L’autorité belge de protection des données (APD[1]) a sanctionné l’association belge EU DisinfoLab et l’un de ses membres pour avoir collecté, traité et divulgué des données personnelles sans respecter les exigences du RGPD[2].

L’association spécialisée dans la lutte contre les fake news et la désinformation a décidé de réaliser une étude, en août 2018, intitulée « Affaire Benalla : les ressorts d’un hyper-activisme sur Twitter ». Cette étude avait pour objectif de réaliser le profil des internautes qui avait posté des tweets au sujet des révélations du journal français Le Monde à propos des activités d’Alexandre Benalla, un des (proches) collaborateurs du président français Emmanuel Macron.

Pour réaliser cette étude, l’association a extrait, à l’aide d’outils spécialisés[3], les données publiquement accessibles associées à ces comptes Twitter, notamment le nom des comptes, la description associée aux comptes et le contenu des tweets postés. L’association a ensuite analysé ces données afin de déterminer si les internautes titulaires de ces comptes étaient associés au parti politique « Les Républicains », « Rassemblement National », « La France Insoumise » ou « La République en Marche ». Au total, les données de 55 000 comptes Twitter ont été collectées et 3 300 de ces comptes ont pu être associés à l’un des partis politiques.

Une semaine avant la publication de cette étude, « aux fins de transparence et de loyauté de l’étude », le document (Excel) contenant ces données a été publié par le membre de l’association ayant réalisé l’étude. 241 personnes ont alors déposé une réclamation auprès de la CNIL, jugeant que leurs données personnelles avait été illicitement traitées.

L’autorité belge de protection des données a rappelé que le traitement de données à caractère personnel est encadré par le RGPD et que chaque pays a la liberté d’appliquer des dérogations lorsque le traitement est réalisé à des fins journalistiques[4]. La Belgique n’avait, certes, pas encore implémenté de règles spécifiques pour ce type de traitements au moment des événements, qui se déroulent seulement trois mois après l’entrée en application du RGPD, mais une ancienne loi belge ainsi que la jurisprudence européenne permettent néanmoins à la Commission de juger la pertinence des droits à la protection des données avec la liberté d’expression et d’information.

Concernant la collecte de données personnelles en vue de réaliser une étude, la Commission belge considère que l’association pouvait légitimement être « dispensée d’une information[5] préalable aux personnes concernées […] dans le cadre d’activités journalistiques, dans la mesure où l’information des personnes concernées aurait pu compromettre la réalisation de l’Étude en projet et sa publication ultérieure ». La Commission estime cependant que l’association aurait dû :

  • réaliser une analyse d’impact, étant donné le nombre de personnes concernées et la nature des données traitées[6] ;
  • réaliser un registre des activités de traitement ;
  • conclure un contrat écrit de sous-traitance avec les éditeurs des outils utilisés[7] ;
  • sauvegarder les données dans un environnement sécurisé[8].

Concernant la publication de ces données afin de légitimer l’étude, la Commission belge considère que « la finalité poursuivie pouvait être réalisée d’une manière moins attentatoire aux intérêts, droits et libertés des personnes concernées ». Les données pouvaient, par exemple, être pseudonymisées. L’accès aux données pouvait aussi être restreint à certaines personnes, auxquelles des garanties auraient pu être demandées, « telles qu’un accord de confidentialité ». Les données pouvaient même, peut-être, ne pas être publiées si des informations plus précises sur la méthodologie de l’étude avaient été proposées.

Par ailleurs, la Commission belge estime que la publication de ces données est susceptible de porter préjudice aux personnes concernées, car cela divulguait les hypothétiques affinités politiques des personnes, leur supposée proximité avec certains médias, « avec pour corollaire un risque de discrimination ou de discrédit pour leur vie privée et professionnelle ». La Commission conclut, par conséquent, que « le droit des personnes concernées à ne pas être discriminées devait prévaloir » et que l’association ne pouvait pas justifier son traitement par un intérêt légitime[9].

Une amende de 2 700 € a été prononcée contre l’association EU DisinfoLab et une amende de 1 200 € a été prononcée contre l’auteur de l’étude qui a publié les données.

Lire :

Note : l’autorité belge, en tant qu’« autorité chef de file » a initialement proposé un simple avertissement comme sanction, mais l’autorité française a demandé qu’une amende soit prononcée, « vu les circonstances de la cause (nombre de plaintes, caractère sensible des données et gravité des manquements) ».

Notes et références

  1. APD : Autorité de Protection des Données (autoriteprotectiondonnees.be).
  2. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  3. Les outils utilisés pour extraire les données de Twitter sont nommés Visibrain et Talkwalker.
  4. Le RGPD demande aux pays de l’Union de prévoir des « exemptions ou des dérogations » pour les traitements « réalisé[s] à des fins journalistiques », « si celles-ci sont nécessaires pour concilier le droit à la protection des données à caractère personnel et la liberté d’expression et d’information » (source : RGPD, article 85-2).
  5. Lorsque des données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le RGPD demande d’informer les personnes (source : RGPD, article 14). La Commission belge a cependant jugé que cette obligation d’information ne s’appliquait pas dans ce cas.
  6. Lorsqu’un traitement concerne un « traitement à grande échelle de catégories particulières de données », le RGPD demande de réaliser une analyse d’impact (source : RGPD, article 35-2-b). L’association traitait les données de 55 000 personnes. Certaines de ces données concernaient les opinions politiques, les convictions religieuses ou l’orientation sexuelle des personnes, qui sont des données particulières de données au sens du RGPD. Une analyse d’impact aurait donc dû être réalisée.
  7. Lorsqu’une partie du traitement est réalisé par un sous-traitant, le RGPD demande au responsable de traitement d’établir « un contrat ou un autre acte juridique » (source : RGPD, article 28-3).
  8. Le RGPD demande de traiter les données personnelles « de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte […] à l’aide de mesures techniques ou organisationnelles appropriées » (source : article 5-1-f). L’association enregistrait les données personnelles dans un environnement ne permettant pas d’assurer leur confidentialité. Les détails ne sont cependant pas communiqués, mais il est probable qu’un environnement Cloud classique ait été utilisé.
  9. L’intérêt légitime est l’une des six bases légales pour réaliser un traitement sur des données à caractère personnel. Elle peut être utilisée pour justifier un traitement si « une relation pertinente et appropriée entre la personne concernée et le responsable du traitement » (source : RGPD, considérant 47). Voir « Quelle raison peut justifier un traitement de données à caractère personnel ? ».