L’affaire Benalla a-t-elle été amplifiée artificiellement sur les réseaux sociaux par une « communauté russophile » ? C’est la question à laquelle s’est attaquée EU Disinfo Lab, une ONG belge spécialisée dans la lutte contre la désinformation. Fondée par Alexandre Alaphilippe, Gary Machado et Nicolas Vanderbiest, l’organisation s’est fait remarquer avec une étude qui suscite la controverse.
Celle-ci affirme en particulier qu’une minorité de comptes (1 %) a produit presque la moitié (47 %) du contenu relatif à l’affaire Benalla sur Twitter, en incluant les retweets. Cela représente 3 378 individus pour 2 163 000 tweets, indique Nicolas Vanderbiest, qui juge dans un tweet publié le 8 août que le « volume reste exceptionnel même sans ces [comptes] hyper-actifs. »
Dans un autre message, l’universitaire officiant à la faculté catholique de Louvain note l’existence d’une corrélation chez ces comptes entre les réseaux de désinformation et un intérêt prononcé pour certains médias russes, à savoir l’agence de presse Sputnik et la chaîne de TV Russia Today, accusés de verser dans la désinformation. L’étude pointe enfin l’utilisation de comptes automatisés (bots).
L’étude sur les ressorts d’un hyper-activisme sur Twitter.
Les travaux de l’ONG EU Disinfo Lab ont toutefois été nuancés par le journal Le Monde, qui, « sans infirmer catégoriquement la présence de bots », considère qu’ils « n’auront de toute façon joué qu’un rôle mineur dans cette polémique. » Et surtout, le journal du soir s’interroge sur l’intérêt de faire gonfler l’affaire Benalla, qui bénéficie déjà d’une forte couverture dans la presse.
La réflexion aurait très bien pu en rester-là — encore que la recherche d’EU Disinfo Lab est depuis sa diffusion fortement reprise par les médias et discutée en ligne, soit pour en contester les conclusions soit comme signe supplémentaire d’une campagne d’influence russe pour influencer l’opinion des gens –, mais c’était sans compter l’apparition d’une affaire dans l’affaire.
L’affaire dans l’affaire
En effet, c’est la méthode de travail de l’ONG qui est maintenant pointée du doigt. En acceptant de fournir les données brutes, EU Disinfo Lab a révélé avoir constitué deux fichiers Excel (qui sont accessibles via l’étude, dans la foire aux questions) dans lesquels on trouve d’une part une liste de pseudonymes et le nombre total de tweets pour chacun de ces comptes, et de l’autre une association plus discutable.
L’article qui a conduit à la création de la CNIL.
Le second fichier indique pour chaque pseudonyme s’il existe un intérêt pour Russia Today, Sputnik, les MacronLeaks, la désinformation russe et les rumeurs présidentielles. De là sont générées des statistiques (nombre de désinformations propagées, nombre de désinformations présidentielles, additions des désinformations, nombre de tweets sur le sujet).
Il est à noter qu’on ne trouve pas nécessairement les mêmes pseudonymes d’un fichier à l’autre. Certains comptes cités dans le premier document ne réapparaissent pas dans le second. Par exemple, deux comptes appartenant à des journalistes de la rédaction figurent dans le premier fichier Excel mais pas dans le second. Rien d’étonnant : le premier, qui a 55 000 entrées, liste tous les auteurs de tweets relatifs à l’affaire Benalla.
Or, la découverte de ces deux fichiers Excel a entrainé une vague de protestation sous certains tweets (comme ceux de Nicolas Vanderbiest ou d’EU Disinfo Lab), plusieurs internautes cités dans des documents réclamant leur retrait et menaçant de saisir la CNIL, estimant qu’ils sont classés de fait dans une catégorie politique ou, du moins, que cela révèle une orientation politique, vraie ou supposée.
Un extrait des données brutes utilisées pour la recherche.
Nombre de messages estiment que la création et la diffusion de ce fichier constituent une infraction à loi Informatique et Libertés de 1978, qui, ironie du sort, a justement vu le jour à la suite de la révélation par Le Monde de l’existence du projet SAFARI. Celui-ci visait à créer un fichier automatisé reposant sur le numéro de sécurité sociale de l’individu et donnant accès à une somme d’informations sur lui.
« Tenir une liste liant information personnelle et données sensibles (orientation politique), sans consentement et sans déclaration préalable vous met hors-la-loi », clame ainsi un internaute, tandis qu’un autre assure avoir « déposé une plainte auprès de la CNIL, des données personnelles de mon compte Twitter figurent sur le fichier illicite qui argumentent votre pseudo étude. »
« La CNIL va entendre parler de vos méthodes plus que suspectes portant atteinte à la vie privée », prévient un autre, qui estime que cela s’apparente à de la délation. Quant à ce quatrième, il lance : « pour votre analyse, vous avez de fait constitué un fichier de données (un profil social est une donnée). Avez-vous déclaré votre fichier à la CNIL? Avez-vous obtenu le consentement renforcé et éclairé des personnes sur le traitement de ces données ? »
Face aux multiples réactions emportées, qui allèguent que ces informations seraient personnelles (et sensibles du fait de leur caractère politique), malgré le fait que tout cela soit diffusé sur un réseau social public sans précaution particulière (les tweets sont librement accessibles, que l’on soit inscrit ou non sur la plateforme), EU Disinfo Lab s’est fendu d’un tweet pour préciser la nature des deux fichiers.
