Le droit d’accès aux documents administratifs est un sujet qui préoccupe la CNIL. Enfin, c’était le cas sous la précédente législature 😉
Dans un domaine où la transparence est une règle, la Commission a publié, en juillet 2023, plusieurs recommandations, tout en annonçant sur un Guide pratique de la publication en ligne document élaboré par la CADA et la CNIL et de la réutilisation, en association avec ETALAB, des données publiques.
Parmi ces recommandations, une concerne en pratique tous les sites internet : l’utilisation d’un fichier « robots.txt » ou un dispositif de « captcha » pour sécuriser l’accès à des données personnelles publiées en ligne.
En effet, même lorsque la publication est imposée par le droit (« opendata »), il appartient au responsable de traitement de mettre en place des mesures de sécurité pour éviter l’aspiration, ou « scraping » (DPC Irlande, 25 novembre 2022, Meta Plateforms Ireland Limited ; LG Ravensburg, 13 juin 2023, Facebook, n° 2 O 228/22), comme l’indexation, sur un moteur de recherche (CE, 12 mars 2014, Pages Jaunes Groupe, n° 353193 ; Délibération de la formation restreinte n° SAN – 2019-007).
Sur le 1er point, petite précision : Mieux vaut éviter d’utiliser un outil édité par un prestataire installé hors UE pour ce faire (Délibération de la formation restreinte n°SAN-2023-023). Tournez vous par exemple – et si possible – vers le captcha proposé par l’Etat.
Sur le second, veillez à ce qu’un petit fichier texte interdise l’indexation de toutes pages web contenant des données personnelles. Leur diffusion en ligne fût-elle imposée ou permise par la loi.
C’est toujours amusant de savoir qu’un simple fichier texte peu contribuer à la sécurité d’un traitement de données!
Comment assurez-vous la sécurité de vos données en opendata ou à publication obligatoire (ex: mentions légales LCEN)? Des RETEX, des craintes ou des axes d’amélioration ? Partagez-les en commentaires.
Des craintes quant à la sécurité juridique de votre organisme ? Des doutes sur l’obligation ou la nécessité de publier certaines données ? N’hésitez pas à me contacter.