Accueil 5 News 5 Base de données : comment faire du neuf avec du vieux !

Base de données : comment faire du neuf avec du vieux !

par | 23 Jan 2025

La réutilisation des bases de données est une pratique courante dans de nombreux secteurs, allant de la recherche scientifique à la gestion des entreprises. Cependant, cette pratique soulève des questions juridiques et éthiques importantes. Pour garantir que la réutilisation des bases de données respecte la loi, plusieurs vérifications sont nécessaires. Cet article explore ces vérifications et les principes juridiques sous-jacents.

Introduction à la réutilisation des bases de données

La réutilisation des bases de données consiste à utiliser des données existantes pour des fins autres que celles pour lesquelles elles ont été initialement collectées. Cette pratique peut offrir de nombreux avantages, notamment la réduction des coûts de collecte de données, l’amélioration de l’efficacité et la possibilité de découvrir de nouvelles informations. Cependant, elle comporte également des risques, notamment en matière de protection des données personnelles et de respect des droits de propriété intellectuelle.

Protection des données personnelles

L’une des principales préoccupations lors de la réutilisation des bases de données est la protection des données personnelles. En Europe, le Règlement général sur la protection des données (RGPD) impose des obligations strictes aux organisations qui traitent des données personnelles. Pour respecter le RGPD, plusieurs vérifications sont nécessaires :
  • Consentement : il est essentiel de vérifier que les personnes concernées ont donné leur consentement pour la réutilisation de leurs données. Le consentement doit être libre, spécifique, éclairé et univoque.
  • Finalité : les données doivent être réutilisées pour des finalités compatibles avec celles pour lesquelles elles ont été initialement collectées. Toute nouvelle finalité doit être clairement définie et justifiée.
  • Minimisation des données : seules les données nécessaires pour atteindre les objectifs de la réutilisation doivent être collectées et traitées. Les données superflues doivent être supprimées.
  • Sécurité : des mesures de sécurité appropriées doivent être mises en place pour protéger les données contre les accès non autorisés, les pertes ou les destructions.

Droits de propriété intellectuelle

La réutilisation des bases de données peut également soulever des questions de droits de propriété intellectuelle. En Europe, la Directive sur la protection juridique des bases de données (Directive 96/9/CE) protège les bases de données contre les utilisations non autorisées. Pour respecter cette directive, plusieurs vérifications sont nécessaires :
  • Droits d’auteur : il est important de vérifier que la réutilisation des données ne viole pas les droits d’auteur. Les bases de données peuvent être protégées par le droit d’auteur si elles sont originales et créatives.
  • Droits sui generis : en plus des droits d’auteur, les bases de données peuvent être protégées par des droits sui generis, qui protègent les investissements substantiels en termes de temps, d’argent et d’efforts pour créer la base de données.
  • Licences et accords : il est essentiel de vérifier les licences et les accords contractuels qui régissent l’utilisation des bases de données. Les conditions d’utilisation doivent être respectées, et toute réutilisation doit être conforme aux termes de ces accords.

Vérifications nécessaires pour la réutilisation des bases de données

Les responsables de traitement qui utilisent des bases de données librement mises à disposition sur Internet ou fournies par un tiers doivent vérifier que leur constitution ou leur partage n’est pas manifestement illicite. La CNIL rappelle les vérifications à réaliser.

Vérifier la source des données

La description de la base de données doit mentionner sa source. Par exemple, une base de données constituée à partir de publications sur un réseau social professionnel dont le nom est précisé peut être considérée comme légitime. À l’inverse, une base de données contenant des images de vidéosurveillance sans précision de la source ne devrait pas être réutilisée avant d’avoir obtenu davantage de précisions.

Vérifier l’origine légale des données

La constitution ou la diffusion de la base de données ne doit pas résulter manifestement d’un crime ou d’un délit. Il n’y a pas eu de condamnation ou de sanction publique de la part d’une autorité compétente entraînant une suppression ou une interdiction d’exploiter ultérieurement les données. Par exemple, l’achat d’une base de données sur le dark web provenant d’une fuite ou d’un vol de données est manifestement illicite.

Documenter l’origine des données

L’origine des données doit être suffisamment documentée pour qu’il n’y ait pas de doute flagrant sur le fait que la base de données est licite. Par exemple, une base de données compilant les trajets domicile-travail de milliers de personnes sans leur consentement peut être illicite. À l’inverse, une base de données pseudonymisées, initialement rendues publiques par les personnes concernées sur un site web identifié et qui ne contiendrait pas de données sensibles, peut être considérée comme légitime.

