Données publiques et RGPD : quelles conditions de réutilisation ?
Le Code des Relations entre le Public et les Administrations (CRPA) impose à ces dernières la divulgation et la publication de certaines données et statistiques produites dans le cadre de l’exercice de leur mission d’intérêt public.
Pour de nombreux acteurs, professionnels comme particuliers, les opportunités de réutilisation de ces données, à des fins innovantes ne manquent pas. De telles informations revêtent en effet une valeur non négligeable pour quiconque souhaiterait leur offrir une nouvelle vie.
Il n’est ainsi pas incongru d’imaginer, par exemple, la création d’outils d’engagement citoyens divers, grâce à la base de données diffusée par Géoportail, ou bien la réalisation d’études de marché se basant sur l’analyse de la base SIRENE. Le potentiel de ces « open data » est conséquent.
Toutefois, et en dépit d'un cadre réglementaire strict sur la protection des données personnelles, la plupart des jeux de données rendus publics par ces administrations incluent un certain nombre de données à caractère personnel.
La réutilisation et la rediffusion de ces données soulèvent dès lors des questions légitimes concernant les conditions de leur emploi et les restrictions imposées par la législation en matière de protection des données, en particulier le Règlement Général sur la Protection des Données (RGPD).
Dans quelles conditions est-il possible de réutiliser, et re-publier ces données ? Quelles sont les limites à respecter vis-à-vis des normes en protection des données ? Nous vous proposons, une synthèse des éléments essentiels à retenir :
💡 Toute personne à l’initiative de la réutilisation de données publiques, si celles-ci contiennent des données à caractère personnel, en devient le responsable de traitement.
→ Dès lors, et du fait de cette qualité, le réutilisateur se doit de respecter les principes suivants :
⚖️ Licéité du traitement
Cela signifie que le traitement doit reposer expressément sur l’une des 6 bases légales exposées par l’article 6.1 du RGPD.
En particulier, et dans le cadre de la réutilisation, 3 bases seront principalement mobilisables :
- La mission d’intérêt public
- A condition que cette mission soit prévue par un texte de loi
- Et que la réutilisation de ces données soit essentielle à l’exercice de cette mission
- L’intérêt légitime
- Il peut s’agir de l’intérêt du réutilisateur, mais également de l’intérêt des tiers
- Le traitement doit être nécessaire pour la poursuite de cet intérêt
- La réutilisation ne doit pas porter une atteinte disproportionnée aux intérêts, droits et libertés des personnes concernées
- Il convient pour ce dernier point de mettre en balance :
- Les bénéfices potentiels de la réutilisation
- L’usage auquel pouvaient raisonnablement s’attendre les personnes concernées de leurs données diffusées
- Les risques potentiels pour ces personnes
- Les garanties qui peuvent être mises en place pour réduire ces risques
- Il convient pour ce dernier point de mettre en balance :
- Le consentement
- Lorsque les deux bases précédentes ne peuvent être mobilisées, le consentement des personnes concernées doit être collecté
- Ce consentement doit bien sûr être libre, spécifique, éclairé et univoque
💬 Une finalité déterminée, explicite et légitime
Cela signifie ici que l’objectif poursuivi par la réutilisation des données doit :
- Etre clairement défini
- Etre légitime au regard de l’activité du réutilisateur
- Ne pas rendre la réidentification des personnes concernées plus probable que cela ne l’était pour le jeu de données initial
- Sauf si cela est nécessaire à la finalité poursuivie
- Et que ça ne soit pas susceptible de porter préjudice aux personnes concernées.
L’appréciation se fera généralement au regard des attentes raisonnables que pouvaient avoir les personnes concernées quant aux usages potentiels et ultérieurs de leurs données, une fois publiées.
📌 Des données adéquates, pertinentes et proportionnées
Cela signifie assez simplement que seules les données utiles à la poursuite de la finalité précédemment déterminées pourront être mobilisées.
Les données non essentielles devront être exclues de la réutilisation et de la republication.
🔄️ Des données mises à jour
Le réutilisateur ne doit pas traiter des données devenues inexactes avec le temps.
→ Pour éviter l’obsolescence des données, le recours à des automatisations (par des APIs par exemple) permettant de mettre automatiquement le jeu de données à jour est fortement recommandé.
🔎 De la transparence
Toute réutilisation de données à caractère personnel constitue un traitement de données personnelles qui n’ont pas été collectées directement auprès de la personne concernée.
Les obligations d’informations issues de l’article 14 du RGPD trouvent dès lors à s’appliquer :
- Identité et coordonnées du responsable de traitement (et de son DPO le cas échéant)
- Finalité et base juridique du traitement
- Si la base juridique est l’intérêt légitime, une description de cet intérêt doit apparaître
- Catégories de données concernées
- Destinataires
- Existence de transferts de données en dehors de l’Espace Economique Européen (EEE)
- Durées de conservation
- Droits des personnes concernées
- Source des données utilisées
- Existence d’une prise de décision automatisée
Dès que cela est possible, l’information doit se faire directement auprès des personnes concernées. Si cela est matériellement trop compliqué, une information générale facilement accessible pourra suffire.
Le délai d’information doit être raisonnable, et ne pas dépasser 1 mois après l’obtention des données en question.
👥 Le respect du droit des personnes concernées
💡 Lorsque la diffusion de données résulte d’une prescription légale ou règlementaire, ou d’un droit pour toute personne, dans ce cas, l’anonymisation et le recueil du consentement des personnes concernées ne sont plus obligatoires.
💡 La recherche d’un texte de loi ou d’un règlement autorisant expressément la réutilisation de ces données n’est également plus nécessaire.
Cependant, même dans le cadre d’une réutilisation, d’autres droits doivent être garantis :
- Le droit d’opposition
- Les personnes concernées doivent pouvoir s’opposer à la réutilisation de leurs données à tout moment
- Attention : le réutilisateur doit également prendre en compte les oppositions formulées par les personnes concernées au moment de la collecte de données initiale (contre la prospection commerciale par exemple)
- Le droit d’accès
- Le droit de rectification
- Le droit à la limitation du traitement
- La personne pourra ainsi demander la suspension temporaire du traitement de ses données, notamment lorsque l’exactitude des données, lorsque la collecte initiale s’est faite sur la base du consentement.
⏱️ Une conservation limitée des données
Même issues d’une source accessible publiquement, les données ne peuvent être conservées indéfiniment.
→ La durée doit être déterminée proportionnellement à la finalité poursuivie.
🛡️ La sécurisation des données
Au regard de la nature des données, et des risques propres à leur exploitation, le réutilisateur doit en préserver la sécurité.
→ Cela implique notamment de prendre toute mesure utile visant à empêcher que les données soient déformées ou endommagées.
Pour approfondir :
- Source : CNIL - Comment réutiliser les données diffusées ?
- Source : Projet de guide pratique de la CNIL – Ouverture et réutilisation de données publiquement accessibles
__________
Article rédigé le 11/04/2024 par Ninon MAIRE
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.
