CNIL – Réutilisation des données
Actualité
La CNIL a publié le 12 juin 2024 ses recommandations concernant l’ouverture et la réutilisation des données personnelles sur internet. Ces recommandations font suite à une consultation publique qui s’est déroulée entre août et novembre 2023.
- En préambule, il convient de rappeler qu’il ne s’agit que de recommandations de la CNIL, et qu’elles ne sont donc pas contraignantes pour les acteurs (diffuseurs et/ou réutilisateurs des données). Elles constituent une aide dans leur mise en conformité : s’ils souhaitent en dévier, cela est possible dès lors qu’ils sont en mesure d’en justifier.
La CNIL rappelle à travers ces deux recommandations que les principes fondamentaux de la protection des données s’appliquent aux traitements de diffusion et de réutilisation des données publiées sur internet. A ce titre, la CNIL mentionne notamment le besoin de disposer d’une base légale, d’informer les personnes dont les données vont être traitées, et de permettre l’exercice de leurs droits…
En outre, la CNIL s’attache à préciser comment faire en pratique. Par exemple, seront particulièrement mobilisées le consentement des personnes concernées, l’intérêt légitime du responsable de traitement diffusant ou réutilisant les données, le respect des obligations légales de ce dernier ou encore la poursuite d’une mission d’intérêt public dans le cadre de la diffusion ou de la réutilisation des données ouvertes comme bases légales potentielles du traitement. Ces recommandations proposent les questions à se poser afin de fonder un traitement sur une base légale plutôt qu’une autre.
La CNIL revient également sur les obligations des responsables de traitement, en proposant les bonnes questions à se poser, qu’elle applique à des cas concrets.
S’agissant de la diffusion des données sur internet, la CNIL détaille notamment comment concilier les principes de minimisation, d’exactitude et de sécurité avec les exigences de diffusion des données sur internet. Il est, par exemple, recommandé d’adopter les pratiques suivantes :
- Anonymiser les données autant que possible, à défaut limiter le caractère identifiant des données
- Veiller à ne diffuser que des données ayant fait l’objet des corrections nécessaires
- Dater les données diffusées
- Prendre toutes les mesures nécessaires pour réduire les risques de la diffusion pour les personnes concernées (empêcher le moissonnage massif des données, prévoir une authentification obligatoire pour l’accès à certaines données …).
La CNIL a également produit des fiches pratiques détaillant des cas d’usage, telle que la réutilisation des données publiées sur internet dans le cadre de la recherche scientifique (hors recherche en santé). La CNIL y propose un tableau récapitulatif des questions à se poser afin de qualifier la recherche de recherche scientifique.
- Dans ce cadre, il est de la responsabilité de l’acteur souhaitant réutiliser des données publiées sur internet de s’assurer que le jeu de données en question n’a pas été constitué de manière illicite. A ce titre, il devra vérifier que la source des données est mentionnée, que la constitution du jeu de données ne procède pas manifestement d’un crime ou d’un délit, ou n’a pas fait l’objet d’une sanction publique, qu’il n’y a pas de doute flagrant sur la licéité du jeu de données, et que le jeu de données ne contient pas de données sensibles.
- Le fait de vérifier la licéité de la base de données initiale ne présume pas de la licéité de sa réutilisation. Il faudra donc s’assurer ensuite que le traitement envisagé est également conforme à la règlementation.
La CNIL précise également les conditions entourant les opérations de moissonnage des données. Si, par principe, la CNIL recommande de ne pas avoir recours à de telles pratiques, dans le cas où il serait impossible de faire autrement, elle rappelle qu’il convient de s’assurer de la mise en place des garanties suffisantes et notamment de :
- Définir en amont des critères précis et pertinents de collecte de données, permettant de ne collecter que les données nécessaires à l’objectif du traitement
- Limiter le risque de recueil de données sensibles en sélectionnant les catégories de contenus ou les mots clés utilisés par exemple
- Supprimer les données qui ne seraient pas pertinentes dès qu’elles sont identifiées comme telles