RGPD et Polémique…
« Affaire Benalla », volet RGPD : profilage politique et énième polémique
Le 18 juillet 2018, le journal « Le Monde » révélait l’identité de l’homme casqué filmé en train de frapper avec violence un manifestant lors des traditionnels cortèges du 1er mai : Alexandre Benalla, adjoint au chef du cabinet du Président de la République.
La réaction des citoyens et internautes face à la sanction clémente prononcée à son encontre (15 petits jours de mise à pied) fut sans précédents. Le début d’un quasi scandale d’État.
L’affaire connaît un nouveau rebondissement avec la condamnation d’une association belge ayant enquêté sur les retentissements médiatiques de ces événements.
QUI ? L’autorité de contrôle belge (l’APD[1]), en collaboration avec son homologue française (la CNIL[2]), a sanctionné le 27 janvier 2022 le collectif EU DisinfoLab et l’un de ses chercheurs.
Selon ses statuts, l’association a notamment pour objet de lutter contre le phénomène des ‘fake news’ dans les médias. Or, en voulant combattre la désinformation, EU DisinfoLab et son bénévole ont eux-mêmes traité illégalement de nombreuses informations…
QUOI ? – EU DisinfoLab tentait de comprendre les raisons de l’hyperactivité générée par l’affaire Benalla sur les réseaux sociaux, en particulier sur l’application Twitter. Elle s’interrogeait entre autre sur l’orientation politique des auteurs de ces « tweets ».
Or, avant même que ses résultats ne soient publiés, l’intégrité scientifique de l’étude était contestée. Il lui était reproché de chercher à démontrer à tout prix l’existence d’un complot russe dans cette surexposition médiatique.
Afin de démontrer la fiabilité de sa méthodologie, l’adhérent-chercheur d’EU DisinfoLab décidait de sa propre initiative… de publier purement et simplement ses bases de données !
l’adhérent-chercheur d’EU DisinfoLab décidait de sa propre initiative… de publier purement et simplement ses bases de données ! Les renseignements personnels de plus de 55.000 utilisateurs de Twitter et de près de 3.300 comptes ont ainsi été diffusés, catégorisés selon leurs préférences politiques. Le contenu de leurs sections « biographie » était également exposé au grand jour, faisant apparaître d’autres renseignements intimes les concernant : convictions religieuses, orientation sexuelle…
Cet incident est l’occasion de rappeler une évidence : les données personnelles disponibles sur les réseaux sociaux ne perdent la protection conférée par le RGPD sous prétexte qu’elles sont accessibles au public.
COMMENT ? – La liste des manquements imputés à l’association et/ou son chercheur est longue [3] :
[1] « L’Autorité de Protection des Données » est l’autorité indépendante belge compétente en matière de protection des données personnelles.
[2] La « Commission Nationale de l’Informatique et des Libertés » (CNIL) est l’équivalent français de l’APD.
[3] La décision de l’APD du 27 janvier 2022 est disponible dans son intégralité à l’adresse suivante : https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-13-2022.pdf
① Illicéité des traitements de données (article 6.4 RGPD)
Pour rappel, lorsqu’un traitement de données à des fins journalistiques n’est pas réalisé à partir de données collectées directement auprès des individus concernés, il constitue un “traitement ultérieur”.
Ces opérations de traitement secondaires doivent alors être compatibles avec la finalité pour laquelle les données personnelles ont été recueillies initialement. A défaut, l’organisme est tenu de justifier la base légale sur laquelle il fonde l’exploitation ultérieure de ces renseignements.
En l’occurrence, l’APD estime que cette exigence de compatibilité de finalités n’est pas satisfaite. Elle souligne notamment l’absence d’attentes légitimes des internautes à une telle réutilisation de leurs données à des fins de profilage politique et de republication sur Internet.
Si les auteurs des “tweets” pouvaient raisonnablement s’attendre à ce que leurs propos soient commentés dans le cadre d’un débat politique, ils ne pouvaient que difficilement imaginer que leurs comptes seraient classés et médiatisés en raison de cette appartenance politique.
Cela est d’autant plus vraie s’agissant de la révélation d’informations sensibles les concernant, sorties du contexte de l’affaire Benalla (convictions religieuses, orientation sexuelle, prétendue proximité avec des médias russes…).
EU DisinfoLab et son bénévole auraient ainsi dû recueillir le consentement des internautes avant de traiter leurs données pour ces nouveaux objectifs d’enquête, et non le faire à leur insu.
