Ouverture et réutilisation de données personnelles sur Internet : la CNIL publie ses recommandations

Concilier l’ouverture et la réutilisation des données publiées sur Internet avec les enjeux de protection de la vie privée

Les pratiques d’ouverture et de réutilisation de données publiées sur Internet sont en plein développement. Le mouvement réglementaire en faveur du partage de données publiques s’est en effet accéléré ces dernières années. Parallèlement, ces données, et plus largement toutes celles qui sont librement accessibles en ligne (ex. : celles figurant sur des réseaux sociaux), font l’objet de multiples exploitations, pour divers objectifs et dans des conditions variées, par des organismes aussi bien publics que privés (ex. : lutte contre la fraude, démarchage commercial, recherche scientifique, etc.).

À ce titre, le rapport « Bothorel » (décembre 2020) souligne les enjeux économiques, scientifiques, et démocratiques de l’ouverture de la donnée. La CNIL constate également l’évolution de l’intérêt pour la diffusion et la réutilisation de données, au travers des saisines pour avis sur des projets de texte législatif ou réglementaire, des demandes de conseils de professionnels, ou encore des plaintes qu’elle reçoit. 

En effet, l’ouverture et le partage des données offrent de nombreuses opportunités, mais présentent des risques pour les droits, libertés et intérêts des personnes concernées.

Dans ce contexte, la CNIL publie des recommandations rappelant les principes fixés par les textes et illustrant, par des exemples très concrets, la façon dont les dispositions légales applicables doivent s’appliquer à ces différents types de traitements. Ces nouvelles ressources complètent ainsi, tout en élargissant le champ d’étude, le guide co-édité en 2019 avec la CADA sur l’ouverture et la réutilisation des données publiques, qui ne concerne que les documents administratifs.

Des ressources pour tous les acteurs (diffuseurs, réutilisateurs et grand public)

Pour tâcher de répondre, de façon pratique aux besoins de l’ensemble des acteurs concernés par les traitements en cause, la CNIL a adopté un double jeu de fiches pour les diffuseurs de données ouvertes (open data) et les réutilisateurs de données publiées sur Internet. Celles-ci comportent des recommandations et des exemples concrets leur permettant de connaître leurs obligations en répondant aux questions « informatique et libertés » structurantes.

Ces fiches doivent aider ces acteurs à :

• identifier les responsabilités des différents organismes susceptibles d’être impliqués dans le traitement ; 
• déterminer la licéité du traitement ;
• connaître la portée de leurs obligations en matière d’information des personnes concernées ;
• tenir compte des droits des personnes ;
• garantir la pertinence et la proportionnalité des données traitées, leur exactitude et leur sécurité.

Des fiches « principes » pour les diffuseurs de données ouvertes

Le premier jeu de fiches s’adresse spécifiquement aux acteurs (administrations, entreprises, particuliers, etc.) qui mettent à disposition du public des données personnelles en open data, c’est-à-dire dans un format ouvert, aisément réutilisable et exploitable par machine.

Consulter les fiches pour les diffuseurs de données ouvertes

Des fiches « principes » et des cas d’usage pour les réutilisateurs de données

Le second jeu de fiches s’adresse aux acteurs qui souhaitent réutiliser tous types de données personnelles publiées sur Internet (données en open data et autres données librement accessibles en ligne) pour divers objectifs (recherche scientifique et R&D, prospection commerciale, etc.).

La CNIL clarifie également les règles applicables à certains usages fréquents et qui présentent des enjeux particuliers pour les personnes. 4 cas d’usage font ainsi l’objet de recommandations spécifiques :

• la réutilisation de données aux fins de diffusion d’annuaires de professionnels ;
• la réutilisation de données aux fins de constitution et d’enrichissement de bases destinées à la prospection commerciale ;
• la réutilisation de données à des fins de recherche scientifique (hors santé) ;
• l’aspiration de données par des autorités publiques dans le cadre de leurs missions.

Consulter les fiches pour les réutilisateurs de données publiées sur Internet

Grand public : qu’est-ce que cela change pour vous ?

En complément de ces ressources pour les professionnels, la CNIL propose également deux ressources pour les personnes concernées par la diffusion et la réutilisation de données ouvertes :

• une fiche sur la diffusion d’annuaires de professionnels ;
• une fiche sur la réutilisation de données en ligne à des fins de prospection commerciale.

Les résultats de la consultation publique de 2023

Des contributions riches d’acteurs variés

Un premier guide, établi sur la base de plusieurs auditions d’acteurs publics et privés impliqués dans des démarches d’ouverture et de réutilisation de données sur Internet, a été soumis à consultation publique entre août et novembre 2023.

