
Réutiliser des données en toute légalité : le guide de la Cnil
La réutilisation de données personnelles issues de bases publiques ou privées est une pratique courante pour entraîner des algorithmes d'intelligence artificielle, mener des études ou prospecter de nouveaux clients. Mais gare aux entreprises qui négligeraient les règles en vigueur ! Dans un guide publié le 23 janvier, la Commission nationale de l'informatique et des libertés (Cnil) rappelle le cadre légal à respecter et prodigue ses conseils pour rester dans les clous du RGPD.
Réutiliser des données personnelles sans enfreindre la loi
Le principe de base est simple : toute personne souhaitant exploiter un jeu de données doit s'assurer au préalable que celui-ci a été constitué et partagé de manière licite. Concrètement, cela signifie vérifier que :
- La collecte initiale des données respecte bien les principes du RGPD (information des personnes, recueil du consentement, etc.).
- Leur diffusion n'enfreint pas d'autres réglementations comme le droit d'auteur ou le secret des affaires.
En cas de doute sur la licéité d'une base de données, mieux vaut s'abstenir de l'utiliser. Les entreprises qui passeraient outre s'exposent à des poursuites pour recel, un délit passible de lourdes sanctions : jusqu'à 5 ans de prison et 375 000 euros d'amende !
Pas besoin d'une enquête approfondie
Pas de panique cependant, la Cnil se veut rassurante. Elle précise qu'il n'est pas nécessaire de mener des « vérifications approfondies » sur la conformité d'un jeu de données au RGPD ou à d'autres lois. Seul le caractère « manifestement illicite » de sa constitution ou de son partage doit alerter et empêcher sa réutilisation.
Les responsables de traitement n'ont pas à aller jusqu'à des vérifications approfondies sur le respect du RGPD ou d'autres règles juridiques applicables.
Commission nationale de l'informatique et des libertés
Une vérification en deux temps
Pour aider les entreprises et les chercheurs à y voir plus clair, la Cnil propose une méthode de vérification en deux étapes :
- S'assurer que la constitution de la base de données n'est pas manifestement illicite au regard du RGPD. Quelques indices peuvent mettre la puce à l'oreille : collecte à l'insu des personnes, données sensibles ou relatives à des mineurs, etc.
- Vérifier que le partage du jeu de données est autorisé. Sauf mention contraire, les données publiées en accès libre sur Internet peuvent généralement être réutilisées. En revanche, les bases achetées auprès d'un courtier doivent faire l'objet d'une vigilance accrue.
Mettre en place des mesures techniques et organisationnelles
Une fois ces vérifications préalables effectuées, les entreprises doivent encore s'assurer de la conformité de leurs propres traitements. La Cnil recommande de :
- Choisir une base légale appropriée (consentement, intérêt légitime, etc.)
- Mettre en œuvre des mesures pour garantir la sécurité et la confidentialité des données (chiffrement, contrôle des accès, etc.)
- Informer les personnes concernées de la réutilisation de leurs données et de leurs droits
- Tenir un registre des activités de traitement
- Réaliser une analyse d'impact (PIA) si le traitement est susceptible d'engendrer des risques élevés
Autant de bonnes pratiques qui permettront aux entreprises de réutiliser des données en toute sérénité, dans le respect des droits des personnes et de la réglementation. Un véritable enjeu à l'heure où l'exploitation massive de données personnelles est au cœur des innovations technologiques !