La commercialisation des données personnelles dans la ligne de mire de la CNIL !

Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Counsel

Le 12 mai 2016, la CNIL a dévoilé son programme des contrôles de l’année et annonce réaliser entre 400 et 450 contrôles sur place, sur audition, sur pièces et en ligne.

Le 12 mai 2016, la CNIL a dévoilé son programme des contrôles de l’année et annonce réaliser entre 400 et 450 contrôles sur place, sur audition, sur pièces et en ligne.

Attireront prioritairement l’attention de la CNIL, les traitements de données à caractère personnel mis en œuvre dans le cadre :

(i) du Système National D’information Inter-Régimes de l’Assurance Maladie (SNIIRAM) a été créé en 1999 ;
(ii) du système API-PNR (Advance Passenger Information-Passenger Name Record) ;
(iii) des activités des courtiers en données (Data Brokers).

Si les deux premières thématiques de contrôle concernent un nombre restreint de responsables de traitement, les contrôles réalisés sur les fichiers des Data Brokers, pourront avoir des impacts plus importants pour une large partie des entreprises françaises et internationales tant la commercialisation des fichiers de données personnelles est croissante et s’apparente de plus en plus à une activité économique réelle des entreprises.

1. Le développement du courtage de données

Les Data Brokers sont des intermédiaires faisant le lien entre les entreprises qui collectent des données personnelles, et celles souhaitant les acquérir pour une utilisation dans le cadre de leur activité économique.

Généralement récupérées depuis internet, les données sont ensuite classées par catégorie afin de constituer des fichiers structurés et « qualifiés » en vue d’être (re)vendus.

Toutes les catégories de données personnelles sont concernées. Il peut aussi bien s’agir de données d’état civil uniquement que de données sensibles (telles qu’un numéro de sécurité sociale, le pays d’origine, la religion ou l’affiliation à un parti politique), des données financières (telles que le type de carte de paiement utilisée) ou encore des données comportementales (telles que les habitudes de consommation, de déplacement…).

Les fichiers constitués par les Data brokers peuvent représenter une réelle opportunité pour les entreprises d’acquérir des données valorisées et pertinentes.

2. Les points d’attention de la CNIL

Dans le cadre des contrôles de la CNIL, cette dernière indique qu’elle veillera particulièrement à vérifier :

  • le respect des obligations de pertinence des données ;
  • l’information et le consentement des personnes concernées ;
  • le respect des droits prévus par la loi Informatique et libertés ;
  • les mesures de sécurité attachées aux fichiers.

En effet, ces points méritent une attention particulière lorsqu’il s’agit de fichiers commercialisés par les Data Brokers, compte tenu du fait que la provenance des données est multiple et variée et que les Data Brokers n’ont aucun contact direct avec les personnes concernées.

En telle situation, difficile de s’assurer que ces dernières ont bien été informées du traitement de leurs données, d’autant plus que leur commercialisation ultérieure au moment de la collecte initiale pouvait ne pas être prévue.

Les entreprises qui souhaitent acquérir ces fichiers, doivent par ailleurs, redoubler de vigilance car, en faisant l’acquisition et en réutilisant ces données pour les finalités qu’elles détermineront, elles seront qualifiées de responsable de traitement.

Cette qualité fera peser sur elles la responsabilité sur les données depuis leur collecte initiale.

Cette responsabilité, ne pourrait être limitée, même par voie contractuelle.

En conséquence, même si le contrat conclu avec le Data Broker prévoit une garantie en cas de violation de la règlementation applicable en matière de protection des données personnelles, tout manquement, notamment en cas d’absence de consentement ou d’information de la personne concernée de la commercialisation et de la réutilisation de ses données, sera imputable à cette entreprise. Lui sera alors reproché la violation des droits des personnes ainsi qu’éventuellement un détournement de finalité, si celle qu’elle poursuit n’est pas compatible avec celle(s) pour la/lesquelle(s) les données ont été collectées initialement.

Notons que la réforme européenne du droit des données personnelles prévoit un cadre stricte pour le recueil de consentement.

Celui-ci devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement de ses données.

Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité.

Par ailleurs, l’information délivrée à la personne concernée doit également être précise puisque doivent notamment lui être indiqués – lorsque les données ne sont pas collectées directement auprès d’elle, comme tel est le cas des données contenues dans les fichiers de Data Brokers – la source d’où proviennent les données, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public ainsi que l’existence d’un profilage.

Les contraintes juridiques rendent particulièrement sensibles la commercialisation de données à caractère personnel par des Data Broker qui ne sont pas ou peu en mesure de respecter la règlementation applicable, ce qui a pour conséquence directe de fragiliser les traitements mis en œuvres par les entreprises qui achètent ces données.

En conséquence, si les fichiers des Data Brokers peuvent se révéler être une vrai mine d’or pour les entreprises, leur utilisation devra être soigneusement limitée et étudiée par les celles souhaitant les acquérir.

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…