L’essentiel : La réutilisation des données personnelles dans les archives publiques soulève des enjeux cruciaux. Selon la CNIL, la réutilisation commerciale est encadrée par des règles strictes, notamment l’anonymisation des données sensibles, telles que celles relatives aux origines raciales ou à la santé. Les données concernant les infractions et les mentions d’état civil pouvant porter atteinte à la vie privée doivent également être anonymisées. Pour d’autres données, une autorisation préalable de la CNIL est requise, et les personnes concernées doivent être informées de la finalité de la réutilisation et de leurs droits, y compris celui de demander la suppression de leurs données.

La question du régime de la réutilisation des données personnelles présentes dans les archives publiques est souvent posée. Par sa délibération du n° 2010-460 du 9 décembre 2010 la CNIL a posé les conditions de réutilisation de ces données nominatives.
Le principe de la réutilisation commerciale des données publiques est acquis depuis l’ordonnance du 6 juin 2005 (1) codifiée à la loi no 78-753 du 17 juillet 1978. Cette réutilisation, notamment par le biais des réseaux de communication électronique, doit se faire dans le respect du droit des données personnelles et à l’expiration des délais légaux (2).
En application de la nouvelle recommandation de la CNIL, dans les cas suivants, la réutilisation, à des fins commerciales, de données personnelles contenues dans des documents d’archives est exclue :
i) La réutilisation de données dites sensibles à savoir celles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci. Ces données doivent être anonymisées ;
ii) La réutilisation de données relatives aux infractions, condamnations et mesures de sûreté : ces données doivent également être anonymisées ; iii) La réutilisation de certaines mentions apposées en marge des actes de l’état civil qui sont de nature à porter atteinte à la vie privée des intéressés (exemple : mort en déportation, adoption …). L’obligation d’anonymiser s’applique à ces données.
Pour toutes les autres données personnelles, celles-ci doivent donner lieu à une autorisation ou avis préalable de la CNIL et le suivi de certaines précautions : bien que l’obligation d’information individuelle des personnes concernées ne soit pas obligatoire, la CNIL recommande qu’une information sur i) la finalité de la réutilisation, ii) les catégories de données, iii) les destinataires des données et iii) les modalités d’exercice du droit d’opposition, d’accès, de rectification et de suppression soient portée à la connaissance des personnes intéressées. Ces mêmes personnes disposent du droit d’obtenir la suppression de leurs données sans condition. Ce droit peut être exercé par les héritiers en cas de décès de la personne dont les données personnelles sont traitées.
Sur le volet de la sécurité, la CNIL recommande que les responsables de traitement apportent des limites aux mécanismes d’indexation par les moteurs de recherche, des données personnelles issues d’archives. Comme pour toute donnée personnelle, le responsable du traitement doit prendre toutes précautions utiles pour préserver la sécurité et la confidentialité des données communiquées et pour empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance.

(1) Celle-ci a transposé la directive européenne 2003/98/CE du 17 novembre 2003 : « les informations figurant dans des documents produits ou reçus par les administrations, quel que soit le support, peuvent être utilisées par toute personne qui le souhaite à d’autres fins que celles de la mission de service public pour les besoins de laquelle les documents ont été produits ou reçus… »
(2) Par défaut 75 ans, y compris pour les documents relatifs aux affaires portées devant les juridictions, les registres de naissance et de mariage de l’état civil, les documents dont la communication porte atteinte au secret en matière de statistiques (recensement …). Le délai est de 25 ans à compter de la date du décès de l’intéressé pour les documents dont la communication porte atteinte au secret médical et de 50 ans à compter de la date du document ou du document le plus récent inclus dans le dossier pour les documents dont la communication porte atteinte à la protection de la vie privée, ou les documents qui portent une appréciation ou un jugement de valeur sur une personne physique, nommément désignée ou facilement identifiable, ou qui font apparaître le comportement d’une personne dans des conditions susceptibles de lui porter préjudice.

Q/R juridiques soulevées :

Quelles sont les conditions de réutilisation des données personnelles dans les archives publiques selon la CNIL ?

La CNIL, par sa délibération n° 2010-460 du 9 décembre 2010, a établi des conditions précises pour la réutilisation des données personnelles présentes dans les archives publiques.

Tout d’abord, la réutilisation commerciale des données publiques est permise depuis l’ordonnance du 6 juin 2005, qui a été intégrée dans la loi n° 78-753 du 17 juillet 1978.

Cependant, cette réutilisation doit respecter le droit des données personnelles et se faire après l’expiration des délais légaux.

Quelles données sont exclues de la réutilisation commerciale ?

La CNIL exclut plusieurs catégories de données personnelles de la réutilisation commerciale.

Premièrement, les données sensibles, telles que celles révélant les origines raciales, les opinions politiques, religieuses ou syndicales, ainsi que celles relatives à la santé ou à la vie sexuelle, doivent être anonymisées.

Deuxièmement, les données concernant les infractions, condamnations et mesures de sûreté sont également exclues et doivent être anonymisées.

Enfin, certaines mentions sur les actes d’état civil, qui pourraient porter atteinte à la vie privée, doivent également être anonymisées.

Quelles sont les obligations concernant les autres données personnelles ?

Pour les autres données personnelles, la CNIL exige une autorisation ou un avis préalable avant leur réutilisation.

Bien que l’obligation d’informer individuellement les personnes concernées ne soit pas obligatoire, la CNIL recommande de fournir des informations sur plusieurs points.

Cela inclut la finalité de la réutilisation, les catégories de données, les destinataires des données, ainsi que les modalités d’exercice des droits d’opposition, d’accès, de rectification et de suppression.

Les personnes concernées ont également le droit d’obtenir la suppression de leurs données sans condition, un droit qui peut être exercé par leurs héritiers en cas de décès.

Quelles recommandations la CNIL fait-elle concernant la sécurité des données ?

Concernant la sécurité des données, la CNIL recommande que les responsables de traitement limitent les mécanismes d’indexation par les moteurs de recherche pour les données personnelles issues d’archives.

Il est essentiel que le responsable du traitement prenne toutes les précautions nécessaires pour garantir la sécurité et la confidentialité des données.

Cela inclut des mesures pour empêcher la déformation ou l’endommagement des données, ainsi que pour éviter que des tiers non autorisés n’y aient accès.

Quels sont les délais