Newsletter - AVOCATS NORMANDIE

Les informations contenues dans les bases de données en libre accès peuvent être réutilisées par les entreprises à des fins de prospection commerciale, de recherche ou même de développement de l’intelligence artificielle. La Commission Nationale de l’Informatique et des Libertés (CNIL) alerte sur l’importance d’en vérifier l’origine.

Une multitude de données personnelles accessibles

Des informations sensibles peuvent figurer dans des bases de données personnelles détenues par des tiers et mises à disposition sur Internet librement, sans entrer toutefois dans le cadre légal des « open data » (donc, en dehors des données produites et collectées par les services publics).

Ayant une valeur marchande, ces bases de données peuvent faire l’objet de récupérations et d’utilisations illicites (vol ou revente, par exemple sur le Darknet).

Dès lors, la CNIL rappelle que les entreprises qui font usage de ces données personnelles se doivent de le faire dans un cadre légal et donc de procéder à certaines vérifications pour s’assurer de leur provenance.

Les sanctions encourues par les réutilisateurs

La CNIL rappelle qu’à l’image des personnes qui mettent en ligne des bases de données, celles qui les réutilisent doivent respecter les règles du Règlement général sur la protection des données (RGPD) qui s’appliquent tant aux utilisateurs qu'aux « réutilisateurs ».

De plus, outre le risque de sanction au titre du RGPD, le réutilisateur peut voir sa responsabilité pénale engagée (par exemple, pour délit de recel si les informations réutilisées ou leur source s’avéraient illégales).

Vérifier l’origine et la constitution des bases de données réutilisées

La CNIL énumère plusieurs éléments qui doivent faire l’objet de vérifications de la part du réutilisateur des données :

- l’existence d’une source mentionnée et apparente de la base de données ;

- l’absence de sanction publique ou de condamnation relative aux données (la constitution ou la diffusion de la base de données ne doit pas manifestement résulter de crime ou délit) ;

- l’origine suffisamment documentée des données pour ôter tout doute flagrant quant à la licité de la base (il convient de s’assurer que ces données personnelles ne devraient pas faire l’objet d’un consentement pour leur réutilisation) ;

- l’absence de données sensibles dans la base de données (données de santé par exemple, requérant un consentement explicite pour leur usage) ou de données d’infraction (dont l’utilisation doit être autorisée par la loi).

Conclure un contrat lors de l’achat des bases de données

La CNIL recommande aux réutilisateurs de proposer la conclusion d'un contrat avec le détenteur initial de la base de données.

Cet accord peut ainsi contenir tous les points de vérifications évoqués ci-dessus, voire des garanties, afin de s’assurer de la licéité et de la légalité de l'origine ainsi que de la réutilisation des données personnelles.

Recommandations de la CNIL du 23 janvier 2025 : « Réutilisation de bases de données : les vérifications nécessaires pour respecter la loi »