L'affaire Benalla emporte un Belge, avec une coopération sur le RGPD à la clé?

©REUTERS

Suite à la publication d’une étude de l’ONG belge DisinfoLab sur l’hyperactivité des réseaux sociaux dans l’affaire Benalla, le doctorant Nicolas Vanderbiest a quitté l’UCL. En cause? Des accusations de "fichage" suite à la collecte des opinions politiques des comptes étudiés, données jugées "sensibles" par le nouveau règlement européen sur la protection des données. Qu’en est-il vraiment?

L’affaire Benalla n’en finit décidément pas de porter à conséquences. Dernier exemple en date, un chercheur belge, emporté dans son sillage fin de semaine passée. Nicolas Vanderbist, doctorant à l’université catholique de Louvain et spécialiste des phénomènes d’influence et des réseaux sociaux, a entamé une procédure de démission afin d’éviter à son employeur de "souffrir de ses activités bénévoles et de leur portée", a-t-il indiqué.

©AFP

En cause, les suites de la publication d’une récente étude par l’ONG belge qu’il a cofondée, EU DisinfoLab, entendant décrypter l’hyperactivité de la twittosphère autour de l’affaire Benalla. Dans son analyse, l’équipe cherchait à déterminer une hypothétique ingérence russe de par le nombre important (4,5 millions) de tweets ayant circulé du 19 juillet au 3 août, dont certains étant même semi-automatisés. Pour ce faire, un classement des utilisateurs les plus actifs a été réalisé, couplé à un recensement du nombre de rumeurs qu’ils ont partagées, tout cela accompagné de leur affiliation politique supposée. Des données qui ont ensuite été rendues publiques, suite à la pression de différents acteurs outre-Quiévrain. Erreur.

En réaction, plusieurs personnalités politiques françaises épinglées telles que Marine Le Pen (RN), Jean-Luc Mélenchon (FI) et Eric Ciotti (LR) sont montées au créneau, certains n’hésitant pas à pointer du doigt la divulgation d’un "fichage" pour cause d’"opinions politiques", donnée jugée "sensible" par le règlement général sur la protection des données (RGPD), entré en vigueur fin mai en Europe, et qui se doit donc d’être traitée avec la plus grande des précautions.

"Doctorant, je n’ai pas soupçonné que le partage de ces données aurait une telle portée."
Nicolas Vanderbiest
chercheur belge

En conséquence de ces accusations, Nicolas Vanderbiest a souhaité expliquer sa démarche dans un long post mis en ligne vendredi. "Dans mon prisme de doctorant, je ne pouvais soupçonner que le partage de ces données aurait une telle portée, écrit-il. À mes yeux, toute donnée sur Twitter est une donnée publique." Mais tout le monde ne l’a pas vu de la même manière. Depuis, "tout s’est emballé", poursuit le chercheur, évoquant des menaces, des insultes, des appels de journalistes à ses proches, et même des articles conspirationnistes à son égard. "Un grand nombre de personnes se sont senties fichées. Or, du côté de DisinfoLab, nous ne l’avions pas du tout anticipé et en sommes sincèrement et profondément désolés."

La CNIL s’est saisie du dossier

"La CNIL a ouvert un dossier parce qu’elle a été saisie de plaintes. Cela ne veut absolument pas dire qu’elle a conclu à la violation du règlement."
Etienne Wéry
avocat-associé chez Ulys

Et pour cause, en l’espace de quelques jours à peine, ce qui ne se voulait qu’une simple étude d’un phénomène d’actualité chaude a pris une ampleur inattendue. Après de nombreuses réactions dans les médias français, la Commission nationale de l’informatique et des libertés de France (CNIL) s’est saisie du dossier après avoir reçu "de nombreuses plaintes" à destination de l’ONG, amenant des observateurs à parler d’un premier clash d’ampleur lié au RGPD pour des opinions politiques collectées, les Belges n’ayant pas anonymisé les données, publiées sur le web pour plus de transparence.

Pas si vite, selon Etienne Wéry, avocat-associé chez Ulys. "La CNIL a ouvert un dossier parce qu’elle a été saisie de plaintes. Cela ne veut absolument pas dire qu’elle a conclu à la violation du règlement. Des ouvertures de dossier, il y en a des milliers par an. Ce n’est pas pour autant qu’ils aboutissent. Ne préjugeons pas ici de l’issue." De son côté, Erik Valgaeren, avocat spécialiste de ces matières chez Stibbe, met en garde contre le recours à la qualification de "profilage". "Il faut être très prudent avec ce genre de label." Ce qui n’empêche que le cas présent est tout de même "très bizarre", selon lui, voire même "juridiquement complexe", pour le professeur Jos Dumortier, avocat-associé chez Time.lex. En cause, le fait, par exemple, que "si les utilisateurs de Twitter sont sujets au RGPD, il existe de nombreuses exceptions à cet encadrement", ce qui complique quelque peu l’analyse de la situation.

