Me Oriana Labruyère, spécialiste en données personnelles, revient dans nos colonnes sur l’étude EU Disinfo Lab, publiée en août pour cartographier le bruit social de l’affaire Benalla. Ces données ont suscité de nombreuses réactions et se pose désormais une problématique RGPD.
La Commission nationale de l'informatique et des libertés a annoncé jeudi 9 août qu'elle allait instruire « les plaintes dont elle a été saisie ». Ces plaintes concernent les conditions dans lesquelles une structure belge, EU Disinfo Lab, a publié une série de fichiers analysant les tweets et retweets de l’affaire Alexandre Benalla dans le cadre d’une étude sur « les ressorts d'un hyperactivisme sur Twitter » (l’étude).
Entre le 19 juillet et le 3 août, 4,5 millions de posts ont été passés au tamis avec la solution Visibrain par cette ONG dirigée par Alexandre Alaphilippe, Gary Machado et Nicolas Vanderbiest. Au final, 47 % d’entre eux proviendraient de seulement 1,34 % des comptes. Parmi les plus actifs, des comptes seraient pro-Mélenchon, pro-Rassemblement national, russophiles, etc. « 2 600 comptes Twitter ont été suractifs, tweetant plus de 300 fois/semaine et en tout 1 767 682 fois (soit 44 % du total posté !). Nos experts notent une corrélation de 27 % avec des comptes pro-russes déjà repérés en France » a soutenu l’ONG.
Dans l'agenda, l’étude est tombée à point nommé, ouvrant une opportunité de diversion. En plein cœur d’un été marqué par l’affaire Benalla, des représentants du gouvernement se sont rapidement emparés de ces affirmations. Benjamin Griveaux, porte-parole de l’exécutif, s’est réjoui « que toute la transparence soit faite sur la diffusion de ce type de messages ». Pour Mounir Madjoubi, secrétaire d’État au numérique, voilà un parfait témoignage d’« une volonté d'utiliser une 'actualité chaude' pour accélérer sa diffusion et favoriser une polarisation de l'opinion ».
En amont de cette étude, plusieurs fichiers ont été publiés. Ces données brutes rassemblent pour l’un 55 000 comptes ayant tweeté sur l’affaire Benalla. Il avait été enrichi un temps d’un résumé de leur profil public, et donc parfois des orientations sexuelles ou religieuses de chaque intéressé placardées publiquement dans leur bibliographie. Un autre répertorie près de 4 000 comptes d’hyperactifs, isolés notamment parce qu’ils avaient publié des fausses informations, du moins selon les critères identifiés par l’ONG. Enfin, un troisième fichier classait les personnes selon leur sensibilité politique. Ce dernier n’est depuis plus disponible.
Ces diffusions ont quelque peu agacé les personnes cataloguées (voir ce billet de Yann Bisou, maitre de conférence en droit privé, classé parmi les hyperactifs) au point que nombre d’entre eux ont décidé de saisir la Cnil. À l’heure du règlement général sur la protection des données personnelles, se pose en effet la question de la solidité juridique de tels fichiers. Saisie à maintes reprises, la Cnil mène actuellement l’enquête. En attendant ces conclusions, nous avons pu échanger avec Me Oriana Labruyère sur les problématiques soulevées au regard des problèmes apparents.
La Cnil a été saisie de l’affaire EU Disinfo Lab, comment l’enquête va se dérouler?
La commission devrait notamment se rapprocher de son homologue belge puisque le traitement a été réalisé, de ce que déclare l’ONG, sur le fondement du droit belge également. Les deux autorités vont travailler de concert, au besoin en faisant appel au Comité européen de la protection des données. L’entreprise n’a pas simplement à rendre des comptes à la France, elle devrait également se justifier auprès de son autorité nationale si, du moins est constatée, une violation du droit belge.
Qu’en est-il des personnes qui seraient en dehors du territoire français ou belge dans cette affaire ?
