L’association est sanctionnée par l’Autorité de protection des données pour avoir dressé le profil de plusieurs milliers d’internautes sur Twitter après l'affaire dite Benalla. Problème, elle n'a pas respecté les règles du sacro-saint RGPD. Nos explications de la décision.
L’enquête avait été réalisée après l’affaire Benalla. L’association belge avait épluché 4,5 millions de messages entre le 19 juillet et le 3 août 2018 pour tenter d'en tirer de multiples enseignements, s’agissant notamment de l’origine des tweets.
Souci : les données brutes avaient été diffusées, avant publication de l’analyse, accompagnée de données nominatives et d’un classement politique. Sur les 55 000 utilisateurs qui ont formé la base de l’étude, plus de 3 300 comptes furent l’objet de ce traitement.
Ce traitement avait suscité de nombreux émois en France. Sur les 2 770 plaintes enregistrées par la CNIL en 100 jours de RGPD, près de 250 concernaient spécifiquement ce traitement EU Disinfo Lab.
« Le RGPD n’interdit en rien la réalisation de fichier statistique. Dès le considérant 50, le texte évoque que le traitement à des fins statistiques devrait être considéré comme une opération de traitement licite compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement. Ainsi, il est possible de réaliser une étude statistique à des fins internes à une entreprise. La difficulté n’est pas la constitution du fichier. C’est surtout sa publication avec des données nominatives, c’est-à-dire sans anonymisation » nous commentait à l’époque maitre Oriana Labruyère.
La CNIL belge désignée chef de file
En vertu de l’article 56 du règlement général sur la protection des données, ce traitement transfrontalier étant réalisé par une structure installée en Belgique, concernant des personnes éparpillées dans plusieurs États membres, la CNIL avait transféré ces centaines de plaintes à son homologue belge, l’Autorité de protection des données, qui porte le chapeau d’autorité-chef de file.
Celle-ci vient de décider de sanctionner l’association et son responsable, à respectivement 2 700 euros et 1 200 euros pour de multiples infractions au RGPD. Fait notable, elle a diffusé la décision intégrale, ce qui permet d’en comprendre les rouages et les motivations.
3 300 comptes classés
Le document rappelle le classement qui avait été opéré dans ces fichiers. Les 3 300 comptes furent ventilés en quatre catégories politiques :
- « Classe 1 : la communauté de souverainistes proches de mouvements contre le mariage pour tous (" les Républicains") »
- « Classe 2 : la communauté du rassemblement national, des souverainistes et quelques personnes des mouvements contre le mariage pour tous »
- « Classe 3 : la communauté constituée par la France insoumise avec des porosités de lien avec les autres communautés qui occasionne quelques faux positifs »
- « Classe 4 : la communauté constituée des médias et des porosités avec les autres communautés et la République en marche »
Deux principaux traitements ont été par ailleurs identifiés : l’étude EU Disinfolab et la publication en ligne de fichiers Excel des données brutes, qui fut motivée par un souci de « transparence » et de « justification ».
Identification des responsables de traitement
Dans la langue RGPDienne, l’autorité belge a d’abord dû identifier celui portant le chapeau de responsable de traitement.
Pas de difficulté : « En tant que commanditaire et éditeur de l’Étude, EU DisinfoLab est bien responsable du traitement des données personnelles concernées par l’Étude ». Nicolas Vanderbiest, l’autre personne impliquée, a été reconnu pour partie comme co-responsable de ce traitement « en tant que bénévole d’EU DisinfoLab, dans la mesure où il a volontairement rédigé l’Étude et a décidé de recourir au logiciel Visibrain pour traiter les données personnelles ».
Et s’agissant des fichiers « Rumeurs&Items.xlsx » et « Data brutes 1 – 47.xlsx », mis en ligne sur dl.free.fr, c’est l’association qui a été identifiée comme responsable. Nicolas Vanderbiest porte seul cette casquette pour la mise à disposition des fichiers « Acteursclasséssss.xlsx » et « Databrutes.csv.xlsx », uploadé sur Dropbox et relayé sur son compte Twitter personnel.
La distribution des rôles étant assurée, restait à examiner les manquements, et ce à l’épreuve de deux exceptions prévues par le RGPD : l’exception journalistique et l’exception des traitements scientifiques.
L’exception scientifique écartée
La CNIL belge va estimer qu’en principe EU Dinsinfolab peut invoquer l’exception de recherche scientifique pour le premier traitement.
