Comment utiliser des données accessibles sur Internet

Publier ou/et réutiliser des données librement accessibles en ligne : quelles règles s’appliquent en matière de protection des données à caractère personnel ?

La CNIL a publié le 12 juin 2024 sur son site internet des recommandations pour les diffuseurs publics et privés de données ouvertes ainsi que des recommandations pour les « réutilisateurs » de données publiées sur internet.

En effet, à chaque fois qu’un éditeur publie des données relatives à des personnes physiques sur son site internet (par exemple, un annuaire de professionnels) ou qu’une entreprise réutilise des données relatives à des individus librement accessibles en ligne (des chasseurs de têtes en recherche de profils sur Linkedin), les règles de protection des données à caractère personnel (i.e. le règlement (UE) 2016/679 (« RGPD ») et la loi n°78-17 (« Loi informatique et libertés »)) doivent être appliquées.

Ainsi, dans le but d’accompagner les diffuseurs et « réutilisateurs » dans leur mise en conformité au RGPD, la CNIL rappelle les principes gouvernant ces traitements, en les accompagnant de fiches méthodologiques et les illustrant de cas d’usage.

I. Les règles applicables aux diffuseurs de données ouvertes

Ces recommandations visent à encadrer les pratiques de mise à disposition du public de données personnelles. Elles s’adressent principalement aux administrations, entreprises, ou particuliers qui souhaitent diffuser des données accessibles en ligne.

Elles se déclinent en 6 fiches correspondant aux grands principes du RGPD.

• Fiche n°1 : qualification juridique des diffuseurs. Tout diffuseur de données personnelles doit au préalable s’interroger sur sa qualification au sens du RGPD, afin d’identifier ses obligations. La CNIL donne des exemples de responsabilités conjointes, distinctes et de sous-traitance. Elle fait un focus sur les licences de réutilisation de données et énonce que les diffuseurs de données peuvent choisir d’encadrer les réutilisations futures par le biais d’une licence. A ce titre, l’encadrement des finalités de réutilisation ne rend pas le diffuseur nécessairement responsable de traitement ou responsable conjoint, dès lors que le réutilisateur conserve un certain degré d’influence autonome sur ses traitements.
• Fiche n° 2 : base légale de son traitement. Les diffuseurs doivent s’assurer que la collecte et la mise à disposition des données reposent sur une base légale solide. Les bases légales envisageables pour la diffusion publique d’une base de données sont : i) l’obligation légale, ii) la mission d’intérêt public, iii) l’intérêt légitime, iv) le consentement. La CNIL propose une méthodologie permettant au diffuseur de données de choisir une base légale adaptée pour la diffusion des données au public.
• Fiche n°3 : information des personnes concernées. Les personnes doivent être informées de la diffusion de leurs données. L’information doit être complète, compréhensible et aisément accessible. La CNIL rappelle également les cas dans lesquels le diffuseur de données est dispensé de délivrer l’information aux personnes concernées, à savoir :
• lorsque la personne concernée a déjà obtenu les informations,
• lorsque les données n’ont pas été directement collectées auprès des personnes concernées et leur information se révèle impossible ou exigerait des efforts disproportionnés,
• ou lorsque le traitement est mis en œuvre aux fins d’expression universitaire, artistique ou littéraire, ou d’exercice, à titre professionnel, de l’activité de journaliste.
• Fiche n°4 : droits des personnes sur leurs données. Les personnes concernées doivent être en mesure d’exercer leurs droits. Les droits pouvant être exercés sont conditionnés suivant la base légale de traitement choisie (ex : si la base légale est le respect d’une obligation légale, le droit d’opposition ne peut être exercé, il pourra toutefois être exercé si le traitement repose sur l’intérêt légitime du diffuseur). La CNIL préconise par exemple de « permettre aux personnes concernées de s’opposer « d’emblée », au stade de leur information sur la mise en œuvre du traitement de diffusion, à certaines réutilisations de leurs données et communiquer sur ces oppositions auprès des éventuels réutilisateurs (p. ex. : publication d’un fichier d’opposition à la prospection commerciale, ou encore d’un « étiquetage » des informations en cause directement dans la base de données) ; et/ou de fournir, sur la plateforme de mise à disposition des données, un formulaire de contact, un numéro de téléphone et/ou une adresse de messagerie dédié(e) à l’exercice des droits ».
• Fiche n°5 : minimisation des données traitées. Les données diffusées doivent être pertinentes et limitées à ce qui est nécessaire pour l’objectif visé. Le principe de minimisation interdit de conserver des données personnelles « au cas où elles seraient utiles ». Cependant, la CNIL précise que dans le cas de l’open data, il est possible de mettre à disposition, et donc de conserver, des données en vue d’une utilisation incertaine par des tiers réutilisateurs. Cela n’est bien entendu envisageable que si la mise en ligne de la base de données est elle-même légale, notamment parce qu’elle répond à une obligation légale ou ne porte pas aux droits des personnes une atteinte disproportionnée. Le diffuseur de données devra alors se demander si l’anonymisation des données est obligatoire ou si elle est envisageable (i.e. lorsqu’elle est techniquement possible et qu’elle ne contrevient pas aux objectifs du traitement), dans la négative, il devra vérifier s’il existe des dispositions légales qui encadrent le champ des données à diffuser et s’y conformer et, dans la négative, il devra alors sélectionner les données pertinentes et non excessives par rapport à l’objectif poursuivi.
• Fiche n°6 : exactitude, sécurité et conservation limitée des données. Les diffuseurs de données peuvent réaliser une analyse d’impact (AIPD) afin de s’assurer que la diffusion des données respecte tous les principes de protection des données. La CNIL énonce ensuite une liste des actions à mettre en œuvre afin de se conformer aux obligations d’exactitude et de sécurité des données. Elle préconise notamment que les diffuseurs prévoient dans leurs conditions de réutilisation des données un renvoi à ses recommandations pour les réutilisateurs de données publiées sur internet.

