APD - Décision n° 13/2022 du 27 janvier 2022 concernant l’association EU DISINFOLAB

Chambre Contentieuse

Décision quand au fond 13/2022 du 27 janvier 2022

N° de dossier : DOS-2018-04433

Objet : publication online de données brutes (tweets) et réalisation d’une analyse à partir de ces données

La Chambre Contentieuse de l’Autorité de protection des données, constituée de Monsieur Hielke Hijmans, président, et de Messieurs Yves Poullet et Christophe Boeraeve, membres, reprenant l’affaire en cette composition ;

Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), ci-après RGPD;

Vu la loi du 3 décembre 2017 portant création de l’Autorité de protection des données (ci-après LCA);

Vu le règlement d’ordre intérieur tel qu’approuvé par la Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 2019 ;

Vu les pièces du dossier ;

a pris la décision suivante concernant :

- les parties défenderesses :

- L’a.s.b.l. EU DisinfoLab (ci-après, EU DisinfoLab), dont le siège social est établi à […], inscrite à la Banque Carrefour des Entreprises (BCE) sous le numéro […], représentée par Me Griguer, établie au Centre d’affaires Edouard VII, 3 square Edouard VII, 75009 Paris, France (première défenderesse).

- Monsieur N. V., établi à […] (second défendeur).

1. Cette procédure s’inscrit dans un contexte très spécifique et très médiatique. À la suite d’un débat mené sur la plateforme Twitter concernant un collaborateur du Président de la République française, un travail d’analyse a été réalisé au sujet de ces « tweets » par une ASBL ayant pour but la lutte contre la désinformation (« fake news »). Avant même la publication du résultat de cette analyse, les données brutes analysées, y compris les données personnelles, d’un grand nombre des personnes, ont été publiées par cette ASBL et un de ses collaborateurs volontaires.

2. Suite à ces publications, un grand nombre de personnes concernées a déposé plainte auprès de l’APD, ainsi qu’auprès de l’autorité de protection des données française, la Commission Nationale d’Information et Libertés (CNIL).

3. EU DisinfoLab, première défenderesse, est une association belge qui poursuit une mission de recherche et de lutte contre la désinformation. Selon ses statuts, son objet est notamment de « promouvoir la circulation d’informations vérifiées sur les réseaux sociaux, toutes les techniques, actions, initiatives et campagnes qui participent à ce but et de défendre les individus contre la propagation d’informations malveillantes, la désinformation et le phénomène des ‘fake news’ au niveau national, européen et international ; […] elle soutient toute initiative tendant à sourcer, renseigner, combattre et vérifier les fausses informations, particulièrement sur les médias sociaux ».

4. Cette mission est poursuivie via « le développement et la promotion des méthodologies, technologies et processus autour du sourcing des ‘Fake news’ et de la désinformation en général [et] le développement et la promotion d’études, analyses et publications sur le sujet de la désinformation, de la lutte contre elle et des nouveaux risques liés ».

5. En 2018, EU DisinfoLab était composée de trois membres bénévoles-fondateurs : M. G. M. et M. A. A. (administrateurs), ainsi que M. N. V., second défendeur.

6. À l’époque des faits litigieux, en juillet 2018, M. N. V. était auteur/éditeur du blog ReputatioLab, et chercheur à l’Université Catholique de Louvain (UCL). M. N. V. était en outre gérant de la s.p.r.l. Saper Vedere (ci-après ‘Saper Vedere’), une société fournissant des services d’audit de médias sociaux, au capital duquel participaient également les administrateurs de EU DisinfoLab, MM. G. M. et A. A., au moment des faits.

7. L’Autorité de Protection des Données (« APD ») et la CNIL ont été saisies chacune de plaintes et demandes d’information au sujet de traitements de données à caractère personnel réalisés dans le contexte d’une étude intitulée « Affaire Benalla. Les ressorts d’un hyperactivisme sur Twitter » (ci-après : l’Étude). L’Étude, publiée en ligne par la première défenderesse, en août 2018, a été réalisée sur base d’un article publié un mois plus tôt par M. N. V. sur son blog. Selon les plaintes, l’Étude visait à identifier l’origine politique de tweets relatifs à une polémique française dite « affaire Benalla » divulguée le 18 juillet 2018 par le journal Le Monde^[1].

8. Les plaignants développent divers griefs concernant l’utilisation de leurs données personnelles pour la réalisation de l’Étude, et visent également la publication en ligne par DisinfoLab de fichiers Excel contenant les données personnelles extraites de comptes Twitter, ayant servi de base pour cette Étude, et ce, aux fins de transparence et justification de la méthodologie de l’Étude^[2]. Les plaignants s’interrogent notamment sur la légalité de l’Étude, et pointent le fait qu’ils n’ont pas consenti à ce que leurs données personnelles fassent l’objet de tels traitements (notamment un profilage politique) par EU DisinfoLab et/ou M. V..

9. Les plaintes reçues en Belgique datent respectivement des 10, 11, 13 et 16 août 2018 et ont été jugées recevables par le Service de Première Ligne de l’APD par lettres du 20 septembre 2018. Ces plaintes ont également été transmises à la Chambre Contentieuse à cette date.

10. Parallèlement, la France étant le pays dans lequel la majorité des personnes concernées se trouvent et au sein duquel l’affaire « Benalla » a éclaté, la CNIL a reçu 236 plaintes et demandes d’information. Conformément à sa procédure, la CNIL a résumé les griefs fournis par les plaignants^[3] et a transmis ce résumé à l’APD. Ces plaintes ont fait l’objet d’une procédure d’identification de l’autorité chef de file selon l’article 56 du RGPD. En séance du 3 octobre 2018, la Chambre Contentieuse a reconnu l’APD en tant qu’autorité de contrôle chef de file au sens de l’article 56,1 du RGPD, tandis que la CNIL s’est déclarée « autorité de contrôle concernée » au sens de l’article 4.22, b) et c) du RGPD.

11. Le RGPD contient un règlement spécial pour le traitement de plaintes relatives à des traitements transfrontaliers. L’autorité de contrôle chef de file est celle qui poursuivra le traitement du dossier sur le fond. Dans ce cadre, elle informe régulièrement les autorités de contrôle concernées du statut du dossier et — conformément au mécanisme de coopération établi à l’article 60 du RGPD — les implique également dans la prise d’une décision finale. Les dossiers dans lesquels s’applique le mécanisme de coopération européen susmentionné sont souvent complexes, et ce, pour les raisons suivantes : plusieurs autorités de contrôle nationales sont impliquées dans la cause et elles sont chacune soumises à des règles procédurales nationales propres (qui concernent, par exemple, le rôle du plaignant dans une procédure de contrôle et de sanction en cas de non- respect de la réglementation, ou encore en ce qui concerne l’emploi des langues).

12. En sa qualité d’autorité chef de file, la Chambre Contentieuse, organe de l’APD, a préparé un projet de décision sur base des arguments des parties concernées, et a dû le soumettre à la CNIL, autorité concernée, en vue d’obtenir son avis (article 60.3 du RGPD). La CNIL a quant à elle la compétence pour examiner le projet qui lui est soumis par l’APD. La CNIL peut formuler une objection pertinente et motivée au sens de l’article 60.4 du RGPD.

13. Dans tous les cas, l’APD et la CNIL restent les interlocuteurs privilégiés des plaignants dans l’attente de la décision finale. Après finalisation de la décision, l’APD et la CNIL sont chargées de communiquer la décision aux plaignants belges et français ayant introduit des réclamations auprès de leurs services (selon les règles spécifiques fixées aux articles 56.7 et 56.8, 60.7 et 60.8 du RGPD).

14. Lors de la séance du 3 octobre 2018, la Chambre Contentieuse a décidé qu’une enquête par le Service d’Inspection était nécessaire préalablement à la rédaction de son projet de décision. Les dossiers y relatifs ont été transmis au Service d’Inspection le 5 octobre 2018, sur pied des articles 63, 2° et 94, 1° de la LCA.

15. Le 2 avril 2020, l’Inspecteur général a transmis son rapport au Président de la Chambre Contentieuse (articles 91, § 1 et § 2 de la LCA).

16. Le Service d’Inspection a joint à son rapport les plaintes et requêtes d’informations reçues par l’APD.

17. Le Service d’Inspection joint également à son rapport les éléments communiqués par la CNIL :

- rapports transmis le 17 août 2018 au sujet du contrôle en ligne qu’elle a réalisé concernant EU DisinfoLab ;

- résumé des éléments contenus dans les 236 plaintes reçues alors par la CNIL, transmis à l’APD le 22 août 2018 ;

- courrier de la Présidente de la CNIL à l’APD du 16 octobre 2018, dans lequel la Présidente attire l’attention de l’APD sur les réclamations reçues (alors au nombre de 241) à cette date.

18. L’Inspecteur général précise dans son rapport que ces plaintes transmises par la CNIL constituent « d’additionnels indices sérieux de l’existence d’une pratique susceptible de donner lieu à des infractions aux règles de protection des données »^[4]. Le Service d’Inspection a donc fait usage de son pouvoir d’initiative sur pied de l’article 63 6° de la loi APD pour investiguer ces plaintes françaises sur base du résumé transmis par la CNIL à titre d’indice d’infractions.

19. Le rapport d’Inspection identifie comme suit les différents traitements de données personnelles en cause:

- Activités de traitement 1 : « les activités de traitement liées à la réalisation d’une étude par la première Défenderesse, fondée sur le traitement de données personnelles publiées publiquement sur Twitter. Cette Étude est introduite comme suit : « L’Affaire Benalla, révélée par le Monde, suivi de plusieurs rebondissements de la part de l’exécutif français, existe sans les réseaux sociaux. Dans le même temps, l’affaire Benalla a occupé Twitter en ce mois de juillet dans des volumes que nous n’avions presque jamais croisés auparavant. Ce volume a également été fortement amplifié par un petit nombre de comptes. Nous nous posons alors la question : comment s’exerce cette hyperactivité ? S’agit-il de partages militants ou est-ce également un gonflage numérique contaminé par de la désinformation ? » ; L’Étude publiée par la première défenderesse fait référence à quatre autres « études » concernant l’analyse des affinités politiques de l’auteur de tweets, notamment leur proximité présumée avec des médias russes « Russia Today » et « Sputnik ». La première défenderesse précise qu’il s’agit de traitement de pseudonymes Twitter, choisis librement par chaque utilisateur, sans qu’aucune identification des personnes physiques utilisant les pseudonymes n’ait été opérée^[5].

- Activités de traitement 2 : « il s’agit des activités de traitement liées à la publication en ligne de fichiers Excel contenant notamment les données ayant servi de base pour cette Étude et ce aux fins de transparence et de justification de la loyauté de l’Étude ». Deux de ces fichiers Excel contiennent des données « brutes » extraites de Twitter. Ainsi notamment, le dossier « Data brutes.csv » contient les données « bio » (c’est-à-dire biographie « description ») des comptes utilisateurs de Twitter concernés. Le Service d’Inspection considère à cet égard que « la finalité des activités de traitement 2 était […] de justifier l’intégrité de l’Étude qui venait d’être réalisée par EU DisinfoLab et M. N. V. suite aux critiques émises à [son] encontre, par un accès à ses sources (ses données de base)^[6] ». La Chambre Contentieuse précise toutefois qu’au moment de la publication en ligne des fichiers Excel concernés, l’Étude n’avait pas encore été publiée.

20. Le rapport d’Inspection souligne qu’outre des données d’identification des comptes utilisateurs de Twitter, ce sont également des tweets publics de milliers d’utilisateurs, identifiés au moyen d’une requête spécifique, qui ont été traités afin de réaliser l’Étude.

21. Plus précisément, le rapport d’Inspection expose que les données concernant 55.000 utilisateurs de Twitter ont formé la base de l’Étude, et que plus de 3.300 comptes utilisateurs de Twitter ont fait l’objet d’une classification au regard de quatre classes dans le cadre du traitement 1 :

- Classe 1 : la communauté de souverainistes proches de mouvements contre le mariage pour tous (« les Républicains ») ;

- Classe 2 : la communauté du rassemblement national, des souverainistes et quelques personnes des mouvements contre le mariage pour tous ;

- Classe 3 : la communauté constituée par la France insoumise avec des porosités de lien avec les autres communautés qui occasionne quelques faux positifs ;

- Classe 4 : la communauté constituée des médias et des porosités avec les autres communautés et la République en marche.

22. Le rapport d’Inspection conclut à diverses atteintes au RGPD liées aux activités de traitement 1 et 2, après avoir identifié les responsables de traitement respectifs.

23. Les griefs retenus par le Service d’Inspection sont les suivants :

a) pour l’activité de traitement 1 (activités de traitement liées à la réalisation de l’Étude), le Service d’Inspection constate que :

- « EU DisinfoLab serait responsable de traitement au sens de l’article 4.7 du RGPD et serait coupable des atteintes suivantes au RGPD :

- en ne disposant pas de documentation probante de nature à démontrer le respect du RGPD, quant à l’information des personnes concernées (articles 12 et 14 du RGPD), quant à la réalisation du registre des activités de traitement (article 30 du RGPD), quant à l’analyse à réaliser au titre de l’article 6, 1, f) du RGPD, quant à la réalisation d’une analyse d’impact relative à la protection des données (article 35 du RGPD), quant à la mise en œuvre des mesures techniques et organisationnelles au sein de EU Disinifolab (article 32) et quant à l’existence d’un contrat avec les sous-traitants auxquels elle a eu recours dans le cadre de l’activité de traitement 1 (article 28.3 du RGPD), la première défenderesse a manqué aux obligations consacrées dans les articles 5.2 et 24 du RGPD) ;

- en ne disposant pas de contrats conclus avec Visibrain et Talkwalker, les deux partenaires principaux auxquels il a été recouru dans le cadre de l’activité de traitement 1, la première défenderesse a manqué aux obligations consacrées dans l’article 28.3 du RGPD ;

- en ne disposant pas de registre des activités de traitement, la première défenderesse a manqué aux obligations consacrées dans l’article 30 du RGPD.

- en ne disposant pas de politique de confidentialité, la première défenderesse a manqué aux obligations consacrées aux articles 5.1.a (transparence), 12 et 14 du RGPD ;

- en ne réalisant pas une analyse d’impact préalable, la première défenderesse a manqué aux obligations consacrées à l’article 35 du RGPD ;

- en ne gardant pas sous sa maîtrise le fichier « Acteursclassé sss.xlsx », et en ne pseudonymisant pas les données de ce fichiers permettant une identification directe des personnes via le « label » ou « screen name », le « display name » et la « bio », en ne notifiant pas à l’APD la violation de donnée résultant de la mise à disposition du fichier « Acteursclassés sss » et « Databrutes.csv » à partir de Twitter, via un lien Dropbox, par la deuxième défenderesse, la première défenderesse a manqué aux obligations consacrées aux articles 32 et 33.1 et 5.1.f du RGPD. À cet égard, la première défenderesse reconnaît que la deuxième défenderesse a diffusé ces fichiers sans son autorisation et en violation de ses procédures internes ».

b) pour l’activité de traitement 2 (publication des données brutes de l’Étude):

- « EU DisinfoLab et M. V. seraient respectivement responsables de traitement pour les données brutes (fichiers XL) qu’ils ont mises en ligne, et en cette qualité, se seraient rendus coupables des atteintes suivantes au RGPD :

- les finalités et moyens de traitement de données à caractère personnel consistant en la mise à disposition de fichiers (« acteursclassés.sss » et « databrutes.csv ») à partir de Twitter, via un lien Dropbox renvoyant à un compte Dropbox de l’entreprise Saper Vedere dont il était le gérant, ont été déterminés par M. N. V. qui en est par conséquent, le responsable de traitement au sens de l’article 4.7 du RGPD ; à cet égard, le Service d’Inspection constate que selon son appréciation, ce traitement de données constitue un manquement aux obligations consacrées dans les articles 5.1.a (licéité), 5.1.c du RGPD ; 5.1.f et 32 ; 5.1.a (transparence), 12 et 14 du RGPD, et enfin, les articles 6.1 et 9 du RGPD.