De même, à la défense du chercheur, il ne faudrait pas omettre la finalité scientifique de la démarche – bien qu’indépendante de l’UCL. N’y a-t-il pas un distinguo spécifique à faire entre de simples insinuations et une étude dont les données et la méthodologie ont été publiées à la vue de tous? "Que DisinfoLab ait voulu publier les données brutes de ses analyses recueillies à l’aide d’outils open source disponibles sur le net est une bonne démarche", analyse Charles Cuvelliez, professeur à l’École polytechnique de l’ULB. Pour quelle raison? "Cela peut permettre la reproduction de l’analyse" par d’autres. À ce titre, l’étude pourrait donc être couverte par une exception au RGPD vu son objet, cas de figure d’ailleurs prévu, souligne le spécialiste. Etienne Wéry abonde en ce sens. "Révéler des opinions politiques, ce n’est pas encore pour autant une infraction. Parmi les hypothèses autorisant le traitement de données personnelles, on retrouve la mission d’intérêt public et l’intérêt légitime."

D’ailleurs, il ne faudrait pas oublier ce qui à trait aux libertés d’information et d’expression qui jouent aussi ici. Et sur ce point, "le règlement n’a absolument pas pour but de brider ces libertés", précise l’avocat. Que du contraire. "C’est écrit noir sur blanc. Les États membres doivent concilier, par la loi, le droit à la protection des données personnelles et le droit à la liberté d’expression et d’information, y compris le traitement à des fins journalistiques, d’expression universitaire, artistique ou littéraire." Élément encore plus important quand il y a lieu de parler d’un "débat d’intérêt général", ajoute Etienne Wéry. "Dans ce cadre, on considère la liberté journalistique (à prendre ici au sens large de procédé journalistique, NDLR) comme d’autant plus fondamentale, et donc on la protège d’autant plus." Nul doute qu’en cette période de "fake news" ou de retombées de l’affaire Cambridge Analytica qui a vivement secoué Facebook cette année, ce point peut être retenu.

"Révéler des opinions politiques, ce n’est pas encore pour autant une infraction. Parmi les hypothèses autorisant le traitement de données personnelles, on retrouve la mission d’intérêt public et l’intérêt légitime."
Etienne Wéry
avocat-associé chez Ulys

Du ressort belge ou français?

Du reste, ce dossier a d’intéressant qu’il a de quoi faire figure de première de par la coopération transfrontalière en matière de RGPD qui pourrait en résulter. Avec une question de fond: lesquelles des modalités juridiques belges ou françaises seront d’application? "Cela va être intéressant", sourit Etienne Wéry. Une fois la question tranchée, quand bien même le dossier irait plus loin, force est de constater, côté pratique, que "la loi qui transpose le règlement européen n’a pas encore été publiée" dans le pays, indique pour sa part Jos Dumortier, et ce alors qu’elle a été approuvée à la Chambre à la mi-juillet et que le règlement européen est, lui, d’application depuis le 25 mai. "Des transpositions en droit belge en matière de sanctions notamment sont encore attendues", précise Erik Valgaeren, qui table sur une avancée pour fin du mois.

©REUTERS

Pour ce qui est de sanctions potentielles pour Nicolas Vanderbiest, enfin, "il n’y a ici pas de quoi fouetter un chat", pense Etienne Wéry. Du côté de Stibbe, l’on évoque une possible réprimande, un avertissement, une publication de décision, voire un droit à l’effacement ou à l’anonymisation mais sans plus. Et si le dossier venait à tout de même prendre de l’ampleur, la CNIL se devrait préalablement de contacter l’ex-Commission Vie privée en Belgique, désormais Autorité de protection des données. Problème, les nominations de ses dirigeants n’ont pas encore eu lieu. Pour l’heure, la situation est donc bloquée en mode "wait and see", dans l’attente des suites que pourrait décider la CNIL dans le dossier.

Lire également

Publicité
Publicité
Publicité
Publicité

Contenu sponsorisé

Partner content