Me Oriana Labruyère, spécialiste en données personnelles, revient dans nos colonnes sur l’étude EU Disinfo Lab, publiée en août pour cartographier le bruit social de l’affaire Benalla. Ces données ont suscité de nombreuses réactions et se pose désormais une problématique RGPD.
La Commission nationale de l'informatique et des libertés a annoncé jeudi 9 août qu'elle allait instruire « les plaintes dont elle a été saisie ». Ces plaintes concernent les conditions dans lesquelles une structure belge, EU Disinfo Lab, a publié une série de fichiers analysant les tweets et retweets de l’affaire Alexandre Benalla dans le cadre d’une étude sur « les ressorts d'un hyperactivisme sur Twitter » (l’étude).
Entre le 19 juillet et le 3 août, 4,5 millions de posts ont été passés au tamis avec la solution Visibrain par cette ONG dirigée par Alexandre Alaphilippe, Gary Machado et Nicolas Vanderbiest. Au final, 47 % d’entre eux proviendraient de seulement 1,34 % des comptes. Parmi les plus actifs, des comptes seraient pro-Mélenchon, pro-Rassemblement national, russophiles, etc. « 2 600 comptes Twitter ont été suractifs, tweetant plus de 300 fois/semaine et en tout 1 767 682 fois (soit 44 % du total posté !). Nos experts notent une corrélation de 27 % avec des comptes pro-russes déjà repérés en France » a soutenu l’ONG.
Dans l'agenda, l’étude est tombée à point nommé, ouvrant une opportunité de diversion. En plein cœur d’un été marqué par l’affaire Benalla, des représentants du gouvernement se sont rapidement emparés de ces affirmations. Benjamin Griveaux, porte-parole de l’exécutif, s’est réjoui « que toute la transparence soit faite sur la diffusion de ce type de messages ». Pour Mounir Madjoubi, secrétaire d’État au numérique, voilà un parfait témoignage d’« une volonté d'utiliser une 'actualité chaude' pour accélérer sa diffusion et favoriser une polarisation de l'opinion ».
En amont de cette étude, plusieurs fichiers ont été publiés. Ces données brutes rassemblent pour l’un 55 000 comptes ayant tweeté sur l’affaire Benalla. Il avait été enrichi un temps d’un résumé de leur profil public, et donc parfois des orientations sexuelles ou religieuses de chaque intéressé placardées publiquement dans leur bibliographie. Un autre répertorie près de 4 000 comptes d’hyperactifs, isolés notamment parce qu’ils avaient publié des fausses informations, du moins selon les critères identifiés par l’ONG. Enfin, un troisième fichier classait les personnes selon leur sensibilité politique. Ce dernier n’est depuis plus disponible.
Ces diffusions ont quelque peu agacé les personnes cataloguées (voir ce billet de Yann Bisou, maitre de conférence en droit privé, classé parmi les hyperactifs) au point que nombre d’entre eux ont décidé de saisir la Cnil. À l’heure du règlement général sur la protection des données personnelles, se pose en effet la question de la solidité juridique de tels fichiers. Saisie à maintes reprises, la Cnil mène actuellement l’enquête. En attendant ces conclusions, nous avons pu échanger avec Me Oriana Labruyère sur les problématiques soulevées au regard des problèmes apparents.
La Cnil a été saisie de l’affaire EU Disinfo Lab, comment l’enquête va se dérouler?
La commission devrait notamment se rapprocher de son homologue belge puisque le traitement a été réalisé, de ce que déclare l’ONG, sur le fondement du droit belge également. Les deux autorités vont travailler de concert, au besoin en faisant appel au Comité européen de la protection des données. L’entreprise n’a pas simplement à rendre des comptes à la France, elle devrait également se justifier auprès de son autorité nationale si, du moins est constatée, une violation du droit belge.
Qu’en est-il des personnes qui seraient en dehors du territoire français ou belge dans cette affaire ?
Les personnes installées dans d’autres pays peuvent aussi saisir leur « Cnil » locale pour attaquer l’ONG. En effet, le RGPD s’applique dès lors que traitement des données à caractère personnel est effectué dans le cadre des activités d'un établissement d'un responsable du traitement sur le territoire de l'Union. La personne concernée pourra à son tour se rapprocher de son autorité ou des deux premières, qui devrait traiter la demande toujours dans cette logique de coopération.
Si on revient au fond, plusieurs fichiers ont été mis en œuvre dont un fichier présentant des statistiques. Que dit le RGPD là-dessus ?
Le RGPD n’interdit en rien la réalisation de fichier statistique. Dès le considérant 50, le texte évoque que le traitement à des fins statistiques devrait être considéré comme une opération de traitement licite compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement. Ainsi, il est possible de réaliser une étude statistique à des fins internes à une entreprise.
La difficulté n’est pas la constitution du fichier. C’est surtout sa publication avec des données nominatives, c’est-à-dire sans anonymisation qui pose une difficulté.
À cette fin, il faut rappeler que les identifiants ou les données qui ont été renseignés par les personnes en amont sur Twitter, non dans le but de se voir appliquer un traitement statistique, mais dans un objectif d’inscription et d’identification.
Ainsi, le problème n’est pas tant de réaliser une étude statistique sur cette base, mais de diffuser des données personnelles qui permettent d’identifier une personne directement ou indirectement. Il y a certes dans le lot de vrais noms, de faux noms, mais c’est un filtre personnel que chacun a choisi.
À la question : Peut-on réaliser des statistiques ? La réponse est oui, comme en témoigne l’article 89 du RGPD. À la question : Est-ce qu’on peut publier les noms associés à cette étude ? La réponse doit être plus nuancée. En effet, en principe le RGPD impose le consentement de la personne concernée. Or dans cette affaire, il semble que les personnes concernées n’aient jamais consenti à ce qu’on publie ces informations sur la base du règlement.