Le premier se contente de regrouper les comptes ayant évoqué d’une façon ou d’une autre l’affaire Benalla, sans dire ce qu’ils en pensent. Quant au second, il rassemble les profils hyper-actifs et les associe à certains comportements ou faits. Selon EU Disinfo Lab, ce fichier sera supprimé « par la suite. » La date de suppression n’est toutefois pas précisée et la problématique des copies du fichier et de leur rediffusion ultérieure n’est pas adressée (ces deux fichiers sont en libre-service).
Que dit le droit ?
Questionnée à ce sujet par Numerama, Valérie Nicolas, maître de conférences en droit public HDR, spécialisée dans les libertés et droits fondamentaux et des technologies de l’information et de la communication, considère que cette affaire « pose réellement un problème », car toute la question qui se pose ici est « celle du traitement de données à caractère personnel, et plus particulièrement des données sensibles. »
« La donnée personnelle, c’est tout ce qui permet de révéler une personne », explique-t-elle. « Cela va du nom à la date de naissance, au numéro de téléphone, au sexe, à l’adresse IP ou à la photographie. » Or, il existe aussi des données plus sensibles que les autres touchant à l’opinion religieuse, l’origine ethnique, l’appartenance syndicale et bien entendu aux opinions politiques.
« Ces données relèvent souvent de l’intime », déclare la maître de conférences en droit à l’université Paris Nanterre. Sur Twitter, nous ne sommes pas dans la sphère privée : il s’agit d’un service de communication en ligne ouvert au public, dont le propre est quand même l’échange d’opinion. Or, cet échange d’opinion ouvre la possibilité de ficher les gens selon leurs pensées.
Elle explique : « Twitter étant public. l’auteur d’un tweet ou d’un retweet révèle spontanément son opinion à autrui, parce qu’il en partage le contenu pour l’approuver, le condamner ou le commenter. » Cela ne permet pas certes pas de dire qu’il appartient à tel ou tel groupe, mais cela constitue un élément, un indice, qui peut permettre de le faire rentrer dans une catégorie ou d’un groupe de pensée ou d’un fichier de personnes partageant les mêmes opinions.
Un exemple de personnes demandant leur retrait de ces deux fichiers.
« Cette catégorisation est attentatoire aux libertés, dès lors que l’auteur du tweet n’a pas eu la possibilité, préalablement, d’acquiescer ou de refuser de faire partie d’une catégorie en relation avec les opinions qu’il a émis sur le réseau social. Il est de facto l’otage d’un fichage dont il a fait l’objet a priori à son insu. » Cela vaut donc même pour de simples retweets, a fortiori lorsqu’il y a une forte activité sur le site, ce qui permet d’accumuler des indices.
« Ici, nous avons donc des données sensibles de personnes que l’on peut, par connexion d’informations, reconnaître, nous avons des individus qui ont tweeté ou retweeté, mais elles ont émis une opinion, positive ou négative, sur une affaire politique, et ces données ont fait l’objet d’un traitement, parce qu’elles ont été organisées dans un document, qui en plus a été publié », résume l’enseignante-chercheuse.
En l’espèce, ce fichier est la base de l’étude dont les auteurs ont publié les résultats ainsi que les données brutes. Dès lors, il paraît fondé que les personnes qui font l’objet de cette inscription puissent la contester, afin de faire retirer leur nom du fichier qui les réunit, sur la base de leurs opinions politiques — qui, rappelons-le, sont des données sensibles, donc soumises à des règles spécifiques.
Pour être totalement dans les clous de la loi, il aurait fallu que les universitaires prennent contact avec la CNIL, pour déclarer la constitution du fichier ou demander l’autorisation de le faire, puis demander à chacune des personnes leur autorisation avant de constituer et diffuser ce fichier. Ce n’est certes pas la seule condition — il faut aussi savoir dans quel but, se conformer à la loi, justifier de l’intérêt scientifique s’il s’agit d’une étude de ce type, etc –, mais le préalable du consentement est « primordial », insiste Valérie Nicolas.
« Ça ne peut pas être un consentement par défaut, c’est-à-dire implicite ou supposé. Il doit être explicite », résume-t-elle. Il faut que chaque personne dise bien s’il est d’accord avec les finalités de l’étude, en ayant bien en tête les termes du sujet. On voit les limites pratiques de cette exigence : les membres d’EU Disinfo Lab auraient dû respecter les termes de la loi, en demandant à la solliciter des milliers de comptes, sans avoir la certitude d’avoir une réponse, a fortiori positive.
