27 jan
2022

Sanction pour traitement massif de données Twitter liées à l’affaire Benalla à des fins de profilage politique

L’APD a prononcé aujourd’hui une amende contre une ONG qui lutte contre la désinformation (2.700 EUR) ainsi qu’un de ses chercheurs (1.200 EUR) pour des infractions au RGPD commises dans le cadre d’une étude visant à identifier l’origine politique de tweets relatifs à "l'affaire Benalla". Les sanctions visent non seulement le profilage politique des auteurs des tweets analysés, mais aussi la publication de plusieurs fichiers comprenant les données brutes, parfois sensibles, de l’étude.


Une décision rendue en collaboration avec la CNIL

En 2018, l’ONG publie une analyse visant à identifier l’origine politique éventuelle de tweets circulant sur une polémique particulièrement vive en France, "l’affaire Benalla". Celle-ci  concerne des révélations du journal Le Monde sur l’usurpation de la fonction de policier par un proche du Président de la République Française.

L’Autorité de protection des données (APD) et son homologue français, la CNIL, sont alors saisies au total de plus de 200 plaintes visant :

  • D’une part, la réutilisation de données personnelles de 55.000 comptes Twitter en vue de faire l’étude (via laquelle plus de 3.300 comptes ont fait l’objet d’une classification politique)
  • D’autre part, la publication en ligne de fichiers contenant les données brutes de l’étude

Le RGPD (Règlement général sur la protection des données) prévoit que l’autorité du pays où se situe l’organisation soit responsable du dossier. L’APD a donc rédigé sa décision en tant qu’autorité cheffe de file, en collaboration avec la CNIL, seule autorité dite "concernée" dans ce dossier.

Réutilisation de données disponibles sur un réseau social

Le caractère public des données personnelles disponibles sur les réseaux sociaux ne signifie pas que celles-ci perdent la protection conférée par le RGPD.

Si l’APD a considéré que l’ONG était dispensée de son obligation d’information individuelle des personnes au sujet des données personnelles traitées pour la réalisation de l’étude, au motif que cela aurait pu compromettre cette étude et sa publication ultérieure, elle a en revanche considéré que la publication de données sensibles utilisées pour l’étude, non dûment pseudonymisées, était dépourvue de base légale en raison de l’atteinte disproportionnée portée aux droits des auteurs de tweets concernés. Leur consentement était également requis pour la publication de telles données sensibles non pseudonymisées.

Réalisation d’une étude visant à profiler l’origine politique de « Tweets »

Les responsables de l’étude ont argumenté que celle-ci avait notamment un caractère journalistique.

Pour l’APD, l’exception dite journalistique permettait à l’ONG, en tant que responsable du traitement intervenant de la sphère journalistique, de réaliser l’étude en vue de la publier et participer au débat public concernant l’affaire Benalla sans fournir au préalable de manière individuelle l’ensemble de l’information prévue à l’article 14 du RGPD.

Publications de données brutes extraites de comptes Twitter

Dans le cadre de contestations par rapport à l’intégrité de leur travail, le chercheur ayant réalisé l’étude et l’ONG ont mis en ligne les fichiers de données brutes utilisés, sans prendre de précautions minimales de sécurité telles que par exemple, la pseudonymisation des données, ou encore la restriction de l’accès aux fichiers.

Bien qu’elle ne partait sans doute pas d’une mauvaise intention, cette publication a ainsi potentiellement exposé les personnes concernées à un risque de discrimination ou de discrédit du fait des profilages politiques réalisés de manière non anonymisée. Les fichiers contenaient de surcroît également des informations sur des convictions religieuses, l’origine ethnique, ou encore l’orientation sexuelle des personnes dont les comptes ont été analysés.  

Les  responsables du traitement ont ainsi manqué à diverses obligations édictées par le RGPD, telles que la légalité du traitement, la transparence vis-à-vis des personnes concernées et la sécurité des données. De plus, la mise en balance au cas par cas du droit à la liberté d’expression journalistique (contribution à un débat d’intérêt général) et du droit à la protection des données (répercussions de la publication) n’était pas possible vu le très grand nombre de comptes Twitter concernés (55.000).

Les sanctions

L’APD a donc décidé d’imposer une amende de 2.700 EUR à l’ONG, et de 1.200 EUR au chercheur, et de leur adresser une réprimande. La décision a pris en compte le fait que les défendeurs respectifs sont une petite organisation non gouvernementale sans but lucratif, ainsi qu’une personne physique.

Hielke Hijmans, Président de la Chambre Contentieuse : «Les règles en matière de protection des données personnelles ont été mises en place pour protéger les personnes. Leur respect est donc essentiel dans le cadre d’une collecte massive de données en vue d’effectuer un profilage politique, et de leur publication, qui est susceptible de porter préjudice aux individus. Nous trouvons évidemment légitime de vouloir contribuer au débat public sur la diffusion de la (dés)information, mais il était possible, et même nécessaire, de le faire de manière moins attentatoire pour la vie privée des personnes.»

David Stevens, Président de l’APD, ajoute : «Dans cette décision, la Chambre Contentieuse confirme à nouveau que les données disponibles publiquement bénéficient de la protection du RGPD (et donc de notre supervision). Ce n'est pas parce que vous avez partagé quelque chose publiquement, qu’il faudrait accepter toute réutilisation ultérieure.»

Liens intéressants