Le concept de “domaine public” doit être analysé de manière adéquate dans le contexte des réseaux sociaux. Si le chercheur ou l’innovateur en TIC a dû s’inscrire auprès d’une communauté d’utilisateurs afin d’avoir accès à des données spécifiques, ces données ne sont pas publiques : il s’agit de données que les personnes concernées ont souhaité partager exclusivement avec une communauté d’utilisateurs et selon les termes et conditions déterminés par le réseau social en question, qui sont acceptés au moment où les utilisateurs créent leur profil. Si les chercheurs sont en mesure d’accéder à un profil ou à d’autres types de données de médias sociaux sur un site simplement parce qu’ils sont des utilisateurs enregistrés, cela ne revient pas à dire que ces informations sont accessibles au public. Il est donc absolument essentiel pour le chercheur ou l’innovateur en TIC d’avoir une connaissance précise de ces conditions, qui peuvent différer sensiblement d’un réseau social à l’autre.
En outre, même si les données sont dans le domaine public, cela ne signifie pas du tout que vous pouvez les utiliser à des fins autres que celles pour lesquelles elles ont été rendues publiques. C’est extrêmement important, car dans le cas contraire, vous pourriez encourir des responsabilités juridiques.
| L’affaire Equifax : l’utilisation des données de l’espace public ne constitue pas nécessairement un traitement légitime
Equifax est une société qui a obtenu des données du portail d’information utilisé par les administrations publiques pour transmettre des informations aux citoyens. À partir de ces données, elle a créé un fichier qui transmettait soi-disant des informations sur la solvabilité des citoyens. Tout cela, sans informer les personnes concernées de ces traitements et en utilisant l’intérêt légitime de l’entreprise comme base de légitimité. Le 26 avril 2021, l’Agence espagnole de protection des données (AEPD) a condamné Equifax à une amende d’un million d’euros pour violation de la réglementation sur la protection des données, a interdit la poursuite de l’utilisation de ce fichier, a ordonné la suppression de toutes les données des personnes concernées et a ordonné à Equifax de notifier à toutes les entreprises qui ont consulté son fichier le contenu de cette résolution afin qu’elles fassent de même et cessent d’utiliser ces données. Cet arrêt est d’une grande importance pour plusieurs raisons. La première est qu’il s’agit de la première sanction majeure découlant du changement de critères apporté par le RGPD et le règlement national (LOPDgdd) concernant l’utilisation des sources accessibles au public : le fait que les données soient accessibles au public ne signifie pas qu’elles peuvent être utilisées à n’importe quelle fin et sans autre explication. Dans la précédente loi espagnole, la LOPD de 1999, ce critère n’était pas aussi clair et semblait être le contraire. Dans sa résolution, l’AEPD a rappelé que (1) toute utilisation secondaire des données doit être compatible avec la finalité initiale pour laquelle elles ont été collectées (principe de limitation de la finalité du traitement des données, article 5.1.b du RGPD), (2) elle doit avoir sa base de légitimation (il ne suffit pas d’alléguer que les données proviennent de sources accessibles au public), et que (3) la personne concernée doit être notifiée de l’utilisation secondaire de ses données. L’amende de 1 million d’euros était fondée sur la violation du principe de limitation de la finalité. |