- les finalités et moyens de traitement de données à caractère personnel consistant en la mise à disposition de fichiers « Rumeurs&items » et « databrutes1 », à partir de Twitter, via un lien dl free.fr, ont été déterminés par EU DisinfoLab. EU DisinfoLab en est par conséquent le responsable de traitement au sens de l’article 4.7 du RGPD ; le Service d’Inspection constate que selon son appréciation, ce traitement de données constitue un manquement aux obligations consacrées aux articles 5.1.c du RGPD, 5.1.f et 32 ; 5.1.a (transparence) ; 12 et 14 du RGPD ; et 6.1 du RGPD. »

24. Après réception du rapport d’Inspection, en séance du 30 juin 2020, la Chambre Contentieuse a estimé sur base de l’article 95, § 1, 1° et 98 de la LCA que le dossier était prêt pour un traitement au fond et a décidé :

- d’adresser le rapport d’Inspection aux deux parties identifiées dans ce rapport comme étant responsables des traitement de données litigieux ;

- de classer sans suite les plaintes belges reçues par l’APD, et décider à un stade ultérieur de la manière dont les plaignants seraient informés de cette décision.

25. Ces décisions de classement sans suite des plaintes belges n’ont pas d’équivalent en droit français où le plaignant a un rôle moins actif qu’en Belgique et où les plaintes peuvent être examinées et clôturées sans intervention du plaignant^[7]. Afin que les nombreux plaignants français ne puissent pas se méprendre sur la portée de ces décisions de « classements sans suite » belges, au cas où ils en auraient connaissance , la Chambre Contentieuse a décidé en séance du 5 mai 2020 que les plaignants belges seraient informés des classements sans suite intervenus à la date à laquelle la décision finale serait publiée, et ce, afin de permettre aux plaignants de prendre connaissance d’emblée de l’ensemble des éléments de la décision, à savoir, la décision finale et le classement sans suite intervenu. Vu les spécificités du rôle du plaignant dans la procédure française, les plaintes reçues par la CNIL et transmises à l’APD par la CNIL sous forme de résumé à titre d’indice d’atteintes, ne doivent pas être classées sans suite par la CNIL ou l’APD.

26. Par e-mail de la Chambre Contentieuse du 2 juillet 2020, les deux parties défenderesses ont reçu copie du rapport d’inspection, y compris l’inventaire des pièces, et ont été invitées à conclure sur ce rapport conformément à l’article 98 de la LCA, avec pour date limite de réception des conclusions de EU DisinfoLab et de M. V., le 31 août 2020. La date limite pour la réception de brèves conclusions en réplique a été fixée pour les deux parties au 30 septembre 2020. La Chambre Contentieuse a invité les parties à veiller à la confidentialité des pièces du dossier de procédure en vue de favoriser un débat serein.

27. Les 2 et 6 juillet 2020, les parties défenderesses ont marqué leur accord pour que toutes les communications concernant leur plainte se fassent par voie électronique. La première défenderesse sollicite une copie des pièces du dossier le 20 juillet 2020. Cette copie lui est adressée par la Chambre Contentieuse le 28 juillet 2020, qui procède de même pour la deuxième partie défenderesse.

28. EU DisinfoLab a remis ses conclusions à la Chambre Contentieuse et à M. N. V. par e-mail du 28 août 2020, et a envoyé ses conclusions de réplique par e-mail du 1er octobre 2020.

29. M. N. V. a remis ses conclusions à la Chambre Contentieuse et à EU DisinfoLab par e-mail du 31 août 2020, et n’a pas introduit d’argumentation complémentaire ultérieurement, hormis sa réaction au PV d’audience (voir ci-après).

30. Le 19 avril 2021, les parties défenderesses sont informées par e-mail de la tenue, à leur demande, d’une audience prévue le 17 mai 2021, sur pied de l’article 98 2° de la LCA et de l’article 54 du Règlement d’Ordre Intérieur de l’APD. Via cet e-mail, les parties défenderesses sont informées du fait que cette audience se déroulera par téléconférence dans le contexte des recommandations gouvernementales belges liées à la pandémie.

31. L’audience a été reportée au 2 juin suite à un cas de force majeure rencontré par une des parties. Les deux parties défenderesses ont exposé leurs arguments lors de l’audience, suite à laquelle la Chambre contentieuse a clôturé les débats.

32. Le 14 juin 2021, le PV d’audience est envoyé aux parties défenderesses. Le 21 juin, les deux parties défenderesses adressent à la Chambre Contentieuse leurs remarques sur le PV d’audience, avec copie à l’autre partie défenderesse. La Chambre Contentieuse annexe ces remarques au document.

33. Le 23 septembre 2021, la Chambre Contentieuse soumet, conformément à l’article 60.3 du RGPD, son projet de décision à l’autorité de contrôle concernée, la CNIL, en vue d’obtenir son avis. Le 21 octobre, la CNIL introduit une objection pertinente et motivée au sens de l’article 60.4 du RGPD^[8]. Cette objection contient les arguments suivants :

- qualification de M. V. en tant que responsable de traitement ;

- motivation du classement sans suite du grief lié à l’article 28 du RGPD ;

- motivation du classement sans suite du grief lié aux articles 28 et 30 du RGPD ;

- motivation des manquements constatés par l’autorité belge dans le cadre des activités de traitement 2 ;

- application de l’article 83.2 du RGPD et choix de la mesure correctrice proposée : l’APD proposait de prononcer un avertissement et un rappel à l’ordre ; la CNIL estime qu’il y a lieu de prononcer une amende vu les circonstances de la cause (nombre de plaintes, caractère sensible des données et gravité des manquements).

34. Le 29 octobre 2021, la Chambre Contentieuse fait connaître à la défenderesse son intention de procéder à l’imposition d’une amende administrative ainsi que le montant de celle-ci, et offre aux défenderesses un délai de réponse jusqu’au 19 novembre inclus.

35. Le 4 novembre 2021, la Chambre Contentieuse reçoit une demande d’information de la première défenderesse au sujet de l’état d’avancement de la procédure de coopération avec la CNIL. La première défenderesse demande également si ses futurs commentaires sur le projet de sanction seront ou non portés à la connaissance de la CNIL.

36. Par e-mail du 10 novembre 2021, la Chambre Contentieuse répond, avec M. N. V. en copie, que le projet de décision de l’Autorité de Protection des Données belge a été mis à disposition de la CNIL le 23 septembre 2021 et que la CNIL a introduit une objection pertinente et motivée au sens de l’article 60.4 du RGPD le 21 octobre 2021. La Chambre Contentieuse précise également la portée du formulaire de sanction en lien avec la procédure de coopération, à savoir que

- la communication de ce formulaire a lieu dans le but spécifique de respecter les droits de la défense des parties défenderesses conformément à la jurisprudence de la Cour des marchés ;

- la Chambre Contentieuse ne s’estime pas tenue de soumettre, conjointement avec le projet de décision, les documents éventuellement nécessaires pour fournir la preuve du respect du droit d’être entendu, pour autant qu’elle mentionne les mesures prises à cet effet dans la présente décision.

- la Chambre Contentieuse est toutefois disposée à faire parvenir à la CNIL les commentaires de la première défenderesse, moyennant l’accord de cette dernière, dans le cadre de la soumission du projet de décision révisé. Enfin, la Chambre Contentieuse précise également qu’un nouveau formulaire de sanction sera adressé si nécessaire dans l’hypothèse où de nouveaux points seraient soulevés dans le cadre de la procédure de coopération, et pour autant que ces nouveaux éléments conduisent à des constats sur lesquels les parties n’ont pas encore pu se défendre.

37. Le 4 janvier 2022, la Chambre Contentieuse a soumis son projet de décision révisé à la CNIL, conformément à l’article 60.5 du RGPD. Suite à l’approbation du projet de décision révisé par la CNIL, le 17 janvier 2022, et en l’absence de points soulevés dans la procédure de coopération, sur lesquels les parties n’auraient pas encore pu faire valoir leurs arguments, la procédure a été formellement clôturée le 18 janvier 2022.

38. Compte tenu de la proximité temporelle entre les faits concernés par les plaintes et l’entrée en vigueur du RGPD, le 25 mai 2018, la Chambre Contentieuse précise que le RGPD est bien d’application aux traitements de données personnelles réalisés dans le contexte de l’Étude publiée le 8 août 2018 par la première défenderesse (traitement 1). Les tweets analysés dans cette Étude se rapportent à des faits divulgués par le journal Le Monde le 18 juillet 2018^[9]. Le RGPD, entré en vigueur le 25 mai 2018, était donc bien d’application aux traitements des données personnelles contenues dans ces tweets. Le RGPD est également d’application à la divulgation des données personnelles (publication de fichiers de données brutes) opérée par la deuxième défenderesse postérieurement à la publication de l’Étude (traitement 2).

39. La compétence territoriale de la Chambre Contentieuse et l’applicabilité du droit belge ne font pas débat, dans le contexte où les deux responsables de traitement identifiés par le Service d’Inspection dans son rapport, ont leur établissement en Belgique. Le RGPD, en effet, s’applique aux traitements de données à caractère personnel effectués dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union (art. 3.1 du RGPD). Dans ce contexte, l’APD est compétente pour agir en tant qu’autorité chef de file concernant le traitement de données transfrontalier effectué par le/les responsables de traitement dont l’établissement principal est situé sur son territoire (art. 56.1 du RGPD).

40. La Chambre Contentieuse identifiera les traitements de données concernés et veillera à qualifier les rôles des défendeurs en tant que responsables du traitement/sous-traitant (article 4.7 et 4.8 du RGPD) au regard des traitements de données concernés.

41. Ensuite, la Chambre Contentieuse examinera successivement les manquements pouvant être retenus concernant chaque activité de traitement à charge de la première et/ou la seconde partie défenderesse.

42. Enfin, la Chambre Contentieuse motivera les éventuelles mesures correctrices et sanctions imposées aux défenderesses.

43. En ce qui concerne les données personnelles traitées, la Chambre Contentieuse se rattache à la description des faits et leur qualification par le Service d’Inspection dans son rapport d’enquête, lequel distingue d’une part, « les activités de traitement liées à la réalisation de l’Étude de EU DisinfoLab » (activités de traitement 1) et d’autre part « les activités de traitement liées à la publication en ligne de fichiers Excel contenant notamment les données ayant servi de base pour cette Étude et ce aux fins de transparence et de justification de l’Étude » (activités de traitement 2).

44. Selon l’article 4.7 du RGPD, le responsable de traitement est la personne physique ou morale qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement - c’est-à-dire celle qui décide qu’un traitement doit avoir lieu et détermine de façon effective pour quelles finalités et par quels moyens ce traitement a lieu.

45. En l’absence de dispositions légales ou contractuelles permettant de déterminer quelle partie exerce cette influence déterminante, la Chambre Contentieuse doit procéder à l’identification du responsable de traitement par l’analyse des éléments factuels et des circonstances — activités concrètes et contexte spécifique — de l’affaire^[10]. La Chambre Contentieuse tient compte des circonstances factuelles ci-après pour déterminer l’influence des parties sur la définition des finalités et/ou des moyens des traitements de données en cause.

46. En ce qui concerne les activités de traitement 1 telles qu’identifiées ci-dessus, tant le premier que le second défendeur s’attribuent mutuellement la qualification de responsable de traitement :

- EU DisinfoLab reconnaît avoir confié à M. V. la tâche de rédiger l’Étude en cause, mais affirme que ce dernier disposait d’une marge de manœuvre concernant la réalisation effective de celle-ci, qu’il a déterminé seul les moyens de traitement à mettre en œuvre pour parvenir au résultat produit ainsi que la finalité de l’Étude. EU DisinfoLab considère que son propre rôle s’est limité à un rôle de « soutien, de relecture et de publication », et que M. N. V. aurait décidé seul les moyens de la réalisation de l’Étude, notamment, le recours à un logiciel d’extraction de données fourni par le prestataire tiers Visibrain avec lequel EU DisinfoLab n’a conclu aucun accord de partenariat^[11]. EU DisinfoLab déclare par ailleurs que M. N. V. avait qualité de collaborateur bénévole au sein de l’association^[12]. Enfin, EU DisinfoLab souligne que la participation de ses administrateurs (MM. A. A. et G. M.) à la rédaction de l’Étude intervient en fin de l’élaboration de cette Étude, le 6 août 2018. Lors de l’audience, EU DisinfoLab insiste pour rappeler que M. V. est co- fondateur d’EU DisinfoLab (ce qui est d’ailleurs dûment indiqué dans le rapport d’Inspection, contrairement aux affirmation de EU DisinfoLab). EU DisinfoLab en tire la conclusion que la première défenderesse est co-responsable du traitement.

- À l’inverse, M. N. V. affirme n’avoir eu aucun pouvoir décisionnel ou fonction décisionnelle concernant la publication de l’Étude, étant sous l’autorité de son responsable G. M. à toutes les étapes de réalisation de l’Étude. Il admet cependant avoir « dicté la méthodologie et réalisé une grande partie des analyses statistiques »^[13], dont les résultats ont ensuite été communiqués et publiés sur le site de EU DisinfoLab.

47. La Chambre Contentieuse juge qu’en tant que commanditaire et éditeur de l’Étude, EU DisinfoLab est bien responsable du traitement des données personnelles concernées par l’Étude. EU DisinfoLab, en effet, a bien déterminé les finalités de l’Étude via la commande de l’Étude et sa décision de la publier. En outre, la réalisation de cette Étude cadre dans la réalisation de son objet social et l’Étude, sous sa forme finale est présentée comme une étude d’EU DisinfoLab, qui s’inscrit dans sa mission sociale. Ce document est par ailleurs encore disponible sur le site d’EU DisinfoLab lors des constatations du rapport d’Inspection en avril 2020.

48. La Chambre Contentieuse ne suit pas l’argumentation de la première défenderesse en ce qu’elle rejette quasi entièrement la responsabilité de l’Étude et du traitement de données concerné sur les épaules du chercheur bénévole N. V., notamment parce qu’il aurait contribué à la définition des moyens de réalisation de l’Étude, selon EU DisinfoLab.

49. Sur la question de la définition des moyens du traitement de données, la Chambre Contentieuse juge qu’en décidant que l’Étude serait réalisée par trois de ses membres (à savoir, rédaction par M. V. et un autre membre de DisinfoLab, et relecture par un troisième membre de DisinfoLab), EU DisinfoLab a déterminé les principaux moyens de traitement. En outre, au final, deux administrateurs d’EU DisinfoLab ont relu et « corrigé » l’Étude avant sa publication, ce qui implique une participation effective aux moyens de traitement des données personnelles ayant servi à réaliser cette Étude. EU DisinfoLab a également déterminé les moyens de traitement utilisés par M. V. en ce que le 30 juillet 2018, M. G. M., Managing Director d’EU DisinfoLab, demande à M. V. de rechercher des concordances entre les données des utilisateurs Twitter actifs dans l’affaire Benalla et les données recueillies par M. V. dans son analyse préalable des Macronleaks (désinformation dans la campagne présidentielle).

50. La Chambre Contentieuse fait valoir qu’en publiant l’Étude sous son nom et sur son site, EU DisinfoLab a endossé la responsabilité non seulement des finalités mais aussi des moyens de traitement de l’Étude, y compris la comparaison avec des « études » anciennes de M. V. et le recours aux moyens d’analyse de tweets fournis par un prestataire tiers, à savoir le logiciel Visibrain (lequel n’est pas partie à la cause selon le périmètre d’enquête défini par le Service d’Inspection). À cet égard, le Service d’Inspection souligne à juste titre que « [q]uand bien même M. V. aurai[t] de son propre chef souhaité réaliser ce comparatif avec ces anciennes études, il a en tout état de cause été approuvé et permis par EU DisinfoLab qui l’a repris dans l’Étude finalement publiée »^[14].

51. Selon la Chambre Contentieuse, M. V. peut être considéré comme co- responsable de traitement de cette Étude dans la mesure où il a réalisé l’Étude en tant que contributeur bénévole, selon la qualification même reprise par EU DisinfoLab dans ses réponses au Service d’Inspection^[15] : « La publication du fichier dit de « cluster » contenant des données brutes a été effectuée à l’initiative personnelle de Monsieur N. V., alors bénévole auprès de l’ASBL EU DisinfoLab, en dehors de toute instruction de l’association EU DisinfoLab et en parfaite violation des procédures internes ». M. V. souligne également que son travail pour l’ASBL DisinfoLab n’était pas rémunéré^[16].

