Délibération n° 2024-041 du 25 janvier 2024 portant adoption de deux recommandations relatives à l’application du règlement général sur la protection des données aux traitements d’ouverture et de réutilisation de données à caractère personnel publiées sur internet

JO du 15 juin 2024

Les pratiques d’ouverture et de réutilisation de données publiées sur internet sont en plein développement depuis plusieurs années.
Ces données et toutes celles qui sont accessibles en ligne (telles que celles figurant sur des réseaux sociaux) font l’objet de multiples exploitations par des organismes publics et privés (dans un contexte de lutte contre la fraude, de démarchage commercial ou de recherche scientifique par exemple).
Dans ce cadre, la Commission nationale de l’informatique et des libertés (CNIL) adopte deux recommandations relatives à l’application du règlement général sur la protection des données (RGPD) à ces catégories de traitements :
– l’une s’adresse spécifiquement aux acteurs (administrations, entreprises, particuliers…) qui mettent à disposition du public des données à caractère personnel en open data, c’est-à-dire dans un format ouvert, aisément réutilisable et exploitable par machine ;
– l’autre, aux acteurs qui souhaitent réutiliser tous types de données à caractère personnel publiées sur internet (données en open data et autres données accessibles en ligne) pour divers objectifs.
Ces recommandations se matérialisent par la publication, sur le site internet de la CNIL, de fiches pratiques qui ont été soumises à consultation publique.
La première recommandation prend la forme d’un jeu de fiches « principes » devant aider les diffuseurs de données ouvertes à :
– identifier les responsabilités des différents organismes susceptibles d’être impliqués dans le traitement ;
– déterminer la base légale du traitement ;
– connaître la portée de leurs obligations en matière d’information des personnes concernées ;
– tenir compte des droits des personnes ;
– garantir la pertinence et la proportionnalité des données traitées, leur exactitude et leur sécurité.
La seconde recommandation, destinée aux réutilisateurs de données à caractère personnel, comprend un jeu de fiches « principes » et des fiches « cas d’usage » explicitant les conditions de mise en œuvre de ces principes à certaines réutilisations de données à savoir :
– la réutilisation de données aux fins de diffusion d’annuaires de professionnels ;
– la réutilisation de données aux fins de constitution et d’enrichissement de bases destinées à la prospection commerciale ;
– la réutilisation de données à des fins de recherche scientifique (hors santé) ;
– l’aspiration de données par des autorités publiques dans le cadre de leurs missions.