Il est à noter que le Data Governance act, entré en application depuis septembre 2023 vient compléter ces règles lorsque les données diffusées sont des informations publiques détenues par le secteur public.

II. Les règles applicables aux réutilisateurs de données publiées sur internet

La réutilisation des données publiées sur internet constitue une pratique courante des entreprises, soit à des fins internes, notamment pour se renseigner sur un candidat, un contractant, un élu etc., soit dans le cadre de leur activité client (représentation d’intérêt, chasseur de tête, etc.).

Ces recommandations se déclinent en 6 fiches principes (sur le même modèle que la diffusion des données) auxquelles s’ajoutent 3 fiches pratiques.

Les recommandations s’adressent aux « réutilisateurs de tous types de données personnelles publiées sur Internet – données mises à disposition à des fins de réutilisation (open data) et autres données librement accessibles en ligne (ex. : sites d’information et blogs, sites commerciaux, informations partagées par des internautes sur les réseaux sociaux, …) – par des personnes physiques ou morale, publiques ou privées, collectant les données en vue d’une exploitation de celles-ci pour leur propre compte ».

• Fiche n°1 : qualification juridique des réutilisateurs. Le réutilisateur doit s’interroger au préalable sur sa qualification RGPD afin de déterminer les obligations qui lui sont applicables. La CNIL précise que dans le cadre de contrats d’adhésion, « le fait de recourir à un logiciel de traitement de données personnelles conçu par un autre acteur, et sur lequel son utilisateur ne peut qu’effectuer certains paramétrages (voire aucun), ne dispense pas ce dernier de sa qualité de responsable de traitement, dès lors que c’est lui qui a décidé d’utiliser telles et telles données personnelles avec ce logiciel, pour une certaine finalité ». Ainsi, le réutilisateur demeurera responsable de traitement (seul ou conjointement) quand bien même l’outil utilisé pour la réutilisation desdites données ne peut être paramétré.
• Fiche n° 2 : base légale de son traitement. Les réutilisateurs doivent déterminer la base légale de leur traitement des données avant d’utiliser des données personnelles. La CNIL rappelle que les bases légales envisageables pour la réutilisation d’une base de données sont : i) l’obligation légale, ii) la mission d’intérêt public, iii) l’intérêt légitime, iv) le consentement et propose une méthodologie permettant au responsable de traitement de choisir une base légale adaptée pour la réutilisation des données. A titre illustratif, il est considéré que l’intérêt légitime  pourrait valablement fonder la collecte par un employeur de données publiées sur un réseau social professionnel afin de contacter un candidat potentiel, dès lors que les personnes concernées, en les partageant sur un tel site s’attendent raisonnablement à ce type de réutilisations ou que l’intérêt légitime pourrait fonder la rediffusion, par des sociétés spécialisées dans l’information légale et financière, des données d’entreprises diffusées par les administrations chargées de leur mise à disposition au public (INPI et INSEE).  A l’inverse, l’intérêt légitime ne peut valablement fonder l’exploitation des coordonnées publiques des DPD / DPO, diffusées en open data par la CNIL à des fins de communication sur des sujets sans lien avec leur activité professionnelle (par exemple, des messages de prospection politique).
• Fiche n°3 : information des personnes concernées. Il est impératif d’informer les personnes dont les données sont réutilisées. L’information doit être complète, compréhensible et aisément accessible et mentionner la source des données réutilisées. La CNIL rappelle également les cas dans lesquels le responsable de traitement est dispensé de délivrer l’information aux personnes concernées à savoir :
• lorsque la personne concernée a déjà obtenu les informations,
