« Mais… la donnée était accessible sur Internet ». La défense est classique. Son efficacité est… quasi illusoire. Elle est principalement rencontrée dans deux cas de figure : la collecte de données pour alimenter un traitement (IA, recherche, etc.) ou rassembler des informations sur des personnes déterminées (databroker, analyse d’opinions, etc.).
Certes, le RGPD écarte effectivement l’interdiction de traiter des « données sensibles », lorsqu’elles ont été « manifestement rendues publiques par la personne concernée ». Pour autant, ce n’est pas une carte blanche.
L’utilisation des données accessibles sur internet supposent de pouvoir établir la volonté explicite de la personne de la publier, sans qu’il soit possible de présumer quoi que ce soit (CJUE, 4 juillet 2023, Meta Platforms, n° C-252/21 ; GPDP, 23 mars 2023, n° 9885127). Et une fois que cette preuve est démontrée, c’est tout le RGPD qu’il faut respecter.
Au menu notamment, la définition d’une base juridique. Autorités judiciaire et de protection des données s’accordent pour considérer que la diffusion ne vaut pas consentement de la personne (TJ Chambéry, 15 septembre 2022, Google My Business ; DVI, 11 January 2023, LocateFamily ; Délibération de la formation restreinte n°SAN-2021-012 du 26 juillet 2021). L’intérêt légitime reste alors l’option la plus vraisemblable, avec tous les aléas qu’elle présente. A cet égard, l’APD roumaine a sanctionné le spam envoyé à une adresse collectée sur une source publique (ANSPDCP, 7 septembre 2023, ISRA Marketing Research Centre SRL).
2ème obstacle notable, l’information de la personne concernée. Comme l’a rappelé la CNIL dans sa décision Monsanto, la diffusion publique de la donnée, même explicite, volontaire, n’exempte pas le réutilisateur de son obligation d’information.
La réutilisation des données « publiques », quel qu’en soit le contexte (IA, OSINT, étude des effets indésirables de produits de santé, etc.), suppose donc une documentation juridique à toute épreuve, rigoureuse, complète. Elle doit notamment revenir sur :
1) l’origine des données ;
2) la preuve de la volonté de la personne de les diffuser ;
3) la proportionnalité des intérêts en cause ;
4) les modalités d’information des personnes.
Avez-vous recours à des données collectées sur des sources publiques? Comment gérez-vous la conformité? Partagez votre expérience en commentaires.
Des interrogations sur la conformité de votre activité ? N’hésitez pas à me contacter.