La CNIL recommande en particulier aux réutilisateurs de vérifier les points suivants :
1 – La description de la base des données réutilisées doit mentionne sa source.
Une base de données dont la description expliquerait qu’elle a été constituée à partir de publications sur un réseau social professionnel dont le nom est précisé.
Une base de données contenant des images de vidéosurveillance sans précision de la source ne devrait pas être réutilisée avant d’avoir obtenu davantage de précisions permettant de lever les doutes quant à la conformité de sa constitution et de sa diffusion.
2 – La constitution ou la diffusion de la base de données ne doit pas résulter de la commission d’un crime ou d’un délit.
Il n’y a pas eu de condamnation ou de sanction publique de la part d’une autorité compétente entraînant une suppression ou une interdiction d’exploiter ultérieurement les données.
En cas d’achat d’une base de données sur le dark web provenant notamment d’une fuite ou d’un vol de données au sens de l’article 323-1 du Code pénal, l’ignorance de l’origine délictuelle ne saurait être soulevée, impliquant que la réutilisation de la base de données est manifestement illicite.
Il en est de même pour la réutilisation d’une base de données pour laquelle une décision de justice a retenu une atteinte à un droit de propriété intellectuelle comme celui, particulier, des producteurs de bases de données sur le fondement de l’article L 342-1 du Code de la propriété intellectuelle.
3 – L’origine des données doit être suffisamment documentée pour qu’il n’y ait pas de doute flagrant sur le fait que la base de données est licite.
Il s’agit de vérifier que le traitement source repose sur une base légale, en particulier si les données sont tellement intrusives qu’elles ne pourraient être traitées sans le consentement des personnes concernées.
Sur une plateforme d’échange de bases de données, vous repérez un ensemble compilant les trajets domicile-travail de milliers de personnes. Sa description explique qu’il s’agit de données de géolocalisation précises, qui ne sont pas anonymes. Dans cette hypothèse, la diffusion d’une telle base de données en l’absence de consentement des personnes peut être illégale.
À l’inverse, il serait envisageable de constituer un jeu de données à partir d’une base de données dont la description ne laisse pas de doute flagrant quant à sa licéité. Par exemple, une base de données pseudonymisées, initialement rendues publiques par les personnes concernées sur un site web identifié et qui ne contiendrait pas de données sensibles.
4 – La base de données ne contient pas de données sensibles ou de données d’infraction.
Si elle en contient, il est recommandé de mener des vérifications supplémentaires pour s’assurer que la constitution de la base de données ou sa mise à disposition est licite :
Pour les données sensibles ( données de santé ou révélant des opinions politiques ou intégrant les dispositions de l’article 9 du RGPD ), il s’agit avant toute chose de s’assurer que le consentement explicite des personnes concernées existe, ou que les données ont été manifestement rendues publiques par ces dernières ( ce qui est le cas d’une publication que la personne a délibérément rendue visible à tous sur les réseaux sociaux ).
En ce qui concerne les données relatives à des infractions prévues à l’article 10 du RGPD, une telle utilisation doit être autorisée par la loi Informatique et Libertés.