52. En tant que participant bénévole aux activités d’EU DisinfoLab, M. V. peut être considéré comme volontaire au sens de la loi du 3 juillet 2005 relative au droit des volontaires, étant entendu que les caractéristiques du volontariat sont l’exercice d’une activité au sein d’une organisation « sans rétribution ni obligation », c’est-à-dire une activité exercée à titre libre et gratuit. À l’inverse d’un contrat de travail, il n’existe donc pas de lien de subordination dans le cadre du volontariat. Néanmoins, le volontaire – sans être subordonné – peut accepter volontairement les règles de fonctionnement de l’association au profit de laquelle il exécute des tâches à titre bénévole (règlement d’ordre intérieur, statuts) et accepter d’effectuer les prestations requises pour remplir la mission définie par l’association, ce qui est le cas ici.

53. La Chambre Contentieuse rappelle que dans son arrêt du 10 juillet 2018, la CJUE a retenu la responsabilité conjointe en ce qui concerne la collecte et le traitement de données personnelles par des témoins de Jéhovah agissant en tant que bénévoles dans le cadre des objectifs de leur association, même en l’absence d’instructions directes de l’association en ce qui concerne la collecte de données concernées^[17]. En l’occurrence, M. V. est co-responsable du traitement de données 1, dans la mesure où il a volontairement rédigé l’Étude et a déterminé en partie les moyens de traitement (ex. recours à un logiciel Visibrain pour collecter les données). En outre, M. V. n’a conclu aucun contrat de sous- traitance avec EU DisinfoLab en vue d’encadrer ce traitement et définir sa responsabilité comme sous-traitant au sens de l’article 28 du RGPD. En réponse aux questions des défenderesses quant à la pertinence des questions du Service d’Inspection à ce sujet, la Chambre Contentieuse précise qu’un contrat de sous-traitance n’aurait certes pas constitué l’élément déterminant permettant de qualifier le rôle de M. V., mais qu’une telle circonstance aurait pu être prise en considération à titre d’indice de la volonté de M. V. d’agir en tant que sous-traitant, si tant est que M. V. avait dans les faits limité son rôle à celui d’un sous-traitant tel que défini à l’article 4 (8) du RGPD, à savoir, la personne physique ou morale qui « traite les données à caractère personnel pour le compte du responsable de traitement », quod non. En l’espèce, la Chambre Contentieuse considère que les éléments déterminant la qualité du responsable de traitement sont essentiellement la rédaction volontaire de l’Étude par M. V. et la décision de ce dernier de recourir au logiciel Visibrain pour collecter les données.

54. La responsabilité de M. V. en tant que co-responsable de traitement est toutefois limitée dans la mesure où il a attendu les instructions de son association avant d’entamer le traitement des données concernées, et dans la mesure où un responsable de l’association, M. M., a exercé un contrôle éditorial sur le ‘draft’ de l’Étude que lui a soumise M. V.. M. M. a aussi donné des instructions précises pour le modifier (« relecture à réaliser, mettre des références, clarifier des éléments de la FAQ, etc ») et il supervisé la publication de l’Étude dans sa version définitive.

55. La Chambre Contentieuse note bien l’argument de la première défenderesse, selon lequel M. V. est membre co-fondateur de l’ASBL EU DisinfoLab. La qualité de cofondateur n’implique toutefois pas une responsabilité personnelle de M. V. en ce qui concerne le traitement de données personnelles tel que celui opéré à travers l’Étude, en vue de réaliser le but social de l’ASBL, car M. V. est en principe exonéré de toute responsabilité pour les actes réalisés par cette ASBL dans le cadre de sa raison sociale, au même titre que ses autres co-fondateurs, et ce, en vertu des statuts mêmes d’EU DisinfoLab et de l’article 14 de la loi sur les ASBL^[18].

56. En conclusion, concernant le rôle d’EU DisinfoLab en tant que responsable de traitement pour ce qui est du traitement de données personnelles en vue de réaliser l’Étude, la Chambre Contentieuse fait valoir que

- en tant que commanditaire et éditeur de l’Étude, EU DisinfoLab est bien responsable du traitement des données personnelles concernées par l’Étude ;

- en décidant que l’Étude serait réalisée par M. V. et par un membre de DisinfoLab, avec relecture par un autre membre de DisinfoLab, EU DisinfoLab a contribué à la définition des moyens de traitement et enfin,

- en publiant l’Étude sous son nom et sur son site, EU DisinfoLab a endossé la responsabilité non seulement des moyens de traitement mais aussi des finalités de l’Étude.

57. M. V. est quant à lui co-responsable de ce traitement en tant que bénévole d’EU DisinfoLab, dans la mesure où il a volontairement rédigé l’Étude et a décidé de recourir au logiciel Visibrain pour traiter les données personnelles dans le cadre des activités de traitement 1.

58. En ce qui concerne les activités de traitement 2, conformément aux déclarations des parties à ce sujet, comme EU DisinfoLab le reconnaît elle-même, la Chambre Contentieuse juge que EU DisinfoLab est l’unique responsable de traitement concernant la mise à disposition du fichier compressé contenant les documents ‘Rumeurs&Items.xlsx’ et ‘Data brutes 1 – 47.xlsx’ par téléversement sur le serveur dl.free.fr et inclusion d’un lien vers ce serveur dans l’Étude^[19].

59. Concernant le rôle de M. V., la Chambre Contentieuse juge qu’il est l’unique responsable de traitement consistant en la mise à disposition des fichiers ‘Acteursclassés sss.xlsx’ et ‘Databrutes.csv.xlsx’ par téléversement sur le compte Dropbox de Saper Vedere et relai de ce lien sur son compte Twitter personnel. En effet, il confirme avoir « partagé ces fichiers sans aucune validation avec [s]es supérieurs qu’ils soient du DisinfoLab ou de l’UCL »^[20]. M. V. reconnaît avoir partagé ces fichiers de données brutes en dehors des instructions d’EU DisinfoLab : pour cette partie du traitement 2, il a donc agi en tant que responsable de traitement distinct.

1. Manquements relatifs aux activités de traitement 1

60. Le Service d’Inspection relève quatre types de manquements relatifs aux activités de traitement 1 dans le chef d’EU DisinfoLab et de M. V., co-responsables de traitement. Deux de ces manquements concernent des obligations susceptibles d’exception pour des traitements à finalité journalistique (art. 85 du RGPD) et/ou pour traitement à finalité scientifique (art 89 du RGPD). Avant d’entrer dans le détail de l’examen de ces griefs, la Chambre Contentieuse récapitule brièvement les principes applicables aux traitements à finalité journalistique, aux traitements à finalité scientifique, ainsi que quelques règles en matière de traitement de données personnelles « publiques », vu que les données personnelles concernées étaient accessibles sur Internet au moment des faits et le sont toujours, bien malgré eux, selon les défendeurs.

1.1. Principes applicables

1.1.1 Les exceptions « journalistiques » et « scientifiques » invoquées par les parties défenderesses

61. La Chambre Contentieuse a bien noté les exceptions invoquées par les deux parties. Dans leurs conclusions écrites, elles invoquent tant l’exception de traitement scientifique que l’exception journalistique.

62. En audience, M. V. précise qu’il y a lieu de distinguer la « recherche scientifique » de la « communication scientifique »^[21], et explique comme suit l’interaction entre ces deux exceptions appliquées à l’Étude : « on peut très bien avoir une communication scientifique sur une recherche scientifique, sans état de l’art, et encore plus quand le format se veut opérationnel et à intérêt journalistique ». À cet égard, il explique que, pour être parfaitement en ligne avec les codes de la communication scientifique, l’Étude aurait dû se référer à un « état de l’art » qui était inexistant en matière de recherche sur la désinformation...

63. La Chambre Contentieuse doit donc examiner dans quelle mesure l’une ou l’autre de ces exceptions (journalistique et/ou scientifique) soustraient les défenderesses à leurs obligations en ce qui concerne les traitements 1 et 2.

1.1.2 Exception de traitement à des fins de journalisme : droit applicable et conditions d’application

64. L’article 85 du RGPD offre la possibilité aux États membres de concilier, à travers leur droit national, différents droits fondamentaux comme le droit à la protection des données à caractère personnel, d’une part, et le droit à la liberté d’expression et d’information d’autre part. Les États membres sont libres de prévoir à cet effet dans leur droit national, un régime particulier applicable aux traitements de données personnelles à des fins journalistiques ou de liberté d’expression, sous forme d’exemptions ou dérogations à certaines règles du RGPD. Ainsi par exemple, les responsables de traitement de données à des fins journalistiques peuvent être exemptés de leur l’obligation de fournir une information préalable aux personnes concernées (chapitre III du RGPD). Comme précisé à l’article 85 du RGPD, de telles dérogations ou exemptions ne sont envisageables que dans la mesure où elles s’avèrent « nécessaires » pour concilier le droit à la protection des données à caractère personnel et la liberté d’expression et d’information.

65. Avant d’examiner la condition de « nécessité » requise, il y a lieu de préciser le droit applicable au cas d’espèce ratione temporis étant donné que les faits reprochés ont eu lieu à une période où le droit de protection des données n’était pas encore entièrement fixé dans la loi belge en ce qui concerne l’exception journalistique.

Droit applicable ratione temporis

66. À l’époque de la diffusion de l’Étude et des fichiers « Excel » litigieux, l’exception journalistique prévue à l’article 85 du RGPD n’avait pas encore été implémentée en droit belge. Une telle exception était toutefois encore prévue en Belgique à l’article 3 § 3, b) de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel. En effet, la loi du 8 décembre 1992 n’avait été que partiellement abrogée par l’article 109 de la loi du 3 décembre 2017 portant création de l’APD, laissant intacte l’exemption d’information individuelle prévue à l’article 3 § 3, b) de cette loi au bénéfice de traitements à des fins journalistiques^[22].

67. Dans le contexte où le législateur belge n’avait pas encore implémenté l’article 85 du RGPD, la Chambre Contentieuse juge que les défendeurs ne peuvent être privés de la possibilité d’invoquer une exception fondée sur la liberté d’expression ou sur les droits de la presse en raison de ce délai législatif. La Chambre Contentieuse souligne que dans tous les cas, l’article 85 du RGPD doit être interprété à la lumière de la Charte des droits fondamentaux de l’Union européenne, laquelle prévoit en son article 11 le droit de toute personne à la liberté d’expression et d’information^[23].

68. La Chambre Contentieuse examine donc ci-dessous, lorsque cela est pertinent par rapport aux griefs soulevés, dans quelle mesure les défendeurs peuvent valablement invoquer l’exception journalistique prévue à l’article 3 § 3, b) de la loi du 8 décembre 1992 pour les traitements de données personnelles 1 et 2, compte tenu de la jurisprudence de la Cour de Justice de l’Union européenne (CJUE) et de l’article 85 du RGPD.

Conditions d’application de l’exception journalistique RGPD/Directive 95/46/CE

69. Les conditions d’exercice de la mise en balance du droit à la protection des données et du droit à la liberté d’expression n’ont pas fondamentalement changé dans le RGPD en comparaison avec la Directive 95/46/CE^[24], sous réserve de l’évolution notable suivante : selon le RGPD, le devoir de conciliation du droit à la protection des données personnelles semble couvrir un périmètre plus large que celui retenu dans la Directive 95/46/CE.

70. En effet, l’article 85 du RGPD vise de manière générale la nécessité de concilier le droit à la protection des données avec la liberté d’expression, en donnant pour exemples non limitatifs de ce deuxième paramètre, le traitement à des fins journalistiques et à des fins d’expression universitaire, artistique ou littéraire. Ceci permet donc aux États membres de prévoir des exemptions visant la liberté d’expression au-delà des cas d’expression « journalistique », ce qui pourrait impliquer la liberté de tout un chacun de s’exprimer sur les réseaux sociaux sans nécessairement prétendre à la qualité de journaliste^[25].

71. Par contraste, la Directive 95/46/CE ne couvrait pas explicitement des traitements réalisés à des fins de liberté d’expression en dehors du journalisme professionnel. La Directive 95/46/CE, en effet, invitait les États membres à prévoir, pour les traitements de données à caractère personnel effectués au seules fins de journalisme (ou d’expression artistique ou littéraire), des exemptions et dérogations nécessaires pour « concilier le droit à la vie privée avec les règles régissant la liberté d’expression », sans couvrir explicitement les traitements réalisés dans le cadre de l’exercice de la liberté d’expression indépendamment de la sphère journalistique. Ceci explique une tendance observée en jurisprudence à interpréter de manière très large la notion de « journalisme » de façon à couvrir toutes formes de liberté d’expression, avant l’entrée en vigueur du RGPD dont les dispositions offrent une protection distincte à la liberté d’expression en dehors du contexte du journalisme.

72. Postérieurement aux faits de la cause, l’article 85 du RGPD a été mis en œuvre à l’article 24 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel. Cette disposition conditionne l’invocation de l’exception journalistique à la prise en compte de règles de déontologie, et inscrit l’exception « journalistique » dans un contexte de journalisme professionnel.

« Art. 24 – On entend par traitement de données à caractère personnel à des fins journalistiques la préparation, la collecte, la rédaction, la production, la diffusion ou l’archivage à des fins d’informer le public, à l’aide de tout média et où le responsable du traitement s’impose des règles de déontologie journalistique ».

73. La Chambre Contentieuse examine ci-dessous, lorsque cela est pertinent par rapport aux griefs soulevés, dans quelle mesure les défendeurs peuvent valablement invoquer l’exception « journalistique » pour les traitements de données personnelles 1 et 2, sur pied de l’article 3 § 3, b) de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel, compte tenu des conditions d’application de cette exception au moment des faits, telle que définie dans la jurisprudence de la CJUE (interprétation large de la notion de journalisme en l’absence d’une exception autonome couvrant la liberté d’expression).

74. L’arrêt « Buivids » de la CJUE du 14 février 2019 fait une large application de la notion d’exception journalistique prévue à l’article 3.2 de la Directive 95/46/CE sans formuler d’exigence quant à la qualité professionnelle de la personne ou organisation qui invoque le bénéfice de l’exception journalistique : l’enregistrement vidéo de membres de la police dans un commissariat et la publication de ces images sur un site Internet ont été considérés comme des traitements de données à caractère personnel réalisé à des fins de journalisme. Dans cet arrêt, la Cour tient compte de l’ « évolution et la multiplication des moyens de communication et de diffusion d’informations »^[26]. De même, dans l’arrêt « Satamedia », la CJUE a estimé que la finalité de traitement journalistique comprenait « la divulgation au public d’informations, d’opinions ou d’idées, sous quelque moyen de transmission que ce soit (para. 61) », et qu’une telle finalité pouvait être poursuivie par « toute personne » (para. 58), sans formuler d’exigence quant à la qualité de journaliste ou un but lucratif^[27].

75. La Chambre Contentieuse décide donc – par contraste avec le Rapport d’Inspection sur ce point - que les défenderesses ne doivent pas démontrer d’appartenance à une profession de journaliste ou la soumission à des règles déontologiques particulières pour pouvoir invoquer l’exception de traitement journalistique dans le cadre de leur liberté d’expression. Exiger la démonstration d’une appartenance professionnelle au journalisme (ex. souscription d’un code de déontologie) ne permettrait pas de donner effet utile au droit à la liberté d’expression prévu à l’article 11 de la Charte dans le contexte où la législation belge applicable au moment des faits ne prévoyait pas encore la possibilité explicite d’invoquer une exception couvrant la liberté d’expression en dehors d’un contexte de journalisme, contrairement à l’article 85 du RGPD.

76. La Chambre Contentieuse examine ci-dessous les autres conditions d’application de l’exception journalistique invoquée par les parties défenderesses (qui auraient également pu se référer à l’article 85, directement applicable en droit belge, en vue de bénéficier d’une protection au titre de la liberté d’expression).

Signification de la condition d’application « aux seules fins de journalisme »

77. Une des conditions d’application de l’exception journalistique en matière de protection des données personnelles sous la Directive 95/46/CE, telle qu’interprétée par la CJUE, est que la mise à disposition d’informations contenant des données personnelles soit effectuée « aux seules fins de journalisme », s’agissant d’un paramètre à prendre en compte pour évaluer si le traitement de données concerné est « nécessaire dans une société démocratique » pour concilier le droit à la vie privée avec les règles régissant la liberté d’expression^[28].

