Le logo de Twitter. / NICOLAS SIX / QUENTIN HUGON / LE MONDE

La Commission nationale informatique et libertés (CNIL), le gendarme français de la vie privée en ligne, a confirmé, jeudi 9 août, qu’elle allait instruire les plaintes qui lui avaient été transmises ces derniers jours à propos d’un fichier, constitué courant juillet, listant des comptes Twitter particulièrement actifs durant l’affaire Benalla. Ce fichier, compilé par une ONG belge, EU Disinfo Lab, avait servi de base à une étude, en juillet, analysant la diffusion des informations sur l’affaire Benalla.

L’étude en question concluait, entre autres, que des comptes militants, pour certains qualifiés de russophiles dans des extraits publiés avant la finalisation de l’étude, avaient largement contribué à la diffusion des informations. EU Disinfo Lab estimait également qu’une partie de ces comptes était probablement automatisée.

La méthodologie de l’étude avait été contestée sur certains points par des militants et des médias, et EU Disinfo Lab a publié, cette semaine, les fichiers qui avaient servi à la mener, pour clarifier la manière dont elle avait travaillé. Mais de nombreux internautes se sont agacés de découvrir leur compte Twitter dans le fichier, et ont saisi la CNIL pour ce qu’ils estiment être une violation de leur vie privée, voir un « fichage politique ». Depuis jeudi, des militants de La France insoumise affichent également, de manière ironique, un « numéro de matricule » dans leur profil Twitter ou en signature de leurs messages, correspondant à la ligne dans laquelle leur compte apparaît dans le fichier.

Le message de la CNIL ne préjuge pas d’une éventuelle sanction — l’instruction par la Commission est la procédure standard lorsqu’elle est saisie par des citoyens. Dans un message publié vendredi, EU Disinfo Lab précise que « la publication des données brutes de l’étude a été réalisée afin de répondre aux nombreuses demandes publiques de transparence », et que « l’étude publiée repose sur une base légale. Elle est fondée sur l’exercice du droit à la liberté d’information et du droit du public à l’information, ce qui constitue un intérêt légitime au regard du [règlement européen adopté cette année] RGPD et ne nécessite donc pas de recueillir le consentement des personnes concernées ». Les travaux de recherche disposent, en Europe, d’un certain nombre de dérogations à la réglementation sur la collecte de données personnelles.

Le RGPD prévoit le contrôle a posteriori du bon usage des données

« Avec l’entrée en vigueur, le 25 mai, du règlement général sur la protection des données (RGPD), la marche à ­suivre pour utiliser des données ­personnelles – médicales ou non – se ­modifie. Jusqu’alors, en France, les ­organismes et les entreprises qui voulaient exploiter ces données ­devaient obtenir préalablement les autorisations appropriées de la ­Commission nationale de l’informatique et des ­libertés (CNIL). Désormais, il leur ­appartiendra de prouver eux-mêmes que le consentement éclairé a été ­recueilli, et que les données sous leur responsabilité sont protégées, comme la loi le ­demande, ­notamment contre les risques de ­piratage. Alors que la CNIL exerçait un contrôle a priori en délivrant ses autorisations après examen des ­demandes, le RGPD repose sur le contrôle a posteriori du bon usage des données personnelles. C’est une très bonne chose, car cela responsabilise les entités qui y ont recours. »

Propos recueillis par C. V.

Questions sur la publication du fichier

Pour certains spécialistes, dont l’ONG française de défense des libertés numériques la Quadrature du Net, c’est surtout la publication du fichier de données brutes qui pose problème, en vertu de l’article 6 du règlement européen : « Cette publication n’était nécessaire à la poursuite d’aucun objectif. Or, publier des données perso[nelles] sans consentement est toujours illicite si ce n’est nécessaire à aucun objectif », analyse l’organisation. EU Disinfo Lab a, depuis, supprimé le fichier qu’il avait été mis en ligne sur un service de partage de documents.

EU Disinfo Lab étant une organisation de droit belge, la CNIL a annoncé qu’elle coopérerait avec son homologue belge pour l’instruction des plaintes. Il s’agira de la première application concrète d’un mécanisme de collaboration européenne prévu par le RGPD.