Profilage politique : l’Autorité belge de protection des données prononce deux sanctions après saisine de la CNIL
L’APD, l’Autorité belge de protection des données, a prononcé une amende à l’encontre de l’ONG EU DisinfoLab et d’un de ses chercheurs. Les manquements au RGPD constatés portent sur la collecte massive de données dans le cadre d’une étude visant à identifier l’orientation politique des personnes à l’origine de « tweets » sur « l ’affaire Benalla ».
Le contexte
À la suite d’un débat mené sur Twitter concernant un collaborateur du président de la République française (M. Benalla), une étude a été réalisée au sujet des « tweets » relatifs à cette affaire par EU DisinfoLab, une association belge ayant pour objet la lutte contre la désinformation.
Avant même la publication du résultat de l’étude en août 2018, l’association et le chercheur mis en cause ont diffusé les données personnelles de nombreux utilisateurs (comptes et opinions politiques présumées, mais également des informations relatives aux convictions religieuses et à l’orientation sexuelle) pour répondre aux critiques sur la méthodologie de l’étude.
En conséquence, de nombreuses plaintes ont été déposées auprès de l’Autorité belge de protection des données (l’APD) et de la CNIL (plus de 240), les plaignants contestant l’utilisation de leurs données de compte Twitter pour la réalisation de l’étude ainsi que la publication en ligne des données brutes ayant servi de base à l’étude.
Les responsables de traitement (l’association et le chercheur mis en cause) étant établis en Belgique, la CNIL a, en application de la procédure de coopération instaurée par le RGPD, saisie l’Autorité belge pour qu’elle instruise les nombreuses plaintes effectuées auprès d’elle par des résidents français.
En raison de plusieurs manquements au RGPD, l’APD a décidé de rappeler à l’ordre les deux responsables de traitement et de prononcer des amendes de 2 700 euros à l’encontre de EU DisinfoLab (une association), et de 1 200 euros à l’encontre du chercheur mis en cause. L’APD a également décidé de rendre publique sa décision.
Les manquements retenus
Sur la base de ses investigations, l’APD a considéré que l’association EU DisinfoLab et le chercheur mis en cause n’avaient pas respecté plusieurs obligations du RGPD.
L’APD reproche notamment à EU DisinfoLab :
- de n’avoir ni documenté ce traitement de données dans son registre, ni réalisé une analyse d’impact ;
- de ne pas avoir pris les mesures nécessaires pour assurer la sécurité des données traitées.
L’APD a également considéré que la publication sur Twitter des données brutes par l’association EU DisinfoLab et le chercheur mis en cause était illicite et ne reposait sur aucun fondement juridique. En effet, l’APD a souligné qu’une telle publication de données sensibles, faite sans l’accord des personnes et à leur insu, faisait peser des risques de discrimination sur ces dernières et qu’ainsi, les intérêts des personnes concernées l’emportaient sur ceux des responsables de l’étude à publier leurs sources pour justifier leur méthodologie.