La plupart des sites web d'établissements d'enseignement supérieur offrent un accès public à certaines données de leur annuaire interne.
Les annuaires contiennent des données à caractère personnel, pour lesquelles les établissements sont tenus de prendre les dispositions nécessaires à leur protection.
Cette page fournit de plus amples informations sur les obligations issues de la législation et que la CNIL se charge de faire respecter.
Ces interfaces publiques aux annuaires doivent garantir un bon niveau de protection des données pour être en conformité avec la législation en vigueur.
Garantir une bonne protection des données signifie mettre en oeuvre des mesures qui ont pour objectif de contourner les «failles» potentielles qui pourraient exister. Par «faille» il faut entendre tout comportement de l'interface web qui permet trop facilement d'obtenir de grandes quantités d'informations, par consultation manuelle et surtout par des consultations automatisées (robots).
Le texte ci-dessous, ne donne pas le détails précis des mesures techniques à mettre en oeuvre, tant les solutions logicielles des interfaces peuvent être différentes. Seules des recommandations “génériques” sont affichées.
L'objectif des recommandations ci-dessous est double: permettre de conserver un accès public à certaines données de l'annuaire (service utile) et assurer une protection de ces données, notamment éviter le “moissonnage” de ces données et éventuellement éviter que les résultats obtenus soit utilisables de façon automatisée.
Recommandations :
Certains logiciels commerciaux de gestion des sites web éprouvent quelques difficultés (pour ne pas être trop dur) à appliquer certaines des recommandations ci-dessus. A vous de bien vérifier leurs capacités de filtrage des requêtes.
Les logiciels, dits “maison”, développés en PHP notamment (mais il n'y a pas que PHP) doivent faire l'objet d'attentions particulières au vu de l'avis CERTA ci-dessus.