Les données publiques
Une notion prise en compte par le RGPD
Le terme « donnée publique » se réfère à toute donnée provenant d’une source accessible au public (des bases de données publiques par exemple) et qui peut être consultée à tout moment. Les données publiques sont des données ouvertes (ou open data), provenant d’une source publique. Le Règlement Général sur la Protection des Données fait référence à ce type de données en indiquant que le règlement prend en compte dans son application l’accès du public aux documents officiels. Le considérant 154 du RGPD précise que l’accès du public aux documents officiels peut être considéré comme étant dans l’intérêt général, et que les données à caractère personnel se trouvant dans des documents qui sont détenus par une autorité ou un organisme public devraient pouvoir être rendues publiques dans le cas où leur communication est prévue par un texte légal. L’usage de ces données, même en accès-libre, doit toutefois se faire en tenant compte du droit à la protection des données personnelles.
L’article 14 du RGPD fait également référence aux données accessibles au public. Il exige, dans le cas où il s’agit d’une collecte indirecte, d’informer les personnes concernées sur la source des données, et de préciser si elles proviennent de sources accessibles au public. L’article 9 quand à lui tolère le traitement des données sensibles, dont l’utilisation est en principe interdite, lorsque les données ont été « manifestement rendues publiques par la personne concernée ».
Une donnée rendue publique conserve son caractère personnel
Peu importe qu’elles soient publiques ou pas, les données appartenant à la personne concernée ne perdent pas leur caractère « personnel ». La donnée publique ne s’oppose pas à la notion de donnée personnelle et les données publiques peuvent contenir des données appartenant à une personne physique identifiée ou identifiable. Le fait qu’une donnée personnelle soit accessible au public n’empêche en effet pas de remonter à la personne, que ce soit en se basant sur une seule donnée ou en croisant plusieurs données.
Les obligations du RGPD doivent être respectées
Le fait que des données personnelles soient accessibles sur internet ne permet pour autant pas leur utilisation en toute liberté. Comme pour tout traitement de données personnelles, les mesures nécessaires permettant de garantir leur conformité à la règlementation doivent être mises en place.
La société Clearview a ainsi été condamnée pour avoir traité de manière illicite des données publiques. L’autorité de contrôle française, la CNIL, avait reçu plusieurs plaintes au sujet de son logiciel de reconnaissance faciale qui permet la collecte en masse d’images publiquement accessibles en libre-accès sur Internet. Aucune réponse n’ayant été apportée à la suite de la mise en demeure, la CNIL a prononcé à l’encontre de la société une amende publique de 20 millions d’euros pour plusieurs manquements, notamment pour non-respect du principe de licéité du traitement et des obligations sur les droits (notamment le droit d’accès) des personnes concernées.
La société collectait et utilisait en effet des images accessibles publiquement sans base légale. Or, tout traitement de données personnelles doit reposer sur l’une des bases juridiques énoncées dans l’article 6 du RGPD. Bien qu’affichées sur des sites internet, les données appartenant aux personnes ne peuvent être réutilisées à l’insu de la personne concernée. Clearview a d’ailleurs été également sanctionné par les autorités italienne1 et anglaise2 de protection des données pour quasiment les mêmes motifs.
Ainsi, tout organisme qui envisage de collecter, croiser, utiliser des données qui viennent d’une source publique doit avant tout s’assurer qu’il peut traiter ces données, et qu’un fondement juridique valable permet de rendre licite le traitement. Une analyse d’impact, aussi appelée PIA, doit également être réalisée dans le cas où le traitement en question serais susceptible d’engendrer des risques élevés pour les droits et libertés des personnes. Ces dernières doivent notamment être informées de l’usage qui sera fait de leurs données, des modalités d’exercice de leurs droits et de la source publique d’où proviennent les données.
Cette information doit être fournie dans un délai raisonnable et au plus tard dans un mois après obtention des données. Des exceptions à cette obligation d’information existent toutefois et le responsable de traitement n’est pas tenu de transmettre les informations à la personne concernée dans le cas où la personne dispose déjà de ces informations ou lorsque la fourniture des informations se révèle impossible ou exigerait des efforts disproportionnés. Dans ce cas, des mesures appropriées pour protéger les droits et libertés des personnes doivent être mises en place.
Sources
1 https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9751323#english