Les personnes installées dans d’autres pays peuvent aussi saisir leur « Cnil » locale pour attaquer l’ONG. En effet, le RGPD s’applique dès lors que traitement des données à caractère personnel est effectué dans le cadre des activités d'un établissement d'un responsable du traitement sur le territoire de l'Union. La personne concernée pourra à son tour se rapprocher de son autorité ou des deux premières, qui devrait traiter la demande toujours dans cette logique de coopération.
Si on revient au fond, plusieurs fichiers ont été mis en œuvre dont un fichier présentant des statistiques. Que dit le RGPD là-dessus ?
Le RGPD n’interdit en rien la réalisation de fichier statistique. Dès le considérant 50, le texte évoque que le traitement à des fins statistiques devrait être considéré comme une opération de traitement licite compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement. Ainsi, il est possible de réaliser une étude statistique à des fins internes à une entreprise.
La difficulté n’est pas la constitution du fichier. C’est surtout sa publication avec des données nominatives, c’est-à-dire sans anonymisation qui pose une difficulté.
À cette fin, il faut rappeler que les identifiants ou les données qui ont été renseignés par les personnes en amont sur Twitter, non dans le but de se voir appliquer un traitement statistique, mais dans un objectif d’inscription et d’identification.
Ainsi, le problème n’est pas tant de réaliser une étude statistique sur cette base, mais de diffuser des données personnelles qui permettent d’identifier une personne directement ou indirectement. Il y a certes dans le lot de vrais noms, de faux noms, mais c’est un filtre personnel que chacun a choisi.
À la question : Peut-on réaliser des statistiques ? La réponse est oui, comme en témoigne l’article 89 du RGPD. À la question : Est-ce qu’on peut publier les noms associés à cette étude ? La réponse doit être plus nuancée. En effet, en principe le RGPD impose le consentement de la personne concernée. Or dans cette affaire, il semble que les personnes concernées n’aient jamais consenti à ce qu’on publie ces informations sur la base du règlement.
Or, le texte réclame pourtant différentes mesures organisationnelles, notamment pour garantir le respect du principe de minimisation des données. Et cet objectif peut être atteint par la pseudonymisation ou l’anonymisation des données.
Y-a-t-il des droits qui pourraient être invoqués par l’ONG dans cette affaire ?
Oui, si on quitte le terrain du RGPD, on peut embrasser celui de la liberté d’expression ou du droit à l’information. Si on retient que l’hypothèse de l’ONG était l’analyse d’un engouement autour d’une affaire sous un angle statistique, ce déchiffrement de la donnée brute peut aussi se ranger dans le droit à l’information.
Il s’agit cette fois de savoir si cette analyse peut être mise en balance avec le droit à la protection des données personnelles, et par cascade avec celui du respect de la vie privée. On peut toujours imaginer qu’il y ait des impacts à présenter une personne comme pro-russe par exemple.
Cependant, dans les données utilisées, il y avait des données qualifiées de sensibles telles que des opinions politiques justement…
Le RGPD pose un principe d’interdiction des traitements portant sur les données sensibles (article 9, al. 1), sauf à entrer dans de strictes exceptions. Le point le plus difficile pour la Cnil sera de savoir si on a déduit et donc supposé ou si on a affirmé.
Ce n’est pas la même chose d’affirmer que telle personne est de telle confession, ou si le fichier laisse une liberté d’analyse. L’attention se portera peut-être sur la méthode qui ont permis de dire que telle personne est de telle confession ou tel parti politique.
Mais si ces données sont issues du profil, parce qu’un abonné a déclaré publiquement cette information, il faut relativiser. En effet, toujours dans son article 9, le RGPD énonce un tempérament si le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée.
Ainsi, on pourrait s’interroger : lorsqu’on divulgue une information, sur un réseau public, existe-t-il un grief ou un préjudice de voir cette information publiée sur un autre support sauf à ce qu’il soit détourné ?
Quelle différence voyez-vous ?
Il y a deux aspects différents entre la recherche de la donnée, l’analyse et la déduction d’un comportement (je crois que tu es pro-russe ou catholique) et l’absorption d’une information donnée par l’intéressé. Dans le premier cas, plus épineux, j’opère une catégorisation par un procédé automatisé pour au final, après déduction, attribuer une étiquette. Dans l’autre, je me contente de prendre l’étiquette que la personne elle-même s’est librement et personnellement attribuée et qu’elle a publiquement déclarée.