C’est pourtant indispensable, car le consentement entraîne mécaniquement des droits pour les personnes concernées par le fichage : « le consentement va de pair avec le droit d’opposition : si vous avez consenti explicitement à figurer dans un fichier qui vous classe et qui utilise des données personnelles, notamment sensibles, vous pouvez vous y opposer. Or, ce droit d’opposition ne peut pas fonctionner, il ne peut pas être mis en œuvre si vous ne savez pas que vous êtes fiché. »
À ce droit d’opposition s’ajoutent ceux de la rectification, qui permet de s’assurer qu’il n’y a pas eu d’erreur lors de l’inscription, et d’effacement.
L’ONG belge en infraction ?
Reste une question : si infraction il y a de la part de l’ONG belge, celle-ci a-t-elle eu lieu au moment de la création du fichier ou de sa diffusion ? « C’est difficile à dire mais c’est peut-être les deux. Si le fichier est interne et n’est pas diffusé, ça ne gêne d’une certaine façon personne. Le document peut bien entendu être problématique en soi, mais étant secret, personne ne peut en principe faire quoi que ce soit », nous explique-t-elle
Or, là est tout le paradoxe : si l’ONG belge avait diffusé son étude sans communiquer ses sources, c’est-à-dire en gardant pour elle sa méthodologie et sa matière première, ses travaux auraient été contestés. En effet, pour faire une étude scientifique, et qu’elle puisse être jugée crédible ou en tout cas vérifiable, ses auteurs doivent pouvoir montrer leurs sources et la façon de faire.
« Je comprends très bien que pour assoir leur recherche, pour faire la preuve que l’étude est sérieuse, les chercheurs aient fait le choix de montrer qu’ils se sont appuyés sur des éléments objectifs et tangibles » admet Valérie Nicolas, que ce soit le recours à Twitter, le compte des tweets, l’analyse de leur contenu, et ainsi de suite. Mais cette diffusion a de fait participé à la probable infraction.
« Cela s’est fait à leur insu, c’est donc attentatoire à leur liberté de ne pas être fiché »
En fin de compte, l’enjeu reste la finalité du traitement, qui doit être licite et légale, et respectueuse d’un principe de loyauté du traitement. En outre, le travail s’est fait à l’insu des internautes, ce qui est de fait attentatoire à leur liberté de ne pas être fiché et cela, quand bien même le réseau social est public. Valérie Nicolas abonde : cette « manifestation publique d’opinion ne doit pas emporter le fichage de la personne en fonction de ses opinions, à son insu, son consentement n’ayant pas été légalement obtenu. »
Et maintenant ? Pour les internautes concernés, ils ont la possibilité de se tourner vers la Commission nationale de l’informatique et des libertés (CNIL) pour se plaindre, même si l’ONG se trouve en Belgique et que le travail a été fait à l’étranger, indique l’enseignante-chercheuse. « La CNIL a tout à fait compétence pour appliquer la loi Informatique et Libertés, mais aussi du Règlement général sur la protection des données (RGPD). »
« La loi Informatique et Libertés doit être lue conjointement, parallèlement et concomitamment avec le RGPD, parce que ce Règlement est de portée générale et qu’il est applicable directement et immédiatement dans tous les États membres de l’Union. Il a le même contenu pour tous, il contient les mêmes droits pour les personnes dont les données doivent être traitées, et il énumère les mêmes obligations pour ceux qui traitent les données. »
La CNIL entre en piste
De son côté, contactée par Numerama, la Commission nationale de l’informatique et des libertés n’a pas encore pu donner suite à nos sollicitations. Néanmoins, elle a déclaré sur Twitter avoir « été saisie de plaintes concernant l’étude menée par EU Disinfo Lab. » Elle ajoute que « pour une gestion optimale de l’instruction du dossier, il n’est donc plus nécessaire de saisir individuellement la CNIL à ce sujet. »
Dans un second message, l’autorité administrative suggère aux personnes concernées par l’étude statistique à directement de s’opposer auprès de l’organisme (via sa page contact) « en motivant leur demande et en conservant une copie de leur démarche. » Un modèle de courrier est d’ailleurs disponible sur le site de la CNIL pour faciliter la prise de contact avec l’ONG belge.
Sur son site, la CNIL annonce en tout cas son intention d’instruire toutes les plaintes qu’elle a reçu à ce sujet, « dans le cadre de la coopération européenne instaurée par le RGPD », dans la mesure où l’ONG se trouve à l’étranger. Il s’agira d’un test-clé pour l’autorité administrative, car le RGPD est maintenant en vigueur et les textes sont censés protéger fortement les données personnelles.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