Or, le texte réclame pourtant différentes mesures organisationnelles, notamment pour garantir le respect du principe de minimisation des données. Et cet objectif peut être atteint par la pseudonymisation ou l’anonymisation des données.
Y-a-t-il des droits qui pourraient être invoqués par l’ONG dans cette affaire ?
Oui, si on quitte le terrain du RGPD, on peut embrasser celui de la liberté d’expression ou du droit à l’information. Si on retient que l’hypothèse de l’ONG était l’analyse d’un engouement autour d’une affaire sous un angle statistique, ce déchiffrement de la donnée brute peut aussi se ranger dans le droit à l’information.
Il s’agit cette fois de savoir si cette analyse peut être mise en balance avec le droit à la protection des données personnelles, et par cascade avec celui du respect de la vie privée. On peut toujours imaginer qu’il y ait des impacts à présenter une personne comme pro-russe par exemple.
Cependant, dans les données utilisées, il y avait des données qualifiées de sensibles telles que des opinions politiques justement…
Le RGPD pose un principe d’interdiction des traitements portant sur les données sensibles (article 9, al. 1), sauf à entrer dans de strictes exceptions. Le point le plus difficile pour la Cnil sera de savoir si on a déduit et donc supposé ou si on a affirmé.
Ce n’est pas la même chose d’affirmer que telle personne est de telle confession, ou si le fichier laisse une liberté d’analyse. L’attention se portera peut-être sur la méthode qui ont permis de dire que telle personne est de telle confession ou tel parti politique.
Mais si ces données sont issues du profil, parce qu’un abonné a déclaré publiquement cette information, il faut relativiser. En effet, toujours dans son article 9, le RGPD énonce un tempérament si le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée.
Ainsi, on pourrait s’interroger : lorsqu’on divulgue une information, sur un réseau public, existe-t-il un grief ou un préjudice de voir cette information publiée sur un autre support sauf à ce qu’il soit détourné ?
Quelle différence voyez-vous ?
Il y a deux aspects différents entre la recherche de la donnée, l’analyse et la déduction d’un comportement (je crois que tu es pro-russe ou catholique) et l’absorption d’une information donnée par l’intéressé. Dans le premier cas, plus épineux, j’opère une catégorisation par un procédé automatisé pour au final, après déduction, attribuer une étiquette. Dans l’autre, je me contente de prendre l’étiquette que la personne elle-même s’est librement et personnellement attribuée et qu’elle a publiquement déclarée.
Est-ce que l’ONG a mis l’étiquette ou bien récupéré une étiquette posée par une personne ? Dire qu’on a violé mes données personnelles par l’utilisation de données publiques sur un réseau social public dont je fais une utilisation intense pourrait conduire à la création d’un droit absolu sur ces informations. Elles n’auraient finalement rien de public, nous n’aurions que le droit de le lire.
La Cnil pourra peut-être dire que l’entité a pu utiliser ces données, mais a manqué au principe de minimisation. Là encore, ce principe pourrait aller à l’encontre du droit à l’information derrière lequel l’ONG pourrait chercher à s’abriter.
Quand une analyse porte sur des tweets ou des retweets, est ce que cela peut changer quelque chose ?
En effet, il pourrait y avoir une nuance à opérer entre un tweet et un retweet. L’un est une expression personnelle quand l’autre est le partage d’une information, qu’on ne partage pas nécessairement. Il devrait y avoir un traitement complètement différent entre ces deux flux.
Qu’aurait dû faire le responsable de traitement pour être dans les clous du RGPD ?
Sous réserve des conclusions de la Cnil, demander le consentement à chaque personne était quasi impossible au regard du nombre de comptes étudiés. C’est un traitement statistique pour déchiffrer un fait de société. En revanche, elle aurait pu minimiser le traitement, sa publication, pseudomiser les comptes et puis, informer les personnes.
En outre, quand on prévoit un traitement de cette envergure, il est conseillé de faire une analyse d’impact, pour jauger le risque, mesurer les atteintes à la vie privée. Je lui aurais conseillé une telle analyse pour déterminer en amont du traitement les actions à mettre en œuvre pour limiter ce potentiel impact sur la vie privée des personnes concernées.
En résumé, le fondement est statistique et porte sur de la donnée publique. Prévenir la personne en amont et obtenir son consentement ne sont donc pas nécessaires. En revanche, l’ONG pourrait se voir reprocher de ne pas avoir rappelé aux personnes faisant l’objet du traitement les droits qu’ils avaient tels que le droit d’accès, de modification ou encore le droit à l’effacement.
Que recommandez-vous aux personnes qui s’estiment victimes de tels traitements ?
Ce que je recommanderais au regard du droit applicable, et de manière stratégique en tant qu’avocat, est d’abord de saisir l’ONG et ensuite, si le mécontentement persiste, la Cnil. Si je devais le faire de manière plus agressive, et en cas de préjudice important, je conseillerais sans doute de saisir les tribunaux civils en référé.
En effet, la Cnil n’allouera aucuns dommages et intérêts, contrairement au juge civil. La réaction des utilisateurs de porter plainte directement devant la Cnil sans contacter au préalable l’ONG ne me semble pas nécessairement en phase avec la procédure. En effet, la personne concernée qui s’estime victime de la violation de ces droits à la protection des données personnelles devrait d'abord s'adresser directement au responsable de traitement qui détient ses données.
En cas de difficultés, de réponse insatisfaisante ou d'absence de réponse dans le délai d’un mois, elle peut déposer une plainte sur le site de la Cnil.