Est-ce que l’ONG a mis l’étiquette ou bien récupéré une étiquette posée par une personne ? Dire qu’on a violé mes données personnelles par l’utilisation de données publiques sur un réseau social public dont je fais une utilisation intense pourrait conduire à la création d’un droit absolu sur ces informations. Elles n’auraient finalement rien de public, nous n’aurions que le droit de le lire.
La Cnil pourra peut-être dire que l’entité a pu utiliser ces données, mais a manqué au principe de minimisation. Là encore, ce principe pourrait aller à l’encontre du droit à l’information derrière lequel l’ONG pourrait chercher à s’abriter.
Quand une analyse porte sur des tweets ou des retweets, est ce que cela peut changer quelque chose ?
En effet, il pourrait y avoir une nuance à opérer entre un tweet et un retweet. L’un est une expression personnelle quand l’autre est le partage d’une information, qu’on ne partage pas nécessairement. Il devrait y avoir un traitement complètement différent entre ces deux flux.
Qu’aurait dû faire le responsable de traitement pour être dans les clous du RGPD ?
Sous réserve des conclusions de la Cnil, demander le consentement à chaque personne était quasi impossible au regard du nombre de comptes étudiés. C’est un traitement statistique pour déchiffrer un fait de société. En revanche, elle aurait pu minimiser le traitement, sa publication, pseudomiser les comptes et puis, informer les personnes.
En outre, quand on prévoit un traitement de cette envergure, il est conseillé de faire une analyse d’impact, pour jauger le risque, mesurer les atteintes à la vie privée. Je lui aurais conseillé une telle analyse pour déterminer en amont du traitement les actions à mettre en œuvre pour limiter ce potentiel impact sur la vie privée des personnes concernées.
En résumé, le fondement est statistique et porte sur de la donnée publique. Prévenir la personne en amont et obtenir son consentement ne sont donc pas nécessaires. En revanche, l’ONG pourrait se voir reprocher de ne pas avoir rappelé aux personnes faisant l’objet du traitement les droits qu’ils avaient tels que le droit d’accès, de modification ou encore le droit à l’effacement.
Que recommandez-vous aux personnes qui s’estiment victimes de tels traitements ?
Ce que je recommanderais au regard du droit applicable, et de manière stratégique en tant qu’avocat, est d’abord de saisir l’ONG et ensuite, si le mécontentement persiste, la Cnil. Si je devais le faire de manière plus agressive, et en cas de préjudice important, je conseillerais sans doute de saisir les tribunaux civils en référé.
En effet, la Cnil n’allouera aucuns dommages et intérêts, contrairement au juge civil. La réaction des utilisateurs de porter plainte directement devant la Cnil sans contacter au préalable l’ONG ne me semble pas nécessairement en phase avec la procédure. En effet, la personne concernée qui s’estime victime de la violation de ces droits à la protection des données personnelles devrait d'abord s'adresser directement au responsable de traitement qui détient ses données.
En cas de difficultés, de réponse insatisfaisante ou d'absence de réponse dans le délai d’un mois, elle peut déposer une plainte sur le site de la Cnil.
Commentaires (44)
#1
J’attendais qu’une telle interview soit faite. Merci à vous.
#2
Merci pour cet article.
" /> (cela étant dit, l’étude de Disinfolab n’était pas parfaite dans ses détails, comme le dit l’article)
Ayant un compte tweeter, plutôt en mode lecteur, j’ai vu passer de tout et n’importe quoi via des retweets, en particulier ceux de divers activistes plus ou moins concernés et plus ou moins rageux. Ceux qui affichent une profession de foi dans leur bio tweeter, dont les tweets vont dans le même sens, et qui s’insurgent que ce soit lu et vu comme tel, comment dire…
#3
Il y a un point non évoqué par cette personne : la diffusion hors contrôle de TOUS les fichiers dans la nature, à un tel point qu’il n’est aujourd’hui plus vraiment possible d’enrayer leur circulation. Diffusion faite de son plein gré (sans avoir été demandé) par l’un des responsables de cette “ONG” (qui n’a pas ce statut soit dit en passant, c’est plus un “think-tank” qu’autre chose).