Vérifier l’absence de données sensibles ou d’infraction

La base de données ne doit pas contenir de données sensibles ou de données d’infraction. Si elle en contient, il est recommandé de mener des vérifications supplémentaires pour s’assurer que la constitution de la base de données ou sa mise à disposition est licite. Par exemple, pour les données sensibles, il s’agit principalement de s’assurer du recueil d’un consentement explicite des personnes concernées, ou que les données ont été manifestement rendues publiques par ces dernières.

S’assurer de la conformité de son propre traitement de données

Ces vérifications préalables n’exonèrent pas l’organisme qui réutilise la base de données d’une analyse complète de la conformité de ses propres traitements au RGPD et à la loi. Il est essentiel d’identifier une base légale, de recueillir le consentement explicite pour le traitement de données sensibles, et de réaliser une analyse d’impact relative à la protection des données (AIPD).

Encadrer les relations avec le détenteur des données

La CNIL recommande la conclusion d’un accord entre le détenteur initial des données afin de permettre de s’assurer que la réutilisation des données est licite. Cet accord doit inclure des indications telles que la source, le contexte de la collecte des données, la base légale du traitement, et les mentions d’information des personnes.

Cas pratiques et études de cas

Pour illustrer les principes et les vérifications nécessaires pour la réutilisation des bases de données, plusieurs cas pratiques et études de cas peuvent être examinés. Par exemple, une entreprise de santé qui réutilise des données médicales pour la recherche doit s’assurer que les données sont anonymisées, que les patients ont donné leur consentement et que les résultats de la recherche sont utilisés de manière éthique. De même, une entreprise de marketing qui réutilise des données de consommateurs pour cibler des campagnes publicitaires doit s’assurer que les données sont utilisées de manière transparente et que les consommateurs ont la possibilité de s’opposer à cette utilisation.

Techniques de protection des données

Pour protéger les données personnelles lors de la réutilisation des bases de données, plusieurs techniques peuvent être employées :
  • Anonymisation : l’anonymisation consiste à supprimer ou à modifier les informations personnelles de manière à ce qu’elles ne puissent plus être associées à une personne identifiable. Cela peut inclure la suppression des noms, des adresses, et des numéros d’identification.
  • Pseudonymisation : la pseudonymisation remplace les informations personnelles par des pseudonymes ou des identifiants artificiels. Contrairement à l’anonymisation, la pseudonymisation permet de réidentifier les individus si nécessaire, mais elle offre une couche de protection supplémentaire.
  • Chiffrement : le chiffrement des données garantit que seules les personnes autorisées peuvent accéder aux informations sensibles. Les données chiffrées sont illisibles sans la clé de déchiffrement appropriée.

Réglementations internationales

La protection des données personnelles est une préoccupation mondiale, et différents pays ont mis en place des réglementations spécifiques pour protéger les données des individus. Par exemple, aux États-Unis, le California Consumer Privacy Act (CCPA) offre des protections similaires à celles du RGPD en Europe. En Asie, des pays comme le Japon et la Corée du Sud ont également mis en place des lois strictes sur la protection des données. Comparer ces réglementations peut offrir une perspective internationale sur les meilleures pratiques en matière de protection des données.

Outils et ressources

Pour aider les organisations à se conformer aux réglementations sur la protection des données, plusieurs outils et ressources sont disponibles :
  • Logiciels de gestion de la conformité : des logiciels spécialisés peuvent aider les organisations à gérer la conformité au RGPD et à d’autres réglementations sur la protection des données. Ces outils peuvent automatiser les processus de vérification, de documentation et de rapport.
  • Formations et certifications : des formations et des certifications en protection des données peuvent aider les professionnels à acquérir les compétences nécessaires pour gérer les données de manière conforme. Des certifications comme le Certified Information Privacy Professional (CIPP) sont reconnues internationalement.
  • Guides et documentations : la CNIL et d’autres autorités de protection des données publient des guides et des documentations pour aider les organisations à comprendre et à appliquer les réglementations sur la protection des données.

Impact des nouvelles technologies

Les nouvelles technologies, comme l’intelligence artificielle et le big data, ont un impact significatif sur la réutilisation des bases de données. Par exemple, l’intelligence artificielle peut être utilisée pour analyser de grandes quantités de données et découvrir des informations précieuses. Cependant, cela soulève également des questions éthiques et juridiques, notamment en matière de biais algorithmique et de transparence. Il est essentiel de s’assurer que les nouvelles technologies sont utilisées de manière éthique et conforme aux réglementations sur la protection des données.

