Réutilisation de données par des annuaires en ligne : quels droits pour les professionnels concernés ?
Si vous exercez une activité commerciale, artisanale ou libérale, vos données professionnelles figurant dans les registres officiels publiés sur Internet peuvent être réutilisées par des organismes pour publier ou enrichir de nouveaux annuaires en ligne. Cette réutilisation doit respecter différentes règles.
La CNIL reçoit de nombreuses plaintes, en particulier de la part de médecins et d’avocats qui, en tapant leurs nom et prénom sur un moteur de recherche, découvrent l’existence d’annuaires thématiques ou généralistes intégrant généralement leurs données professionnelles au sein de fiches / encarts / profils individuels. Bien que déjà publiquement accessibles et d’ordre professionnel, ces données sont des données personnelles. Dès lors, elles ne peuvent être réutilisées par les éditeurs de tels annuaires que dans le respect du règlement général sur la protection des données (RGPD).
Comment sont constitués ces annuaires en ligne ?
Ces annuaires sont élaborés à partir de données publiquement accessibles, notamment celles figurant dans les registres officiels obligatoirement diffusés sur Internet :
- les annuaires d’avocats publiés par le Conseil national des barreaux et les ordres des avocats des différents barreaux français ;
- l’ « Annuaire Santé » diffusé par l’Agence du numérique en santé et intégrant notamment le répertoire partagé des professionnels intervenant dans le système de santé (RPPS), etc.
En plus de vos données d’identité et de contact professionnels, ces annuaires peuvent recenser des données très diverses, comme :
- votre photographie ;
- vos domaines d’expertise ;
- vos diplômes ;
- des références aux dossiers sur lesquels vous avez travaillé ;
- à vos travaux de recherche ;
- vos publications citées dans des magazines spécialisés ou effectuées sur des réseaux sociaux.
Ces annuaires s’accompagnent généralement d’une offre de services à votre intention (par exemple, la possibilité de « revendiquer » votre fiche et de souscrire un abonnement pour l’enrichir d’éléments vous concernant et/ou d’être mis en relation avec des internautes via la plateforme). De leur côté, les personnes ayant fait appel à vous disposent parfois de la faculté de publier des commentaires et de noter la qualité de vos prestations.
L’exploitation de vos données dans de tels annuaires est-elle légale sans votre consentement ?
Si de tels annuaires sont susceptibles d’avoir des effets bénéfiques sur votre activité (visibilité, information des consommateurs, etc.), ils peuvent également comporter des risques pour votre vie privée ou votre réputation, en particulier lorsqu’ils procèdent à un enrichissement de celles faisant, par ailleurs, obligatoirement l’objet d’une diffusion publique.
De tels annuaires doivent ainsi être distingués de ceux constitués uniquement à partir de données légalement diffusées en sources ouvertes.
Les annuaires constitués uniquement à partir de données diffusées en sources ouvertes (open data « légal »)
Certains organismes publient des annuaires qui consistent uniquement à vous référencer et se limitent, par défaut (c’est-à-dire sauf intervention directe de votre part), à rediffuser les données « élémentaires » sur votre activité (données d’identité, spécialité(s) ou domaine(s) d’expertise, coordonnées du lieu d’exercice de la profession, etc.) qui ont été publiées en vertu d’un cadre légal spécifique (par exemple, les annuaires professionnels cités ci-dessus) favorisant leur réutilisation. Le risque d’atteinte à vos droits et libertés est alors très limité compte tenu de la nature des informations traitées.
Dans ce cas, le recueil de votre consentement n’est pas obligatoire : les sociétés qui éditent ces annuaires peuvent, en principe, légalement se fonder sur leur intérêt légitime à traiter ces données.
Les annuaires enrichissant vos données en open data avec d’autres données publiquement accessibles, ou fournissant aux internautes un service de notation et commentaires
En vue d’assurer une plus-value à leurs annuaires, les éditeurs peuvent vouloir y intégrer d’autres informations que celles figurant dans les registres et répertoires officiels. Ces traitements sont plus intrusifs et peuvent présenter davantage de risques au regard de la protection de vos données.
