Ses recommandations complètent celles diffusées dans le guide sur l’ouverture et la réutilisation des données publiques qu’elle a co-édité, en 2019, avec la commission d’accès aux documents administratifs (CADA).
Avant de diffuser des données personnelles, la Cnil appelle à clarifier les responsabilités. Quand une ou plusieurs collectivités décident d’utiliser une plateforme hébergée par un tiers (ex. la plateforme «data.gouv.fr »), elles restent responsables du traitement mis en œuvre.
La licéité du traitement est ensuite primordiale : la commune doit s’assurer qu’elle a le droit de diffuser le jeu de données. Le décret n° 2018-1117 du 10 décembre 2018 fixe la liste des catégories de documents pouvant être publiés par les administrations sans faire l’objet d’une anonymisation préalable. Elle contient plusieurs jeux de données couramment demandés aux communes : noms et coordonnées des élus, organigrammes et annuaires ou encore le registre des associations et la liste des gîtes.
La diffusion peut reposer sur une mission d’intérêt public, une obligation légale ou un consentement explicite des personnes. Lorsque cette diffusion ne s’impose pas aux collectivités, les citoyens doivent pouvoir s’y opposer.
Dans tous les cas, ils doivent avoir la faculté d’exercer leurs droits d’accès et de rectification. Cette faculté concerne aussi les données diffusées automatiquement, via un connecteur web ou API (interface de programmation d’application).
Lorsqu’une commune choisit de diffuser des données personnelles, elle doit se poser la question des informations à diffuser au regard de leur intérêt pour le public et des risques pour les personnes concernées. C’est particulièrement vrai pour la diffusion des moyens de contact : un e-mail générique (contact@) est moins intrusif qu’un e-mail personnel ou un numéro de téléphone mobile personnel, qui sont à protéger au titre de la vie privée.
Pour les élus, on privilégiera une adresse é[email protected] «Lorsque c’est possible », la CNIL invite à anonymiser ou à pseudonymiser les données personnelles (patronyme aléatoire…). Dans le cas d’une consultation publique, par exemple, la commune pourra citer l’avis de citoyens tout en changeant leur patronyme pour préserver leur vie privée.
Au-delà des données nominatives, certaines données, par croisement, peuvent aboutir à une réidentification. C’est par exemple le cas pour une carte indiquant l’impôt moyen payé par les habitants dans des zones resserrées où certaines, peu peuplées, ne comprendront qu’un seul foyer fiscal.
La collecte massive de données personnelles sur internet est en pleine expansion, y compris pour des motifs légitimes. Par exemple, les études portant sur la notoriété et l’attractivité d’un territoire reposent sur la collecte et l’analyse de commentaires et d’autres publications sur les réseaux sociaux.
Certaines administrations centrales, fiscales et douanières en particulier, sont, de leur côté, autorisées par des textes à utiliser l’intelligence artificielle (IA) pour repérer la fraude à partir des publications sur les réseaux sociaux.
La CNIL veut encadrer ces pratiques. Elle rappelle l’obligation de collecter «ces données de manière licite et loyale », en se limitant à la collecte des seules «données pertinentes » et, au moins dans certains cas, «librement accessibles » (sans création de compte). Les réutilisateurs de données doivent s’assurer de la suppression des données non pertinentes.