La réutilisation de données publiques à des fins de recherche

, le 24 mars 2022
Une récente déci­sion de l’Autorité belge de protec­tion des données  sanc­tion­nant une ONG et l’un de ses cher­cheurs dans le cadre d’une étude liée à « l’af­faire Benalla » illustre les règles appli­cables à la réuti­li­sa­tion de données person­nelles à des fins de recherche (non médi­cale), tant du point de vue du RGPD que de la légis­la­tion suisse.

Autorité belge de protec­tion des données, Décision de la Chambre conten­tieuse 13/​2022 du 27 janvier 2022.

Contexte

Dans le cadre de « l’af­faire Benalla », une ONG belge œuvrant dans la lutte contre la désin­for­ma­tion réalise une étude visant à iden­ti­fier l’origine poli­tique des « Tweets » échan­gés sur le sujet. Dans ce but, un cher­cheur béné­vole de l’ONG collecte et analyse les données publiques prove­nant de plus de 55’000 comptes Twitter, dont 3’300 sont clas­sés en fonc­tion des affi­ni­tés poli­tiques. En réponse à des critiques sur la métho­do­lo­gie de l’étude, le cher­cheur publie les données brutes de l’étude conte­nant des données person­nelles de nombreux individus.

À la suite de plaintes (plus de 240), l’Autorité belge de protec­tion des données (APB) ouvre une enquête et condamne aussi bien l’ONG que le cher­cheur à des amendes de EUR 2’700, respec­ti­ve­ment EUR 1’200 pour diverses viola­tions du RGPD.

La déci­sion de l’APB a été rendue après consul­ta­tion et appro­ba­tion de la CNIL dans le cadre du méca­nisme de coopé­ra­tion instauré par l’art. 60 RGPD. Il peut ainsi être consi­déré que son contenu corres­pond égale­ment à la posi­tion de l’au­to­rité de surveillance française.

La réuti­li­sa­tion de données person­nelles à des fins de recherche (non médi­cale) est licite à condi­tion d’être enca­drée par des mesures appro­priées. À défaut, les personnes et orga­ni­sa­tions respon­sables du trai­te­ment peuvent être sanc­tion­nées. Nous analy­se­rons ci-après les prin­ci­paux ensei­gne­ments à tirer de cette décision :

Une orga­ni­sa­tion et son cher­cheur peuvent être respon­sables conjoints du traitement 

En prin­cipe, les cher­cheurs qui sont employés par une orga­ni­sa­tion n’agissent ni comme respon­sables du trai­te­ment, ni comme sous-trai­tants de celle-ci, mais effec­tuent en quelque sorte les trai­te­ments au nom et pour le compte de l’organisation.

Dans la présente affaire, l’ONG et le cher­cheur se sont mutuel­le­ment rejeté la respon­sa­bi­lité des divers trai­te­ments effec­tués dans le cadre de l’étude. L’APB retient que tous les deux sont conjoin­te­ment respon­sables du traitement :

  • L’ONG en sa qualité de comman­di­taire et éditeur de l’étude, qui a publié l’étude sous son nom et sur son site. Au demeu­rant, deux admi­nis­tra­teurs de l’ONG avaient relu et corrigé l’étude avant sa publication.
  • Le cher­cheur en tant que contri­bu­teur béné­vole de l’ONG, dans la mesure où il a volon­tai­re­ment rédigé l’étude et a déter­miné en partie les moyens de trai­te­ment des données.

Cette conclu­sion s’ins­crit dans la lignée de précé­dentes déci­sions concer­nant cette théma­tique, qui retiennent de manière toujours plus large une respon­sa­bi­lité conjointe dans le trai­te­ment des données. L’on pense ici notam­ment à l’ar­rêt témoins de Jéhovah de la Cour de justice de l’Union euro­péenne (CJUE, affaire C‑25/​17 du 10 juillet 2018), qui avait reconnu à la commu­nauté reli­gieuse et à ses membres prédi­ca­teurs la qualité de respon­sables conjoints du trai­te­ment. L’art. 5 let. j nLPD ayant repris la termi­no­lo­gie du RGPD, il est probable que les tribu­naux suisses s’alignent à l’ave­nir sur ces décisions.

En consé­quence, il est impor­tant pour les orga­ni­sa­tions et les personnes œuvrant dans le domaine de la recherche au sens large – et pas unique­ment médi­cale – d’ana­ly­ser atten­ti­ve­ment leur(s) rôle(s) respectif(s), afin de déter­mi­ner leurs respon­sa­bi­li­tés propres.

