Réutilisation de bases de données (personnelles) : les rappels de la CNIL

Le 23 janvier à 15h05
2 min
Droit
Droit
Les données sont l’or noir des intelligences artificielles, qui en ont besoin en toujours plus grandes quantités. Elles étaient aussi au cœur des annonces ces derniers temps à cause des fuites très nombreuses en 2024. La CNIL a décidé de publier un rappel sur la réutilisation de bases de données et les vérifications nécessaires pour respecter la loi. Le but étant de vérifier que « leur constitution ou leur partage n’est pas manifestement illicite ».
La Commission distingue deux sources : les bases de données librement mises à disposition sur Internet (hors open data) et celles détenues par un tiers (data broker par exemple). Dans les deux cas, il faut vérifier que l’organisme ou la personne qui partage la base de données respecte la loi. Un exemple évident : « il est interdit de voler ou de diffuser des données volées ».
Mais le responsable du traitement doit aussi « s’assurer que sa constitution ou son partage n’est pas manifestement illicite (par exemple, il est interdit de réutiliser des données provenant d’une fuite de données) ». Si la base de données enfreint manifestement le RGPD, le responsable peut se rendre coupable de recel.
La CNIL rappelle les grandes lignes des obligations : « Le réutilisateur de bases de données doit procéder à des vérifications, mais sans nécessairement aller jusqu’à des vérifications approfondies sur le respect de l’ensemble des règles du RGPD ou d’autres règles juridiques applicables (droit d’auteur, données couvertes par le secret des affaires, etc.) par le tiers qui a constitué ou mis à disposition la base de données ».
La Commission détaille des points importants à vérifier : sources, origine, présence de données sensibles (qui nécessitent des vérifications supplémentaires), etc. Enfin, elle recommande de conclure un accord avec le détenteur initial.
L’année dernière, elle avait déjà mis en ligne des recommandations sur l’ouverture et réutilisation de données personnelles sur Internet.
Le 23 janvier à 15h05
Commentaires (6)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 23/01/2025 à 16h06
Le 23/01/2025 à 18h44
C'est à dire que si j'ai donné l'autorisation de mes données à une société, je n'ai pas forcément (rarement même) donné le droit à celui qui achète le fichier. Et encore moins au 4eme acheteur en cascade.
Je sais, je casse le business de certains margoulins, mais si je donne la taille de mon caleçon à la redoute, j'ai pas forcément envie que le reste du monde soit au courant.
Pas forcément besoin d'une fuite pour que la donnée devienne illicite.
Le 24/01/2025 à 00h08
Le 24/01/2025 à 10h32
Tu penses probablement aux différents services comme haveibeenpwned ?
Ils pourraient s'appuyer sur le a) du 1 de l'article 6 du RGPD : En effet, ils ne stockent que des hash des login qui ne sont pas identifiants et le traitement local au terminal de l'utilisateur se fait avec son accord pour voir si son login est compromis.
Le traitement de hash de l'adresse e-mail pourrait être contesté mais me semble conforme au d) et e) du 4 du même article 6 :
Le 24/01/2025 à 14h28
Merci pour ces précisions effectivement ça doit rentrer dans ces conditions.
Le 24/01/2025 à 00h21
On rappellera que « L'utilisateur doit pouvoir accepter ou refuser le dépôt et/ou la lecture des cookies avec le même degré de simplicité. »
Mais vu que personne ne fait respecter la loi, les raclures de marketeux sont de facto libre de l'ignorer.