L'affaire Benalla a des suites tragi-comiques. Une ONG belge dénommée
EUDisinfoLab aurait mené une
étude présentée comme fort sérieuse sur la désinformation sur Twitter à propos de cette affaire. Les conclusions de ce travail auraient constaté l'hyperactivité de comptes "russophiles" dont certains susceptibles d'être des robots. Bref, il était quasiment démontré que l'importance médiatique de l'affaire Benalla était le pur produit d'une ingérence russe.
Depuis lors, l'ONG a pratiqué un rétropédalage rapide, affirmant que rien, dans son travail, ne permettait d'établir clairement une telle ingérence. L'étude sur la désinformation sombre donc dans le ridicule et la désinformation ne se trouve pas nécessairement là où on l'imaginait.
EUDisinfoLab reconnait
ainsi sur son site travailler avec le Think Tank
Atlantic Council et
la Fondation Soros, deux organisations
affirmant des convictions résolument atlantistes
. Il serait donc intéressant de savoir si
EUDisinfoLab a pris l'initiative de l'étude contestée ou si celle-ci a été diligentée ou commandée par des tiers.
Quoi qu'il en soit, des milliers de personnes figurent aujourd'hui
dans deux fichiers que
EUDisinfoLab a rendus publics en invoquant la transparence de ses résultats. Dans le premier, une liste de comptes twitter ayant diffusé des messages sur l'affaire Benalla. Dans le second, une autre liste, sélectionnant les comptes ayant pratiqué la "désinformation", choisis en fonction de leur intérêt pour des sites russophiles (Russia Today et Sputnik), du nombre de partages effectués, etc. Dans cette seconde liste, les convictions politiques des titulaires de compte sont mentionnées. Les personnes figurant dans ces listes saisissent en masse la Commission nationale de l'informatique et des libertés (CNIL). Devant l'afflux de ces plaintes, la CNIL
déclare donc se saisir du dossier.
Derrière le côté fantaisiste de l'étude se cache un problème juridique bien réel et l'affaire sera probablement la première à susciter un contrôle sur le fondement du règlement général de protection des données, entré en vigueur le 28 mai 2018 et dont l'intégration dans le droit français a été assurée par la
loi du 20 juin 2018.
Données personnelles et consentement
L'illégalité du fichage ne fait guère de doute. Selon l'article 2 de la loi du 6 janvier 1978, une donnée personnelle se définit comme "toute information relative
à une personne physique identifiée ou qui peut être identifiée,
directement ou indirectement, par référence à un numéro d'identification
ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si
une personne est identifiable, il convient de considérer l'ensemble des
moyens en vue de permettre son identification dont dispose ou auxquels
peut avoir accès le responsable du traitement ou toute autre personne". La plupart des comptes Twitter ne sont pas anonymes. Ceux qui utilisent des pseudonymes peuvent souvent être facilement identifiés, soit par la transparence du pseudonyme, soit par l'observation des échanges. En tout état de cause, les fichiers constitués par EUDisinfoLab peuvent être qualifiés de "traitements de données personnelles" au sens de la loi, dès lors qu'ils constituent un "ensemble structuré" de données permettant, au moins en partie, l'identification des personnes.
Selon l'article 7 de la loi du 6 janvier 1978 un traitement de données personnelles doit avoir préalablement reçu le consentement de la personne. Celui-ci, aux termes de l'article 4 du RGPD doit être le fruit d'une "manifestation de volonté, libre, spécifique, éclairée et univoque", ce qui implique qu'il soit recueilli par un "acte positif clair". En l'espèce, les abonnés de Twitter n'ont jamais été sollicités par EUDisinfoLab pour donner leur consentement à l'enquête. Ils n'ont même pas été informés.
Convictions politiques et interdiction
L'article 8 de la même loi pose un principe d'interdiction pure et simple du traitement de données personnelles qui "révèlent (...) les opinions
politiques" des personnes. Certes, les fichiers constitués par EUDisinfoLab pourraient sans doute entrer dans la dérogation prévue par l'alinéa 4 de ce même article 8. Il énonce que, dans la mesure où la finalité du traitement l'exige, ne sont pas soumis à interdiction "Les traitements portant sur des données à caractère personnel rendues publiques par la personne concernée". Il est certain que les opinions politiques des personnes, qui sont ainsi collectées, proviennent de leur propre présentation sur Twitter. Nul ne conteste ce fait, mais le problème du consentement n'est pas pour autant résolu.
Les personnes avaient parfaitement le droit de faire connaître leurs convictions sur Twitter sans pour autant consentir à ce qu'elles soient stockées, utilisées à des fins de "recherche", puis diffusées par une ONG tierce. En l'espèce, les fichiers ainsi créés avaient pour finalité de "catégoriser" les personnes en fonction de leurs convictions politiques, d'établir des profils types "russophiles" ou "non russophiles", finalité qui n'a plus rien à voir avec la simple expression d'une conviction par l'intéressé. Il aurait donc dû donner son consentement à l'enquête, quand bien même elle portait sur des données publiques, mais personnelles.
Tout le monde n'a pas eu la chance d'avoir des parents communistes
Jean-Jacques Zilbermann. Josiane Balasko. 1993
Une opération conjointe APD - CNIL
Il reste à s'interroger sur la manière dont la CNIL va pouvoir mener son enquête, car la plupart des victimes sont des personnes de nationalité française, dont les données personnelles ont été collectées par une ONG de droit belge. Peu importe au fond, car le RGPD s'applique à tout traitement de données à caractère personnel effectué dans le cadre des activités d'un établissement sur le territoire de l'Union (
art. 3). Concrètement, il serait possible d'envisager une enquête diligentée à la fois par l'Autorité de protection des données (APD) mise en place en Belgique et la CNIL française. L'article 60 du RGPD prévoit ainsi la désignation d'une autorité de contrôle "
chef de file", en principe celle du lieu de l'établissement responsable du traitement. Le RGPD précise que les autorités de contrôle peuvent mettre en oeuvre "
des procédures de coopération et d'assistance mutuelle" et
réaliser "
des opérations conjointes".
On ne fera que rappeler les autorités de contrôle peuvent se faire communiquer toutes les informations et données utiles à leur mission. A l'issue de l'enquête, elles peuvent exiger du gestionnaire du traitement qu'il assure sa mise en conformité avec les dispositions du RGPD. Un "
rappel à l'ordre" peut être prononcé et, le cas échéant, une amende administrative. Rien n'interdit, en outre, aux victimes de saisir le juge pénal, dès lors que l'
article 226-16 du code pénal punit de 5 ans d'emprisonnement et de 300 000 € d'amende le fait d'avoir procéder à un fichage illégal de données personnelles.
L'affaire EUDisinfoLab pourrait ainsi susciter la première opération conjointe depuis l'entrée en vigueur du RGPD et marquer la mise en oeuvre d'un véritable espace européen de protection des données personnelles. Les personnes dont les données personnelles ont ainsi été collectées et conservées peuvent donc se consoler. Elles vont pouvoir bénéficier d'un test en grandeur réelle du nouveau dispositif RGDP. Avouons que cela valait bien un fichage...