78. Cette exigence d’exclusivité quant à la finalité journalistique est également reflétée dans la loi belge applicable à l’époque des faits (article 3 § 3, b) de la loi du 8 janvier 1992). Il y a lieu bien interpréter la portée de cette restriction afin d’évaluer si les parties sont fondées à invoquer de manière concomitante les exceptions de traitement journalistique et scientifique. Ainsi par exemple, la Chambre Contentieuse note les explications fournies par Monsieur V. en audience, et complétées par ses remarques sur le PV, à savoir, que ses publications sont des « communications scientifiques sur une recherche scientifique » sous un format « opérationnel et à intérêt journalistique »^[29].

79. L’avocat général précise, dans ses conclusions sur l’affaire Buivids^[30] qu’il incombe à la juridiction nationale, en tant que seul juge du fond, de déterminer si l’objectif de publication est celui d’un journaliste inspiré par l’intérêt général ou s’il existe d’autres éléments motivant la publication. La CJUE précise dans son arrêt « Satamedia » qu’un traitement « aux seules fins de journalisme » n’est pas exclu lorsqu’à côté de la communication d’informations et d’idées sur des questions d’intérêt public, des finalités commerciales sont également poursuivies^[31].

80. La Chambre Contentieuse estime que les finalités scientifiques et journalistiques ne sont pas mutuellement exclusives et peuvent en principe être invoquées pour un même traitement de données (cf. arrêt « Satamedia » précité).

81. Ainsi par exemple, le traitement 1 (traitement aux fins de réaliser et publier l’Étude) pourrait être couvert par l’exception de l’article 85 et l’exception de l’article 89 du RGPD, sous réserve de remplir les conditions d’application de ces deux dispositions dans la mesure où les données traitées visent à contribuer à un débat public via la réalisation et la publication d’une Étude.

Critères de « nécessité » dans une société démocratique

82. Enfin, il ressort de la jurisprudence de la CJUE que tout traitement de données à des fins journalistiques doit être « nécessaire » dans une société démocratique et dans ce cadre, mis en balance avec la liberté d’expression au moyen d’une série de critères, notamment « la contribution à un débat d’intérêt général, la notoriété de la personne visée, l’objet du reportage, le comportement antérieur de la personne concernée, le contenu, la forme et les répercussions de la publication, le mode et les circonstances dans lesquelles les informations ont été obtenues ainsi que leur véracité ».^[32]

83. Il y a également lieu de prendre en considération la « possibilité pour le responsable de traitement d’adopter des mesures permettant d’atténuer l’ampleur de l’ingérence dans le droit à la vie privée »^[33].

84. La Chambre Contentieuse fera application de ces critères ci-dessous lors de l’examen détaillé des griefs soulevés par le Service d’Inspection à l’encontre des parties défenderesses.

1.1.3 Traitement de données à des fins scientifiques

85. Les articles 13 et 14 du RGPD imposent des obligations d’information à l’adresse des personnes concernées, préalablement au traitement. Cette obligation peut également résulter de la base légale « intérêt légitime » lorsqu’elle est invoquée pour justifier le traitement. En effet, lorsqu’un traitement est fondé sur l’intérêt légitime du responsable de traitement, ce dernier doit en principe fournir une information préalable à la personne concernée dont les données sont traitées, en plus de la possibilité de s’opposer a priori au traitement (art. 21.1 du RGPD). Les obligations d’information et d’opposition préalable peuvent être levées à condition pour le responsable de traitement d’invoquer à bon droit une exemption spécifique, par exemple dans le contexte de finalités scientifiques (art. 89 du RGPD).

86. Les parties défenderesses invoquent toutes deux l’exception de traitement scientifique en vue notamment d’alléger leurs obligations d’information préalables relatives aux traitements de données. Dans ce cadre, la Chambre Contentieuse rappelle que l’article 89 du RGPD, lu conjointement avec l’article 14.5.b) du RGPD, dispense le responsable de traitement de fournir des informations préalables sur le traitement de données aux personnes concernées, à condition que la fourniture de telles informations se révèle impossible ou exige des efforts disproportionnés, et à condition que le responsable de traitement prenne des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

87. Une telle exemption est également subordonnée à la prise en compte des autres exigences imposées dans le cadre d’un traitement de données à des fins scientifiques. Ainsi, l’article 89 requiert la mise en œuvre de garanties appropriées pour les droits et libertés des personnes concernées, en ce compris la mise en place de mesures techniques et organisationnelles, comme par exemple la pseudonymisation.^[34] L’article 89 du RGPD requiert également que les données personnelles soient traitées de manière à ne plus permettre l’identification des personnes concernées lorsque cela est possible. Le considérant 156 du RGPD précise en outre qu’en règle générale, le responsable du traitement doit « évaluer s’il est possible d’atteindre ces finalités grâce à un traitement de données à caractère personnel qui ne permettent pas ou plus d’identifier les personnes concernées, pour autant que des garanties appropriées existent (comme par exemple la pseudonymisation) ».

88. L’article 89 du RGPD impose d’atteindre les finalités scientifiques par priorité au moyen de données non identifiantes. Les règles en matière de traitement de données à des fins scientifiques ne sont pas neuves et font également l’objet de recommandations du Conseil de l’Europe nr. R (83) 10 en matière de protection des données personnelles utilisées à des fins de recherches et de statistiques^[35].

89. Le recours à l’article 89 du RGPD juncto l’article 14.5.b) du RGPD peut soustraire les responsables de traitement à l’obligation d’information préalable au traitement (art. 13 et 14 du RGPD), mais ne les décharge pas des autres obligations du RGPD, comme l’obligation d’invoquer une base légale adéquate pour le traitement de données envisagé.

1.1.4 Nécessité d’une base légale adéquate pour tout traitement à des fins journalistiques ou scientifiques

90. Tout traitement de données nécessite une base légale adéquate, par exemple, l’intérêt public poursuivi par le responsable de traitement (art. 6.1.e du RGPD) ou encore l’intérêt légitime du responsable de traitement (art. 6.1. f du RGPD). La Chambre Contentieuse fait valoir qu’une démarche journalistique peut être fondée sur l’intérêt légitime du responsable de traitement dans le cadre de son droit fondamental à la liberté d’expression, ou encore, son intérêt légitime à exercer un droit de réponse numérique. Une démarche scientifique pourra quant à elle trouver justification dans l’intérêt légitime du responsable de traitement, ou trouvera son fondement dans un intérêt public si elle relève de l’exercice de l’autorité publique dont est investi le responsable de traitement de droit privé ou public, ou encore si elle s’opère dans l’exécution d’une mission d’intérêt public légalement reconnue^[36].

91. Lorsque le traitement de données à des fins journalistiques ou scientifiques n’est pas réalisé à partir de données personnelles collectées directement auprès de la personne concernée, ce traitement constituera un traitement ultérieur de données personnelles collectées initialement à d’autres fins, au sens de l’article 6.4 du RGPD. Le responsable de traitement devra alors évaluer préalablement la compatibilité des finalités du traitement ultérieur avec les finalités du traitement de données initial, selon les critères prévus à l’article 6.4 du RGPD.

1.1.5 Principe de finalité et traitement ultérieur compatible

92. Les traitements de données 1 et 2 constituent des traitements de données ultérieurs tels que définis à l’article 6.4 du RGPD (traitements réalisés à d’autres fins que la finalité pour laquelle les données à caractère personnel ont été initialement collectées).

93. Dans le contexte du traitement 1, en effet, les données traitées par Twitter ont fait l’objet d’une étude à des fins de catégorisation politique (profilage au sens de l’article 4.4 du RGPD), s’agissant donc d’une nouvelle finalité. Dans le contexte du traitement de données 2, les données brutes traitées aux fins de réaliser l’Étude ont été traitées ultérieurement à des fins de publication sur Internet.

94. Les données à caractère personnel doivent être collectées pour des finalités déterminées et ne peuvent pas être traitées ultérieurement de manière incompatible avec ces finalités. Ce « principe de finalité et de traitement ultérieur compatible » n’est pas neuf et a été exprimé tant dans la Directive 95/46/CE (art. 6.1, b) que dans les dispositions du RGPD (art. 5.1, b et 6.4).

95. En vertu de l’article 89 du RGPD juncto 5.1, b) du RGPD, le traitement ultérieur à des fins scientifiques est considéré comme compatible avec les finalités initiales, à condition que les règles spécifiquement prévues à l’article 89 du RGPD - obligation de prévoir des garanties appropriées - soient respectées. Le considérant 156 du RGPD invite les États membres à prévoir de telles garanties appropriées dans leur législation nationale. Cette mise en œuvre de l’article 89 du RGPD faisait défaut en droit belge à l’époque des faits à la cause.

96. Dans ce contexte, en complément des principes spécifiques aux traitements de données personnelles à des fins scientifiques prévus à l’article 89 du RGPD, la Chambre Contentieuse se réfère à l’article 6.4 du RGPD lequel énumère des critères d’évaluation de comptabilité énoncés comme suit :

- Existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ;

- Contexte dans lequel les données à caractère personnel ont été collectées, en particulier, en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;

- Nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel ;

- Conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;

- L’existence de garanties appropriées qui peuvent comprendre le chiffrement ou la pseudonymisation.

97. Le Considérant 50 du RGPD précise à cet égard qu’ il y a lieu de tenir compte des attentes des personnes concernées dans le cadre du contexte dans lequel les données ont été collectées « afin d’établir si les finalités d’un traitement ultérieur sont compatibles avec celles pour lesquelles les données à caractère personnel ont été collectées initialement, le responsable du traitement, après avoir respecté toutes les exigences liées à la licéité du traitement initial, devrait tenir compte, entre autres : de tout lien entre ces finalités et les finalités du traitement ultérieur prévu ; du contexte dans lequel les données à caractère personnel ont été collectées, en particulier, les attentes raisonnables des personnes concernées, en fonction de leur relation avec le responsable de traitement ».

98. En l’absence d’une mise en œuvre belge de l’article 89 du RGPD (exception scientifique) au moment des faits, les critères prévus à l’article 6.4 juncto le considérant 50 du RGPD constituent à tout le moins des jalons de réflexion concernant les paramètres à envisager pour évaluer la compatibilité d’un traitement scientifique. La Chambre Contentieuse considère ce cadre de référence comme également pertinent pour tout traitement de données à des fins journalistiques qui constituerait un traitement ultérieur, faute de transposition de l’article 85 du RGPD (exception journalistique) au moment des faits.

99. Dès lors, il y a lieu de tenir compte des attentes des personnes concernées (article 6.4.a) et b) dans le cas d’espèce : cela implique que lorsque des personnes ont diffusé leurs données auprès d’un premier responsable de traitement (ex. Twitter) et ne s’attendent pas raisonnablement à faire l’objet d’un traitement ultérieur particulier par un autre responsable de traitement (par exemple, un profilage politique 4.4 du RGPD), une telle réutilisation des données pour de nouvelles finalités n’est possible qu’avec leur consentement sauf à disposer d’une autre base légale comme par exemple l’intérêt légitime du responsable de traitement.

100. La Chambre Contentieuse applique les principes ci-dessus à l’examen de chaque traitement de données concerné.

1.1.6 Traitement de données personnelles rendues publiques

101. Les parties défenderesses insistent sur le fait que les données qu’elles traitent (notamment, les pseudonymes Twitter) ont été rendues publiques par les personnes concernées. La deuxième défenderesse déplore qu’il n’y ait de son avis aucune ligne directrice des autorités de protection des données à ce sujet.

102. À titre préliminaire, la Chambre Contentieuse tient donc à fournir quelques explications au sujet des règles à prendre en compte lors du traitement de données personnelles publiques, lesquelles règles existaient déjà sous la Directive 95/46/CE (et sa mise en œuvre en droit belge dans le cadre de la loi du 8 décembre 1992).

103. Ces règles déjà anciennes ont fait l’objet de documents explicatifs de la part des autorités de protection des données. Ainsi par exemple, depuis 2016, la CNIL apporte les précisions suivantes sur son site^[37] : la collecte massive de données issues des réseaux sociaux n’est pas légale en l’absence d’information préalable des personnes concernées ; le caractère public des données personnelles disponibles sur les réseaux sociaux ne leur fait pas perdre le statut de données personnelles et leur traitement est soumis à l’ensemble des conditions prévues par la loi française de protection des données, y compris la condition de licéité (base légale).

104. Plus particulièrement, lorsque le traitement de données issues des réseaux sociaux est fondé sur l’intérêt légitime du responsable de traitement, une information préalable et une possibilité de s’opposer à la collecte et au traitement de données personnelles doivent en principe être fournies, conformément à l’article 21.1 du RGPD juncto les obligations d’information générales prévues aux articles 12 et 14 du RGPD, sauf exception, fondée par exemple, sur un traitement à des fins scientifiques ou journalistiques.

105. La Chambre Contentieuse se réfère également à l’arrêt de la CJUE Satamedia, dans lequel la Cour de Justice a précisé qu’un tel traitement de données pouvait avoir lieu à des fins journalistiques pour autant que soient respectées les conditions d’application de l’exemption journalistique et, notamment, que l’activité puisse être qualifiée de journalistique et « ait pour seule finalité la divulgation au public d’informations, d’opinions, d’idées, ce qu’il appartient à la juridiction nationale d’apprécier »^[38].

106. La CJUE a également précisé à de multiples reprises les critères de mise en balance du droit à la protection des données (art. 8 de la Charte des droits fondamentaux de l’Union européenne), et du droit fondamental à la vie privée (art. 7 de la Charte des droits fondamentaux de l’Union européenne) avec le droit à la liberté d’expression dans le contexte de la réutilisation de données publiques^[39].

107. Ainsi par exemple, dans l’arrêt Österreichischer Rundfunk^[40], la CJUE a précisé que les règles de protection des données personnelles au sens de l’article 8 de la Charte s’appliquent à des données publiques (données salariales des employés d’une entreprise semi-publique): le traitement de ces données personnelles pour des finalités autres que celles pour lesquelles elles ont été initialement collectées (en l’occurrence, à des fins de transparence budgétaire) est soumis aux règles exposées ci-dessus : respect du principe de finalité et de compatibilité de tout traitement de données ultérieur sauf exceptions légalement encadrées.

108. Au regard de cette jurisprudence, il est patent que des données personnelles de nature publique ne peuvent pas être traitées pour des finalités nouvelles en dehors d’un cadre légal valable.

1.2. Application de ces principes aux activités de traitement 1

109. La Chambre Contentieuse examine ci-dessous les griefs retenus par le Service d’Inspection à l’égard d’EU DisinfoLab. Les griefs relatifs au traitement 1 n’ont pas fait l’objet d’un examen vis-à-vis de M. V. par le Service d’Inspection, qui ne l’avait pas estimé responsable pour le traitement 1. Étant donné la responsabilité limitée de M. V. dans le cadre du traitement 1 (voir ci-dessus), la Chambre Contentieuse ne rouvre pas les débat à ce sujet.

1.2.1 Obligation d’information individuelle préalable – art. 5.1.a), 12 et 14 du RGPD

110. En sa qualité de responsable de traitement, EU DisinfoLab est tenue de respecter les articles 5.1.a), 12 et 14 du RGPD, à savoir, l’obligation d’informer les personnes concernées lorsque leurs données ont été collectées de façon indirecte.

111. En l’occurrence, la collecte de données personnelles via des sources accessibles au public telles les publications publiques sur Twitter, et ce, par le biais de logiciels sous-traitants comme Visibrain, constitue bien une collecte indirecte, soumise aux obligations d’information préalable de l’article 14 du RGPD.

112. En l’occurrence, le RGPD permet de lever l’obligation d’information préalable aux individus concernés lorsqu’une telle information apparaît comme impossible ou nécessitant des efforts disproportionnés (art. 14, 5, b) du RGPD). Selon le considérant 62, tel peut être le cas lorsque le traitement est effectué à des fins de recherche scientifique, dans la mesure où l’obligation d’information est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs scientifiques du traitement. Pour pouvoir invoquer cette exception à l’information individuelle préalable, il y a lieu de respecter les conditions de la recherche scientifique prévues à l’article 89 du RGPD.

