La commercialisation des données personnelles dans la ligne de mire de la CNIL !

Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Avocat

Le 12 mai 2016, la CNIL a dévoilé son programme des contrôles de l’année et annonce réaliser entre 400 et 450 contrôles sur place, sur audition, sur pièces et en ligne.

Le 12 mai 2016, la CNIL a dévoilé son programme des contrôles de l’année et annonce réaliser entre 400 et 450 contrôles sur place, sur audition, sur pièces et en ligne.

Attireront prioritairement l’attention de la CNIL, les traitements de données à caractère personnel mis en œuvre dans le cadre :

(i) du Système National D’information Inter-Régimes de l’Assurance Maladie (SNIIRAM) a été créé en 1999 ;
(ii) du système API-PNR (Advance Passenger Information-Passenger Name Record) ;
(iii) des activités des courtiers en données (Data Brokers).

Si les deux premières thématiques de contrôle concernent un nombre restreint de responsables de traitement, les contrôles réalisés sur les fichiers des Data Brokers, pourront avoir des impacts plus importants pour une large partie des entreprises françaises et internationales tant la commercialisation des fichiers de données personnelles est croissante et s’apparente de plus en plus à une activité économique réelle des entreprises.

1. Le développement du courtage de données

Les Data Brokers sont des intermédiaires faisant le lien entre les entreprises qui collectent des données personnelles, et celles souhaitant les acquérir pour une utilisation dans le cadre de leur activité économique.

Généralement récupérées depuis internet, les données sont ensuite classées par catégorie afin de constituer des fichiers structurés et « qualifiés » en vue d’être (re)vendus.

Toutes les catégories de données personnelles sont concernées. Il peut aussi bien s’agir de données d’état civil uniquement que de données sensibles (telles qu’un numéro de sécurité sociale, le pays d’origine, la religion ou l’affiliation à un parti politique), des données financières (telles que le type de carte de paiement utilisée) ou encore des données comportementales (telles que les habitudes de consommation, de déplacement…).

Les fichiers constitués par les Data brokers peuvent représenter une réelle opportunité pour les entreprises d’acquérir des données valorisées et pertinentes.

2. Les points d’attention de la CNIL

Dans le cadre des contrôles de la CNIL, cette dernière indique qu’elle veillera particulièrement à vérifier :

  • le respect des obligations de pertinence des données ;
  • l’information et le consentement des personnes concernées ;
  • le respect des droits prévus par la loi Informatique et libertés ;
  • les mesures de sécurité attachées aux fichiers.

En effet, ces points méritent une attention particulière lorsqu’il s’agit de fichiers commercialisés par les Data Brokers, compte tenu du fait que la provenance des données est multiple et variée et que les Data Brokers n’ont aucun contact direct avec les personnes concernées.

En telle situation, difficile de s’assurer que ces dernières ont bien été informées du traitement de leurs données, d’autant plus que leur commercialisation ultérieure au moment de la collecte initiale pouvait ne pas être prévue.

Les entreprises qui souhaitent acquérir ces fichiers, doivent par ailleurs, redoubler de vigilance car, en faisant l’acquisition et en réutilisant ces données pour les finalités qu’elles détermineront, elles seront qualifiées de responsable de traitement.

Cette qualité fera peser sur elles la responsabilité sur les données depuis leur collecte initiale.

Cette responsabilité, ne pourrait être limitée, même par voie contractuelle.

En conséquence, même si le contrat conclu avec le Data Broker prévoit une garantie en cas de violation de la règlementation applicable en matière de protection des données personnelles, tout manquement, notamment en cas d’absence de consentement ou d’information de la personne concernée de la commercialisation et de la réutilisation de ses données, sera imputable à cette entreprise. Lui sera alors reproché la violation des droits des personnes ainsi qu’éventuellement un détournement de finalité, si celle qu’elle poursuit n’est pas compatible avec celle(s) pour la/lesquelle(s) les données ont été collectées initialement.

Notons que la réforme européenne du droit des données personnelles prévoit un cadre stricte pour le recueil de consentement.

Celui-ci devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement de ses données.

Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité.

Par ailleurs, l’information délivrée à la personne concernée doit également être précise puisque doivent notamment lui être indiqués – lorsque les données ne sont pas collectées directement auprès d’elle, comme tel est le cas des données contenues dans les fichiers de Data Brokers – la source d’où proviennent les données, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public ainsi que l’existence d’un profilage.

Les contraintes juridiques rendent particulièrement sensibles la commercialisation de données à caractère personnel par des Data Broker qui ne sont pas ou peu en mesure de respecter la règlementation applicable, ce qui a pour conséquence directe de fragiliser les traitements mis en œuvres par les entreprises qui achètent ces données.

En conséquence, si les fichiers des Data Brokers peuvent se révéler être une vrai mine d’or pour les entreprises, leur utilisation devra être soigneusement limitée et étudiée par les celles souhaitant les acquérir.

Sommaire

Autres articles

some
Publication d’un avis de la Commission Supérieure du Numérique et des Postes portant recommandations dans le domaine de la sécurité numérique
La CSNP a publié [...] un avis portant recommandations dans le domaine de la sécurité numérique, et plaidant notamment pour la création d’un parquet national consacré à la cybercriminalité et pour la création d’un dispositif dédié au paiement des rançons
some
Le Conseil d’Etat se prononce sur la conservation des données de connexion à des fins de sauvegarde de la sécurité nationale
Dans une décision en date du 21 avril 2021, le Conseil d’Etat s’est prononcé sur la conformité du droit français au droit européen en matière de conservation des données de connexion par les fournisseurs de services de communications électroniques.
some
La cour d’appel de Paris apporte des précisions sur le régime applicable en matière de violation de licence de logiciel
La cour d’appel de Paris a, dans un arrêt du 19 mars 2021, considéré que la violation d’un contrat de licence de logiciel ne relevait pas de la responsabilité délictuelle mais de la responsabilité contractuelle.
some
Le révolutionnaire avis client
À l’heure où le marketing traditionnel est remis en cause, l’importance de l’avis client est grandissante. 88 % des internautes consultent les avis clients avant un achat en ligne et 73 % avant un achat en boutique .
some
La Commission européenne apporte des éclaircissements concernant les transferts de données personnelles vers le Royaume Uni
La Commission européenne a annoncé avoir engagé des démarches pour autoriser de façon générale les transferts de données à caractère personnel vers le Royaume Uni en publiant le 19 février 2021 deux projets de décisions dites « d’adéquation ».
some
Blocage de sites proposant des produits contrefaisants
En cas d’atteinte à une marque, le titulaire de celle-ci peut solliciter des mesures de blocage d’accès à des sites internet auprès des FAI sur le fondement de l’article 6-I-8 de la LCEN.