• lorsque la fourniture des informations rendrait impossible ou compromettrait gravement la réalisation des objectifs poursuivis,
• lorsque l’information se révèle impossible ou exigerait des efforts disproportionnés. Le Conseil d’Etat a jugé que l’information d‘un grand nombre de personnes (25 millions) ne suffit pas à elle seule à qualifier l’exception d’efforts disproportionnés, compte tenu du caractère intrusif du traitement et de la détention des coordonnées. Ainsi, l’extraction par une entreprise des données de profils de réseaux sociaux (photos, établissements scolaires, employeurs, etc.) pour enrichir un service d’annuaire téléphonique ne pouvait légalement intervenir sans une information individuelle préalable (arrêt du 12 mars 2014, n° 353193)
• lorsque le traitement est mis en œuvre aux fins d’expression universitaire, artistique ou littéraire, ou d’exercice, à titre professionnel, de l’activité de journaliste.
• Ou dans les autres cas prévus par des dispositions légales constituant une mesure nécessaire et proportionnée pour garantir des objectifs d’intérêt public particulièrement importants (article 48 alinéa 4 de la Loi informatique et libertés).
• Fiche n°4 : droits des personnes sur leurs données. Les personnes concernées doivent pouvoir exercer leurs droits auprès des réutilisateurs de données. A titre d’exemple, la CNIL énonce que les courtiers en données (« data brokers ») spécialisés dans la collecte de données sur Internet, à des fins de commercialisation de celles-ci auprès d’entreprises ou de partis politiques, sont tenus de supprimer les informations se rapportant aux personnes qui en font la demande.
• Fiche n°5 : minimisation des données traitées. Seules les données adéquates pertinentes et limitées à ce qui est strictement nécessaire au regard des finalités poursuivies ne doivent être traitées. Lorsque cela est possible, le réutilisateur ne doit collecter parmi les données en accès libre que celles qui sont indispensables à la réalisation de l’objectif poursuivi et ne pas recueillir des données sensibles. Il doit procéder à leur anonymisation ou pseudonymisation lorsque cela ne compromet pas les objectifs du traitement.  En cas de webscraping ou moissonnage des données, la CNIL recommande de définir, en amont de la mise en œuvre du traitement, des critères précis et pertinents de collecte, de limiter le risque de recueil de données sensibles et de supprimer toute donnée non pertinente, quel que soit son niveau de sensibilité, dès qu’elle est identifiée comme telle.
• Fiche n°6 : exactitude, sécurité et conservation limitée des données. Les diffuseurs de données peuvent procéder à a réutilisation d’une analyse d’impact (AIPD) afin de s’assurer que la réutilisation des données respecte tous les principes de protection des données. La CNIL énonce ensuite une liste des actions à mettre en œuvre afin de se conformer aux obligations d’exactitude et de sécurité des données. Elle préconise notamment de mettre en place des APIs afin d’assurer la mise à jour automatique des données depuis les sites de diffusion.

A la suite de ces fiches de principe, figurent trois fiches supplémentaires dédiées respectivement à :

• la réutilisation de données publiquement accessibles aux fins de diffusion d’annuaires de professionnels,
• la réutilisation de données publiquement accessibles à des fins de constitution ou d’enrichissement de fichiers destinés à la prospection commerciale, et
• la réutilisation de données publiquement accessibles à des fins de recherche scientifique (hors santé).

La CNIL adapte ainsi le raisonnement des fiches de principe à chacun de ces cas d’usage.

L’on peut ainsi se réjouir de la publication de ces recommandations qui permettent à chaque diffuseur et/ou réutilisateur de données de suivre pas à pas les étapes de la conformité de ces traitements.

Une question sur le RGPD et les données personnelles? N’hésitez pas à nous contacter.