Les annuaires enrichis à partir d’éléments en libre accès sur Internet
Le recueil de votre consentement n’est pas obligatoire seulement si le traitement de données envisagé ne porte pas une atteinte disproportionnée à vos droits et intérêts. Les sociétés qui éditent ces annuaires pourront, en principe, se fonder sur leur intérêt légitime à traiter ces données.
Par exemple, s’il s’agit de données dont la publication résulte d’une action de votre part témoignant, de manière évidente, de votre souhait de voir ces informations associées à votre « identité numérique professionnelle » (par exemple, votre numéro de téléphone mobile figurant à votre demande dans les annuaires publics d’abonnés à la téléphonie ; les informations concernant vos expertises, expériences et compétences mentionnées sur votre site web ou dans votre profil public d’un réseau social professionnel), leur rediffusion dans un annuaire généraliste ou thématique de professionnels présente, a priori, peu de risques pour vos droits et intérêts.
En revanche, d’autres traitements seront davantage intrusifs, en particulier ceux consistant à :
- alimenter votre fiche avec des éléments déduits ou dérivés au moyen de recoupements de données (par exemple : déduction de l’adresse électronique professionnelle à partir de celles de vos collègues) ; ou
- enrichir des fiches de l’annuaire en données sans lien direct avec votre activité professionnelle (par exemple, des données collectées sur vos réseaux sociaux dédiés à des échanges d’ordre personnel).
Dans de tels cas, votre consentement devra être recueilli.
Les éditeurs devront également respecter vos droits hors protection des données (par exemple, la protection de certains contenus par le droit d’auteur ou l’interdiction d’exploiter votre photographie sans recueil préalable de votre consentement).
Les annuaires intégrant un service de notation et commentaires d’internautes
Le recueil de votre consentement n’est pas obligatoire seulement si le traitement de données envisagé ne porte pas une atteinte disproportionnée à vos droits et intérêts. Les mesures prises pour les préserver sont déterminantes.
Ainsi, les sociétés qui éditent ces annuaires pourront fonder leur traitement sur leur intérêt légitime (en ce qu’il participe à la liberté d’expression et d’information, concerne des professionnels vis-à-vis desquels le public dispose d’une liberté de choix et constitue une pratique expressément admise par le code de la consommation), si elles vous laissent la liberté de ne pas/plus figurer dans l’annuaire commenté, notamment lorsque vous êtes confrontés à des avis négatifs pouvant avoir de lourdes conséquences sur votre activité ou votre réputation.
En l’absence d’une telle mesure d’opposition discrétionnaire, votre consentement pourrait être nécessaire. Une analyse au cas par cas devra être effectuée, en fonction notamment des incidences potentielles du traitement.
En tout état de cause, vous devrez notamment :
- être informés et être en mesure d’exercer vos droits de manière effective, conformément au RGPD et au code de la consommation (articles L. 111-7-2 et D. 111-17 et suivants) ;
- être en mesure d’exercer votre droit de réponse prévu par la loi pour la confiance dans l'économie numérique (LCEN).
Quelles informations l’éditeur d’annuaire doit-il vous fournir ? Quels sont vos droits ?
Vous devez être informé de la réutilisation de vos données
En tant que responsables de traitement, les éditeurs d’annuaires doivent, en principe, vous informer individuellement des objectifs qu’ils poursuivent et des conditions de mise en œuvre de leurs traitements.
Deux situations peuvent être distinguées.
Lorsque l’éditeur dispose de votre adresse électronique, une information individuelle doit, en principe, vous être délivrée.
Cette information devra être complète et intervenir au plus tard un mois après la collecte des données.
Lorsque l’éditeur ne dispose pas de votre adresse électronique, une information publique peut être suffisante.