Des données person­nelles publi­que­ment dispo­nibles sur les réseaux sociaux ne peuvent pas être libre­ment réutilisées

Le carac­tère public des données person­nelles dispo­nibles sur les réseaux sociaux ne leur fait pas perdre la protec­tion confé­rée par le RGPD. Ainsi, sauf à béné­fi­cier d’ex­cep­tions, les respon­sables du trai­te­ment ne sont pas exemp­tés du respect de leurs obli­ga­tions (néces­sité de dispo­ser d’un motif justi­fi­ca­tif, obli­ga­tion d’in­for­mer, etc.).

À noter que le droit suisse est plus libé­ral sur ce point, puis­qu’il instaure une présomp­tion légale (mais pas une fiction) d’ab­sence d’at­teinte à la person­na­lité lorsque la personne concer­née a rendu les infor­ma­tions acces­sibles à tout un chacun (art. 12 al. 3 LPD, art. 30 al. 3 nLPD). Ceci ne libère en prin­cipe pas de l’obli­ga­tion d’in­for­mer les personnes concer­nées par un éven­tuel trai­te­ment, obli­ga­tion dont la portée en droit suisse se géné­ra­li­sera lors de l’en­trée en vigueur de la LPD révi­sée (art. 19 nLPD).

Obligation d’in­for­mer les personnes concernées

L’obligation d’in­for­mer les personnes concer­nées repré­sente en pratique un obstacle impor­tant à la conduite de nombreuses acti­vi­tés qui néces­sitent la réuti­li­sa­tion de données publi­que­ment dispo­nibles. Les excep­tions prévues, notam­ment le fait que la four­ni­ture des infor­ma­tions se révèle impos­sible ou exige­rait des efforts dispro­por­tion­nés, sont inter­pré­tées restric­ti­ve­ment par les auto­ri­tés euro­péennes.

La nouvelle LPD repren­dra sur ce point les mêmes excep­tions que le RGPD, mais il reste à voir si les auto­ri­tés suisses appli­que­ront ces excep­tions de manière plus libé­rale, ce qui serait souhai­table. Rappelons à cet égard que le manque­ment inten­tion­nel aux obli­ga­tions d’in­for­mer sera péna­le­ment sanc­tionné (art 60 al. 1 let. b ch. 1 nLPD).

L’exception de recherche scien­ti­fique peut s’ap­pli­quer même en l’ab­sence de dispo­si­tion topique dans le droit national. 

L’art. 89 par. 2 RGPD auto­rise les États membres à adop­ter des déro­ga­tions lorsque des données sont trai­tées à des fins de recherche scien­ti­fique ou histo­rique. L’art. 85 RGPD prévoit une règle simi­laire pour les trai­te­ments à des fins jour­na­lis­tiques. Dans le cas présent, l’APB a appli­qué ces règles même en l’ab­sence de dispo­si­tions d’ap­pli­ca­tion dans la légis­la­tion belge (qui n’avaient pas encore été implé­men­tées au moment des faits).

Ceci est parti­cu­liè­re­ment inté­res­sant pour les orga­ni­sa­tions suisses qui sont soumises au RGPD sur la base de l’art. 3 par. 2 RGPD (critère du ciblage ou du moni­to­ring). Dans ces cas, il est souvent diffi­cile de déter­mi­ner si le droit d’un État membre peut s’ap­pli­quer pour légi­ti­mer certains trai­te­ments. La présente déci­sion ouvre à notre avis la porte à une appli­ca­tion de ces excep­tions même en l’ab­sence de ratta­che­ment au droit natio­nal d’un État membre.

Le consen­te­ment des personnes concer­nées n’est en prin­cipe pas nécessaire 

Le recours à l’ex­cep­tion de recherche peut sous­traire les respon­sables de trai­te­ment à l’obligation d’information préa­lable, mais ne les décharge pas des autres obli­ga­tions du RGPD, comme l’obligation de dispo­ser d’un motif justi­fi­ca­tif adéquat pour le trai­te­ment de données envisagé.

Dans le cas présent, l’APB a consi­déré que la collecte massive des données et leur trai­te­ment en vue d’ef­fec­tuer la recherche visée (notam­ment le profi­lage des opinions poli­tiques) pouvaient repo­ser sur l’intérêt légi­time du respon­sable de trai­te­ment. En consé­quence, ces trai­te­ments ne néces­si­taient pas l’obtention du consen­te­ment des personnes concernées.

