Les données sont l’or noir des intelligences artificielles, qui en ont besoin en toujours plus grandes quantités. Elles étaient aussi au cœur des annonces ces derniers temps à cause des fuites très nombreuses en 2024. La CNIL a décidé de publier un rappel sur la réutilisation de bases de données et les vérifications nécessaires pour respecter la loi. Le but étant de vérifier que « leur constitution ou leur partage n’est pas manifestement illicite ».
La Commission distingue deux sources : les bases de données librement mises à disposition sur Internet (hors open data) et celles détenues par un tiers (data broker par exemple). Dans les deux cas, il faut vérifier que l’organisme ou la personne qui partage la base de données respecte la loi. Un exemple évident : « il est interdit de voler ou de diffuser des données volées ».
Mais le responsable du traitement doit aussi « s’assurer que sa constitution ou son partage n’est pas manifestement illicite (par exemple, il est interdit de réutiliser des données provenant d’une fuite de données) ». Si la base de données enfreint manifestement le RGPD, le responsable peut se rendre coupable de recel.
La CNIL rappelle les grandes lignes des obligations : « Le réutilisateur de bases de données doit procéder à des vérifications, mais sans nécessairement aller jusqu’à des vérifications approfondies sur le respect de l’ensemble des règles du RGPD ou d’autres règles juridiques applicables (droit d’auteur, données couvertes par le secret des affaires, etc.) par le tiers qui a constitué ou mis à disposition la base de données ».
La Commission détaille des points importants à vérifier : sources, origine, présence de données sensibles (qui nécessitent des vérifications supplémentaires), etc. Enfin, elle recommande de conclure un accord avec le détenteur initial.
L’année dernière, elle avait déjà mis en ligne des recommandations sur l’ouverture et réutilisation de données personnelles sur Internet.