À l’issue d’une consultation publique, la CNIL publie ses recommandations sur l’ouverture (open data) et la réutilisation de données publiées sur Internet.

Ces recommandations doivent aider les professionnels à concilier leurs obligations ou intérêts avec les droits des personnes sur leurs données personnelles.

Pour tâcher de répondre, de façon pratique aux besoins de l’ensemble des acteurs concernés par les traitements en cause, la CNIL a adopté un double jeu de fiches pour les diffuseurs de données ouvertes (open data) et les réutilisateurs de données publiées sur Internet. Celles-ci comportent des recommandations et des exemples concrets leur permettant de connaître leurs obligations en répondant aux questions « informatique et libertés » structurantes.

Ces fiches doivent aider ces acteurs à :

• identifier les responsabilités des différents organismes susceptibles d’être impliqués dans le traitement ;
• déterminer la licéité du traitement ;
• connaître la portée de leurs obligations en matière d’information des personnes concernées ;
• tenir compte des droits des personnes ;
• garantir la pertinence et la proportionnalité des données traitées, leur exactitude et leur sécurité.

1. Conformité aux Règlements et Lois

• Respect des réglementations : Toute publication et réutilisation de données doivent être conformes au Règlement Général sur la Protection des Données (RGPD) et à la Loi Informatique et Libertés.
• Données personnelles : Les données publiées ne doivent pas permettre d’identifier directement ou indirectement des personnes physiques, sauf si elles ont été anonymisées de manière irréversible.

2. Anonymisation des Données

• Anonymisation stricte : Les données doivent être anonymisées afin qu’aucune personne ne puisse être identifiée, directement ou indirectement. La CNIL insiste sur l’importance d’une anonymisation efficace pour garantir la protection des individus.
• Risques de réidentification : La CNIL recommande une évaluation régulière des risques de réidentification, notamment par la combinaison de jeux de données différents.

3. Transparence et Information des Utilisateurs

• Information préalable : Les personnes concernées doivent être informées de l’utilisation qui sera faite de leurs données, y compris de leur éventuelle publication en open data.
• Consentement : Dans certains cas, un consentement explicite peut être requis pour la réutilisation des données personnelles.

4. Conditions de Réutilisation

• Conditions claires : Les données doivent être mises à disposition avec des conditions claires de réutilisation, idéalement sous une licence ouverte qui précise les droits et les obligations des réutilisateurs.
• Protection des droits des individus : La réutilisation ne doit pas nuire aux droits et libertés des personnes, et des mesures doivent être prises pour éviter toute utilisation détournée ou malveillante.

5. Sécurité des Données

• Sécurité et intégrité : Les données doivent être protégées contre toute forme d’accès ou de modification non autorisée, pour garantir leur intégrité et leur sécurité.
• Accès restreint : L’accès aux données doit être restreint et contrôlé, notamment pour éviter des risques de violation de la confidentialité ou d’altération des données.

6. Utilisation Responsable des Données

• Utilisation éthique : La CNIL insiste sur une utilisation responsable et éthique des données ouvertes. Les données ne doivent pas être utilisées de manière discriminatoire ou pour porter atteinte à la dignité des personnes.
• Évaluation d’impact : Les organismes doivent réaliser une évaluation d’impact sur la protection des données (DPIA) pour identifier et atténuer les risques potentiels liés à la publication et à la réutilisation des données.

7. Documentation et Traçabilité

• Documentation complète : Les jeux de données doivent être bien documentés, avec des métadonnées détaillées pour assurer une compréhension et une utilisation correcte.
• Traçabilité des accès : Les accès aux données doivent être tracés pour permettre un suivi et un audit des utilisations.

8. Responsabilités des Acteurs

• Responsabilité des producteurs de données : Les producteurs de données ont la responsabilité de garantir que les données publiées ne contiennent pas d’informations personnelles non anonymisées.
• Responsabilité des réutilisateurs : Les réutilisateurs sont responsables de respecter les conditions de réutilisation et de ne pas tenter de réidentifier les individus.

Pour en savoir plus sur les recommandations pour les diffuseurs publics et privés de données ouvertes sur internet (open data) | CNIL

Pour en savoir plus sur les recommandations pour les réutilisateurs de données publiées sur internet | CNIL