Quoique repo­sant sur un raison­ne­ment diffé­rent, nous sommes d’avis que la solu­tion serait iden­tique en droit suisse au vu notam­ment de l’art. 13 al. 2 let. e LPD (respec­ti­ve­ment l’art. 31 al. 2 let. e nLPD).

Importance des mesures tech­niques et organisationnelles 

Afin de pouvoir béné­fi­cier de l’ex­cep­tion de recherche, des garan­ties de nature tech­nique et orga­ni­sa­tion­nelle doivent être mises en place pour assu­rer les droits des personnes concernées.

C’est bien l’ab­sence de telles mesures qui justi­fie dans le cas présent le prononcé de sanc­tions en lien avec la réali­sa­tion de l’étude (la publi­ca­tion des données brutes consti­tuant un second motif de sanction).

Dans la mesure où l’ONG trai­tait les données — publiques ou non — à des fins de profi­lage poli­tique, et donc, in fine, trai­tait des données sensibles, de telles garan­ties devaient selon l’au­to­rité comprendre une docu­men­ta­tion interne (registre de trai­te­ment, analyse d’impact préa­lable) et externe (poli­tique de confi­den­tia­lité) concer­nant la métho­do­lo­gie de trai­te­ment des données et leur degré d’anonymisation/pseudonymisation.

Les manque­ments consta­tés dans cette affaire permettent d’illus­trer une série de mesures mini­males que les orga­ni­sa­tions devraient implé­men­ter en lien avec des projets de recherche :

  • Registre des trai­te­ments : l’ab­sence de registre des acti­vi­tés de trai­te­ment est souvent le premier manque­ment constaté par les auto­ri­tés de protec­tion des données euro­péennes. Chaque orga­ni­sa­tion devrait donc se doter d’un tel registre, ce d’au­tant plus que la LPD révi­sée instau­rera une obli­ga­tion simi­laire (12 nLPD).
  • DPIA : une analyse d’im­pact rela­tive à la protec­tion des données (DPIA) doit être réali­sée en cas de risque élevé pour les droits des personnes concer­nées. Dans le cas analysé, l’au­to­rité a consi­déré que tel était le cas, même si les données de base étaient publiques.
  • Pseudonymisation : la pseu­do­ny­mi­sa­tion et l’ano­ny­mi­sa­tion consti­tuent des mesures de sécu­rité cardi­nales dans le domaine de la recherche. Tant le RGPD (89) que la LPD révi­sée (art. 31 al. 2 let. c ch. 1) imposent expli­ci­te­ment des exigences dans ce contexte. En l’oc­cur­rence, l’ONG a manqué à ses obli­ga­tions de sécu­rité en ne pseu­do­ny­mi­sant pas les données collectées.
  • Politique de confi­den­tia­lité : selon l’au­to­rité, l’ONG aurait dû publier une poli­tique de confi­den­tia­lité infor­mant les personnes concer­nées sur la manière dont leurs données étaient trai­tées. Si l’on peut douter de l’ef­fi­ca­cité d’une telle mesure dans le cas présent (collecte indi­recte des données sans infor­ma­tion préa­lable), les orga­ni­sa­tions seront bien inspi­rées de mettre en place une telle mesure afin de limi­ter leurs risques.

Enfin, toujours veiller au prin­cipe de proportionnalité

L’autorité a consi­déré que la collecte massive de données sur Twitter et le profi­lage poli­tique d’uti­li­sa­teurs étaient propor­tion­nés, compte tenu notam­ment de l’im­por­tance de la fina­lité de recherche et l’in­té­rêt jour­na­lis­tique en jeu.

En revanche, la publi­ca­tion des données brutes (conte­nant des données iden­ti­fiantes) par le cher­cheur à la suite de la contes­ta­tion de l’intégrité de l’étude, sans prise de précau­tions mini­males de sécu­rité (p. ex. la pseu­do­ny­mi­sa­tion des données ou la restric­tion de l’accès aux données), a été quali­fiée d’atteinte dispro­por­tion­née aux droits des personnes concernées.

Il importe donc de toujours veiller au respect du prin­cipe de propor­tion­na­lité, même lorsque l’on traite des données qui sont publi­que­ment dispo­nibles et pour des fina­li­tés de nature « idéale ».



Proposition de citation : Alexandre Jotterand, La réutilisation de données publiques à des fins de recherche, 24 mars 2022 in www.swissprivacy.law/132


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
swissprivacy.law