La CNIL rappelle les principes clés pour réutiliser les données
À l'heure où les données sont considérées comme le nouvel or noir, leur réutilisation soulève de nombreuses questions, en particulier au regard du Règlement Général sur la Protection des Données (RGPD). Face à ce constat, la Commission Nationale de l'Informatique et des Libertés (CNIL) a récemment rappelé les principes fondamentaux à respecter avant d'envisager toute réutilisation de données à caractère personnel.
Un cadre strict pour garantir les droits des personnes concernées
Le RGPD, entré en vigueur en mai 2018, a instauré un cadre juridique renforcé en matière de protection des données personnelles. Son objectif : donner aux individus un meilleur contrôle sur l'utilisation qui est faite de leurs informations. Dans ce contexte, la réutilisation de données déjà collectées n'échappe pas à la règle et doit impérativement respecter certains principes clés :
1. Vérifier la compatibilité avec la finalité initiale
Avant toute réutilisation, il est essentiel de s'interroger sur la finalité pour laquelle les données ont été collectées à l'origine. En effet, le RGPD impose que les données soient traitées de manière licite, loyale et transparente. Cela signifie que leur réutilisation ne peut se faire que dans un but compatible avec celui annoncé lors de la collecte.
Les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités.
– Article 5 du RGPD
2. Obtenir le consentement explicite des personnes
Si la nouvelle finalité est jugée incompatible avec celle d'origine, il sera nécessaire de recueillir à nouveau le consentement explicite des personnes concernées. Ce dernier doit être libre, spécifique, éclairé et univoque. En d'autres termes, un simple opt-out ou une case pré-cochée ne suffiront pas.
Il existe toutefois certaines exceptions à ce principe, notamment lorsque la réutilisation est fondée sur une obligation légale ou relève de l'intérêt public. Mais dans la majorité des cas, le feu vert des individus reste indispensable.
3. Préserver la qualité et la sécurité des données
Au-delà de la finalité, la CNIL insiste sur l'importance de garantir l'exactitude, la mise à jour et la sécurité des données réutilisées. Il s'agit notamment de mettre en place des mesures techniques et organisationnelles appropriées pour prévenir tout accès non autorisé ou toute utilisation frauduleuse.
Les données doivent par ailleurs être conservées sous une forme permettant l'identification des personnes uniquement pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles sont traitées. Au-delà, elles devront être supprimées ou anonymisées.
4. Informer les personnes de leurs droits
Enfin, la CNIL rappelle l'obligation d'informer les individus sur la réutilisation envisagée de leurs données et sur les droits dont ils disposent en vertu du RGPD :
- Droit d'accès et de rectification
- Droit à l'effacement (ou "droit à l'oubli")
- Droit à la limitation du traitement
- Droit d'opposition
- Droit à la portabilité des données
Il est donc crucial de mettre en place des procédures permettant aux personnes concernées d'exercer facilement ces droits et d'obtenir une réponse dans les meilleurs délais.
En résumé, si la réutilisation de données à caractère personnel peut s'avérer stratégique pour bon nombre d'organisations, elle ne peut se faire au détriment de la vie privée des individus. Le respect des principes édictés par le RGPD est une condition sine qua non pour s'engager dans cette voie en toute conformité. Un enjeu de taille qui nécessite une vigilance de tous les instants et une parfaite maîtrise des obligations légales en vigueur.