L’éditeur peut estimer qu’une information individuelle exigerait pour lui des efforts disproportionnés lorsque le traitement présente un caractère véritablement prévisible pour vous ou n’est que peu intrusif (par exemple, la collecte et restitution de données professionnelles par ailleurs diffusées en open data, sans possibilité pour les internautes de publier un avis en ligne sur la qualité des prestations fournies). Dans ce cas, une information publique (par exemple, sur son site web) et complète devra toutefois vous être facilement accessible.
Vos droits doivent être respectés
Les entreprises qui collectent des données sur Internet afin de constituer de tels annuaires doivent vous permettre :
- de vous opposer à figurer dans l’annuaire : dans ce cas l’éditeur de l’annuaire ne doit plus traiter vos données, sauf s'il démontre qu'il existe des motifs légitimes et impérieux qui prévalent sur vos droits et libertés.
À noter : s’agissant des annuaires comportant des notes et appréciations d’internautes, la CNIL estime que l’éditeur du site devrait, généralement, accueillir favorablement la demande d’opposition globale au référencement de vos données compte tenu des préjudices que le traitement est susceptible de causer. Par exemple, si vous êtes médecin ou avocat dont la fiche comprend de mauvais commentaires, auxquels le secret professionnel vous interdit de répondre de façon circonstanciée, vous pourrez obtenir la suppression de votre fiche au sein de l’annuaire au regard de son impact sur votre image et votre réputation.
- d’obtenir l’effacement de certaines informations vous concernant, dans les conditions prévues par la règlementation. Par exemple, si vos coordonnées postales professionnelles correspondent à votre résidence personnelle, vous devriez pouvoir obtenir leur suppression de l’annuaire ; de même, vous pourrez solliciter la suppression des commentaires d’internautes présentant un caractère diffamatoire, injurieux ou simplement excessif.
- d’accéder à vos données et d’obtenir des informations sur leur traitement ;
- de demander la rectification, la suppression ou l’enrichissement de toutes vos données qui sont inexactes, obsolètes ou incomplètes. Par exemple : si vous êtes en reconversion, vous pourrez exiger la suppression de vos données figurant dans un annuaire thématique relatif à votre ancien secteur d’activité.
Si vos droits ne sont pas respectés (absence de réponse sous un mois à compter de votre demande ou si la réponse ne vous satisfait pas), vous pouvez adresser une plainte à la CNIL.
Tableau récapitulatif
Type d'annuaire | Annuaires constitués uniquement à partir de données diffusées en sources ouvertes |
Annuaires « enrichis » avec d’autres données |
||
---|---|---|---|---|
Informations publiées volontairement |
Informations déduites ou dérivées, ou sans lien avec votre activité professionnelle |
Système de commentaire ou de notation |
||
Exemple | Informations reprises uniquement depuis l’annuaire « légal » des professionnels (par exemple, médecins, avocats, etc.) |
L’annuaire reprend des informations que vous avez indiquées sur un réseau social professionnel |
L’annuaire déduit votre adresse courriel à partir de celle de vos collègue |
|
Consentement préalable | Non | Non | Oui |
Non si garanties fortes au bénéfice des personnes |
Opposition possible | Oui | Oui |
Retrait du consentement possible |
Oui ou retrait du consentement, le cas échéant. |
Comment l'annuaire doit vous informer | Information individuelle si l’annuaire dispose de votre adresse courriel. Information publique (par exemple, sur le site web) dans les autres cas |
Information individuelle en principe, via votre adresse courriel. |
||
Vos droits (RGPD, hors RGPD) | Demander l’effacement de certaines informations (par ex. : adresse personnelle, commentaires injurieux) ou leur rectification ( données inexactes ou incomplètes)
Accéder à vos données et demander des informations sur leur utilisation |
Tous les droits cités ci-dessus Information sur les avis mis en ligne (date, modération, etc.) Droit de réponse aux avis (loi LCEN) |