Lors de cette consultation publique, 26 contributions ont été reçues par la CNIL, émanant d’acteurs variés :

• 8 organismes du secteur public, dont des institutions publiques, des universités et organismes de recherche ;
   
• 11 organismes du secteur privé, dont des cabinets d’avocats et de conseil, une société coopérative œuvrant en faveur de la libre réutilisation des informations publiques, une entreprise réutilisant des données à des fins d’entraînement de systèmes d’intelligence artificielle, des exploitants de données d’entreprises et des acteurs du secteur de la pige immobilière ;
   
• 7 organisations représentatives de professionnels engagés dans des démarches d’ouverture de d’informations publiques ou de réutilisation de diverses données publiées sur internet  (ex. : réutilisation de données d’entreprises à des fins d’information légale et professionnelle ou d’autres données publiées sur internet à des fins marketing), ainsi que de professionnels dont les données sont réutilisées par des éditeurs d’annuaires en ligne.

Ces contributions ont permis à la CNIL de faire évoluer, sur la forme comme sur le fond, son projet de livrable, pour :

• faciliter la prise en main de son contenu par les professionnels (création de deux guides, ajout de schémas récapitulatifs) ;
• y apporter d’utiles précisions (ex. : qualifications des acteurs, licences de réutilisation d’informations publiques, conditions d’exercice du droit d’opposition, critères de la finalité « recherche scientifique ») et consolider ou ajuster certaines analyses.

Les nouvelles clarifications de la CNIL

Afin de répondre à certaines interrogations des contributeurs, la CNIL apporte de nouvelles clarifications sur plusieurs points.

• Les acteurs peuvent généralement se fonder sur la base légale l’intérêt légitime lorsqu’ils réutilisent des données diffusées par des administrations en vertu de la législation sur l’open data. Ils pourront également souvent, en l’absence d’adresses courriel à disposition, ne procéder qu’à une communication publique et non individuelle sur l’existence, les caractéristiques du traitement et les droits des personnes concernées. Cette position permettra de sécuriser les acteurs utilisant ces données et favoriser l’innovation.
   
• Lorsque la réutilisation de données consiste à diffuser un annuaire de professionnels enrichi de notes et commentaires d’internautes sur la qualité de leurs prestations, les personnes concernées devraient pouvoir facilement ne pas y figurer ou en sortir. En effet, lorsqu’un professionnel s’oppose au traitement de ses données, les préjudices que l’annuaire lui cause ou sont susceptibles de lui causer semblent devoir être pris en compte de manière prioritaire par rapport au référencement d’un professionnel en particulier.
   
• Un organisme qui ne dispose pas du consentement préalable des personnes ne pourra collecter leurs données personnelles à des fins de prospection commerciale que si elles peuvent raisonnablement s’y attendre. La CNIL propose un faisceau d’indices qui permet de mener cette analyse : il faudra ainsi examiner l’objectif précis de la réutilisation, le type de données, la possibilité laissée ou non aux personnes par le site source de s’opposer à la réutilisation de leurs données, la nature du site source, les éventuelles interdictions posées par la politique de confidentialité ou les CGU, ainsi que l’objet de la prospection envisagée.

À noter : après prise en compte des retours de la consultation et des saisines de la CNIL sur le sujet, les travaux relatifs à la fiche pratique consacrée à la réutilisation des données d’entreprises vont se poursuivre . Cette fiche, qui avait été mise à consultation, n’a donc pas encore été adoptée par le Collège et n’est pas publiée à ce stade.

La CNIL met à disposition du public une synthèse des contributions ainsi que ses principaux éléments de réponse.

► Lire la synthèse des contributions

Les prochaines étapes

Les fiches « cas d’usage » pourraient être complétées sur de nouvelles thématiques.

Par ailleurs, la CNIL poursuivra, dans les mois à venir, ses travaux en matière de partage de données. Elle s’attachera ainsi aux scénarios de circulation des données à des tiers spécifiquement autorisés, figurant ou non sur une liste limitative, tels qu’encouragés par le droit français et européen (dispositions du code des relations entre le public et l’administration, du règlement sur la gouvernance des données (Data Governance Act), du règlement sur les données (Data Act), etc.).

Par exemple : le partage de données entre administrations à des fins de simplification des démarches pour l’usager, le partage avec les pouvoirs publics de « données d’intérêt général » par des acteurs privés, la mise à disposition d’API à destination des chercheurs, etc.