Oui, toutes les données permettant d’identifier une personne sont considérées comme des données à caractère personnel, qu’elles soient publiquement accessibles ou non, gratuites ou payantes. Leur collecte et leur traitement sont donc régis le RGPD1.

La RGPD indique que les données permettant d’identifier une personne doivent être considérées comme des données personnelles :

« données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale »

— RGPD, définition 1, données à caractère personnel

Le fait que les données sont publiquement accessibles n’est pas une exception. Si les données permettent d’identifier une personne physique, elles sont considérées comme personnelles.

La CNIL2, autorité de contrôle française, a déjà rappelé ce point à de nombreuses reprises, notamment :

  • à la société NESTOR3, spécialisée dans la livraison de repas pour professionnels, car elle collectait notamment le nom et l’adresse e-mail de professionnels sur les réseaux sociaux, comme LinkedIn ;
  • à l’éditeur du site « ANNUAIREFRANCAIS.FR »4, car il collectait le nom et l’adresse de professionnels à partir des données publiques de l’INSEE5.

Notes et références

  1. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  2. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  3. La CNIL a rappelé à la société Nestor que les données accessibles publiquement sur les réseaux sociaux pouvaient être des données à caractère personnel (source : CNIL, SAN-2020-018, 8 décembre 2020, Nestor). Voir « La société NESTOR sanctionnée pour avoir envoyé des e-mails publicitaires non sollicités ».
  4. La CNIL a rappelé à la société en charge du site « ANNUAIREFRANCAIS.FR » que les données issues des bases de données publiques de l’INSEE pouvaient être des données à caractère personnel (source : CNIL, SAN-2021-014, 15 septembre 2021, SNAF). Voir « ANNUAIREFRANCAIS.FR sanctionné pour n’avoir pas correctement traité les demandes de droits des internautes ».
  5. INSEE : Institut National de la Statistique et des Études Économiques (insee.fr).