Au cas ou, je suis listé dans ces fichiers (et je les ai tous dans leur première version non tronquée). Pas de rediffusion de ma part, je les garde comme preuve.
#4
#5
le meilleur étant ceux qui affiche fièrement leur numéro de ligne excel dans leur pseudo, en prétendant qu’il s’agit d’un matricule similaire à ceux des déportés de la 2e GM.
ça m’a permis de repérer tout un tas de neuneus qui ne voient pas plus loin que le bout de leur nez, c’est au moins ça de gagné. ^^
#6
#7
#8
idem, merci NXi et Marc :chinois
#9
Si vous voulez vous exprimer sur des sujet qui vous tiennent à coeur mais tendancieux je vous suggère de créer un deuxième compte qui ne pourra pas vous relier au premier comme ça vous n’aurez plus peur des représailles.
Mais bon au final ça ce résume simplement et l’affaire snowden en est le meilleur exemple.
#10
oui et pas qu’un peu. Et beaucoup ne se rendent absolument pas compte que le problème c’est aussi le fait de donnée à un tiers (twitter) autant d’infos.
Comme le dit l’article, l’étude n’est probablement pas parfaite niveau droit, mais au moins elle a montré à un tas d’abruti de personnes à quel point les réseaux sociaux peuvent avoir d’infos les concernant et que c’est loin d’être neutre.
Le plus fun a été de voir certains politiques trouver ça scandaleux et porter plainte devant la CNIL quand dans un même temps c’est les même qui demande l’expulsion du territoire de personnes fichés administrativement
#11
ou de faire ce qu’il faudrait toujours faire sur internet : rester anonyme (enfin pseudo-anonyme)
#12
Russophiles? :o
#13
#14
Ce que je recommanderais au regard du droit applicable, et de
manière stratégique en tant qu’avocat, est d’abord de saisir
l’ONG
En effet, la personne concernée qui s’estime victime de la violation de
ces droits à la protection des données personnelles devrait d’abord
s’adresser directement au responsable de traitement qui détient ses
données.
Ok, mais pour leur demander quoi exactement ?
“Bonjour, je suis la ligne 12345, je ne suis pas russophile. Bien à vous.” ?
#15
#16
C’est à se demander comment cette “ONG” peut encore posséder l’autorisation d’utiliser l’API de Twitter (via Visibrain je crois). En effet, More about restricted uses of the Twitter APIs :
Sensitive information
You should be careful about using Twitter data to derive or infer potentially sensitive characteristics about Twitter users. Never derive or infer, or store derived or inferred, information about a Twitter user’s:
Redistribution of Twitter content
If you need to share Twitter content you obtained via the Twitter APIs with another party, the best way to do so is by sharing Tweet IDs, Direct Message IDs, and/or User IDs, which the end user of the content can then rehydrate (i.e. request the full Tweet, user, or Direct Message content) using the Twitter APIs. This helps ensure that end users of Twitter content always get the most current information directly from us.
We permit limited redistribution of hydrated Twitter content via non-automated means. If you choose to share hydrated Twitter content with another party in this way, you may only share up to 50,000 hydrated public Tweet Objects and/or User Objects per recipient, per day, and should not make this data publicly available (for example, as an attachment to a blog post or in a public Github repository).
Pour les deux passages en gras, EU Disinfolab a clairement enfreint les règles d’utilisation des données de Twitter.
#17
Oui, dont des députés LREM (si si …).
#18
sont pas plus intelligents que les autres.
#19
Si le traitement statistique de données personnelles à des fins de recherche est autorisé par le RGPD (et bien avant lui avec la directive européenne ou notre LIL), ce même RGPD encadre néanmoins cette possibilité.
" /> )
Comme indiqué, le traitement doit notamment se faire de façon pseudonymisée (en principe), à défaut le “chercheur” contrevient au règlement.
