Une histoire de bagagistes et de données personnelles

Une « étude » a été publiée, analysant l’activité Twitter autour de l’affaire Benalla. L’étude tente de classer et grouper les acteurs, et donc leur attribue un couleur politique. En fin d’étude, un peu de transparence : Le site donne le lien vers deux fichiers avec les données qualifiées.

Problème : Ces fichiers sont donc des listes d’identifiants auxquels on a associé l’intensité de leur activité politique sur le sujet, et pour certains une qualification plus complète de proximité avec certains médias ou types d’informations/désinformations.

Je me retrouve dans un des deux fichiers diffusés, évidemment contre mon gré. Résultat : Deux tweets. Un pour demander aux auteurs accès et information sur le cadre de ce fichier. Un pour demander à la CNIL si tout cela est normal et quels sont mes moyens d’action (ce dernier sera doublé d’une demande papier, la CNIL ne répondant pas sur Twitter, mais ça permet de diffuser la demande publiquement).

Discussions

Est-ce une donnée personnelle ? Oui, il y a peu de doutes sur le sujet. Un identifiant twitter est bien une donnée personnelle. Il identifie assez bien une personne, au même titre qu’un email, une adresse IP ou d’autres identifiants de connexion. Le fait que ces identifiants ne soient pas rattachés aux états civils des concernés ne leur retire en rien le qualificatif de donnée personnelle. Voir la CNIL « qu’est-ce qu’une donnée personnelle ».

Sont-ce des données sensibles ? C’est moins évident pour moi. L’opinion politique est une donnée dite « sensible » qui a un cadre particulier et qui nécessite des consentements explicites. J’ai tendance à penser que l’activité politique et son intensité est suffisamment lié à l’opinion politique pour être sensibles, surtout quand c’est lié à un sujet précis, et que derrière l’étude fait des classements où elle indique que sauf quelques rares cas, les acteurs significatifs sont tous classés dans trois sphères politiques d’opposition et pas affiliés LREM.
On donne des indications politiques ou de réaction à des informations politiques, même si c’est en préjugé et pas exact à 100%, ça qualifie à-priori pour être une donnée sensible.

Mais c’est une information publique, que tu diffuses volontairement ! Oui, et ça ne retire en rien le fait que ce soit une donnée personnelle (Je cite la CNIL « Peu importe que ces informations soient confidentielles ou publiques ») et le cadre qui s’y rattache.
Pour enfoncer l’évidence : Le fait que des adresses email soit publiées quelque part n’autorise pas un tiers à les récolter pour en faire un fichier différent avec une finalité différente. La situation est similaire avec d’autres identifiants que les emails.

Est-ce un fichier de données personnelles ? La remarque m’a un peu abasourdi mais elle a été faite. Physiquement il s’agit d’un fichier, qui contient des données personnelles. Pour la définition légale, le CIL du CNRS répond aussi « tout ensemble structuré de données à caractère personnel accessibles ». Et ici le traitement et la présentation de données nominatives sous forme de liste pour leur accès direct est l’objet même du fichier. Si celui-ci n’en était pas un, pas grand chose serait considéré comme fichier.

Les auteurs sont belges, ça ne concerne pas la CNIL française ! Peut-être. Je ne fais que demander à mon autorité locale quels sont mes moyens d’action. Une bonne partie des règlementations sont européennes donc tout à fait applicables aux belges. Heureusement pour nous, les frontières européennes ne blanchissent pas l’utilisation de données personnelles
Je ne suis cependant pas catégorique. On a une étude qui concerne essentiellement des français, sur un sujet de politique française, destiné à des français. Le fichier de données personnelles est lui même hébergé sur un site français (dl.free.fr) avec des serveurs français et une entité légale française. Dire que la loi française est inapplicable ici me semble aller un peu vite (mais quand bien même, l’autorité française pourra bien me répondre sur comment exercer mes droits vis à vis d’auteurs belges — la question posée est d’autant plus légitime.

Tu as abandonné tous tes droits à Twitter, c’est un problème entre toi et Twitter ! Non. Quand bien même j’aurais autorisé Twitter à lui-même autoriser ses partenaires à faire ça (plus sur le sujet plus bas), le droit d’accès et d’information persiste pour tous ceux qui traitent mes données. J’exerce ce droit directement vis à vis de ceux qui diffusent le fichier. Twitter est totalement étranger à la question (et pour l’avoir fait par le passé avant que ça ne devienne à la mode ou que le RGPD n’existe, Twitter, eux, répondent très sérieusement à ce type de requêtes).

