EU DisinfoLab, une ONG prétendant « lutter contre la désinformation », a révélé publiquement des fichiers recensant des auteurs de tweets sur l’affaire Benalla. La divulgation va jusqu’à affecter aux tweeters des opinions politiques et afficher des informations personnelles!

-         Le compte EU DisinfoLab fait l’objet de la première grande enquête d’envergure de la CNIL pour infraction au RGPD.

Suite à l’afflux de plaintes,  la CNIL a diffusé, le jeudi 9 août, une série de tweets concernant le travail de l’ONG EU DisinfoLab.

Saisie d’un « nombre important de plaintes  la concernant, elle a demandé aux internautes de ne plus la saisir individuellement « pour une gestion optimale de l’instruction du dossier ».

-         Des utilisateurs de Twitter mécontents de voir leurs noms apparaître dans des listings rendus publics par EU DisinfoLab ont fait le siège de la CNIL.

Il y un peu plus d’une semaine, cette ONG « EU DisinfoLab » fondée par des doctorants belges qui prétendent «lutter contre la désinformation», s’était intéressée au flot  des tweets publiés au plus fort de l’affaire Benalla.

 Elle en avait  conclu à un « gonflage numérique  puissance 20 »(!) de l’affaire sur le réseau social.

Selon elle, «1 % des comptes ont produit près de la moitié du trafic », grâce à publications massives  robotisées. Elle y voyait  par ailleurs des liens avec la sphère russophile.

Critiquée, EU DisinfoLab a cru utile (intelligent ?!), pour étayer son propos, et se justifier, de rendre publics des fichiers recensant les auteurs les plus actifs.

-         Les tableurs comprennent aussi un décompte de supposées «fausses informations » diffusées et des commentaires sur les affiliations politiques.

L’ONG avait-elle le droit de produire ainsi des fichiers de données personnelles ?

Il y a quelques mois encore, les fichiers auraient dû être déclarés à la CNIL.

Mais le Règlement général sur la protection des données (RGPD) qui est entré en application en mai, vise à protéger désormais plus largement les internautes et insiste sur le consentement explicite des propriétaires des données.

Croyant « faire la lumière » sur cette affaire «trouble» (de son point de vue !), mettant en cause, au départ et de manière totalement infondée « la « sphère russophile (elle a dû reconnaître ultérieurement son erreur, un comble pour une organisation censée lutter contre la désinformation !), EU DisinfoLab se retrouve pris au piège de sa tentative de prétendue transparence.

En voulant attirer l’attention des médias sur le prétendu « éco-système russe » en lien avec un également prétendu « gonflement numérique » dans l'affaire Benalla, cette organisation  qui se voulait à la pointe de la lutte contre la diffusion de fausses informations  était-elle vraiment dans son rôle ? Il y a des dérapages qui suscitent bien des questions !

-         L’enquête ouverte par la CNIL en France est sa première application des conséquences des obligations découlant de la RGPD.

Questionnée à ce sujet par Numerama  (1), Valérie Nicolas, Maître de conférences en droit public HDR, spécialisée dans les libertés et droits fondamentaux et des technologies de l’information et de la communication, considère que cette affaire « pose réellement un problème », car toute la question qui se pose ici est «celle du traitement de données à caractère personnel, et plus particulièrement des données sensibles».

Selon la juriste, il existe, au-delà des données relatives à l’identité, des données plus sensibles que les autres touchant à l’opinion religieuse, l’origine ethnique, l’appartenance syndicale et bien entendu aux opinions politiques.

«La catégorisation  (opérée par EU DisinfoLab) est attentatoire aux libertés, dès lors que l’auteur du tweet n’a pas eu la possibilité, préalablement, d’acquiescer ou de refuser de faire partie d’une catégorie en relation avec les opinions qu’il a émis sur le réseau social. Il est de facto l’otage d’un fichage dont il a fait l’objet a priori à son insu».

Cela vaut donc même pour de simples retweets, a fortiori lorsqu’il y a une forte activité sur le site, ce qui permet d’accumuler des indices.

En l’espèce, ce fichier est la base de l’étude dont les auteurs ont publié les résultats ainsi que les données brutes. Dès lors, il paraît fondé que les personnes qui font l’objet de cette  inscription puissent la contester, afin de faire retirer leur nom du fichier qui les réunit, sur la base de leurs opinions politiques qui, encore une fois, sont des données sensibles, donc soumises à des règles spécifiques.

Pour être  conforme à la réglementation, il aurait fallu que les responsables de l’étude prennent contact avec la CNIL, pour déclarer la constitution du fichier ou demander l’autorisation de le faire,  puis demander à chacune des personnes leur autorisation avant de constituer et diffuser ce fichier.

Le préalable du consentement est «primordial», selon l’Universitaire qui estime par ailleurs qu’il doit être explicite.

On voit les difficultés de cette exigence : les membres d’EU Disinfo Lab auraient dû respecter les termes de la loi, en demandant l’autorisation des propriétaires  de milliers de comptes…sans avoir la certitude d’avoir une réponse, a fortiori positive.

On soulignera que le travail s’est fait à l’insu des internautes, ce qui est de fait attentatoire à leur liberté de ne pas être fiché et cela, quand bien même le réseau social est public.

Pour les internautes concernés, ils ont la possibilité de se tourner vers la Commission nationale de l’informatique et des libertés (CNIL) pour se plaindre, même si l’ONG se trouve en Belgique et que le travail a été fait à l’étranger.

-         « La CNIL a tout à fait compétence pour appliquer la loi Informatique et Libertés, mais aussi du Règlement général sur la protection des données (RGPD)»

« La loi Informatique et Libertés doit être lue conjointement, parallèlement et concomitamment  avec le RGPD, parce que ce Règlement est de portée générale et qu’il est applicable directement et immédiatement dans tous les États membres de l’Union. Il a le même contenu pour tous, il contient les mêmes droits pour les personnes dont les données doivent être traitées, et il énumère les mêmes obligations pour ceux qui traitent les données. »

Sur son site, la CNIL annonce son intention d’instruire toutes les plaintes qu’elle a reçues à ce sujet, «  dans le cadre de la coopération européenne instaurée par le RGPD », dans la mesure où l’ONG se trouve à l’étranger.

Un test-clé pour mesurer la réactivité et l’efficacité de la CNIL, à la lumière des nouveaux textes censés protéger plus efficacement les données personnelles !

(1)             Voir article de Numerama