Les responsables de traitement qui utilisent des bases de données librement mises à disposition sur Internet ou fournies par un tiers doivent vérifier que leur constitution ou leur partage n’est pas manifestement illicite. La CNIL rappelle les vérifications à réaliser.
À noter que le 17 janvier 2025, le Comité européen de la protection des données (CEPD) a adopté des lignes directrices sur la pseudonymisation et fait des propositions pour renforcer la coopération avec les autorités de la concurrence.
Les lignes directrices précisent deux points juridiques importants :
- Les données pseudonymisées restent toujours des informations relatives à une personne physique identifiable. Elles constituent toujours des données personnelles.
- La pseudonymisation peut réduire les risques et faciliter l’utilisation d’intérêts légitimes comme base légale (article 6.1.f du RGPD), à la condition que toutes les autres exigences du RGPD soient respectées.