Data et réutilisation des données : quelles sont les règles juridiques ?
Puisque la réutilisation des données est soumise aux exigences légales en vigueur pendant la durée du traitement, il convient de les respecter à la lettre car l’entreprise victime peut intenter un procès devant les juridictions compétentes.
La vie des données, personnelles ou non, ne s’arrête pas à leur collecte, ni même après leur première utilisation. Elles seront souvent triées, conservées, commercialisées et réutilisées. Cependant, cette réutilisation est soumise à certaines règles qu’il convient de respecter. La rédaction de GPO Magazine a interrogé Alain Hazan et Anita Delaage, avocats de HMV Avocats, sur plusieurs points fondamentaux concernant la réutilisation des données. Explications.
Faut-il nécessairement obtenir le consentement des personnes concernées avant la réutilisation de leurs données personnelles ?
Toute personne qui traite des données personnelles, ces dernières étant définies comme toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, doit se plier à certaines exigences légales durant toute la durée du traitement.
« Avant même la collecte des données, le responsable du traitement doit avoir décidé comment elles seront utilisées puisque la loi « Informatique et Libertés » dispose que celles-ci sont recueillies « pour des finalités déterminées, explicites et légitimes ». En outre, le même texte impose qu’au plus tard au moment de la collecte, la personne qui fournit ses données personnelles (la personne concernée) donne son consentement et doit être informée de ces finalités. Enfin, ces dernières doivent être respectées tout au long du traitement puisqu’il est strictement interdit de traiter les données collectées de manière incompatible avec ces finalités, à l’exception de certaines, à des fins statistiques ou historiques », indiquent Alain Hazan et Anita Delaage.
Une fois sa base de données constituée, il faut également veiller à ce qu’elle ne soit pas pillée par des concurrents.
Peut-on réutiliser les données contenues dans les bases de données de tiers ?
Les bases de données détenues par certaines entreprises, contenant des données personnelles (liste de membres d’un programme de fidélité) ou non (liste de sites Internet interdits aux mineurs commercialisée auprès de développeurs de logiciels de contrôle parental) ont souvent nécessité de nombreux investissements (pour la collecte, le traitement, et les mises à jour) et ont une grande valeur. Conscients de cette dernière, certains concurrents sont tentés de récupérer les données contenues afin de les intégrer dans leurs propres systèmes. Peuvent-ils le faire sans être hors la loi ? Force est de constater que l’entreprise victime de cette pratique dispose de plusieurs moyens afin de défendre sa base de données. Quels sont ces moyens ?
« Les bases de données peuvent être protégées par le droit d’auteur, à condition toutefois que celles-ci présentent, dans leurs caractéristiques propres (architecture, choix des données, critères de recherche, etc.), un caractère original et qu’elles ne soient pas une « simple » compilation d’informations. En pratique, il est rare qu’une base de données accède à cette protection, son intérêt reposant en général sur les données contenues plus que sur son agencement », soulignent Alain Hazan et Anita Delaage. Ces données peuvent elles- mêmes être protégées s’il s’agit, par exemple, d’une compilation d’œuvres mais, même lorsque ni les données contenues ni la base ne peuvent prétendre à la protection par le droit d’auteur, un droit dit sui generis peut permettre de protéger cette dernière. « Ainsi, le producteur d’une base de données dispose de droits sur son contenu lorsqu’il a engagé, pour sa constitution, vérification ou présentation, un investissement financier, matériel ou humain substantiel. Il a alors le droit de s’opposer à toute extraction ou réutilisation par mise à disposition au public d’une partie qualitativement ou quantitativement substantielle de sa base ou d’une extraction ou réutilisation non substantielle, mais systématique permettant in fine de reconstituer illicitement sa base », précisent Alain Hazan et Anita Delaage.
En revanche, depuis 2005, la réutilisation des informations publiques est libre, dans le respect de certaines conditions.
Quelles sont les conditions de réutilisation des données publiques ?
Sont considérées comme des données publiques, donc librement réutilisables, les données figurant dans des documents produits ou détenus par des autorités administratives, notamment des informations économiques, géographiques, commerciales, etc. qui peuvent se révéler très utiles pour la création de nouveaux services par des acteurs privés.
Sont toutefois exclues de ce droit de réutilisation, les informations figurant dans des documents qui ne font pas l’objet d’une diffusion publique (documents susceptibles de porter atteinte à des secrets d’État) ou dont la communication ne constitue pas un droit pour toute personne ainsi que les informations contenues dans des documents sur lesquels des tiers détiennent des droits de propriété intellectuelle (images aériennes numériques prises par un photographe).
« Afin de faciliter aux utilisateurs l’accès à ces données, les acteurs publics constituent un répertoire recensant, pour les principaux documents qu’ils détiennent, les éléments facilitant la recherche et la réutilisation des données (date de création et de mise à jour, conditions de réutilisation, etc.). Par la suite, la mise à disposition peut se faire à titre gratuit, avec ou sans autorisation préalable, ou en contrepartie du paiement d’une redevance qui peut, par exemple, servir à couvrir les coûts d’anonymisation, si les données communiquées ont un caractère personnel. En effet, de nombreux documents informatiques comporteront les noms d’administrés et l’Administration sera contrainte d’acquérir des logiciels spéciaux capables de masquer ces derniers en masse. Quant aux documents papiers, un investissement temporel non négligeable devra être entrepris pour masquer ces noms manuellement. En revanche, la redevance ne doit pas être discriminatoire ou supérieure au coût que l’Administration s’impute lorsqu’elle utilise ces informations dans le cadre d’activités commerciales », soulignent Alain Hazan et Anita Delaage.
Une fois en possession des données, le « réutilisateur » peut les exploiter de façon commerciale s’il le souhaite. Cependant, des règles de réutilisation doivent être observées : les données publiques ne doivent pas être altérées, sauf avec l’accord de l’Administration, leur sens ne doit pas être dénaturé et les sources et dates de leur dernière mise à jour doivent être mentionnées.
Pour conclure, il est indéniable que le partage des données, qu’elles aient été récoltées par des personnes privées ou publiques et qu’elles aient un caractère personnel ou non, est une formidable richesse dont les entreprises souhaitant proposer des services innovants ne peuvent pas se passer, à condition toutefois de respecter les règles régissant leur réutilisation.
Linda DUCRET
Rappel Lorsqu’une entreprise collecte des données personnelles relatives à ses différents interlocuteurs (clients, fournisseurs, cocontractants, employés, etc.), elle doit le faire dans un but précis et se cantonner à ce dernier. |
Quelques conseils utiles pour se protéger Des moyens pour sanctionner les abus Réutiliser les données publique |