Exception scientifique

113. Compte tenu de la finalité scientifique du traitement 1, lequel cadre dans un but social de « développement et promotion des méthodologies, technologies et processus autour du sourcing des ‘Fake news’ et de la désinformation en général », EU DisinfoLab est en principe éligible à invoquer une exception de « recherche scientifique » au sujet du traitement 1, en vue de se soustraite à une obligation d’information préalable individuelle aux personnes dont les données sont traitées, et cela, pour autant que les conditions d’application de cette exception soient réunies^[41].

114. L’article 89 du RGPD impose de mettre en place des garanties appropriées pour les droits et les personnes concernées. À cet égard, la Chambre Contentieuse fait valoir que dans le contexte où EU DisinfoLab traitait les données — publiques ou non — à des fins de profilage politique, et donc, in fine, traitait des données sensibles au sens de l’article 9 du RGPD, de telles garanties devaient comprendre une documentation à tout le moins interne (registre de traitement, analyse d’impact préalable) et externe (politique de confidentialité^[42]) concernant la méthodologie de traitement des données et leur degré d’anonymisation/pseudonymisation.

115. L’obligation de tenir un registre du traitement découle d’une lecture combinée de l’article 89 du RGPD (obligation de garanties appropriées telle qu’interprétée par la Chambre Contentieuse à défaut de transposition légale à l’époque des faits) juncto l’article 30.5 du RGPD (obligation de tenir un registre lorsque le traitement porte sur des catégories de données sensibles) et l’article 35 du RGPD (obligation d’analyse d’impact préalable)^[43].

116. L’obligation de mettre à disposition du public une politique de confidentialité découle de l’article 14.5.b du RGPD, lequel impose de rendre publiques les informations obligatoires imposées aux articles 13 et 14 du RGPD, lorsqu’une information individuelle préalable n’est pas possible, notamment dans le cadre d’un traitement à des fins scientifiques. La Chambre Contentieuse fait valoir qu’une telle information publique peut avoir lieu dans le cadre de la publication de la politique de confidentialité.

117. Toutefois, en l’absence de registre de traitement et en l’absence de toute forme de mesure d’information préalable des personnes concernées au sujet du traitement envisagé (au minimum une politique de confidentialité à disposition du public concernant la méthodologie de traitement des données personnelles et leur degré d’anonymisation/pseudonymisation), la Chambre Contentieuse juge qu’EU DisinfoLab ne peut pas prétendre bénéficier de l’exception de traitement scientifique.

118. La Chambre Contentieuse ne suit pas l’argumentation de EU DisinfoLab lorsqu’elle expose qu’une information partielle a été fournie aux utilisateurs de Twitter au sujet du traitement, à savoir, le fait qu’EU DisinfoLab, en la personne de M. A., a donné 5 interviews dans la presse française et internationale (BFM, Politico, L’opinion, Arrêt sur images, et AFP) entre le 1ier et le 3 août 2018, soit avant la publication de l’Étude, pour annoncer que l’article de M. V. ferait l’objet d’une étude plus approfondie à propos des comptes hyperactifs dans l’affaire Benalla.

119. La Chambre Contentieuse fait valoir que la première défenderesse ne démontre pas que ces interviews dans la presse suffisent à fournir les informations imposées par l’article 14 ou 14.5.b du RGPD, ou constitueraient les garanties nécessaires requises par l’article 89 dans le cadre d’une étude scientifique ou statistique. Les interviews donnés par voie de presse ne renvoyaient pas à l’existence d’un document complet (politique de confidentialité) reprenant les informations à fournir en vertu de l’article 14 du RGPD, et un tel document était à l’époque inexistant, selon le rapport d’Inspection.

Exception journalistique

120. La Chambre Contentieuse a examiné si et dans quelle mesure l’information diffusée par le manager d’EU DisinfoLab par voie de presse pouvait suffire dans le cadre d’un traitement de type journalistique au titre de l’article 85 du RGPD, lequel invite les États-Membres à concilier, par leur loi nationale, le droit à la protection des données à caractère personnel et le droit à la liberté d’expression, y compris le traitement à des fins journalistiques.

121. Dans le cas présent, le rapport d’Inspection suggère de ne pas tenir compte de cette exception au motif que l’article 24 de la loi du 30 juillet 2018, entré en vigueur postérieurement aux faits, imposait une condition que les parties ne remplissaient pas, à savoir, souscrire à des règles de déontologie journalistique. À cet égard, la Chambre Contentieuse juge qu’au moment des faits, EU DisinfoLab était bien éligible à invoquer cette exception « journalistique » sans pour autant être soumise à des règles de déontologie journalistique.

122. À l’époque des faits, l’exception journalistique était encore prévue en Belgique dans la loi de transposition de la Directive 95/46/CE. La loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnels n’avait été que partiellement abrogée par l’article 109 de la loi du 3 décembre 2017 portant création de l’APD. Selon l’article 3, § 3, b) de la loi du 8 décembre 1992, l’obligation d’information en cas de collecte indirecte telle que prévue à l’article 9, § 2 de cette même loi, ne s’appliquait pas aux traitements de données à caractère personnel effectués aux seules fins de journalisme ou d’expression artistique ou littéraire lorsque son application compromettrait la collecte des données et/ou une publication en projet. La Chambre Contentieuse rappelle que l’article 85 du RGPD doit être interprété à la lumière de la Charte des droits fondamentaux de l’Union européenne, laquelle prévoit en son article 11 le droit de toute personne à la liberté d’expression et d’information^[44].

123. Sur cette base, la Chambre Contentieuse fait valoir que l’invocation de l’exception journalistique pour le traitement 1 est bel et bien possible, même si EU DisinfoLab ne revendique pas la prise en compte de règles de déontologie journalistiques.

124. À l’époque des faits, l’exigence de « règles déontologiques journalistiques » n’était pas inscrite dans la loi belge. La Chambre Contentieuse ne s’attachera donc pas à l’interpréter. De plus, comme le souligne EU DisinfoLab, la Cour de Justice, dans l’arrêt « Buivids » précité^[45], retenait une interprétation large de la dérogation journalistique, l’appliquant dans un cadre de journalisme non professionnel sans exiger la soumission à des règles de « déontologie journalistique » (s’agissant en l’occurrence de la publication sur un site web d’une vidéo enregistrée dans un commissariat lors d’une prise de déposition). Cette interprétation rejoint le considérant 153 du RGPD selon lequel « pour tenir compte de l’importance du droit à la liberté d’expression dans toute société démocratique, il y a lieu de retenir une interprétation large des notions liées à cette liberté, telles que le journalisme »^[46]. Dès lors, pour la période concernée par les faits, la Chambre Contentieuse retiendra également une interprétation large de la notion de journalisme, non liée à la souscription à des règles déontologiques externes^[47].

125. Il est toutefois requis que les dérogations et limitations de la protection des données telle qu’une dérogation à des fins de journalisme, s’opère dans les limites du strict nécessaire^[48]. Dans cette optique, la Chambre Contentieuse concrétise comme suit la mise en balance entre le droit à la protection des données et la liberté d’expression conformément à l’article 85 du RGPD, en ce qui concerne le traitement 1 : la Chambre Contentieuse admet qu’EU DisinfoLab s’estime à bon droit dispensée d’une information préalable aux personnes concernées au sens de l’article 14 du RGPD dans le cadre d’activités journalistiques, dans la mesure où l’information des personnes concernées aurait pu compromettre la réalisation de l’Étude en projet et sa publication ultérieure.

126. L’exception journalistique applicable au moment des faits, permet donc à EU DisinfoLab et à M. V. de réaliser une « Étude » en vue de la publier et participer au débat public concernant l’affaire Benalla sans dévoiler l’entièreté de ses sources ou sa méthodologie, et sans fournir au préalable de manière individuelle l’ensemble de l’information prévue à l’article 14 du RGPD au sujet des données personnelles traitées, et ce, en tant que responsable de traitement intervenant de la sphère journalistique.

127. Un tel raisonnement ne peut toutefois être tenu pour ce qui est de l’exception scientifique également invoquée par EU DisinfoLab en vue de se soustraire aux obligations d’information préalables. Un journaliste peut en effet citer des sources telles que Visibrain ou les autres logiciels tiers sans nécessairement révéler leur fonctionnement en matière de traitement de données, tandis que la convocation de telles sources, si elle a lieu dans le cadre d’une démarche scientifique, requiert, selon la Chambre Contentieuse, plus de transparence, notamment sur la méthodologie de collecte des données et leur degré d’anonymisation/de pseudonymisation.

1.2.2 Analyse d’impact relative à la protection des données – art. 35 du RGPD

128. En sa qualité de responsable de traitement, EU DisinfoLab est tenue de respecter l’article 35 du RGPD, aux termes duquel certains traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées doivent être soumis à la réalisation préalable d’une « analyse d’impact relative à la protection des données ». Une telle analyse d’impact doit permettre au responsable de traitement d’identifier les traitements de données en cause, déterminer si le traitement envisagé est proportionnel à ses finalités, identifier les risques en matière de données personnelles et enfin, anticiper et mettre en place les mesures de remédiation adéquates avant la mise en œuvre du traitement, si l’analyse révèle que le traitement peut être entamé.

129. La Chambre Contentieuse conclut sur base du Rapport d’Inspection^[49] que le traitement 1 remplit les conditions d’un « risque élevé » selon l’article 35 du RGPD : traitement de données de 55.000 utilisateurs (traitement à grande échelle selon l’article 35.2 b) du RGPD, traitement de données particulières via le profilage politique des utilisateurs Twitter concernés au sens de l’article 4.4 du RGPD (allégations concernant l’appartenance politique ou la « russophilie » des comptes Twitters hyperactifs, notamment à travers la réalisation du fichier « Acteursclassés »^[50]). En outre, le fichier « data brutes », en particulier celui publié par M. V., révèle des opinions politiques, convictions religieuses ou orientation sexuelle publiquement affichées sur Twitter^[51]. Quoiqu’étant une organisation de taille modeste, EU DisinfoLab opère donc des traitements à haut risque au sens de l’article 35 du RGPD.

130. La Chambre Contentieuse précise par ailleurs que les responsables de traitement ne sont pas soustraits à l’obligation de réaliser une analyse d’impact préalable lorsqu’ils traitent des données personnelles à des fins journalistiques. La Chambre Contentieuse se réfère à titre de bonnes pratiques à la loi de protection des données applicable aujourd’hui, où il est prévu que l’exception de traitement journalistique exempte le responsable de traitement de l’obligation de communiquer son analyse d’impact préalablement à l’autorité de contrôle, lorsqu’une telle mesure compromettrait une publication en projet ou constituerait une mesure de contrôle préalable à la publication d’un article de presse^[52]. Ceci n’empêche qu’il doit la réaliser et être en mesure de la communiquer postérieurement aux faits, bonne pratique qu’EU DisinfoLab n’a pas prise en compte. EU DisinfoLab en effet, n’a pas pu remettre son analyse d’impact au Service d’Inspection, faute d’avoir réalisé l’exercice d’évaluation requis préalablement à la réalisation de l’Étude^[53]. La Chambre Contentieuse tiendra compte, au moment de déterminer la sanction appropriée, de l’absence d’implémentation de l’article 85 du RGPD en droit belge à l’époque des faits.

1.2.3 Responsabilité et documentation probante (contrats de sous-traitance et registre des activités de traitement) – art. 5.2, 24 et 30 du RGPD

131. Nonobstant les demandes d’information adressées par le Service d’Inspection à EU DisinfoLab, cette dernière n’a pas fourni la documentation probante demandée (registre de traitement et contrat de sous-traitance avec les prestataires tiers)^[54].

Obligation de conclure un contrat de sous-traitance (art. 28 RGPD)

132. En ce qui concerne la collecte de données personnelles via des prestataires tels que Visibrain et Talkwalker, EU DisinfoLab nie dans ses conclusions l’existence d’une quelconque collaboration entre elle et ces partenaires externes. Dans sa réponse à la deuxième demande d’information du Service d’Inspection, EU DisinfoLab confirme toutefois avoir eu recours aux services de sous-traitants et affirme avoir adhéré à leurs conditions générales d’utilisation sans possibilité de les modifier ou de les négocier. EU DisinfoLab confirme également dans sa réponse à la deuxième demande d’information qu’elle ne dispose pas d’une copie de l’exemplaire des Conditions Générales d’Utilisation des sous-traitants cités au moment des activités de traitement 1 et 2, et qu’elle ne dispose pas de contrat ni de conventions d’usages avec ces sous-traitants^[55].

133. En tant que responsables de traitement, il incombait en principe à EU DisinfoLab et à M. V. de s’assurer du cadre légal de la collecte des données personnelles à la base de leur analyse. Ceci impliquait en principe la nécessité de conclure un contrat de sous- traitance au sens de l’article 28 du RGPD avec tout partenaire sous-traitant. À titre d’exemption, EU DisinfoLab invoque une finalité de traitement tant scientifique que journalistique.

134. La loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, entrée en vigueur postérieurement aux faits, prévoit des obligations et exemptions spécifiques en matière de contrat de sous- traitance dans le cadre de traitements à des fins scientifiques (articles 194 et suivants). Ainsi notamment, le responsable de traitement ultérieur est dispensé de l’obligation de conclure une convention avec le responsable de traitement initial lorsque le traitement se rapporte à des données rendues publiques (art. 194 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel). Aucune clarification n’est apportée, toutefois, en ce qui concerne la conclusion de tels contrats dans le cadre de traitements journalistiques en ce qui concerne la collecte par des journalistes de données personnelles (art. 24 de cette même loi).

135. Les dispositions belges applicables en matière de journalisme au moment des faits — art. 3 § 3 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel — ne prévoyaient par ailleurs aucune exception à l’obligation de conclure un contrat de sous-traitance au bénéfice des traitements effectués à des fins de journalisme (art. 16 de cette même loi). Le RGPD ne prévoit pas non plus une telle exemption. Dès lors, à défaut de disposer d’un texte de droit national en application de l’article 85.2 du RGPD à l’époque des faits, la Chambre Contentieuse estime qu’il convient, sur ce manquement précis, de faire application du RGPD, en l’occurrence, son article 28. Dès lors, la Chambre Contentieuse considère que l’absence de conclusion d’un contrat de sous-traitance entre EU DisinfoLab et ses prestataires constitue un manquement à l’article 28 du RGPD. La Chambre Contentieuse relève qu’EU DisinfoLab s’est livrée en cours de procédure à l’exercice de qualification de son propre rôle sous l’empire du RGPD, à défaut notamment d’avoir réalisé une analyse d’impact relative à la protection des données (AIPD) en amont des traitements de données envisagés, conformément à l’article 35 du RGPD. Ce faisant, EU DisinfoLab n’a pas identifié au préalable les partenaires pour lesquels un contrat de sous-traitance était requis. Pour autant, la Chambre Contentieuse tient compte de la proximité temporelle entre les faits et l’entrée en application du RGPD^[56].

136. La Chambre Contentieuse estime donc que les responsables du traitement ont pu se méprendre sur la qualification des prestataires « tiers » ou « sous-traitants » au sens du RGPD. EU DisinfoLab a perçu l’étendue de ses obligations en la matière suite aux questionnements de l’Inspection et n’avait visiblement pas conscience du fait que des journalistes sont soumis à de telles obligations lorsque leur travail d’investigation emporte un traitement de données personnelles par sous-traitance en amont, en l’absence de mise en œuvre de la loi belge à l’époque des faits. Il ressort actuellement clairement de l’article 24 de la loi du 30 juillet 2018 concernant la protection des personnes physiques à l’égard des traitements de données à caractère personnel, que l’obligation de conclure un contrat de sous-traitance (art. 28 RGPD) ne fait l’objet d’aucune exemption dans un contexte journalistique, pas plus que sous l’ancienne loi belge du 8 décembre 1992.

Obligation de tenir un registre (art. 30 du RGPD)

137. En sa qualité de responsable de traitement, EU DisinfoLab est tenue de mettre en œuvre l’article 30 du RGPD, aux termes duquel elle doit constituer un registre des activités de traitement effectuées sous sa responsabilité. Le RGPD prévoit une exception à cette obligation pour les organisations comprenant moins de 250 personnes, sauf, notamment, lorsque le traitement est « susceptible de comporter un risque pour les droits et des libertés des personnes concernées » dans la mesure où « il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1 » (art. 30.5 du RGPD).

