Données publiques : Définition, traitement, spécificités RGPD

Le fait que des données personnelles soient accessibles sur internet ne permet pour autant pas leur utilisation en toute liberté. Comme pour tout traitement de données personnelles, les mesures nécessaires permettant de garantir leur conformité à la réglementation doivent être mises en place.

La société Clearview a ainsi été condamnée pour avoir traité de manière illicite des données publiques. L’autorité de contrôle française, la CNIL, avait reçu plusieurs plaintes au sujet de son logiciel de reconnaissance faciale qui permet la collecte en masse d’images publiquement accessibles en libre accès sur Internet. Aucune réponse n’ayant été apportée à la suite de la mise en demeure, la CNIL a prononcé à l’encontre de la société une amende publique de 20 millions d’euros pour plusieurs manquements, notamment pour non-respect du principe de licéité du traitement et des obligations sur les droits (notamment le droit d’accès) des personnes concernées.

La société collectait et utilisait en effet des images accessibles publiquement sans base légale. Or, tout traitement de données personnelles doit reposer sur l’une des bases juridiques énoncées dans l’article 6 du RGPD. Bien qu’affichées sur des sites internet, les données appartenant aux personnes ne peuvent être réutilisées à l’insu de la personne concernée. Clearview a d’ailleurs été également sanctionné par les autorités italiennes¹ et anglaise² de protection des données pour quasiment les mêmes motifs.

Ainsi, tout organisme qui envisage de collecter, croiser, utiliser des données qui viennent d’une source publique doit avant tout s’assurer qu’il peut traiter ces données, et qu’un fondement juridique valable permet de rendre licite le traitement. Une analyse d’impact, aussi appelée PIA, doit également être réalisée dans le cas où le traitement en question serait susceptible d’engendrer des risques élevés pour les droits et libertés des personnes. Ces dernières doivent notamment être informées de l’usage qui sera fait de leurs données, des modalités d’exercice de leurs droits et de la source publique d’où proviennent les données.

Cette information doit être fournie dans un délai raisonnable et au plus tard dans un mois après obtention des données. Des exceptions à cette obligation d’information existent toutefois et le responsable de traitement n’est pas tenu de transmettre les informations à la personne concernée dans le cas où la personne dispose déjà de ces informations ou lorsque la fourniture des informations se révèle impossible ou exigerait des efforts disproportionnés. Dans ce cas, des mesures appropriées pour protéger les droits et libertés des personnes doivent être mises en place.

Les données publiques ne sont pas des données « libres de droit ». Même accessibles en ligne, elles restent des données personnelles dès lors qu’elles permettent d’identifier une personne. Tout organisme souhaitant les exploiter doit respecter les principes clés du RGPD : base légale, transparence, information, proportionnalité et gestion des risques. Une approche rigoureuse reste indispensable pour garantir une utilisation conforme et éthique de ces données.

¹ https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9751323#english
 ² https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2022/05/ico-fines-facial-recognition-database-company-clearview-ai-inc/