La source de la donnée : de quoi parle-t-on ?
Une donnée personnelle passe par plusieurs étapes, depuis sa collecte jusqu’à sa suppression.
Ce cycle de vie n’est pas identique à toutes les données. Il dépend de plusieurs paramètres, dont les traitements effectués et les modalités de collecte.
Une donnée peut en effet être recueillie de plusieurs manières, et la personne concernée n’est pas toujours à l’origine de cette communication.
Des sources multiples
Deux types de collectes peuvent être distingués : collecte directe et collecte indirecte.
La collecte directe réfère aux cas où les données sont communiquées par la personne même, c’est-à-dire que le responsable de traitement les recueille auprès de la personne concernée. La deuxième modalité concerne les cas où les données sont obtenues auprès d’un tiers. C’est en effet un tiers qui va transmettre les données à un autre organisme. Celui-ci est bien évidemment intéressé de les recevoir dans le cadre de ses activités, et pour effectuer un certain nombre de traitements tels que par exemple à des fins de prospection commerciale. Ce transfert de données doit toutefois se faire dans le respect des règles légales et certaines conditions doivent être appliquées pour assurer une conformité optimale de ces pratiques.
Une obligation distincte
Toute personne dont les données sont traitées doit être informée des modalités de traitement de ses données. Si les exigences portant sur la forme de présentation de l’information sont identiques quel que soit la modalité de collecte, il n’en est pas de même pour l’objet de l’information.
Le contenu de l’information varie en effet selon la modalité d’obtention de l’information. Les informations portant sur les catégories de données personnelles concernées et sur la source des données ne sont obligatoires que dans le cas où il s’agit d’une collecte indirecte.
Selon l’article 14, f) du RGPD, la source d’où proviennent les données doit être communiquée et, le cas échéant, une mention précisant qu’elles proviennent ou pas de sources accessibles au public. Il peut s’agir de sources en libre accès, de courtiers en données, de responsables de traitements tiers, etc…
Cette obligation d’information sur la source d’information est aussi exigée dans le cadre du droit d’accès. La personne concernée a, en effet, le droit d’obtenir du responsable de traitement « la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes […] ». Ces informations portent notamment sur les modalités de traitement des données et, lorsque les données personnelles ne sont pas collectées auprès de la personne concernée, sur la source des données.
Or, le respect de l’exigence relative à l’information sur la source n’est pas toujours aisé. En l’absence d’éléments sur le degré de précision de cette mention, il est difficile pour le responsable de traitement de connaître les détails devant être délivrés pour assurer un respect effectif de cette obligation.
Une information à spécifier
La source de la donnée doit en général être communiquée de manière précise. Selon le CEPD, la source d’où proviennent les données personnelles correspond à la source spécifique des données ou à défaut à la nature des sources (c’est-à-dire aux sources publiques et privées) et aux types d’organismes, d’entreprises et de secteurs.
Cette obligation ne peut, en outre, être levée que dans le cas où il n’est pas possible d’attribuer différentes données concernant une même personne à une même source. Mais « le simple fait qu’une base de données comprenant les données à caractère personnel de plusieurs personnes concernées ait été compilée par un responsable du traitement utilisant plus d’une source ne suffit pas à lever cette obligation s’il est possible (bien que chronophage ou fastidieux) de déterminer la source dont proviennent les données à caractère personnel des personnes concernées ». Les exceptions à cette exigence sont dès lors limitées, encore faut-il pouvoir démontrer cette impossibilité de corrélation.
Dans sa délibération du 24 novembre 2022, la CNIL a prononcé une amende à l’encontre d’EDF pour plusieurs manquements dont pour non-respect des exigences d’information de l’article 14 du RGPD. Elle remet ainsi en cause la mention d’information précisant qu’« EDF, responsable de traitement, met en œuvre un traitement de données personnelles à des fins de prospection […]. Vos données ont été collectées auprès d’un organisme spécialisé dans l’enrichissement de données ». La CNIL considère que la seule mention que les données ont été collectées auprès d’un « organisme spécialisé dans l’enrichissement de données » n’est pas suffisamment précise en ce qu’elle ne permet pas d’assurer un traitement équitable et transparent à l’égard du prospect. Ainsi, une information générale ne garantit pas une conformité effective à cette obligation portant sur la source des données.
De même, dans sa délibération du 30 novembre 2022, la CNIL a sanctionné la société Free d’une amende de 300 000 euros pour non-respect de plusieurs exigences du RGPD, dont pour manquement aux obligations de l’article 15 dudit texte relatif au droit d’accès. La société avait, entre autres, apporté une réponse incomplète sur la source des données. La CNIL admet ainsi que la limitation du droit d’accès par les droits et libertés d’autrui incluant le secret des affaires concerne uniquement les demandes d’obtention de copies de données, non pas les demandes d’informations.
Elle précise aussi qu’en application du principe de transparence, le responsable de traitement doit, de manière générale, en préciser « la source spécifique » des données. Elle considère que l’organisme ne peut se limiter aux éléments portant sur la nature de la source et l’identité de la source primaire que dans le cas où il ne détient pas cette information ; l’identification de la source spécifique des données concernées n’étant pas possible dans ce cas. Selon la Commission, limiter la mention à la « source primaire » qui concerne le premier acteur de la chaîne ayant recueilli les données et ne pas préciser l’identité du data brocker à partir duquel les données ont été obtenues, alors que l’organisme détient cette information, revient à ne pas permettre à la personne concernée de vérifier la licéité du traitement, y compris la licéité des transferts de données déjà effectués.
L’information sur l’identité de la source des données permet, en effet, aux personnes de consentir en connaissance de cause et d’exercer les droits dont elles bénéficient, tel que dans le cas où le traitement porte sur la prospection commerciale effectuée par le responsable de traitement ayant obtenu les données auprès de courtiers.
