Pour guider les professionnels dans ce domaine complexe, la CNIL propose deux séries de fiches pratiques :
- Les fiches pour les diffuseurs de données ouvertes : ces fiches sont conçues pour les administrations, entreprises, et particuliers qui mettent à disposition du public des données personnelles en open data ;
- Les fiches pour les réutilisateurs de données publiées sur Internet : ces fiches sont destinées aux entreprises réutilisant des données accessibles en ligne pour divers objectifs, tels que la recherche scientifique ou le marketing.
Ces fiches sont conçues pour les administrations, entreprises, et particuliers qui mettent à disposition du public des données personnelles en open data. Elles incluent des directives pour :
- Identifier les responsabilités des différents acteurs ;
- Déterminer la licéité du traitement ;
- Informer les personnes concernées ;
- Respecter les droits des personnes concernées ;
- Assurer la pertinence, la proportionnalité, l’exactitude et la sécurité des données traitées.
Enfin, la CNIL apporte de nouvelles clarifications sur plusieurs points :
- Réutilisation des données publiques : les réutilisateurs peuvent généralement se fonder sur l’intérêt légitime pour réutiliser des données diffusées par des administrations en open data. Par ailleurs, en l’absence d’adresses électroniques disponibles, les réutilisateurs pourront également procéder à une communication publique et non individuelle sur l’existence, les caractéristiques du traitement et les droits des personnes concernées ;
- Annuaires professionnels : les personnes concernées doivent facilement pouvoir sortir ou s’opposer à figurer dans des annuaires de professionnels enrichis de notes et de commentaires d’internautes ;
- Prospection commerciale : la prospection commerciale sans consentement préalable est permise lorsque les personnes concernées peuvent raisonnablement s’y attendre. Pour ce faire, la CNIL recommande d’évaluer notamment plusieurs critères : l’objectif de la réutilisation des données, le type de données collectées, la possibilité pour les personnes de s’opposer à cette utilisation par le site source, ainsi que les éventuelles restrictions dans la politique de confidentialité ou les conditions générales d’utilisation.
Aussi, la CNIL prévoit d’étendre les fiches « cas d’usage » à de nouvelles thématiques. Elle continuera également à explorer les scénarios de partage de données à des tiers autorisés, conformément au droit français et européen tels que le code des relations entre le public et l’administration, le Règlement n°2022/868 du 30 mai 2022 portant sur la gouvernance des données (« Règlement sur la gouvernance des données » ou « Data Governance Act ») ou encore le Règlement n°2023/2854 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données (« Règlement sur les données » ou « Data Act »).
