Les données de vos étudiants
sont une priorité CNIL.
Les plateformes éducatives collectent des données de mineurs, des parcours de formation, des résultats d'examens. La CNIL a fait de la protection des mineurs une priorité absolue de contrôle. Un audit n'est plus facultatif.
Réglementations applicables
CNIL — Protection des mineurs
Priorité activeLa protection des données des mineurs est une priorité stratégique de la CNIL pour 2024-2026. Consentement parental requis en dessous de 15 ans, obligations de sécurité renforcées.
RGPD — Données éducatives
En vigueurRésultats scolaires, données de progression, informations familiales : autant de données personnelles qui exigent des mesures de sécurité proportionnées à leur sensibilité.
Code de l'éducation
En vigueurLes plateformes utilisées dans un cadre scolaire doivent garantir la protection des données des élèves (article L. 131-2 et suivants).
Vulnérabilités fréquentes en edtech
- API exposant les données d'étudiants (notes, progression, informations personnelles) sans authentification adéquate
- Cloisonnement rompu entre utilisateurs : un étudiant peut voir les données d'un autre
- Webhooks non authentifiés qui permettent la création de comptes administrateur ou formateur
- Contournement du paywall sur les plateformes de formation payantes (accès gratuit aux contenus premium)
- Stockage de documents d'identité (CNI, certificats) dans des buckets publics
- Absence de contrôle d'âge et de mécanisme de recueil du consentement parental
Sur une plateforme de formation, nous avons identifié un webhook non authentifié qui permettait la création de comptes administrateur : accès total aux données utilisateurs, aux contenus premium et aux informations de paiement en deux minutes.