Oui, les données permettant d’identifier une personne sont considérées comme des données à caractère personnel, qu’elles soient publiquement accessibles ou non, gratuites ou payantes.

Le RGPD[1] indique que les données pouvant identifier une personne doivent être considérées comme des données personnelles.

« données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable »

— RGPD, définition 1, données à caractère personnel

Le fait que les données sont publiquement accessibles n’est pas une exception. Si les données peuvent permettre d’identifier une personne physique, elles sont considérées comme personnelles.

Le Comité européen de la protection des données (CEPD[2]) a, par ailleurs, déjà rappelé que les données publiques devaient être considérées comme personnelles :

« les données à caractère personnel, même si elles ont été rendues publiques, restent considérées comme des données à caractère personnel et que leur traitement continue donc à requérir des garanties appropriées »

Cette interprétation est aussi partagée par la CNIL[3], l’autorité de contrôle française :

« il y a lieu de rappeler que le caractère "publiquement accessible" d’une donnée n’influe pas sur la qualification de donnée à caractère personnel et qu’il n’existe aucune autorisation générale permettant de réutiliser et de traiter de nouveau des données à caractère personnel publiquement disponibles, en particulier à l’insu des personnes concernées »

La Commission française a, par ailleurs, considéré que des données publiques étaient des données personnelles à de nombreuses reprises, notamment lorsqu’elle a sanctionné :

  • la société NESTOR : le nom et l’adresse e-mail de professionnels sur LinkedIn, un réseau social pour professionnels, ont été considérés comme des données personnelles[4] ;
  • l’éditeur du site « ANNUAIREFRANCAIS.FR » : les noms et l’adresses de certaines entreprises issues des bases publiques de l’INSEE[5] ont été considérés comme des données personnelles[6] ;
  • la société MONSANTO : des informations sur des personnalités, dont beaucoup étaient publiques, ont été considérés comme des données personnelles[7] ;
  • la société CLEARVIEW AI: des photos sur des sites Web publics ont été considérés comme des données personnelles[8].

Notes et références

  1. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  2. CEPD : Comité Européen de la Protection des Données (edpb.europa.eu).
  3. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  4. La CNIL a considéré que les noms et adresses de professionnels contenues sur les réseaux sociaux étaient des données à caractère personnel (source : CNIL, SAN-2020-018, 8 décembre 2020, Nestor). Voir « La société NESTOR sanctionnée pour avoir constitué une base de prospects à partir de données disponibles sur LinkedIn et pour avoir utilisé ces données pour envoyer des e-mails publicitaires ».
  5. INSEE : Institut National de la Statistique et des Études Économiques (insee.fr).
  6. La CNIL a considéré que le nom et l’adresse de certaines entreprises étaient des données à caractère personnel (source : CNIL, SAN-2021-014, 15 septembre 2021, SNAF). Voir « ANNUAIREFRANCAIS.FR sanctionné pour n’avoir pas correctement traité les demandes de droits des internautes ».
  7. La CNIL a considéré que des informations publiques sur des personnalités étaient des données personnelles (source : CNIL, SAN-2021-012, 26 juillet 2021, Monsanto). Voir « La société MONSANTO sanctionnée pour avoir collecté des données sur des personnalités publiques influentes sans les informer ».
  8. La CNIL a considéré que des photos sur des sites Web publics étaient des données personnelles (source : CNIL, MED-2021-134, 26 novembre 2021, CLEARVIEW AI). Voir « La société CLEARVIEW AI mise en demeure pour avoir collecté des photos publiques sur le Web sans le consentement des personnes ».