon compatible avec la finalité pour laquelle elles sont collectées.

Ici encore, c’est la collecte du numéro de sécurité social des candidats qui a posé problème et la façon dont il a été utilisé : pour la CNIL, le traitement du NIR des candidats afin d’interroger le fichier des enseignants "interdits" constitue un détournement de la finalité ayant présidé à la collecte de cet identifiant, (en infraction avec l’article 6- 2° de la loi précitée).

• Le manquement à l’interdiction de collecter ou de traiter des données à caractère personnel qui sont relatives à la santé des personnes.

Rappelons que l’article 8 de la loi du 6 janvier 1978 interdit la collecte ou le traitement de données à caractère personnel qui sont relatives à la santé des personnes, sauf cas particuliers (consentements, etc.).

Selon la CNIL, "la société ne saurait enregistrer des informations détaillées sur la nature des pathologies des personnes, en particulier en l’absence de consentement exprès de leur part, […] aucunement liées à la prise en compte des conséquences d’une maladie sur l’organisation des cours". Dès lors les informations relatives à la santé des personnes fichées (sans leur consentement) tels que "fausse couche de l’un de ses jumeaux" ou "sa maman a un cancer de l’utérus" n’ont aucune légitimité et sont interdits.

• Le manquement à l’interdiction de collecter ou de traiter des données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté.

L’article 9 de la loi du 6 janvier 1978 modifiée, règlemente de façon précise "les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté" qui ne peuvent être mis en œuvre que par certaines personnes et pour des finalités strictement encadrées. Les commentaires du type "la gendarmerie l’a contacté car il a été mis en examen suite à la consultation de sites à caractère pédophile", relèvent de cette catégorie et leur traitement interdit.

• Enfin, la CNIL conclut que la durée de conservation des fichiers n’est pas délimitée dans le temps et que des traitements n’ont même pas été déclarés au mépris des dispositions du chapitre IV de la loi du 6 janvier 1978.

Dès lors s’appuyant sur l’article 45 I de la loi informatique et liberté, la CNIL décide d’adresser un avertissement public à l’encontre de la société Acadomia.

La CNIL a également informé le procureur de la République des délits constatés. Rappelons que si la société dispose d’un délai de deux mois pour exercer un recours devant le Conseil d’Etat à l’encontre de la délibération, les infractions aux dispositions de la loi sont réprimées par les articles 226-16 à 226-24 du code pénal (peines allant jusqu’à trois ans de prison et 300.000 euros d’amende).

Cette délibération rendue publique semble très médiatisée et pourrait avoir un impact certain en termes d’image pour une société de surcroît cotée.