En revanche, je ne suis absolument pas d’accord avec le fait de prétendre que l’on pourrait conserver des données collectées sans pseudonymisation, et que cela ne poserait une difficulté qu’en cas de publication du fichier non pseudonymisé.
Le RGPD est parfaitement clair et faisant référence à la pseudonymisation, il impose “chaque fois que ces finalités peuvent être atteintes par un traitement ultérieur ne permettant pas ou plus l’identification des personnes concernées, il convient de procéder de cette manière”. (art. 89 alinéa 1 du RGPD).
Pour rappel la collecte est en elle-même un traitement (article 4 alinéa 2 du RGPD). Dès lors la phase de pseudonymisation doit être appliquée dès que possible et au traitement final, non uniquement en cas de publication du fichier.
Cela pose pas mal de difficultés pour les chercheurs qui estiment que cela limite la possibilité de reproduire et comparer des études, mais c’est ainsi, le fichier final même sans considération d’une éventuelle publication, doit être pseudonymisé sauf si celle-ci rend impossible d’atteindre la finalité poursuivie. (ce qui n’est manifestement pas le cas ici, un hash (et un salage) permet de réaliser les statistiques voulues sans travailler avec les vrais pseudo. ou noms).
On peut encore consulter les recommandations de la CNIL sur ce point qui souhaite la généralisation de la pseudonymisation, publication ou non des fichiers, le site du cil.cnrs.fr y invitant très fortement notamment en cas d’étude sociologique et décrivant les mesures de minimisation. (CNIL - Mesure de la diversité et protection des données personnelles 16/05/2007 point 9).
De même, simplement renvoyer à l’exception de l’article 9 en indiquant que traiter des données sensibles sans accord préalable mais du fait que la personne a “manifestement” rendu public cette information, me semble sujet à débat.
Même s’il est introduit une distinction entre le fait de collecter l’information publique et déduire un comportement de cette information publique, la nuance me semble insuffisante.
Le Conseil constitutionnel a très clairement indiqué ce qui pouvait pris en compte ou non, la CNIL visant régulièrement la décision du Conseil, précisant que seule une donnée “objective” peut être prise en compte.
(DC n° 2007-557 du 15 novembre 2007).
Dès lors il me semble spécieux de prétendre qu’en réalité l’ONG n’aurait fait que reprendre une étiquette données publiquement par les utilisateurs qui aujourd’hui et abusivement revendiqueraient un “droit absolu sur ces informations”;
. si ces personnes avaient dit je suis “Insoumis”, je suis “FN-RN”, je suis etc… ces données étaient objectives et pouvaient être traitées.
. A l’inverse, dire “j’aime pas macron” ou encore re twitter “j’aime pas macron” et que l’ONG puisse en déduire une appartenance politique mais encore prétendre que la personne à de ce seul fait rendu publique son orientation politique me semble parfaitement douteux. Dès lors les revendications de ceux qui n’ont pas indiqué objectivement leurs orientations politiques ne me semblent en rien abusive.
En revanche, une précision pourrait être encore apportée, si les responsables de cette étude avaient fait le nécessaire s’agissant de la pseudonymisation (dès le début et non pas simplement en cas de publication), ils pouvaient échapper à l’obligation d’informer la personne concernée de leurs droits. (RGPD Article 14 5b & 89 1)
Enfin, il n’y a pas que le civil et le CNIL dans la vie, mais aussi le pénal, une plainte se fondant sur les articles 226-17 et surtout 226-19 du Code pénal me semblent particulièrement adaptés, et si la plainte est accueillie alors il sera possible de constituer partie civile et de demander une indemnité. (En plus, cela permettre d’éviter l’application de la “jurisprudence” schiappa de la CNIL
#20
Les cons, ça ose tout et c’est à ça qu’on les reconnaît…
J’ai pas fb mais si un ami me fait ça, je sais à quoi m’en tenir si j’ai signalé que sous le pseudo c’est moi.