Études de cas détaillées

Pour mieux comprendre les défis et les solutions liés à la réutilisation des bases de données, examinons quelques études de cas détaillées :

Étude de cas : réutilisation de données médicales

Une entreprise de santé souhaite réutiliser des données médicales pour la recherche scientifique. Les données proviennent de plusieurs hôpitaux et cliniques qui ont partagé leurs bases de données. Pour s’assurer de la conformité, l’entreprise doit vérifier que les patients ont donné leur consentement pour la réutilisation de leurs données. De plus, les données doivent être anonymisées pour protéger la vie privée des patients. L’entreprise doit également réaliser une analyse d’impact relative à la protection des données (AIPD) pour identifier et atténuer les risques potentiels.

Étude de cas : marketing et prospection commerciale

Une entreprise de marketing souhaite réutiliser des données de consommateurs pour cibler des campagnes publicitaires. Les données proviennent de diverses sources, y compris des réseaux sociaux et des sites de commerce électronique. Pour s’assurer de la conformité, l’entreprise doit vérifier que les consommateurs ont donné leur consentement pour l’utilisation de leurs données à des fins de marketing. De plus, l’entreprise doit s’assurer que les données sont utilisées de manière transparente et que les consommateurs ont la possibilité de s’opposer à cette utilisation. L’entreprise doit également mettre en place des mesures de sécurité appropriées pour protéger les données contre les accès non autorisés.

Étude de cas : développement de systèmes d’intelligence artificielle

Une entreprise technologique souhaite réutiliser des bases de données pour développer des systèmes d’intelligence artificielle. Les données proviennent de diverses sources, y compris des bases de données publiques et des données fournies par des tiers. Pour s’assurer de la conformité, l’entreprise doit vérifier que la constitution ou le partage des bases de données n’est pas manifestement illicite. De plus, l’entreprise doit s’assurer que les données sont utilisées de manière éthique et transparente. L’entreprise doit également réaliser une analyse d’impact relative à la protection des données (AIPD) pour identifier et atténuer les risques potentiels liés à l’utilisation de l’intelligence artificielle.

Garantir une réutilisation éthique et conforme des bases de données

La réutilisation des bases de données offre de nombreuses opportunités, mais elle comporte également des risques juridiques et éthiques. Pour garantir que cette pratique respecte la loi, plusieurs vérifications sont nécessaires, notamment en matière de protection des données personnelles, de droits de propriété intellectuelle, de transparence et de responsabilité. En respectant ces principes, les organisations peuvent tirer parti des avantages de la réutilisation des bases de données tout en protégeant les droits et les intérêts des individus concernés.

Publications connexes

  1. La charte informatique, dans le contexte du règlement général sur la protection des données (RGPD)
  2. Une analyse de risque, mais pourquoi faire ?
  3. Guide sur les modifications des traitements de données personnelles : démarches et recommandations
  4. La responsabilité du maire en matière de données personnelles : un engagement crucial pour la protection des citoyens
  5. Données à caractère personnel : comment la CNIL effectue ses contrôles ?

Carlos BARBOSA | Juriste spécialisé RGPD
Il accompagne les entreprises et les administrations tout au long de leur démarche de conformité, veillant à ce que les exigences légales en matière de protection des données personnelles soient pleinement respectées. Grâce à son expertise juridique, Carlos aide les organisations à naviguer dans les complexités du cadre réglementaire, garantissant ainsi une conformité optimale et une gestion rigoureuse des informations sensibles.

Cyberlégal

cyberlegal.fr

Accompagnement juridique & veille réglementaire dédiée à la technologie de l’information

Plus de détail

Logo CERT-FR

CERT-FR
Alertes de sécurité

Site web CERT-FR

Services

CSM Cybersécurité Audit SSI, audit informatique en Corse à bastia et Ajaccio

Audit SSI

Audit RGPD de votre structure : Charte informatique, politique de sécurité des systèmes d'information (PSSI), registre des activités de traitement, gestion des sous-traitants dans la conformité RGPD, expertise RGPD de notre juriste. cabinet CSM - Cybersécurité Management en Corse à Ajaccio et Bastia.

Audit RGPD

Soc Managé par CSM Cybersécurité Management en Corse sur Bastia et Ajaccio une analyse constantes de l’activité sur les postes de travail et serveurs.

SOC managé

Auteurs blog

Publications Carlos BARBOSA

Publications Arnaud BASCOU

Publications CSM

Dernières publications