Oui, toutes les données permettant d’identifier une personne sont considérées comme des données à caractère personnel, qu’elles soient publiquement accessibles ou non, gratuites ou payantes. Leur collecte et leur traitement sont donc régis le RGPD[1].

La RGPD indique que les données permettant d’identifier une personne doivent être considérées comme des données personnelles :

« données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale »

— RGPD, définition 1, données à caractère personnel

Le fait que les données sont publiquement accessibles n’est pas une exception. Si les données permettent d’identifier une personne physique, elles sont considérées comme personnelles.

La CNIL[2], autorité de contrôle française, a déjà rappelé ce point à de nombreuses reprises, notamment :

  • à la société NESTOR[3], spécialisée dans la livraison de repas pour professionnels, car elle collectait notamment le nom et l’adresse e-mail de professionnels sur les réseaux sociaux, comme LinkedIn ;
  • à l’éditeur du site « ANNUAIREFRANCAIS.FR »[4], car il collectait le nom et l’adresse de professionnels à partir des données publiques de l’INSEE[5].

Notes et références

  1. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  2. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  3. La CNIL a rappelé à la société Nestor que les données accessibles publiquement sur les réseaux sociaux pouvaient être des données à caractère personnel (source : CNIL, SAN-2020-018, 8 décembre 2020, Nestor). Voir « La société NESTOR sanctionnée pour avoir envoyé des e-mails publicitaires non sollicités ».
  4. La CNIL a rappelé à la société en charge du site « ANNUAIREFRANCAIS.FR » que les données issues des bases de données publiques de l’INSEE pouvaient être des données à caractère personnel (source : CNIL, SAN-2021-014, 15 septembre 2021, SNAF). Voir « ANNUAIREFRANCAIS.FR sanctionné pour n’avoir pas correctement traité les demandes de droits des internautes ».
  5. INSEE : Institut National de la Statistique et des Études Économiques (insee.fr).