Par Haas Avocats
En vertu des enjeux qui gravitent autour de la réutilisation des données personnelles diffusées sur Internet, la CNIL a publié des fiches pratiques à l’attention des diffuseurs de données personnelles sur les sites Internet.
Qu’est ce qu’un diffuseur de groupe ?
La terminologie de diffuseur regroupe une classe hétérogène d’acteurs comprenant notamment des entreprises, des administrations[1] ainsi que les particuliers qui rendent des données personnelles disponibles en open data, c’est-à-dire dans un format ouvert rendant ces informations réutilisables et exploitables par la machine.
Ces acteurs pourront utilement consulter ces fiches pratiques afin de faciliter le traitement de problématiques relatives à la législation applicable en matière de protection des données personnelles.
Quelles fiches pratiques diffusées par la CNIL ?
Ces fiches s’articulent notamment autour des notions suivantes.
La qualification juridique des diffuseurs de données
Cette étape stratégique conditionne le régime juridique qui sera appliqué au diffuseur, celui-ci pouvant au regard desdites fiches, agir soit en tant que responsable de traitement, ou responsable de traitement conjoint (notamment lorsque le diffuseur conditionne ou interdit certaines réutilisations par le biais d’une licence de réutilisation ou en astreignant les réutilisateurs au respect de leurs CGU), auquel cas un accord sur la protection des données personnelles devra être conclu conformément aux dispositions de l’article 26 du RGPD.
Par exception à ce qui précède, le diffuseur sera considéré comme sous-traitant lorsqu’il n’aura vocation qu’à diffuser en open data, les données qu’un responsable de traitement déciderait de partager sous réserve que ce dernier conserve la maîtrise de la finalité et des moyens essentiels de la publication. En cas de sous-traitance, il sera impératif pour le diffuseur de conclure un contrat de sous-traitance de données personnelles conforme à l’article 28 du RGPD.
L’information des personnes concernées
Cette formalité est indispensable à l’accomplissement des obligations de transparence qui incombent au diffuseur de données personnelles. La seule exemption permise réside dans l’impossibilité pratique de fournir les éléments d’information requis à l’article 14 du RGPD lorsque les données personnelles ne sont pas directement collectées auprès de la personne concernée (ex : obtention d’information auprès de partenaires institutionnels / commerciaux, ou encore la réutilisation d’une base de données déjà constituée et accessible sur Internet). Ce sera notamment le cas lorsque le diffuseur ne dispose pas des coordonnées des personnes, ou tout au moins de coordonnées anciennes et potentiellement inexactes.
En l’absence d’une telle exemption, il est indispensable de porter à la connaissance des personnes concernées les éléments d’information figurant aux articles 13 (en cas de collecte directe) et 14 (en cas de collecte indirecte).
Précisons qu’en principe ces éléments d’information doivent être transmis à la personne concernée au moment de la collecte de ses données personnelles. Lorsque les données sont collectées indirectement, ces informations doivent être communiquées au moment de la première communication avec ces derniers ou au plus tard dans un délai d’un mois à compter de la réception des données personnelles.
Les droits des personnes sur leurs données personnelles
Les prérogatives conférées par le RGPD doivent être respectées par chaque responsable de traitement, y compris les diffuseurs de données personnelles. Lorsque la diffusion des données personnelles repose sur un motif d’intérêt public ou l’intérêt légitime du diffuseur, la CNIL leur recommande, lorsque le traitement de données repose sur un motif d’intérêt public ou l’intérêt légitime du diffuseur, de permettre aux personnes concernées de s’opposer : « d’emblée » au moment de leur information sur la mise en œuvre du traitement, à certaines réutilisations de données, auquel cas le diffuseur devra en informer les éventuels réutilisateurs.
Par ailleurs, la CNIL considère comme une bonne pratique le fait de fournir sur la plateforme de mise à disposition des données personnelles, un formulaire de contact renseignant les coordonnées auprès desquelles chaque individu pourra adresser ses demandes d’exercice de droits.
De même, si le diffuseur dispose d’un site Web, il lui est recommandé de permettre aux personnes concernées d’exercer ses prérogatives depuis son espace personnel.
Il faut garder à l’esprit que le traitement de certaines demandes d’exercice de droit peut impliquer des conséquences peu ou prou importantes. Par exemple, le diffuseur qui se voit adresser une demande de rectification, d’effacement ou de limitation devra impérativement remonter cette information auprès de ses éventuels réutilisateurs.
Là encore la CNIL rappelle que le diffuseur, en tant que responsable de traitement, ne pourra s’exempter de ces formalités que s’il démontre que les demandes d’exercice de droit qui lui sont adressées sont :
- manifestement infondées ou excessives, notamment en raison de leur caractère répétitif ;
- Qu’elles se rapportent à des données ne permettant pas d’identifier de personnes concernées.
La minimisation des données traitées
Les données qui seront diffusées en open data doivent être adéquates, pertinentes et strictement limitées à ce qui est nécessaire au regard des finalités poursuivies.
Sur le volet pratique ce principe requiert du diffuseur qu’il envisage d’anonymiser les données personnelles toutes les fois où :
- La diffusion de données personnelles n’est pas légalement imposée ;
- Ce procédé ne nuirait pas à la réalisation de la finalité poursuivie.
Il faut garder à l’esprit qu’en open data, l’anonymisation des données personnelles est un traitement particulièrement difficile à mettre en œuvre, le risque de réidentification étant, dans la plupart des cas, particulièrement élevé en raison de la multiplicité des informations disponibles sur Internet.
L’exactitude et la sécurité des données personnelles
Il appartient au diffuseur de s’assurer de l’exactitude des données publiées tout au long de ce traitement. Afin de les aider dans cette démarche, la CNIL leur recommande de :
- Vérifier préalablement à la diffusion que toutes les corrections nécessaires ont été apportées ;
- Faciliter l’exercice des demandes de droit de rectification ;
- Dater les données diffusées ;
- Implémenter des process permettant d’actualiser régulièrement les données diffusées ;
- Tracer toutes les modifications opérées et le cas échéant, informer les destinataires des rectifications apportées.
Ces recommandations viennent compléter le guide co-édité par la CNIL et la CADA en 2019 concernant la réutilisation des données publiques. Il est impératif que le régulateur s’investisse dans l’encadrement de la diffusion des données en open data compte tenu de l’absence quasi-totale du contrôle qu’opèrent les personnes concernées sur leurs éventuelles réutilisations par des tiers.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Par exemple, l’INPI est le responsable de traitement des données figurant dans le registre national des entreprises qui sont mises à disposition du public conformément aux dispositions de l’article L. 123-52 du code de commerce