138. En l’occurrence, la Chambre Contentieuse précise que l’exception à l’obligation de tenir un registre des activités de traitement n’est pas applicable à EU DisinfoLab malgré la taille réduite de cette ASBL, et ce, pour plusieurs raisons.

- Premièrement, les activités de traitement 1 ont porté sur des catégories particulières de données visées à l’article 9.1 du RGPD (données sensibles) : les tableaux de données analysés comportaient des éléments tels que le contenu des sections « biographie » de comptes Twitter – dans lesquelles il est fréquent que les utilisateurs renseignent des données sensibles telles que leurs origines raciales ou ethniques, ou leur orientation sexuelle ;

- Deuxièmement, ce traitement était susceptible de comporter un risque pour les droits et libertés des personnes concernées, en ce que la finalité même de ces activités de traitement 1 visait à générer des données sensibles sur base d’un profilage politique des utilisateurs « hyperactifs ».

139. Partant, l’absence de registre des activités de traitement au moment des faits litigieux, préalable à la réalisation du traitement 1, constitue en principe un manquement à l’article 30 du RGPD juncto les articles 5.2 et 24 du RGPD.

140. EU DisinfoLab, organisme de taille réduite, opère des traitements à haut risque au sens de l’article 35 du RGPD. Son degré de responsabilité au sens de l’article 24 du RGPD est donc élevé.

141. EU DisinfoLab invoque toutefois l’exception de traitement à des fins journalistique ainsi que l’exception de traitement à des fins scientifiques. À cet égard, la Chambre Contentieuse se réfère à titre de bonnes pratiques à la loi de protection des données applicable aujourd’hui, où il est prévu que l’exception de traitement journalistique exempte le responsable de traitement de l’obligation de communiquer son registre des activités de traitement préalablement au traitement à l’autorité de contrôle, lorsqu’une telle mesure compromettrait une publication en projet ou constituerait une mesure de contrôle préalable à la publication d’un article de presse^[57]. Ceci n’empêche que le responsable de traitement doit disposer d’un registre et être en mesure de le communiquer postérieurement à la publication journalistique à l’APD, bonne pratique qu’EU DisinfoLab n’a pas prise en compte^[58].

142. Partant, la Chambre Contentieuse fait valoir qu’il s’agit d’un manquement au principe de responsabilité inscrit aux articles 30, 5.2 et 24 du RGPD. La Chambre Contentieuse tiendra compte, au moment de déterminer la sanction appropriée, de l’absence d’implémentation de l’article 85 du RGPD en droit belge à l’époque des faits^[59]. Compte tenu du temps nécessaire pour réaliser un tel registre de traitement selon le niveau de détail exigé à l’article 30 du RGPD, la Chambre Contentieuse prend également en compte la proximité temporelle entre le traitement en cause (publication de données brutes) et l’entrée en vigueur du RGPD.

1.2.4 Obligations de sécurité et de notification (pseudonymisation et violation de données) – art. 5, 32 et 33 du RGPD

143. L’article 5,1.f) du RGPD impose au responsable de traitement de traiter les données personnelles de manière appropriée en ce qui concerne leur confidentialité. Il lui incombe notamment de garantir un niveau de sécurité adapté aux risques (art. 32 RGPD), et de notifier toute violation de données à caractère personnel à l’autorité de contrôle dans les 72 heures lorsque la violation est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées (art. 33.1 du RGPD).

144. La Chambre Contentieuse rejoint les conclusions du Rapport d’Inspection selon lesquelles EU DisinfoLab a manqué aux obligations consacrées aux articles 5,1.f) et 32 en ne prenant pas les mesures nécessaires pour assurer la confidentialité et sécurité du traitement 1, notamment en n’organisant pas la sauvegarde des fichiers dans un environnement sécurisé et sous sa maîtrise. EU DisinfoLab était en charge de mettre en œuvre les mesures de sécurité adéquates et adaptées aux risques des données traitées (55.000 comptes Twitter).

145. EU DisinfoLab a particulièrement manqué à ses obligations de sécurité en ne pseudonymisant pas les données reprises dans les fichiers de données traités, en particulier le fichier « ActeursClassés » contenant des données directement identifiantes et diffusé ultérieurement par M. V. dans le cadre du traitement 2.

146. EU DisinfoLab ne conteste pas l’existence d’une manquement aux article 32 et 33 du RGPD dans le cadre du traitement 1. À tort, EU DisinfoLab en rejette la responsabilité sur la personne de M. V.^[60].

147. EU DisinfoLab reconnaît ne pas avoir signalé la violation de données à l’autorité en raison de la pression médiatique importante engendrée par l’affaire, en ce compris l’intrusion dans les vies privées des membres de l’ASBL visés par des tweets de menace^[61].

2. Manquements relatifs aux activités de traitement 2

148. En ce qui concerne la description des activités de traitement 2, à savoir, la mise en ligne de fichiers de données brutes par EU DisinfoLab et M. V., la Chambre Contentieuse a retenu les manquements suivants.

2.1. Manquements aux articles 5, 6, 9, 12, 14 et 32 du RGPD dans le chef de EU DisinfoLab

149. Tout traitement de données personnelles requiert notamment :

- une base légale adéquate (art. 6 RGPD),

- le respect du principe de minimisation des données (à savoir ne traiter que les données nécessaires en vue de finalités poursuivies conformément à l’article 5 du RGPD),

- la fourniture d’informations transparentes aux personnes concernées en ce qui concerne tout traitement indirect ou postérieur de leurs données, sauf exception particulière (art. 12 et 14 du RGDP), et enfin,

- la mise en place de mesures de sécurité adéquates (art. 32 RGDP).

150. La jurisprudence de la CJUE exige qu’un recours à l’article 6.1.f) du RGPD réponde à trois conditions cumulatives. Le responsable du traitement doit en d’autres termes démontrer que :

1) les intérêts qu’il poursuit avec le traitement peuvent être reconnus comme légitimes (le "test de finalité") ;

2) le traitement envisagé est nécessaire pour réaliser ces intérêts (le “test de nécessité”) ; et

3) la pondération de ces intérêts par rapport aux intérêts, libertés et droits fondamentaux des personnes concernées pèse en faveur du responsable du traitement ou d’un tiers (le "test de pondération").^[62]

2.1.1 Absence d’intérêt légitime

151. EU DisinfoLab invoque son intérêt légitime (art. 6.1.f du RGPD) à rendre publiques ses sources afin de justifier l’intégrité de l’Étude publiée, suite aux critiques dont elle a fait l’objet.

Critère de finalité

152. EU DisinfoLab se justifie comme suit: « Nous avons publié nos données brutes avec notre méthodologie pour que tout soit vérifiable. Nous avons aussi reçu des demandes publiques très explicites de partage de données de recherche afin de vérifier nos analyses (vous le vérifierez par vous-même ICI, ICI et ICI) »^[63]. Ainsi par exemple, un tweet invite M. V., volontaire chez EU DisinfoLab, à « fournir la méthodologie, les sources pour pouvoir réfuter ou pas l’hypothèse »)^[64].

153. Le Service d’Inspection considère à cet égard que « la finalité des activités de traitement 2 était […] de justifier l’intégrité de l’Étude qui venait d’être réalisée par EU DisinfoLab et M. N. V. suite aux critiques émises à [son] encontre, par un accès à ses sources (ses données de base).^[65] »

154. Le Service d’Inspection conclut qu’une telle finalité lui semble légitime, à titre de traitement ultérieur de données dont les finalités sont compatibles avec celle du traitement de données originel lié à la réalisation de l’Étude d’EU DisinfoLab » (articles 5.1, b) et 6.4 du RGPD).

155. La Chambre Contentieuse suit ce point de vue sous la réserve importante d’une précision chronologique. À la date à laquelle les fichiers litigieux sont mis en ligne respectivement par M. V. puis par EU DisinfoLab, à savoir, les 5 et 7 août 2018, l’Étude de DisinfoLab n’est pas encore est publiée sur son site. Cette publication a lieu le 8 août 2018. Seuls ont été publiés des tweets de M. V., annonçant la réalisation d’une Étude de DisinfoLab plus élaborée, à partir de son Article publié précédemment sous sa seule responsabilité le 23 juillet 2018 sur le site de sa société « Reputatiolab ». La Chambre Contentieuse a donc dû examiner dans quelle mesure EU DisinfoLab serait fondée à invoquer son intérêt légitime pour la publication de données brutes relatives à une étude d’ambition scientifique en cours d’élaboration et non publiée.

156. La Chambre Contentieuse comprend qu’EU DisinfoLab avait l’ambition de susciter un débat public au sujet des sources de sa future Étude, et souhaitait inviter les chercheurs intéressés à participer à la réflexion. La Chambre Contentieuse affirme qu’une telle finalité est en principe légitime au sens de l’article 6.1.f du RGPD, pour autant que les autres conditions de l’intérêt légitime soient rencontrées.

157. La Chambre contentieuse note également qu’à travers la publication des sources (données brutes) de la future Étude, EU DisinfoLab cherchait à défendre sa réputation contre des attaques publiées par avance sur Internet. La Chambre Contentieuse fait valoir que cette forme de droit de réponse numérique était en principe une finalité légitime, sous réserve de la prise en compte des autres conditions ci-dessous, à savoir le critère de nécessité et de balance des intérêts.

Critère de nécessité

158. En ce qui concerne la condition de nécessité, la Chambre Contentieuse décide que la finalité poursuivie pouvait être réalisée d’une manière moins attentatoire aux intérêts, droits et libertés des personnes concernées, en publiant – et traitant - des données dûment pseudonymisées (notamment en ce qui concerne le fichier « Rumeurs & Items » diffusé par EU DisinfoLab) et en prévoyant des restrictions d’accès. Comme suggéré par le Service d’Inspection, l’accessibilité de ces données aurait pu être limitée via une mesure d’accès au cas par cas à la demande, avec un contrôle des destinataires en fonction de catégories déterminées, et moyennant une identification plus ou moins forte selon les hypothèses. Il y avait également lieu d’exiger la fourniture de garanties appropriées telles qu’un accord de confidentialité, pour autant qu’il s’agisse d’un traitement réalisé dans un cadre scientifique et sous réserve de clarification législative à cet égard (la loi du 30 juillet 2018, entrée d’application postérieurement aux faits, détaille les obligations et exemptions dans le cadre de traitements de données scientifiques)^[66]. Dans un cadre journalistique, vu la sensibilité du traitement de données, il eût été proportionné de limiter l’accès aux données à des journalistes accrédités comme envisagé par EU DisinfoLab elle-même.

159. En l’occurrence, les fichiers ont été mis à disposition publiquement via Twitter au moyen d’un simple lien, sans aucun contrôle de restriction ou condition d’accès, comme constaté par le Service d’Inspection. Cette manière de partager les fichiers est d’ailleurs contraire aux principes annoncés dans l’Étude même, selon laquelle les données brutes seraient rendues accessibles aux seuls chercheurs intéressés et aux journalistes accrédités^[67].

160. La Chambre Contentieuse juge donc que les données mises en ligne dans le cadre du traitement 2 par EU DisinfoLab ne répondaient pas à la condition de nécessité d’un traitement fondé sur un l’intérêt légitime. Dès lors, la publication de ces données constitue une atteinte à l’article 5.1.c (condition de proportionnalité du traitement) du RGPD.

161. Surabondamment, la Chambre Contentieuse s’interroge quant à savoir dans quelle mesure la publication des données brutes, même sous des conditions de confidentialité et contrôle d’accès renforcés, pourrait suffire à atteindre les finalités poursuivies par EU DisinfoLab, à savoir, justifier la méthodologie de l’Étude. En effet, la Chambre Contentieuse se demande si la finalité poursuivie n’aurait pas pu être atteinte, à tout le moins en partie, en offrant plus de transparence en ce qui concerne la méthodologie et les traitements réalisés par des tiers chargés de la collecte et du traitement des données brutes recueillies via des logiciels tiers (ex. Visibrain) dont le mode de fonctionnement mériterait probablement une clarification.

162. Il n’est pas démontré en effet que la simple clarification de la méthodologie employée par ces logiciels tiers n’aurait pas suffi à lever le doute sur la méthodologie de l’Étude, sans qu’il y ait besoin de recourir à la publication de données brutes. Ce point n’ayant pas été soulevé par le Service d’Inspection - qui n’a pas étendu son rapport, déjà très étoffé, au rôle de tiers tels que Visibrain - la Chambre Contentieuse se contente de marquer ses réserves sur ce point, sans que ces considérations n’impactent l’évaluation de la condition de nécessité, en l’occurrence négative.

Critère de balance des intérêts

163. En ce qui concerne la condition de balance des intérêts, EU DisinfoLab avance que son intérêt légitime à publier les données « tweets » concernées découlerait notamment des éléments suivants :

- les conditions générales de Twitter, lesquelles indiquent que les informations publiées sur la plateforme sont publiques et

- la politique de confidentialité de Twitter, laquelle indique que les données publiées peuvent être réutilisées à des fins de « recherche »^[68].

164. Les Conditions générales de Twitter citées par EU DisinfoLab, incitent toutefois les utilisateurs de la plateforme à « réfléchir avec soin à ce que [vous] décidez de publier, surtout s’il s’agit d’informations sensibles ».

165. En outre, le fait que des données personnelles aient été rendues publiques par les personnes concernées n’implique pas qu’elles puissent être traitées librement sur pied de l’article 6.1.f du RGPD. Il y a lieu non seulement d’évaluer la proportionnalité du traitement, mais également de faire la balance des intérêts en cause en tenant compte

- de l’absence de pseudonymisation des données en ligne

- des attentes légitimes des personnes concernées quant aux finalités pour lesquelles leurs données sont susceptibles d’être traitées, et

- du potentiel préjudice que peut leur causer le traitement en question.

Absence de pseudonymisation des données mises en ligne

166. La Chambre Contentieuse note qu’in extremis, la première défenderesse conteste avoir mis en ligne des données nominatives dans le cadre du traitement de données personnelles nr. 2, estimant qu’il s’agissait de « pseudonymes Twitter, librement choisis par chaque utilisateur ». Selon EU DisinfoLab, ces données ne permettent pas d’identifier formellement les individus gérant ces comptes.

167. La Chambre Contentieuse se réfère à cet égard aux constats du rapport d’Inspection, selon lequel les fichiers diffusés par la première défenderesse auraient dû être pseudonymisés avant diffusion : « le fichier Rumeurs&Items, Excel) a été mis à la disposition du public « sans anonymisation ni même pseudonymisation des données dès lors que la colonne « Label » (ou « screen name ») est demeurée inchangée et reprend directement les données extraites de Twitter . Alors qu’une mesure technique à cette fin aurait dû être mise en place afin d’éviter d’exposer directement les utilisateurs Twitter aux données reprises dans le fichier, sans nécessité, eu égard à la publicité qui a été donnée au fichier et au contenu de ce fichier »^[69].

168. Il ressort également du rapport d’Inspection qu’au moins un des fichiers mis en ligne par EU DisinfoLab contient une colonne d’identifiants dont certains consistent en un nom et prénom^[70]. Le Rapport d’Inspection indique également que l’inclusion dans ces fichiers de données « bio » dans le fichier « Databrutes » mis en ligne par DisinfoLab implique des catégories particulières de données au sens de l’article 9.1 du RGPD^[71].

169. La Chambre Contentieuse juge qu’au-delà de la question factuelle posée par EU DisinfoLab, la définition même de la notion de pseudonymisation lui permet d’écarter le grief soulevé. La Chambre Contentieuse rappelle qu’en vertu de l’article 4.5 du RGPD, la pseudonymisation est un traitement de données personnelles requérant notamment que les données soient soumises à des mesures techniques et organisationnelles de nature à garantir qu’elles ne puissent être attribuées à une personne physique identifiée ou identifiable. En l’occurrence, de telles mesures doivent être évaluées compte tenu du nouveau contexte de publication, impliquant une visibilité renforcée, a fortiori vu que des catégories de données potentiellement sensibles (de nature politique) sont en jeu.

