Dans le cadre de leurs activités comme des recherches scientifiques, des développements de système d’intelligence artificielle, prospections commerciales, certains organismes souhaitent réutiliser des bases de données personnelles :
Librement mises à disposition sur Internet en dehors du cadre légal relatif à l’ouverture des données.
Détenues par un tiers comme un courtier en données ou « data broker ».
L’organisme ou la personne qui constitue, met en ligne ou partage la base de données doit respecter la loi ( il est interdit de voler ou de diffuser des données volées ). De la même manière, tout réutilisateur d’une base de données doit s’assurer que sa constitution ou son partage ne souffre d’aucune pratique illégale.
Il est interdit de réutiliser des données provenant d’une fuite de données.
Le réutilisateur ne peut pas réutiliser une base de données constituée ou mise en ligne si elle enfreint manifestement l’article 5.1.a du RGPD mais également d’autres règles qui peuvent porter atteinte à la sécurité des systèmes d’information ou de la propriété intellectuelle.
De plus, la personne qui télécharge ou réutilise une base de données manifestement illégale risque d’être poursuivi pour le délit de recel ( article 321-1 du Code pénal ).
Il est nécessaire d’encadrer les relations avec le détenteur des données.
La CNIL recommande la conclusion d’un accord avec le détenteur initial des données afin de s’assurer que la réutilisation des données est licite.
Fournir un certain nombre d’indications dans le contrat telles que :
A – La source, le contexte de la collecte des données, la base légale du traitement et l’analyse d’impact relative la protection des données si nécessaire, afin d’écarter les risques d’avoir une base de données illicite.
B – Les mentions d’information des personnes portées à la connaissance des personnes concernées, en particulier de la finalité et des destinataires.
C – D’éventuelles garanties sur le fait que le partage de données par le détenteur initial des données est licite ( la finalité pour la réutilisation doit être compatible avec la finalité initiale, le partage doit être licite, etc.).
S’assurer de la conformité de son propre traitement de données
Ces vérifications préalables n’exonèrent pas l’organisme qui réutilise la base de données d’une analyse complète de la conformité de ses propres traitements au RGPD et à la loi (identifier une base légale, recueillir le consentement explicite pour le traitement, le cas échéant, de données sensibles ou identifier une autre exception au principe d’interdiction posé par l’article 9 du RGPD, etc.).
Intégrer ces vérifications dans le cadre d’une analyse d’impact à la protection des données.
La CNIL propose une méthode et des outils pour engager ou affiner une démarche de conformité au RGPD (définir une finalité et une base légale, informer les personnes, minimiser les données, etc.).