Ok, mais du coup les auteurs de l’étude ont bien le droit de faire ça parce que tu as tout cédé à Twitter ! Non. J’ai cédé certains droits. Un re-parcours récent des CGU et privacy policy de Twitter ne me montre rien qui autorise ce type de diffusion par les partenaires de Twitter. Avec le RGPD ce devrait pourtant être simple à trouver puisque les différents tiers doivent être listés avec l’intégralité des finalités, une à une. Je ne m’avancerai pas à dire que ça n’est pas présent, mais je n’ai pas trouvé. Vous êtes les bienvenus à me détromper (même si ça ne change rien à la légitimité de mes demandes d’information).
À noter que l’actualité est taquine puisque l’UFC a justement gagné un procès contre Twitter pour faire qualifier comme abusives certaines clauses, dont justement le traitement et la diffusion de données personnelles, et le fait de considérer que ces données sont. « publiques » par défaut.
Tout laisse à penser que les auteurs de l’étude ont juste utilisé l’API publique de recherche (ils donnent même leurs critères) et s’il n’est pas anormal qu’ils puissent récupérer les messages et faire des analyses statistiques dessus, ça ne les autorise pas à en tirer des fichiers de données personnelles et encore moins à les diffuser.

Mais c’est pour la recherche, l’article 5b du RGPD autorise ces finalités ! J’avoue que je ne connais pas tout le cadre de cette autorisation, mais le fait de traiter les données n’autorise pas forcément le fait de diffuser ensuite un fichier de données personnelles alors que ce fichier ne représente ni les données d’origine (ie: les paramètres de recherche, et éventuellement par extension la sauvegarde des résultats de la recherche) ni les données de résultat (ie: les statistiques et éventuellement le nominatif des quelques comptes particuliers qui pourraient être cités unitairement dans l’étude).
La finalité de recherche est au moins encadré par l’article 89 qui dit précisément cela. Il aurait au minimum fallu anonymiser les données (ce qui leur aurait fait perdre le qualificatif de données personnelles), et ce qui n’a pas été fait.

D’autres études font cela ! Je n’en suis pas si certain. Je suis curieux sur d’autres études européennes récentes (post-RGPD) qui diffuseraient ainsi publiquement des fichiers de données personnelles (non anonymisées) avec des informations sensibles, et ça sans l’accord des concernés.
Et quand bien même, si l’argument « d’autres le font » était légitime, nos tribunaux pourraient immédiatement fermer.

Mais c’est une étude sérieuse ! En fait non. Au point qu’ils ont qualifié dans leurs sources de désinformations une information réelle et reconnue comme telle (oui la voiture avait des girophares). Les critères pris et leur sélection, les interprétations faites, tout semble du travail rapide et sans grande valeur. Ne parlons même pas de revue par des pairs.
Il y a surtout une « étude » qui est destinée à faire la une pour servir de vitrine médiatique et demander des subventions, avec des choses qui buzzent un peu comme « les russes ». Mis à part pour l’utilisation du logiciel qui traite les données ensuite, il n’y a pas grand chose.
Les études sérieuses font d’ailleurs à priori très attention aux questions d’anonymisation, parce que ça fait partie du métier. Pas ici.
Et quand bien même, ça n’autorise pas tout, et ça ne délégitime certainement pas une demande d’information.

Rejoindre la conversation

1 commentaire

  1. Quelques compléments d’information :

    – il semble exister une coopération entre organismes de type CNIL au niveau EU. cf. https://twitter.com/furvent_/status/1027527211677569024

    – l’autorité Belge est l’Autorité de Protection des Données : https://twitter.com/APD_GBA sur Twitter et https://www.autoriteprotectiondonnees.be sur le web

    – l’UFC Que Choisir a obtenu la condamnation de Twitter pour ses CGU abusives (1è instance, ils peuvent faire appel) : https://www.zdnet.fr/actualites/donnees-personnelles-et-cgu-l-ufc-que-choisir-fait-plier-twitter-39872211.htm — notamment sur « « considérer les données personnelles comme des données « publiques » par défaut ; ». Ce point est important pour répondre aux « oui mais t’as tout autorisé en validant les CGU de Twitter »

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

À propos de ce site, du contenu, de l'auteur
Je poste parfois ici des humeurs ou des pensées. Parfois je change, parfois je me trompe, parfois j'apprends, et souvent le contexte lui-même évolue avec le temps. Les contenus ne sont représentatifs que de l'instant où ils ont été écrits. J'efface peu les contenus de ce site, merci de prendre du recul quand les textes sont anciens. Merci

À toutes fins utiles, ce site est hébergé par OVH SAS, joignable par téléphone au +33 (0)9 72 10 10 07 et dont le siège social est au 2 rue Kellermann, 59100 Roubaix, France.