Connexion
Abonnez-vous

Réutilisation de bases de données (personnelles) : les rappels de la CNIL

Réutilisation de bases de données (personnelles) : les rappels de la CNIL

Le 23 janvier à 15h05

Les données sont l’or noir des intelligences artificielles, qui en ont besoin en toujours plus grandes quantités. Elles étaient aussi au cœur des annonces ces derniers temps à cause des fuites très nombreuses en 2024. La CNIL a décidé de publier un rappel sur la réutilisation de bases de données et les vérifications nécessaires pour respecter la loi. Le but étant de vérifier que « leur constitution ou leur partage n’est pas manifestement illicite ».

La Commission distingue deux sources : les bases de données librement mises à disposition sur Internet (hors open data) et celles détenues par un tiers (data broker par exemple). Dans les deux cas, il faut vérifier que l’organisme ou la personne qui partage la base de données respecte la loi. Un exemple évident : « il est interdit de voler ou de diffuser des données volées ».

Mais le responsable du traitement doit aussi « s’assurer que sa constitution ou son partage n’est pas manifestement illicite (par exemple, il est interdit de réutiliser des données provenant d’une fuite de données) ». Si la base de données enfreint manifestement le RGPD, le responsable peut se rendre coupable de recel.

La CNIL rappelle les grandes lignes des obligations : « Le réutilisateur de bases de données doit procéder à des vérifications, mais sans nécessairement aller jusqu’à des vérifications approfondies sur le respect de l’ensemble des règles du RGPD ou d’autres règles juridiques applicables (droit d’auteur, données couvertes par le secret des affaires, etc.) par le tiers qui a constitué ou mis à disposition la base de données ».

La Commission détaille des points importants à vérifier : sources, origine, présence de données sensibles (qui nécessitent des vérifications supplémentaires), etc. Enfin, elle recommande de conclure un accord avec le détenteur initial.

L’année dernière, elle avait déjà mis en ligne des recommandations sur l’ouverture et réutilisation de données personnelles sur Internet.

Le 23 janvier à 15h05

Commentaires (6)

votre avatar
Les fraises MADATA ... Enorme !
votre avatar
Et si on commençait par le BA-B-A
C'est à dire que si j'ai donné l'autorisation de mes données à une société, je n'ai pas forcément (rarement même) donné le droit à celui qui achète le fichier. Et encore moins au 4eme acheteur en cascade.

Je sais, je casse le business de certains margoulins, mais si je donne la taille de mon caleçon à la redoute, j'ai pas forcément envie que le reste du monde soit au courant.

Pas forcément besoin d'une fuite pour que la donnée devienne illicite.
votre avatar
il est interdit de réutiliser des données provenant d’une fuite de données
Même si c'est pour empêcher ses utilisateurs de s'inscrire avec un mot de passe déjà présent dans des fuites de données ?
votre avatar
Question très intéressante.

Tu penses probablement aux différents services comme haveibeenpwned ?

Ils pourraient s'appuyer sur le a) du 1 de l'article 6 du RGPD :
la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
En effet, ils ne stockent que des hash des login qui ne sont pas identifiants et le traitement local au terminal de l'utilisateur se fait avec son accord pour voir si son login est compromis.

Le traitement de hash de l'adresse e-mail pourrait être contesté mais me semble conforme au d) et e) du 4 du même article 6 :
d) des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées;
e) de l'existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.
votre avatar
Oui je pensais à ça et aux outils dans chrome/firefox qui permettent de vérifier que ses mots de passe n'ont pas fuité.

Merci pour ces précisions effectivement ça doit rentrer dans ces conditions.
votre avatar
Dans les deux cas, il faut vérifier que l’organisme ou la personne qui partage la base de données respecte la loi.
Si on suit cette logique, toutes les données issues de cookies dont le consentement a été obtenu via un formulaire usant de darks patterns devraient être supprimées.
On rappellera que « L'utilisateur doit pouvoir accepter ou refuser le dépôt et/ou la lecture des cookies avec le même degré de simplicité. »

Mais vu que personne ne fait respecter la loi, les raclures de marketeux sont de facto libre de l'ignorer.

Réutilisation de bases de données (personnelles) : les rappels de la CNIL

Fermer