Alexandre Benalla, chargé de sécurité à l'Élysée sous la présidence d'Emmanuel Macron, a été condamné en novembre dernier à trois ans de prison, dont un ferme, pour, entre autres, "violence en réunion" et "immixtion dans la fonction de policier" lors des manifestations du 1er mai 2018 à Paris. Cette même année, l'ONG publie une analyse visant à identifier l'origine politique éventuelle de tweets circulant sur cette affaire qui avait enflé en polémique après des révélations du journal Le Monde et du site d'information Mediapart.

Problème: l'ONG publie des données sensibles brutes utilisées pour son étude, sans consentement des personnes concernées et "sans prendre de précautions minimales de sécurité telles que, par exemple, la pseudonymisation des données, ou encore la restriction de l'accès aux fichiers", note l'APD dans un communiqué relatif à sa décision, publié jeudi.

L'APD et son homologue française, la CNIL, avaient été saisies de plus de 200 plaintes à cause de la réutilisation de données personnelles de 55.000 comptes Twitter collectées pour l'étude, et la publication en ligne de fichiers contenant les données brutes de l'étude. C'est l'APD qui était chargée de rendre une décision, le Règlement général sur la protection des données (RGPD) prévoyant que l'autorité du pays où se situe l'organisation soit responsable du dossier.

L'APD a considéré que l'ONG était dispensée de son obligation d'informer individuellement les personnes au sujet des données personnelles traitées pour la réalisation de l'étude, car cela aurait pu compromettre l'étude et sa publication ultérieure. Toutefois, en l'absence de pseudonymes pour brouiller l'identité réelle des personnes étudiées, l'ONG et son chercheur ont porté une "atteinte disproportionnée aux droits des auteurs de tweets concernés", les exposant "à un risque de discrimination ou de discrédit du fait des profilages politiques réalisés". Ces profilages mentionnaient notamment les convictions religieuses, l'origine ethnique ou encore l'orientation sexuelle des personnes dont les comptes ont été analysés. Sans pseudonyme, le consentement des auteurs était en outre requis.

"Les responsables du traitement ont ainsi manqué à (...) la légalité du traitement, la transparence vis-à-vis des personnes concernées et la sécurité des données", garanties par le RGPD. Si l'ONG et le chercheur ont invoqué le caractère journalistique de leur étude dans un débat public, "il était possible, et même nécessaire, de le faire de manière moins attentatoire pour la vie privée des personnes", a commenté le président de la Chambre contentieuse de l'APD, Hielke Hijmans.

Dans sa décision, l'APD souligne que le caractère public des données personnelles disponibles sur les réseaux sociaux ne signifie pas que celles-ci perdent la protection conférée par le RGPD. "Ce n'est pas parce que vous avez partagé quelque chose publiquement, qu'il faudrait accepter toute réutilisation ultérieure", conclut le président de l'APD, David Stevens.

Alexandre Benalla, chargé de sécurité à l'Élysée sous la présidence d'Emmanuel Macron, a été condamné en novembre dernier à trois ans de prison, dont un ferme, pour, entre autres, "violence en réunion" et "immixtion dans la fonction de policier" lors des manifestations du 1er mai 2018 à Paris. Cette même année, l'ONG publie une analyse visant à identifier l'origine politique éventuelle de tweets circulant sur cette affaire qui avait enflé en polémique après des révélations du journal Le Monde et du site d'information Mediapart.Problème: l'ONG publie des données sensibles brutes utilisées pour son étude, sans consentement des personnes concernées et "sans prendre de précautions minimales de sécurité telles que, par exemple, la pseudonymisation des données, ou encore la restriction de l'accès aux fichiers", note l'APD dans un communiqué relatif à sa décision, publié jeudi.L'APD et son homologue française, la CNIL, avaient été saisies de plus de 200 plaintes à cause de la réutilisation de données personnelles de 55.000 comptes Twitter collectées pour l'étude, et la publication en ligne de fichiers contenant les données brutes de l'étude. C'est l'APD qui était chargée de rendre une décision, le Règlement général sur la protection des données (RGPD) prévoyant que l'autorité du pays où se situe l'organisation soit responsable du dossier.L'APD a considéré que l'ONG était dispensée de son obligation d'informer individuellement les personnes au sujet des données personnelles traitées pour la réalisation de l'étude, car cela aurait pu compromettre l'étude et sa publication ultérieure. Toutefois, en l'absence de pseudonymes pour brouiller l'identité réelle des personnes étudiées, l'ONG et son chercheur ont porté une "atteinte disproportionnée aux droits des auteurs de tweets concernés", les exposant "à un risque de discrimination ou de discrédit du fait des profilages politiques réalisés". Ces profilages mentionnaient notamment les convictions religieuses, l'origine ethnique ou encore l'orientation sexuelle des personnes dont les comptes ont été analysés. Sans pseudonyme, le consentement des auteurs était en outre requis."Les responsables du traitement ont ainsi manqué à (...) la légalité du traitement, la transparence vis-à-vis des personnes concernées et la sécurité des données", garanties par le RGPD. Si l'ONG et le chercheur ont invoqué le caractère journalistique de leur étude dans un débat public, "il était possible, et même nécessaire, de le faire de manière moins attentatoire pour la vie privée des personnes", a commenté le président de la Chambre contentieuse de l'APD, Hielke Hijmans.Dans sa décision, l'APD souligne que le caractère public des données personnelles disponibles sur les réseaux sociaux ne signifie pas que celles-ci perdent la protection conférée par le RGPD. "Ce n'est pas parce que vous avez partagé quelque chose publiquement, qu'il faudrait accepter toute réutilisation ultérieure", conclut le président de l'APD, David Stevens.