Le magazine des maires et présidents d'intercommunalité
Maires de France
Pratique
04/02/2025 JANVIER 2025 - n°430
Numérique, réseaux sociaux

Données personnelles : les règles de diffusion et de réutilisation

La Commission nationale de l'informatique et des libertés a publié ses recommandations sur l'ouverture et la réutilisation des données publiées sur internet.

Par Olivier Devillers
© AdobeStock
Contrairement à une idée reçue, la publication et la réutilisation de données personnelles est légale mais elle est fortement encadrée. La Commission nationale de l’informatique et des libertés (CNIL) a publié, en juin, des fiches pratiques sur ce sujet qui concerne les communes, en tant que diffuseurs de données, et tous les réutilisateurs de données.

Ses recommandations complètent celles diffusées dans le guide sur l’ouverture et la réutilisation des données publiques qu’elle a co-édité, en 2019, avec la commission d’accès aux documents administratifs (CADA).  
 

I - Déterminer ce que l’on peut diffuser

Avant de diffuser des données personnelles, la Cnil appelle à clarifier les responsabilités. Quand une ou plusieurs collectivités décident d’utiliser une plateforme hébergée par un tiers (ex. la plateforme «data.gouv.fr »), elles restent responsables du traitement mis en œuvre.  

La licéité du traitement est ensuite primordiale : la commune doit s’assurer qu’elle a le droit de diffuser le jeu de données. Le décret n° 2018-1117 du 10 décembre 2018 fixe la liste des catégories de documents pouvant être publiés par les administrations sans faire l’objet d’une anonymisation préalable. Elle contient plusieurs jeux de données couramment demandés aux communes : noms et coordonnées des élus, organigrammes et annuaires ou encore le registre des associations et la liste des gîtes.

La diffusion peut reposer sur une mission d’intérêt public, une obligation légale ou un consentement explicite des personnes. Lorsque cette diffusion ne s’impose pas aux collectivités, les citoyens doivent pouvoir s’y opposer.

Dans tous les cas, ils doivent avoir la faculté d’exercer leurs droits d’accès et de rectification. Cette faculté concerne aussi les données diffusées automatiquement, via un connecteur web ou API (interface de programmation d’application).  
 

II - Minimiser les données

Lorsqu’une commune choisit de diffuser des données personnelles, elle doit se poser la question des informations à diffuser au regard de leur intérêt pour le public et des risques pour les personnes concernées. C’est particulièrement vrai pour la diffusion des moyens de contact : un e-mail générique (contact@) est moins intrusif qu’un e-mail personnel ou un numéro de téléphone mobile personnel, qui sont à protéger au titre de la vie privée.

Pour les élus, on privilégiera une adresse é[email protected] «Lorsque c’est possible », la CNIL invite à anonymiser ou à pseudonymiser les données personnelles (patronyme aléatoire…). Dans le cas d’une consultation publique, par exemple, la commune pourra citer l’avis de citoyens tout en changeant leur patronyme pour préserver leur vie privée.

Au-delà des données nominatives, certaines données, par croisement, peuvent aboutir à une réidentification. C’est par exemple le cas pour une carte indiquant l’impôt moyen payé par les habitants dans des zones resserrées où certaines, peu peuplées, ne comprendront qu’un seul foyer fiscal.  
 

III - Aspirer des données pertinentes

La collecte massive de données personnelles sur internet est en pleine expansion, y compris pour des motifs légitimes. Par exemple, les études portant sur la notoriété et l’attractivité d’un territoire reposent sur la collecte et l’analyse de commentaires et d’autres publications sur les réseaux sociaux.

Certaines administrations centrales, fiscales et douanières en particulier, sont, de leur côté, autorisées par des textes à utiliser l’intelligence artificielle (IA) pour repérer la fraude à partir des publications sur les réseaux sociaux.

La CNIL veut encadrer ces pratiques. Elle rappelle l’obligation de collecter «ces données de manière licite et loyale », en se limitant à la collecte des seules «données pertinentes » et, au moins dans certains cas, «librement accessibles » (sans création de compte). Les réutilisateurs de données doivent s’assurer de la suppression des données non pertinentes.
 

Prévoir un stockage sécurisé
La vigilance sur l’accessibilité des données personnelles s’impose d’autant plus qu’elles peuvent être détournées pour mener des cyberattaques de type hameçonnage. Un équilibre est donc à trouver entre les obligations de transparence et de protection des données. La sécurité du serveur (local ou distant) est, à cet égard, un point sensible. Il convient aussi d’isoler techniquement les données dont la confidentialité doit être assurée (enfants scolarisés, élections, bénéficiaires sociaux…) de celles pouvant être diffusées.

 

Suivez Maires de France sur

Couverture

Cet article a été publié dans l'édition :

n°430 - JANVIER 2025
Retrouver tous les articles de ce numéro :
Les offres d’abonnement
Toutes les éditions
Logo

Maires de France est le magazine de référence des maires et élus locaux. Chaque mois, il vous permet de décrypter l'actualité, de partager vos solutions de gestion et vous accompagne dans l'exercice de votre mandat. Son site Internet, mairesdefrance.com, vous permet d’accéder à toute l'information dont vous avez besoin, où vous voulez, quand vous voulez et sur le support de votre choix (ordinateur, tablette, smartphone, ...).