Théoriquement, cette exception l’autorise à ne pas prévenir individuellement chacune des personnes concernées. Mais cela suppose aussi le respect de plusieurs garanties.
Des garanties ? « Dans le contexte où EU DisinfoLab traitait les données — publiques ou non — à des fins de profilage politique, et donc, in fine, traitait des données sensibles (…), de telles garanties devaient comprendre une documentation à tout le moins interne (registre de traitement, analyse d’impact préalable) et externe (politique de confidentialité) concernant la méthodologie de traitement des données et leur degré d’anonymisation/pseudonymisation ».
Or, en l’absence de registre et d’information préalable des personnes, la Chambre contentieuse estime que cette exception ne peut être mobilisée faute de transparence suffisante. Et le fait qu’une autre personne de l’association ait donné de multiples interviews (BFM, Politico, L’opinion, Arrêt sur images, et AFP) avant la diffusion de l’étude ne peut remplacer une vraie politique de confidentialité.
L’exception journalistique retenue pour le premier traitement
Et l’exception journalistique ? Elle permet là encore aux « responsables de traitement de données à des fins journalistiques » d’être « exemptés de leur obligation de fournir une information préalable aux personnes concernées ».
Au regard de l’environnement législatif belge à l’époque des faits, l’ADP va considérer que les deux parties n’avaient pas à « démontrer d’appartenance à une profession de journaliste ou la soumission à des règles déontologiques particulières pour pouvoir invoquer » cette exception.
Elle retient en effet une acception large de la notion de liberté d’expression. « L’exception journalistique applicable au moment des faits, permet donc à EU DisinfoLab et à M. Vanderbiest de réaliser une "Étude" en vue de la publier et participer au débat public concernant l’affaire Benalla sans dévoiler l’entièreté de ses sources ou sa méthodologie, et sans fournir au préalable de manière individuelle l’ensemble de l’information prévue [par le RGPD] ».
On le comprend : une information des personnes concernées « aurait pu compromettre la réalisation de l’étude en projet et sa publication ultérieure »
L’absence d’étude d’impact et de registre
Si l’exception a été retenue, la CNIL belge relève néanmoins qu’une analyse d’impact aurait dû être réalisée préalablement s’agissant d’un traitement de données à grande échelle portant sur 55 000 utilisateurs, accompagné de profilage, avec des opinions politiques, des convictions religieuses voire des orientations sexuelles affichées publiquement sur Twitter…
Autres manquements : l’absence de registre des activités de traitement, obligatoire s’agissant des traitements à haut risque pour les droits des personnes… S’y ajoutent une violation de l’obligation de sécuriser les traitements (pas de sauvegarde de fichiers « dans un environnement sécurisé et sous sa maitrise ») et d’en assurer la confidentialité alors que les données n’étaient pas pseudomisées.
Les fichiers de données brutes
« Nous avons publié nos données brutes avec notre méthodologie pour que tout soit vérifiable. Nous avons aussi reçu des demandes publiques très explicites de partage de données de recherche afin de vérifier nos analyses » s’est défendue EU Disinfolab.
Une forme « de droit de réponse numérique » pour la CNIL belge, qui devine théoriquement l’existence d’une finalité légitime, même si elle aurait pu être atteinte par plus de transparence sur la méthodologie.
Cette approche théorique succombe toutefois là encore à l’épreuve des faits. Et pour cause, la poursuite de cette finalité aurait dû être « réalisée d’une manière moins attentatoire aux intérêts, droits et libertés des personnes concernées » par exemple par la publication « des données dûment pseudomisées », accompagnée de restrictions d’accès et autre accord de confidentialité.
Au lieu et place, les responsables de traitement ont opté pour une diffusion brute avec un simple lien délesté sur Twitter. « Cette manière de partager les fichiers est d’ailleurs contraire aux principes annoncés dans l’Étude même, selon laquelle les données brutes seraient rendues accessibles aux seuls chercheurs intéressés et aux journalistes accrédités » relate la décision.
