La CNIL instruira avec son homologue belge les plaintes pour publication des fichiers d’utilisateurs ayant activement tweeté sur l’affaire Benalla. NICOLAS SIX / QUENTIN HUGON / LE MONDE

La Commission nationale de l’informatique et libertés (CNIL), le gendarme français de la vie privée en ligne, a confirmé, jeudi 9 août, qu’elle allait instruire les plaintes qui lui avaient été transmises ces derniers jours à propos d’un fichier, constitué courant juillet, listant des comptes Twitter particulièrement actifs durant l’affaire Benalla. Ce fichier, compilé par une ONG belge, EU Disinfo Lab, avait servi de base à une étude, en juillet, analysant la diffusion des informations sur l’affaire Benalla.

L’étude en question concluait, entre autres, que des comptes militants, pour certains qualifiés de russophiles dans des extraits publiés avant la finalisation de l’étude, avaient largement contribué à la diffusion des informations. EU Disinfo Lab estimait également qu’une partie de ces comptes étaient probablement automatisés.

Violation de la vie privée, voire « fichage politique »

La méthodologie de l’étude avait été contestée sur certains points par des militants et des médias, et EU Disinfo Lab a publié, cette semaine, les fichiers qui ont servi à la mener pour clarifier la manière dont elle a travaillé. Mais de nombreux internautes se sont agacés de découvrir leur compte Twitter dans le fichier, et ont saisi la CNIL pour ce qu’ils estiment être une violation de leur vie privée, voire un « fichage politique ». Depuis jeudi, des militants de La France insoumise affichent également, de manière ironique, un « numéro de matricule » dans leur profil Twitter ou en signature de leurs messages, correspondant à la ligne dans laquelle leur compte apparaît dans le fichier.

Le message de la CNIL ne préjuge pas d’une éventuelle sanction – l’instruction par la Commission est la procédure standard lorsqu’elle est saisie par des citoyens. Dans un message publié vendredi, EU Disinfo Lab précise que « la publication des données brutes de l’étude a été réalisée afin de répondre aux nombreuses demandes publiques de transparence », et que « l’étude publiée repose sur une base légale. Elle est fondée sur l’exercice du droit à la liberté d’information et du droit du public à l’information, ce qui constitue un intérêt légitime au regard du [règlement européen adopté cette année] RGPD et ne nécessite donc pas de recueillir le consentement des personnes concernées ». Les travaux de recherche disposent, en Europe, d’un certain nombre de dérogations à la réglementation sur la collecte de données personnelles.

Questions sur la publication du fichier

Pour certains spécialistes, dont l’association française de défense des libertés numériques La Quadrature du Net, c’est surtout la publication du fichier de données brutes qui pose problème, en vertu de l’article 6 du règlement européen : « Cette publication n’était nécessaire à la poursuite d’aucun objectif. Or, publier des données perso [nnelles] sans consentement est toujours illicite, si ce n’est nécessaire à aucun objectif », analyse l’organisation. EU Disinfo Lab a, depuis, supprimé le fichier qu’il avait mis en ligne sur un service de partage de documents.

EU Disinfo Lab étant une organisation de droit belge, la CNIL a annoncé qu’elle coopérerait avec son homologue belge pour l’instruction des plaintes. Ce mécanisme de collaboration européenne est notamment prévu par le RGPD.

Le Monde