#21
Oui ce sont les gens qui ont fait perdre Hillary. A force de le répété c’est une vérité maintenant, des preuves ? pas la peine…
#22
Bonjour, une chose que je ne comprends pas c’est qu’il n’a jamais eu de protestations quand Nicolas Vanderbiest publiait des dataviz qui montraient les nebuleuses de tweets et retweets (concernant WikiLeaks ou avant la présidentielle par exemple). Pourtant on y voyait clairement des noms de comptes et il y avait parfois des analyses dans la presse. Qu’est ce qui était légal ou pas a ce moment là et comment se fait-il que personne y compris la CNIL n’ait réagi a ce moment-là ?
#23
#24
#25
wé, bon là perso je change d’ami ;)
#26
#27
#28
Commentaire lisible et compréhensible, malgré la densité de l’info fournie. Merci.
#29
#30
Les russes ont des réseaux d’influence, dont certains remontent aussi loin que la guerre froide.
" />
Donc oui, les obligés des services Russes ou leurs idiots utiles sont “russophiles”.
Aujourd’hui c’est typiquement les nationalistes de gauche comme de droite (RN et insoumis) qui sont là dedans à des degrés divers.
C’est ainsi qu’on a des “patriotes” du RN qui se financent chez des étrangers ou de grands humanistes dans la tradition maçonne qui soutiennent les bombardements russes anti kurdes en Syrie… La politique c’est magique, suffit de suivre les traces de pognon
#31
Pourtant les kurdes sont sympa.
Hé bé. Dommage que c’est pas Bakounine le chef du monde .
#32
ça aurait l’avantage que comme il est mort il ferait pas trop chier
" />
#33
#34
#35
#36
#37
on pourrait ajouter en argument de poids que même Greenwald a fini par virer sa cuti sur le hack du DNC et reconnait à demi mot que les Russes sont bien derrière.
Si même lui le reconnait, tous ceux qui pensent encore à un complot du deep state sont de gros trolls. ^^
#38
Pour le financement russe du FN/RN, il faut rappeler qu’aucune banque française n’avait accepté de le faire…Il faut rétablir les faits et ne pas partir dans des délires, hein ?
#39
Le fichage “S” est tout de même légal, non ? Et concerne des individus d’une gravité certaine. Le fichage de cette ONG ne l’est nullement, c’est un fichage politique comme on en avait en Russie communiste, dans les Pays de l’Est communistes, dans l’Allemagne nazie, et autres dictatures (Espagne, Italie, Portugal : j’ai connu l’époque de Franco - Espagne - et celle de Salazard - Portugal : ce n’est pas si ancien, la démocratie dans ces pays).
De plus, le premier est confidentiel, le second a été rendu public.
Tout cela devrait donc aboutir à un procès pénal contre cette ONG, et à la fermeture de leur compte Twitter (qui parfois ferme un compte pour bien moins que cela, et bien plus rapidement, non ?).
#40
Ce ne sont pas délires, il y a eu Jean-Luc Schaffhauser comme entremetteur du prêt et c’est un proche des services Russes.
De plus mediapart avait sorti des emails indiquant que le FN faisait valider ses communiqués sur l’Ukraine par les services russes.
Ca n’est pas une allégeance totale probablement mais le FN est dans le giron Russe depuis au moins 25ans (JM Lepen était déjà idéologiquement pro russe après la chute du mur, bien avant que de l’argent ne soit échangé et que Poutine n’arrive au pouvoir et s’implique dans l’extrême droite identitaire chrétienne de l’ouest).
#41
c’est juste un fichier d’analyse OSINT.
et c’est pas un fichage politique. c’est un truc qui se base sur quelques posts twitter et les bios que les gens (dont un paquet sous pseudo) ont rendues publiques.
toi qui as connu Franco et Salazar tu devrais savoir la différence.
il a été rendu publique, il me semble, justement parce que tout un tas de gens prétendaient qu’il s’agissait d’un fichage politique d’une officine privée à la solde de la macronie néolibérale atlantiste cosmopolite.
et les pseudo matricules sont totalement ridicules, c’est juste des numéros de ligne excel.
pour qui connait un peu excel c’est totalement risible.
#42
#43
#44
En outre, les banques françaises n’ont pas le droit de financer un parti politique. Ce n’est pas juste le FN, c’est tout le monde à la même enseigne.