Le reste de son analyse témoigne de l’importance des manquements s’agissant des fichiers Excel : violation du principe de minimisation, absence de mesures techniques et organisationnelles appropriées, pas d’information préalable…
Toujours s’agissant de ces fichiers Excel, la CNIL belge a repoussé cette fois l’exception journalistique « dans le contexte de la publication de données massives de données brutes, faute de pouvoir évaluer au cas par cas, pour chaque personne concernée par la publication, la balance des intérêts entre la contribution à un débat d’intérêt général et des paramètres tels que la notoriété des personnes concernées, l’objet du reportage, le contenu, la forme, les répercussions de la publication de données personnelles ».
Des risques de discrimination
La décision ne manque pas de souligner que certains fichiers pouvaient entraîner pour les personnes citées « des risques de discrimination » significativement élevés…
Pour décider du montant des sanctions, l’autorité a mis en balance des circonstances aggravantes et des circonstances atténuantes : des infractions graves, l’absence de coopération d’EU DisinfoLab au début de l’enquête des services, la réactivité des deux personnes, les excuses publiques, la petite taille de l’association…
En guise de « sanction effective, proportionnée et dissuasive », la CNIL belge a donc opté pour une réprimande de l’association, accompagnée d’une amende de 2 700 euros. Et à l’encontre de Nicolas Vanderbiest, une amende de 1 200 euros. En sus d’une décision publique.
La décision rendue aujourd’hui est susceptible de recours devant les juridictions (la Cour des marchés) dans un délai de trente jours.
La CNIL a de son côté adressé ce courrier aux personnes qui l’avaient saisie :
« Vous recevez ce courriel car vous avez adressé une plainte à la CNIL relative au traitement et à la publication, par l’association EU DISINFOLAB, de données à caractère personnel vous concernant dans un fichier recensant des comptes Twitter ayant partagé des informations au sujet de « l’affaire Benalla ».
Comme vous en avez déjà été informé, dans la mesure où l’association EU DISINFOLAB est établie en Belgique et que le traitement en cause comprenait des données à caractère personnel concernant des résidents de plusieurs pays de l’Union Européenne, la CNIL avait transmis l’ensemble des plaintes dont elle était saisie à l’autorité de protection des données belge (« APD »), et ce, en application des mécanismes de coopération prévus par le Règlement général sur la protection des données (« RGPD »).
En application de l’article 77 du RGPD, je vous informe aujourd’hui de la décision adoptée dans ce dossier par l’APD, à l’issue de cette procédure de coopération.
Par décision rendue publique ce jour, l’autorité belge de protection des données a considéré qu’en traitant les données d’internautes, et en publiant le fichier en cause sur le réseau social Twitter, l’association et l’un de ses collaborateurs bénévoles, M. Vanderbiest, avaient manqué à plusieurs obligations prévues par le RGPD.
L’APD a notamment considéré que la publication de ce fichier par l’association EU DISINFOLAB et M. Vanderbiest était illicite et ne reposait sur aucun fondement juridique. Dans ce contexte, l’APD a souligné qu’une telle publication de données sensibles, faite sans l’accord des personnes et à leur insu, faisait peser des risques de discrimination sur ces dernières ; et que dès lors, les intérêts des personnes concernées l’emportaient sur ceux de l’association et de M. Vanderbiest à rendre publiques leurs sources pour justifier de l’intégrité de l’étude.
En conséquence, l’APD a rappelé à l’ordre l’association EU DISINFOLAB et M. Vanderbiest. Elle a également prononcé à leur encontre des amendes respectives de 2 700 euros et de 1 200 euros. L’APD a enfin décidé de rendre cette décision publique sur son site web.
Compte tenu de l'ensemble de ces éléments, et notamment des sanctions prises par l’autorité de protection des données belge à l’encontre de l’association EU DISINFOLAB et de M. Vanderbiest, nous vous informons de la clôture de votre plainte ».
Commentaires (5)
#1
Et pendant ce temps, aucune sanction pour avoir utilisé Excel pour ça
#2
La sanction me semble adaptée au contexte, notable sans être disproportionnée par rapport à la façon dont tout ça s’est passé et aux intentions qui étaient derrière.
Une leçon de RGPD dans les règles de l’art…
#3
2700€
probablement l’amande la plus conséquente de notre chère APD (presque) indépendante.
#4
dommage que leur site soit en anglais. Ils ont travaillé sur la désinformation à propos du covid 19 mais pour moi c’est imbuvable. Par ailleurs leur moteur de recherche affiche un message ajax ?
leur travail est manifestement sérieux, dommage qu’il ne soit pas plus accessible
#5
2700€ c’est le montant sans le multiplicateur je pense