170. La Chambre Contentieuse rappelle également que la pseudonymisation des données est une mesure de sécurité dont la mise en œuvre doit être adaptée à la nature du traitement et au risque qu’il comporte pour personnes concernées : une donnée reste personnelle tant qu’une personne reste identifiable directement ou indirectement (art. 4.1 du RGPD). Lorsque des données sensibles sont associées à des personnes identifiables indirectement, il importe de veiller à ce que le degré de pseudonymisation soit suffisant afin que les personnes concernées ne risquent pas de subir un risque de réidentification et une réutilisation mal intentionnée de leurs données^[72]. Il y a lieu à cet égard de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement^[73].

171. Or, même si les données mises en ligne par EU DisinfoLab consistaient à la base en des pseudonymes librement choisis par les personnes concernées, le risque de réidentification de ces pseudonymes n’a pas été évalué par avance au cas par cas, vu les nombreuses données personnelles mises en ligne par EU DisinfoLab et le très court délai entre la décision de publier et la publication. Dès lors, la Chambre Contentieuse juge que ces données ne peuvent être considérées comme pseudonymisées au sens de l’art. 4.5 du RGPD dans le cadre du traitement 2, car c’est au défendeur à porter la charge de la preuve qu’il a pris les mesures adéquates pour pseudonymiser les données concernées compte tenu de toutes les circonstances pertinentes (art. 24 RGDP), or en l’occurrence le défendeur n’a pris aucune mesure préalable visant à assurer la confidentialité des données personnelles concernées.

172. EU DisinfoLab reconnaît d’ailleurs que la mise à disposition des fichiers XL aurait pu être assortie de mesures supplémentaires (pseudonymisation et/ou contrôle d’accès), cependant, l’association considère à tort que la base légale « intérêt légitime » du traitement n’en est pas affectée^[74].

173. En conclusion sur ce point, l’absence de mesures visant à protéger les droits des personnes concernées telles que la pseudonymisation des données et/ou les contrôles d’accès, pèse dans l’appréciation des 2e et 3e critères requis pour démontrer un intérêt légitime:

- la mise en ligne de données nominatives n’est pas nécessaire si le même résultat pouvait être atteint avec des données pseudonymisées, d’une part, et

- la balance des intérêts n’est pas équilibrée si des mesures de protection de la confidentialité des données sont déficients ou font défaut, avec pour conséquence l’exposition des personnes concernées à un risque de discrimination du fait des profilages réalisés de manière non anonymisée (ex. attribution de profils russophile à des personnes identifiées nominativement sur Twitter dans le fichier « Rumeurs & Items »).

Critère lié aux attentes des personnes concernées

174. En ce qui concerne plus particulièrement l’impact des Conditions générales de Twitter sur les attentes raisonnables des personnes concernées, la Chambre Contentieuse ne suit pas le raisonnement d’EU DisinfoLab. À supposer que les dispositions contractuelles invoquées étaient bien applicables au moment des faits (ce qui n’est pas démontré), les informations fournies dans ce document ne justifiaient pas une republication de ces mêmes données personnelles, y compris sensibles (ex. certains tweets affichent une appartenance politique ou sexuelle), vu le contexte d’un profilage politique ultérieur opéré par EU DisinfoLab selon des catégorisations non prévisibles pour les auteurs de tweets, comme par exemple, la catégorisation politique « russophile » ou encore l’appartenance à des mouvances politiques (les Républicains, les souverainistes, la France insoumise, la République en marche). La publication de ces tweets ne correspondait donc pas à une attente raisonnable d’utilisation ultérieure dans le chef des personnes concernées, en particulier dans les cas où les auteurs des tweets n’avaient pas (tous) affiché explicitement une appartenance politique.^[75]

175. Certes, les auteurs de tweets affichant une appartenance politique pouvaient s’attendre à ce que leurs allégations politiques soient éventuellement commentées dans un contexte politique. Ce raisonnement ne vaut pas pour les autres auteurs de tweets affichant publiquement des données sensibles de nature non politique, par exemple, leur préférence sexuelle, dans leur bio : la médiatisation de leur profil Twitter en lien avec un débat lié à leurs convictions politiques ne peut correspondre à leurs attentes raisonnables.

Critère lié au préjudice pour les personnes concernées

176. Du point de vue du risque de préjudice pour les personnes concernées, et plus particulièrement en ce qui concerne le fichier « Rumeurs&Items » diffusé par EU DisinfoLab, la Chambre Contentieuse partage les constatations du Service d’Inspection selon lesquelles les données présentes dans ce fichier sont susceptibles de porter préjudice aux utilisateurs Twitter concernés, du fait des allégations qu’il comporte, concernant les affinités politiques des personnes concernées, ou leur supposée proximité avec des médias russes, avec pour corollaire un risque de discrimination ou de discrédit pour leur vie privée et professionnelle.

Exceptions de traitement à des fins « scientifiques » ou « journalistiques »

177. La Chambre Contentieuse décide qu’une telle publication n’est justifiée ni dans le cadre d’un traitement à des fins journalistiques, ni dans le cadre d’un traitement à des fins scientifiques.

Traitement à des fins scientifiques

178. Dans le cadre d’un traitement à des fins scientifiques (quod non, en l’espèce), la publication de données non-pseudonymisées ne serait pas permise. La Chambre se réfère à titre de bonnes pratiques à l’article 206 de la loi du 30 juillet 2018 concernant la diffusion de données personnelles à des fins scientifiques. Il y est prévu que les responsables de traitement de données traitées à des fins de recherche scientifique ou statistique ou encore dans l’intérêt public peuvent diffuser des données pseudonymisées, à l’exception des données à caractère personnel visées à l’article 9.1 du RGPD, à savoir des données de nature sensible telles des catégorisations politiques. Cette disposition n’était pas applicable au moment des faits, mais illustre a posteriori la balance des intérêts entre travail scientifique et publication de données de nature sensible. La législation vise en effet à éviter toute forme de fichage liée à l’appartenance politique, sexuelle, etc. qui pourrait se révéler dommageable pour les personnes concernées dans la mesure où ce type de fichier comporte le risque d’une utilisation mal intentionnée à large échelle.

179. En l’occurrence, nonobstant la légitimité morale des finalités poursuivies par les parties défenderesses (lutte contre la désinformation, protection de la démocratie, etc.), la publication de listes de données brutes non pseudonymisées, en lien avec des catégorisations sensibles de nature politique, ne peut être encouragée en dehors d’un cadre de recherche scientifique et devrait être assortie de garanties de confidentialité. Afin de bénéficier de l’exception de traitement scientifique, comme suggéré par l’Inspection, le traitement aurait dû être accompli de manière moins intrusive, moyennant la suppression des données non pertinentes telles que les biographies renseignées dans les comptes Twitter, avec au préalable un contrôle d’accès et une limitation d’accès à des destinataires ayant à en connaître, limitativement définis et identifiés (ex. au minimum, communication limitée à des personnes associées à la démarche scientifique) et sous réserve de la conclusion avec ces personnes d’un contrat de confidentialité en ce qui concerne la diffusion des données.

Traitement à des fins journalistiques

180. En ce qui concerne la balance des intérêts en présence dans le cadre d’un traitement à des fins journalistiques, la Chambre Contentieuse est soucieuse de ne pas brider indûment la liberté de presse des parties défenderesses à travers son appréciation de ce cas particulier. La Chambre Contentieuse rappelle qu’afin d’évaluer la légitimité de toute publication de données personnelles,, selon la jurisprudence de la CJUE, il y a lieu de mettre en balance la contribution à un débat d’intérêt général, la notoriété des personnes concernées, l’objet du reportage, le comportement antérieur des personnes concernées, le contenu, la forme et les répercussions de la publication, le mode et les circonstances dans lesquelles les informations ont été obtenues et leur véracité^[76]. La Chambre Contentieuse affirme que dans le cadre d’un traitement à des fins journalistiques, une telle balance des intérêts doit pouvoir être faite au cas par cas pour chaque personne concernée par une publication de presse, or, cela était en l’occurrence impossible vu la masse des données brutes publiées et vu le court délai entre la décision de publier et la publication des fichiers par les défenderesses. Le bénéfice de l’exception journalistique est donc refusé à EU DisinfoLab et à M. V..

Conclusion au sujet de la balance des intérêts

181. La Chambre Contentieuse décide que dans ces circonstances, le droit des personnes concernées à ne pas être discriminées devait prévaloir (balance des droits). Pour cette raison également, l’intérêt légitime au sens de l’article 6.1.f fait défaut.

182. La Chambre Contentieuse, conclut donc que les conditions de nécessité et de balance des intérêts ne sont pas remplies, si bien que l’ASLB DisinfoLab ne peut invoquer l’article 6.1.f du RGPD pour justifier la publication des fichiers de données brutes.

2.1.2 Absence d’un intérêt public au sens de l’article 6.1.e du RGPD

183. Enfin, la Chambre Contentieuse ne suit pas EU DisinfoLab lorsqu’elle invoque un intérêt public à réaliser le traitement 2 sur pied de l’article 6.1.e du RGPD. EU DisinfoLab est une organisation privée dont la finalité sociale s’inscrit dans l’intérêt public général (à savoir, la lutte contre la désinformation). EU DisinfoLab ne peut toutefois pas invoquer un intérêt public sur base de l’article 6.1.e RGPD, à défaut d’une base légale prévue à cet effet dans le droit de l’Union ou le droit belge (art 6.3 RGPD). À titre de bonne pratique et guide d’interprétation de l’article 6.1.e du RGPD, la Chambre Contentieuse se réfère à l’article 8 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel. Selon cette disposition, les associations ou fondations ayant pour objet statutaire la défense des droits de l’homme et des libertés fondamentales, sont uniquement considérées comme réalisant des traitements pour motifs d’intérêt public dans le cas où ce traitement est autorisé par le Roi, par arrêté délibéré en Conseil des ministres et après avis de l’autorité de contrôle. Ce n’est pas le cas en l’espèce.

2.1.3 Atteinte au principe de minimisation, aux exigences de sécurité et d’information préalable, aux règles en matière de traitement de données sensibles et aux règles en matière d’information et de transparence

184. Pour le surplus, la Chambre Contentieuse fait siennes les constatations suivantes du Service d’Inspection : en raison de l’absence de pseudonymisation des données mises en ligne, les données personnelles collectées dans le cadre du traitement 2 étaient excessives au regard de la finalité poursuivie ; le traitement 2 est donc contraire aux exigences de minimisation consacrées à l’article 5.1.c) du RGPD.

185. Ce traitement n’était pas non plus assorti de mesures techniques et organisationnelles appropriées (telle que la pseudonymisation des données et/ou un contrôle d’accès) comme le reconnaît EU DisinfoLab, ce qui constitue une en violation de l’article 32 du RGPD.

186. Par ailleurs, le Rapport d’Inspection établit que l’inclusion de données biographiques dans le fichier « Databrutes » mis en ligne par EU DisinfoLab implique des catégories particulières de données au sens de l’article 9.1 du RGPD^[77]. EU DisinfoLab n’a pas apporté d’élément en réponse à ce grief de nature à démontrer que ces données sensibles auraient été traitées pour un des motifs permettant de lever l’interdiction de principe de traitement de telles données personnelles selon l’article 9.2 du RGPD. Ce traitement de données personnelles constitue donc une atteinte à l’interdiction de principe de traiter de telles données telle qu’exprimée à l’article 9.1 du R.G.P.D.

187. Par-delà l’absence de base légale pour ce traitement de données, la Chambre Contentieuse relève également qu’il n’a pas fait l’objet d’une information préalable adéquate envers les personnes concernées. Une telle information préalable était en principe requise en vertu des articles 12 et 14 du RPGD. EU DisinfoLab ne démontre pas qu’elle serait déchargée d’une telle obligation d’information sur pied d’une exception journalistique ou scientifique, seuls motifs d’exemption susceptibles d’être invoqués valablement en l’occurrence compte tenu du caractère sensible du traitement^[78].

188. Dans les remarques formulées sur le PV d’audience, EU DisinfoLab se réfère à des information fournies par voie de presse, sans toutefois apporter de pièce à l’appui de ses affirmations. La Chambre Contentieuse estime qu’une publication par voie de presse, pour autant qu’elle eût compris toutes les informations prescrites par l’article 14 du RGPD, ne pouvait en l’occurrence constituer une voie adaptée d’information dans le contexte où tous les utilisateurs Twitter concernés n’étaient pas raisonnablement en mesure d’anticiper qu’ils feraient l’objet d’une publication de leurs données personnelles dans ce cadre. Il incombait à EU DisinfoLab de s’assurer que l’information fournie par voie de presse soit susceptible d’atteindre les personnes concernées et permette l’exercice de leur droit d’opposition au traitement au préalable, pour autant que ce traitement ait pu reposer sur une base légale adéquate.

189. La Chambre contentieuse rappelle en outre qu’afin d’être exempté de l’obligation d’information préalable sous couvert de l’exception « scientifique », le traitement aurait dû être accompli de manière moins intrusive, moyennant la suppression des données non pertinentes telles que les biographies renseignées dans les comptes Twitter, avec au préalable un contrôle d’accès et une limitation d’accès à des destinataires ayant à en connaître, limitativement définis et identifiés (ex. au minimum, communication limitée à des personnes associées à la démarche scientifique) et sous réserve de la conclusion d’un contrat de confidentialité en ce qui concerne la diffusion des données.

190. Quant à l’exception de traitement à des fins journalistiques, la Chambre Contentieuse se réfère également aux motifs exposés ci-dessus, pour lesquels elle conclut à la non applicabilité de l’exception, dans le contexte de la publication de données massives de données brutes, faute de pouvoir évaluer au cas par cas, pour chaque personne concernée par la publication, la balance des intérêts entre la contribution à un débat d’intérêt général et des paramètres tels que la notoriété des personnes concernées, l’objet du reportage, le contenu, la forme, les répercussions de la publication de données personnelles, comme préconisé par la jurisprudence précitée de la CJUE.

191. Dès lors, l’absence d’information préalable aux personnes concernées n’est pas susceptible d’exemption en l’espèce, et constitue une violation des articles 12 et 14 du RGPD.

2.2. En ce qui concerne les fichiers diffusés par M. V. : manquement aux articles 5, 6, 9, 12, 14 et 32 du RGPD

192. La Chambre Contentieuse rappelle que M. V. a reconnu avoir diffusé des fichiers de données brutes « Acteurs classés.sss Excell » et « Data brutes.cvs Excel » via Twitter par un lien Dropbox de son entreprise SaperVedere, sans l’assentiment du commanditaire de l’Étude, EU DisinfoLab. M. V. reconnaît porter l’entière responsabilité pour cette publication et renvoie à cet égard aux constatations du Service d’Inspection.

193. Il apparaît que M. V. n’était pas animé d’une mauvaise intention eu égard à la finalité qu’il poursuivait, notamment, contribuer à un débat public ; il a agi dans un contexte difficile (contestation de l’Étude qu’il a réalisée et de son intégrité scientifique), et il a rapidement mis fin à sa propre mise à disposition des fichiers de données litigieux via un lien Dropbox de son entreprise SaperVedere. Les faits précités n’en portent pas moins atteinte au RGPD.

194. Le traitement concerné ne repose sur aucune base légale.

195. Pour sa défense, M. V. invoque son souhait de répondre aux attaques portées à sa crédibilité scientifique en ce qui concerne l’Étude en cours de réalisation. M. V. invoque également l’intérêt public de l’Étude^[79].

196. La Chambre Contentieuse ne peut admettre que la publication des fichiers litigieux réponde à un objectif d’intérêt public au sens de l’article 6.1.e du RGPD, pour les mêmes motifs que ceux exposés ci-dessus pour rejeter l’intérêt public invoqué par EU DisinfoLab ci-dessus (voir para. 151 et suivants).

197. La Chambre Contentieuse rejette également l’existence d’un l’intérêt légitime (art. 6.1.f RGPD) dans le chef de M. V. en ce qui concerne la publication de fichiers de données personnelles brutes aux fins de s’accorder un droit de réponse numérique. La Chambre Contentieuse se réfère à cet égard à ses appréciations ci-dessus concernant le traitement 2 réalisé par EU DisinfoLab sur base de données personnelles similaires et pour des finalités similaires. La Chambre Contentieuse considère que si même la condition d’une finalité légitime était remplie dans le chef de M. V., dans le cadre d’un traitement à finalité journalistique et/ou aux fins de se réserver un droit de réponse numérique, l’analyse les conditions de nécessité et de balance des intérêts serait similairement négative car le traitement aurait dû être accompli de manière moins intrusive (condition de nécessité), moyennant des mesures de pseudonymisation ou anonymisation des données concernées, la suppression des données non pertinentes (telles que les biographies renseignées dans les comptes Twitter), après un contrôle d’accès et une limitation de cet accès à des destinataires ayant à en connaître, limitativement définis et identifiés.

