Les modalités d’ouverture et de réutilisation des données à caractère personnel sur internet ont été précisées par la CNIL dans ses recommandations parues début juin 2024.
Pour rappel, l’open data désigne un mouvement d’ouverture et de mise à disposition des données produites et collectées par les services publics comme les administrations, les établissements publics etc…
Une réutilisation des données ou utilisation secondaire des données, constitue un traitement dit « ultérieur », c’est-à-dire un traitement qui suit l’opération de collecte et qui a une finalité différente de celle justifiant la collecte initiale.
Dans tous les cas, la règlementation relative à la protection des données personnelles s’applique, dès lors que des données personnelles sont traitées : le fait qu’il s’agisse d’open data (autrement dit de données publiées sur internet) n’a pas d’incidence. C’est ce que rappelle le Code des relations entre le public et l’administration, qui indique que dès qu’un traitement suppose la réutilisation de données personnelles, il faut respecter la Loi informatique et libertés.
Ces recommandations sont des ressources pour tous les acteurs, qu’il s’agisse de ceux qui diffusent les données, ou de ceux qui les réutilisent. Elles ne sont pas contraignantes mais constituent des guides permettant de s’assurer de la conformité du traitement envisagé. Par exemple, la CNIL y explique comment déterminer la base légale du traitement, ou encore comment concilier minimisation et open data.
Chacune de ces recommandations rappelle les principes fondamentaux à suivre dans le cadre de la mise en place de traitements liés à l’open data, des questions pratiques à se poser, et présente des cas d’usage. Dans les prochains mois, la CNIL a indiqué que ces cas d’usage pourraient évoluer et être complétés par d’autres thématiques. En effet, le travail concernant le partage des données se poursuit, et notamment s’agissant des sujets relatifs à la circulation des données à des tiers spécifiquement autorisés (Data Governance Act, Data Act, etc : partage de données d’intérêt général avec les pouvoirs publics par exemple).
- Délibération n°2024-041 du 25 janvier 2024 portant adoption de deux recommandations relatives à l’application du règlement général sur la protection des données aux traitements d’ouverture et de réutilisation de données à caractère personnel publiées sur internet
- Article L. 322-2 du Code des relations entre le public et l’administration
- Sous-traitants : la réutilisation de données confiées par un responsable de traitement – CNIL