② Manquement aux obligations de sécurité (article 32 RGPD)
L’APD estime qu’EU DisinfoLab n’a pas assuré une sécurité et une confidentialité suffisante des informations personnelles reprises sur Twitter en ne les pseudonymisant pas[4]. Cette mesure aurait pourtant permis d’empêcher toute identification des abonnés concernés lors de la diffusion de leurs données personnelles.
③ Absence de notifications d’une violation de données (article 33 RGPD)
La publication des données « brutes » sur lesquelles le chercheur d’EU DisinfoLab fondait son étude constitue une violation de données susceptible d’engendrer un risque élevé pour les droits et libertés des personnes visées. Compte tenu de la sensibilité des informations portées à la connaissance de tous, elle expose ces dernières à un risque de discrimination ou de discrédit dans leur vie privée ou professionnelle.
L’association reconnaît n’avoir notifié cette violation de données ni à l’autorité de contrôle, ni aux internautes touchés, comme elle y était pourtant tenue…
④ Incapacité à fournir la documentation de sa conformité aux autorités de contrôle
→ Absence de registre de ses activités de traitement (article 30.5 du RGPD)
Malgré sa faible envergure, l’association ne peut pas invoquer la dérogation reconnue aux entités de moins de 250 personnes sur l’obligation de tenir un tel registre.
Les traitements de EU DisinfoLab portant sur des données sensibles, l’association aurait bel et bien dû – exception à l’exception – disposer d’un registre de ses activités de traitement, ce qui n’est pas le cas.
→ Absence des contrats de sous-traitance avec ses prestataires (article 28 RGPD)
[4] Le RGPD définit la pseudonymisation comme « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne soient pas attribuées à une personne physique identifiée ou identifiable ».
EU DisinfoLab n’a conclu aucun accord de partenariat avec ses sous-traitants : ni avec les prestataires lui ayant fourni les logiciels pour extraire de Twitter les informations dont elle avait besoin, ni avec le bénévole à qui elle a confié la réalisation de son étude.
Or, le RGPD impose de formaliser ces relations de sous-traitance par tout écrit ayant une force contraignante.
→ Absence de réalisation d’une analyse d’impact relative à la vie privée (ou « AIPD » – article 35 RGPD)
Ce alors que la conduite d’une AIPD s’imposait à l’association, cette formalité étant requise en cas de traitement à grande échelle de données sensibles.
MAIS ENCORE ? – Les apports de la décision
Reconnaissance de la responsabilité d’un particulier
En condamnant à titre personnel le chercheur chargé de la réalisation de l’étude, cette décision rappelle que s’il est rare qu’un particulier soit condamné par une autorité de contrôle, cela n’est toutefois pas impossible.
L’autorité régulatrice souligne que la base de données exploitée par l’association a été diffusée par le scientifique de son « initiative personnelle […] en dehors de toute instruction de l’association EU DisinfoLab et en parfaite violation des procédures internes ».
En s’émancipant ainsi des consignes qui lui avaient été transmises, le chercheur ne peut donc plus invoquer agir en qualité de sous-traitant, mais engage sa responsabilité comme responsable conjoint de traitement.
Précisions sur « l’exception journalistique »
La loi exige l’information préalable des personnes concernées que leurs données personnelles font l’objet d’un traitement, ce même lorsque la collecte de ces renseignements intervient indirectement (article 14 RGPD).
L’APD précise ici que « l’exception journalistique » permettait toutefois à EU DisinfoLab de ne pas procéder à cet avis préalable des internautes, dès lors que cette information aurait pu compromettre la réalisation de son étude.
Même sans mener une activité de journalisme à titre professionnel, l’APD considère que l’enquête de l’association s’inscrit dans un débat d’intérêt général. Elle ne pouvait ainsi pas être forcée de dévoiler l’entièreté de ses sources, ni de prévenir individuellement les abonnés de Twitter de son projet d’étude.
* * *
L’association et le chercheur ont finalement été condamnés à un rappel à l’ordre et à une amende respective de 2.700 et 1.200 euros.
Ne vous y trompez pas : la faiblesse des sanctions prononcées est tout à fait exceptionnelle. Cette tolérance se justifie non seulement par le fait que les responsables de traitement sont une association à but non lucratif peu connue ainsi qu’une personne physique, mais aussi et surtout par la proximité de la date des faits avec l’entrée en vigueur du RGPD.
Les autorités de contrôle se sont depuis pleinement emparées de leurs pouvoirs répressifs, et n’hésitent pas à multiplier au centuple les montants de leurs amendes.
L.H
Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.