198. En ce qui concerne la balance des intérêts sur le point des risques pour les droits et libertés des personnes concernées, la Chambre Contentieuse juge que cette condition n’est pas remplie du fait de l’absence de mesures techniques et organisationnelles adéquates au sens des articles 5.1.f) et 32 du RGPD. L’Inspection souligne en outre que les données reprises dans les fichiers diffusés par M. V. généraient des risques particulièrement importants en ce qu’elle comprennent les descriptions/biographies communiquées via les comptes Twitter et sont susceptibles de comporter des catégories particulières de données au sens de l’article 9.1 du RGPD. Le traitement entraînait pour les personnes concernées des risques de discrimination significativement plus élevés encore qu’en ce qui concerne les fichiers mis en ligne par EU DisinfoLab^[80]. Le fait que ces champs directement identifiants n’auraient pas été repérés par M. V. avant publication, suite à une erreur de manipulation, n’impacte pas cette conclusion^[81]. La Chambre Contentieuse renvoie aux critères et à la balance des intérêts développée en ce qui concerne EU DisinfoLab sous le point 2.1.1 de cette décision (voir para. 151 à 183).

199. Pour le surplus, la Chambre Contentieuse se réfère à l’argumentation développée à l’attention d’EU DisinfoLab en ce qui concerne les manquements retenus à son égard concernant les articles 5, 6, 9, 12, 14 et 32 du RGPD (voir para. 184 à 192).

2.3. Atteinte aux articles 5, 6, 12, 14 et 32 du RGPD

200. La Chambre Contentieuse conclut en outre que le traitement de données 2 consistant en la mise en ligne de données brutes par les deux défenderesses sans mesure de pseudonymisation et/ou de contrôle d’accès préalable, constitue une atteinte à l’article 32 du RGPD — lequel requiert la mise en place de mesures de sécurisation appropriées — ainsi qu’un manquement au principe de minimisation des données (articles 5.1.f).

201. Le traitement aurait en outre dû faire l’objet d’une information préalable aux personnes concernées, faute de pouvoir bénéficier d’une exemption d’information au titre de recherche scientifique^[82] ou au titre d’exception journalistique pour les raisons exposées ci- dessus au sujet des mêmes griefs formulés à l’encontre d’EU DisinfoLab (voir para. 187 et suivants).

3. Quant aux mesures correctrices et sanctions

202. Aux termes de l’article 100 LCA, la Chambre Contentieuse a le pouvoir de :

1° classer la plainte sans suite ;

2° ordonner le non-lieu ;

3° prononcer une suspension du prononcé ;

4° proposer une transaction ;

5° formuler des avertissements ou des réprimandes ;

6° ordonner de se conformer aux demandes de la personne concernée d’exercer ces droits ;

7° ordonner que l’intéressé soit informé du problème de sécurité ;

8° ordonner le gel, la limitation ou l’interdiction temporaire ou définitive du traitement ;

9° ordonner une mise en conformité du traitement ;

10° ordonner la rectification, la restriction ou l’effacement des données et la notification de celles-ci aux récipiendaires des données ;

11° ordonner le retrait de l’agréation des organismes de certification ;

12° donner des astreintes ;

13° donner des amendes administratives ;

14° ordonner la suspension des flux transfrontières de données vers un autre Etat ou un organisme international ;

15° transmettre le dossier au parquet du Procureur du Roi de Bruxelles, qui l’informe des suites données au dossier ;

16° décider au cas par cas de publier ses décisions sur le site internet de l’Autorité de protection des données.

203. Il importe de contextualiser les manquements dont chacune des défenderesses s’est rendue responsable en vue d’identifier les mesures correctrices et sanctions les plus adaptées.

204. De plus, il appartient souverainement à la Chambre Contentieuse, en qualité d’autorité administrative indépendante — dans le respect des articles pertinents du RGPD et de la LCA — de déterminer la / les mesure(s) correctrice(s) et sanction(s) appropriée(s).

205. Le RGPD invite les autorités de contrôle à imposer des amendes en vue de renforcer l’application des règles, en complément ou à la place de mesures appropriées, sauf lorsqu’un rappel à l’ordre est plus proportionné compte tenu des circonstances de la violation, notamment sa gravité, la durée, le caractère intentionnel, les mesures prises pour atténuer le dommage subi, le degré de responsabilité, la manière dont l’autorité de contrôle a eu connaissance de la violation (considérant 148 du RGPD). Dans le cas présent, la Chambre Contentieuse estime qu’une amende est appropriée compte tenu de la balance des circonstances atténuantes et aggravantes retenues ci-dessous.

206. Circonstances atténuantes :

- l’absence de mise en œuvre des articles 85 et 89 du RGPD en droit belge à l’époque des faits (exception pour traitement journalistique et exception pour traitement scientifique), ce qui a pu semer la confusion dans le chef des défendeurs au sujet de leurs obligations RGPD ;

- la réaction immédiate de EU DisinfoLab et M. V. pour se mettre en ordre avec leurs obligations RGPD et limiter le dommage lié aux fichiers litigieux : dès août 2018, consultation d’un conseil spécialisé afin de mettre en place une AIPD^[83] (art. 35 du RGPD) ; en octobre 2018, création d’un poste salarié de DPO ; destruction des données litigieuses sous contrôle d’huissier en septembre 2018 ; entre octobre et décembre 2018, création d’un registre des activités de traitement, mise en place d’une politique de confidentialité sur Internet, mise à jour de l’AIPD compte tenu de changements méthodologiques, mise en place d’une adresse e-mail afin de répondre aux requêtes des personnes concernées ;

- les excuses publiques M. V. sur Twitter et via communiqué de presse d’EU DisinfoLab ;

- en ce qui concerne M. V., le fait que la suggestion de publier les données brutes en ligne lui ait été faite par une personne liée à l’institution scientifique à laquelle il était alors attaché, ce qui peut tendre à démontrer qu’il a procédé à la diffusion de données personnelles concernées en lien avec des catégorisations politiques alléguées, sans conscience d’enfreindre des principes du droit fondamental à la protection des données personnelles ;

- les facultés de jugement et d’analyse des défenderesses ont pu être affectées par le climat d’attaques personnelles entretenu par leurs détracteurs sur Internet au moment des faits ; les défenderesses ont fait référence à des faits susceptibles de constituer des atteintes graves à leur propre vie privée ;

- la première défenderesse a souhaité pouvoir s’expliquer et clarifier ses arguments oralement durant la phase d’Inspection (a indiqué ses disponibilités, laissé ses coordonnées personnelles en vue d’une entrevue téléphonique ou physique à plusieurs reprises), sans que cette entrevue ou audition n’ait lieu ;

- en ce qui concerne tout particulièrement les obligations de conclure un contrat de sous-traitance au sens de l’article 28 du RGPD et l’obligation de disposer d’un registre de traitement selon l’article 30 du RGPD, la proximité temporelle entre l’entrée en application du RGPD (mai 2018) et les faits en cause (juillet 2018) ;

- le fait que les responsables de traitement respectifs soient une petite organisation non gouvernementale sans but lucratif, ainsi qu’une personne physique.

207. Circonstances aggravantes :

- la nature de l’infraction — Les dispositions enfreintes sont au cœur du RGPD, puisqu’elles visent à garantir le respect des principes fondamentaux du droit à la protection des données personnelles, en assurant aux personnes concernées un contrôle sur leurs données personnelles. La Chambre Contentieuse souligne à cet égard que les violations des articles 5 et 6 RGPD, consacrant les principes de base d’un traitement, de même que les manquements aux articles portant sur les droits dont bénéficient les personnes concernées en vertu des articles 12 à 22 RGPD, entraînent les amendes les plus élevées de l’article 83.5 RGPD ;

- la gravité des manquements résultant en particulier du nombre de personnes concernées par les manquements (le nombre de plaintes reçues qui s’élève à plus de 240), du caractère sensible des données traitées à savoir des données relatives aux opinions politiques et à l’orientation sexuelle, ainsi que du risque de discrimination ou de discrédit dans la vie privée ou professionnelle des personnes concernées ;

- l’absence de coopération d’EU DisinfoLab au début de l’enquête du Service d’Inspection — Selon la Chambre Contentieuse, le fait d’avoir transmis au Service d’Inspection des documents de DPIA et de mise en conformité non datés par voie de leur conseil, pour ensuite admettre que ces documents n’existaient pas au moment des faits, en réponse aux questions du Service d’Inspection, ne démontre pas une pleine et entière collaboration avec l’APD^[84][85]. La Chambre Contentieuse n’est pas convaincue par l’argument développé par EU DisinfoLab dans son formulaire de sanction à cet égard, à savoir, que « ce que la Chambre Contentieuse considère comme un manque de collaboration n’a été, en réalité qu’une stratégie de réponse recommandée par nos conseils » et qu’à aucun moment, EU DisinfoLab n’a eu l’intention de se soustraire à ses obligations ou responsabilités. Les prises de responsabilité respectives d’EU DisinfoLab et de ses conseils ne justifient pas la communication de documents non datés en réponse aux questions de l’Inspection quant à l’existence de tels documents ;

- la manière dont l’autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation – La Chambre Contentieuse note qu’elle n’a pas été notifiée par les parties défenderesses de la diffusion en ligne et publique de fichiers contenant les données brutes ayant permis la réalisation de l’Étude. Les faits litigieux ont en effet été portés à la connaissance de l’APD par le biais de plaintes et de demandes d’informations qui lui furent adressées dès le 8 août 2021.

L’ensemble des éléments exposés ci-dessus justifie une sanction effective, proportionnée et dissuasive, telle que visée à l’article 83 du RGPD, compte tenu des critères d’appréciation qu’il contient. La Chambre Contentieuse souligne également que les autres critères énoncés à l’article 83.2 du RGPD ne sont pas de nature à entraîner en l’espèce une amende administrative autre que celle déterminée par la Chambre Contentieuse dans le cadre de la présente décision.

208. Dans son formulaire de réaction aux sanctions envisagées, EU DisinfoLab fait valoir que la procédure menée par l’APD aurait déjà eu un effet correcteur, proportionné et dissuasif sur le travail de l’ASBL, et qu’un rappel à l’ordre serait proportionné. À cet égard, la Chambre Contentieuse fait valoir que l’effet correcteur apporté par la procédure menée par l’APD (les actions de remédiations ultérieures entreprises par les défenderesses) ne contrebalance pas la nature, la gravité de l’infraction et l’absence caractérisée de coopération. Compte tenu des circonstances aggravantes retenues, la Chambre Contentieuse décide donc de prononcer une amende et en fixe le montant de manière modérée compte tenu du statut des défenderesses (personne physique et ASBL). Pour le surplus, compte tenu du risque important que leurs actions ont entraîné pour les droits et libertés des personnes concernées (risque de discrimination), que le montant de l’amende ne reflète pas entièrement, la Chambre Contentieuse prononce également une réprimande à l’attention des deux parties défenderesses.

Quant à la première défenderesse

209. La Chambre Contentieuse prononce une réprimande et une amende de 2.700 EUR dans le chef de l’asbl EU DisinfoLab pour les atteintes au RGPD commises dans le cadre des traitements 1 et 2 du fait de la balance négative entre circonstances atténuantes et aggravantes retenues ci-dessus.

210. La Chambre Contentieuse classe sans suite les griefs liés aux articles 28 et 30 du RGPD en raison de la proximité temporelle entre l’entrée en application du RGPD (mai 2018) et les faits en cause (juillet 2018). Quant au second défendeur

211. La Chambre Contentieuse prononce une réprimande et une amende de 1.200 EUR à l’encontre de M. V. pour les atteintes au RGPD commises dans le cadre du traitement 2, du fait de la balance négative entre circonstances atténuantes et aggravantes retenues ci-dessus.

4. Transparence et publication de la décision

212. Vu l’importance de la transparence concernant le processus décisionnel de la Chambre Contentieuse, conformément à l’article 100 § 1, 16° de la LCA, la présente décision est publiée sur le site Internet de l’Autorité de protection des données en mentionnant les données d’identification des défendeurs, et ce, en raison de la spécificité de leurs activités et de la notoriété générale des faits de la cause, ne permettant pas une omission rationnelle des données d’identification. La Chambre Contentieuse tient également compte de l’intérêt public de la présente décision en vue d’alléger le dommage subi par les plaignants du fait de la publication de leurs données personnelles en lien avec des catégorisations politiques dans le cadre du traitement 2. Seule une publication sur le site de l’APD peut leur permettre de s’y référer et clarifier au besoin la portée des catégorisations sensibles auxquelles les défenderesses ont donné publicité, sans toutefois maîtriser la diffusion ultérieure de ces données, qui a encore lieu sur Internet, selon les pièces du dossier.

213. La Chambre Contentieuse fait valoir en particulier que dans cette décision, elle se penche sur une affaire fort médiatisée suite à une multitude des plaintes. Dans un tel cas, il ne serait ni souhaitable, ni raisonnablement possible de garantir l’anonymat des parties vu le caractère unique des faits relatés et la granularité des circonstances pertinentes. La Chambre Contentieuse a pris connaissance des arguments développés par les défendeurs en vue d’obtenir la non publication de la présente décision sur le site de l’APD, ou la publication d’une décision pseudonymisée (risque d’atteinte à leur réputation). EU DisinfoLab souligne notamment que la publication de la décision, plus de trois ans après les faits, constituerait une sanction supplémentaire et aurait des répercussions disproportionnées sur leur réputation compte tenu des efforts entrepris pour rebâtir leur image. EU DisinfoLab craint également les répercussions de la publicité de cette décision « sur le harcèlement et les conditions de travail des employés » de son association. EU DisinfoLab rappelle en effet que leur réputation a été atteinte en 2018 lors de la médiatisation de l’affaire et du harcèlement de ses équipes. La Chambre Contentieuse estime toutefois devoir mettre ce risque en balance avec l’intérêt des plaignants dans le contexte où les défenderesses ont agi en tant que journalistes au moment des faits (invocation de l’exception journalistique). La diffusion de leur identité en lien avec les faits de la cause ne semble pas disproportionnée compte tenu des motifs et circonstances évoquées ci-dessus (nature et gravité de l’atteinte).

214. La Chambre Contentieuse ne peut donc répondre à la demande des parties défenderesses de ne pas publier la décision ou de la publier de manière anonymisée.

215. Par l’envoi du formulaire de sanction assorti d’un délai de 14 jours ouvrables pour y répondre, la Chambre Contentieuse a informé les défendeurs de l’imminence d’une décision. La Chambre Contentieuse a par ailleurs également informé les défendeurs de l’existence d’une objection pertinente et motivée de la CNIL et de la date de cette objection. (Sé). Hielke HIJMANS Président de la Chambre Contentieuse

POUR CES MOTIFS,

la Chambre Contentieuse de l’Autorité de protection des données décide, après délibération :

- en vertu de l’article 100 § 1, 1° de la LCA, de classer sans suite les griefs liés aux articles 28 et 30 du RGPD ; et

- quant à la première défenderesse : de prononcer une réprimande au sens de l’article 100 § 1, 5° de la LCA et une amende de 2.700 euros en vertu de l’article 100 § 1, 13° de la LCA, pour les atteintes au RGPD commises dans le cadre des activités de traitement 1 et 2, comme exposé ci-dessus.

- quant au second défendeur : de prononcer une réprimande au sens de l’article 100 § 1, 5° de la LCA et une amende de 1.200 euros en vertu de l’article 100 § 1, 13° de la LCA, pour les atteintes au RGPD commises dans le cadre des activités de traitement 2, comme exposé ci-dessus.;

En vertu de l’article 108 § 1 de la LCA, cette décision peut faire l’objet d’un recours auprès de la Cour des marchés dans un délai de trente jours à compter de sa notification, avec l’Autorité de protection des données en qualité de défenderesse.

(Sé). Hielke HIJMANS

Président de la Chambre Contentieuse