La CNIL a adopté deux nouvelles recommandations relatives à l’application du RGDP concernant l’exploitation des données à caractère personnel publiées sur internet. Ces recommandations ne sont pas contraignantes : les responsables de traitement peuvent s’en écarter, à condition de pouvoir justifier leur choix et sous leur responsabilité. Certaines recommandations sont également formulées à titre de bonnes pratiques et permettent d’aller plus loin que le respect de la règlementation.

Exploitation diversifiée

Les pratiques d’ouverture et de réutilisation de données publiées sur internet sont en plein développement. En effet, le mouvement réglementaire en faveur du partage des données publiques s’est accéléré ces dernières années.

Parallèlement, ces données, et plus largement toutes celles qui sont accessibles en ligne (ex. : celles figurant sur des réseaux sociaux), font l’objet de multiples exploitations, pour des finalités diverses et dans des conditions variées, par des organismes aussi bien publics que privés (ex. : lutte contre la fraude, démarchage commercial, recherche scientifique, etc.).

Les saisines pour avis de la CNIL sur des projets de texte législatif ou réglementaire, les demandes de conseils de professionnels, ou encore les plaintes qu’elle reçoit au sujet de traitements de diffusion ou de réutilisation de données témoignent largement de ces évolutions.

Sont soulignés, plus particulièrement, toutes les opportunités comme les risques qu’elles peuvent présenter pour les droits, libertés et intérêts des personnes concernées.

Dans ce contexte, la CNIL adopte deux recommandations relatives à l’application du RGPD à ces catégories de traitements :

• l’une s’adresse spécifiquement aux acteurs (administrations, entreprises, particuliers, etc.) qui mettent à disposition du public des données à caractère personnel en open data, c’est-à-dire dans un format ouvert, aisément réutilisable et exploitable par machine ;
• l’autre, aux acteurs qui souhaitent réutiliser tous types de données à caractère personnel publiées sur internet (données en open data et autres données accessibles en ligne) pour divers objectifs.

Ces recommandations prennent la forme d’une série de fiches pratiques qui ont été soumises à consultation publique. La première recommandation consiste en un jeu de fiches « principes » devant aider les diffuseurs de données ouvertes à :

• identifier les responsabilités des différents organismes susceptibles d’être impliqués dans le traitement ;
• déterminer la base légale du traitement ;
• connaître la portée de leurs obligations en matière d’information des personnes concernées ;
• tenir compte des droits des personnes ;
• garantir la pertinence et la proportionnalité des données traitées, leur exactitude et leur sécurité.

La seconde recommandation, destinée aux réutilisateurs de données à caractère personnel, comprend, outre un jeu de fiches « principes » conçu sur le modèle de celui précédemment évoqué, des fiches « cas d’usage » déclinant les conditions de mise en œuvre de ces principes à certaines réutilisations de données :

• la réutilisation de données aux fins de diffusion d’annuaires de professionnels ;
• la réutilisation de données aux fins de constitution et d’enrichissement de bases destinées à la prospection commerciale ;
• la réutilisation de données à des fins de recherche scientifique (hors santé) ;
• l’aspiration de données par des autorités publiques dans le cadre de leurs missions.

Recommandations pour les diffuseurs publics et privés de données ouvertes sur internet (open data)

Télécharger le document en pdf :

Recommandations pour les réutilisateurs de données publiées sur internet

Télécharger le document en pdf :