L’Autorité belge de protection des données sanctionne une association pour violation du RGPD

03.02.2022

Gestion d'entreprise

Le 27 janvier dernier, l'Autorité belge de la protection des données a infligé des amendes à une association et à un chercheur pour divers manquements au RGPD. Portée, recommandations, points de vigilance... La décision est analysée par Emmanuel Daoud, associé du cabinet Vigo, et Arnaud Kerael, élève avocat au Barreau de Paris.

L’Autorité belge de la Protection des données (« APD ») a sanctionné, le 27 janvier 2022, l’association belge EU DisinfoLab luttant contre la désinformation et l’un de ses chercheurs d’amendes respectivement de 2 700 € et 1 200 €. Cette sanction a pour fondement des manquements au RGPD dans le cadre d’une étude visant à identifier l’origine politique d’auteurs de tweets relatifs à « l’affaire Benalla ».

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité (analyse du bilan, compte de résultat, prévisionnel, budgétisation...), de la finance (la gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (choix du statut juridique, contrats commerciaux, fiscalité)

Découvrir tous les contenus liés

EU DisinfoLab avait épluché 4,5 millions de messages Twitter entre le 19 juillet et le 3 août 2018 et les avait classifiés, s’agissant notamment de l’origine des tweets et des orientations politiques de leurs auteurs.

Réutilisation de données personnelles de 55 000 comptes Twitter

A la suite de la publication de cette étude, l’APD et la CNIL ont ainsi été saisies de plus de 200 plaintes qui visaient :

  • la réutilisation de données personnelles de 55 000 comptes Twitter en vue de la réalisation de l’étude (sur les 55 000 comptes, plus de 3 300 ont fait l’objet d’une classification politique) ;

  • la publication en ligne de fichiers contenant les données brutes de l’étude, dont les éléments de « biographie » des titulaires de comptes Twitter.

En premier lieu, l’APD relève et rappelle que le fait que les données, utilisées dans le cadre de l’étude, soient des données disponibles publiquement n’a pas d’incidence sur l’application du RGPD à ce traitement. La réutilisation de ces données brutes aux fins de la réalisation d’une étude journalistique est donc encadrée par les dispositions du RGPD.

Cela étant, l’autorité belge a considéré que le traitement en l’espèce ne disposait d’aucune base légale, notamment en raison de l’absence de garantie complémentaire, telle que la pseudonymisation, qui aurait permis de se fonder sur l’article 89 du RGPD (traitement journalistique). Par ailleurs, l’APD déplore l’absence de pseudonymisation des données sensibles lors de leur publication sur le réseau social Twitter.

L’APD en conclut que les responsables de traitement (EU DisinfoLab et le chercheur) auraient dû recueillir le consentement des personnes auteurs des tweets concernés avant de procéder au traitement et à la publication de leurs données.

Remarque : le RGPD prévoit que l’autorité du pays où se situe l’organisme mis en cause est responsable du dossier en tant qu’« autorité chef de file » (articles 60 et suivants). Toutefois, au regard du nombre important de plaintes déposées auprès de la CNIL et de personnes concernées en France, cette dernière est intervenue en tant « qu’autorité concernée » au sens de l’article 4, (22) du RGPD, ce qui lui permet de collaborer avec l’APD dans le cadre de la procédure.

Aucune précaution minimale de sécurité lors de la publication des données

En second lieu, l’ONG a manqué à son obligation d’assurer la sécurité des données en ne prenant aucune précaution minimale de sécurité lors de la publication des données brutes extraites des comptes Twitter.

Une telle publication a, par conséquent, exposé les personnes concernées à un risque de discrimination ou de discrédit du fait des profilages politiques réalisés de manière non anonymisée, d’autant plus que les fichiers publiés contenaient des données sensibles.

A noter également que la mise en balance entre le droit à la liberté d’expression journalistique et le droit à la protection des données a été écarté en l’espèce, en raison du très grand nombre de comptes Twitter concernés.

En définitive, les responsables de traitement ont manqué aux obligations de légalité du traitement, de transparence vis-à-vis des personnes concernées et de sécurité des données à caractère personnel.

Le « faible » montant des sanctions est justifié par la petite taille, le but non lucratif de l’ONG et par la qualité de personne physique du chercheur. Toutefois, cette décision démontre que personne n’est à l’abri de la mise en cause de sa responsabilité sur le fondement du RGPD. De plus, il ne faut pas perdre de vue qu’une telle sanction entraîne des conséquences réputationnelles importantes.

A retenir :
• Les données rendues publiques sont des données à caractère personnel, dont le traitement est soumis au RGPD.
• Pour se prévaloir de la réutilisation des données à des fins d’étude journalistique ou statistique, fondée sur l’article 89 du RGPD, il est nécessaire de mettre en œuvre des garanties appropriées, dont la pseudonymisation des données.

Emmanuel DAOUD, avocat au Barreau de Paris, associé du Cabinet Vigo, membre du réseau international d’avocats GESICA
Vous aimerez aussi

Nos engagements