La notion de responsable de traitement peut s’avérer délicate quand plusieurs acteurs entrent en jeu : responsabilité, co-responsabilité ou sous-traitance dans le traitement de données ?

Pour y voir plus claire, on pourra d’abord se référer, de manière générale, à  EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR (https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_en), mais aussi, pour un exemple particulier, à une décision de l’Autorité belge de protection des données, Décision de la Chambre contentieuse 13/2022 du 27 janvier 2022 (https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-13-2022.pdf) concernant un traitement de données à des fins scientifiques (commentée de manière plus générale par Alexandre Jotterand, La réutilisation de données publiques à des fins de recherche, 24 mars 2022 in www.swissprivacy.law/132).

Les développements essentiels de cette décision concernant les notions de responsabilité ou de co-responsabilité du traitement ainsi que de sous-traitance sont résumés ci-après  (N 11 et ss 43 et ss) :

EU DisinfoLab, première défenderesse, est une association belge qui poursuit une mission de recherche et de lutte contre la désinformation. Cette mission est poursuivie via « le développement et la promotion des méthodologies, technologies et processus autour du sourcing des ‘Fake news’ et de la désinformation en général [et] le développement et la promotion d’études, analyses et publications sur le sujet de la désinformation, de la lutte contre elle et des nouveaux risques liés ».

En 2018, EU DisinfoLab était composée de trois membres bénévoles-fondateurs : M. Gary Machado et M. Alexandre Alaphilippe (administrateurs), ainsi que M. Nicolas Vanderbiest, second défendeur.

À l’époque des faits litigieux, en juillet 2018, M. Nicolas Vanderbiest était auteur/éditeur du blog ReputatioLab, et chercheur à l’Université Catholique de Louvain (UCL). M. Nicolas Vanderbiest était en outre gérant de la s.p.r.l. Saper Vedere (ci-après ‘Saper Vedere’), une société fournissant des services d’audit de médias sociaux, au capital duquel participaient également les administrateurs de EU DisinfoLab, MM. Gary Machado et Alexandre Alaphilippe, au moment des faits.

 L’Autorité de Protection des Données (« APD ») et la CNIL ont été saisies chacune de plaintes et demandes d’information au sujet de traitements de données à caractère personnel réalisés dans le contexte d’une étude intitulée « Affaire Benalla. Les ressorts d’un hyperactivisme sur Twitter » (ci-après : l’Étude). L’Étude, publiée en ligne par la première défenderesse, en août 2018, a été réalisée sur base d’un article publié un mois plus tôt par M. Nicolas Vanderbiest sur son blog. Selon les plaintes, l’Étude visait à identifier l’origine politique de tweets relatifs à une polémique française dite « affaire Benalla » divulguée le 18 juillet 2018 par le journal Le Monde.

Les plaignants développent divers griefs concernant l’utilisation de leurs données personnelles pour la réalisation de l’Étude, et visent également la publication en ligne par DisinfoLab de fichiers Excel contenant les données personnelles extraites de comptes Twitter, ayant servi de base pour cette Étude, et ce, aux fins de transparence et justification de la méthodologie de l’Étude.

Les plaignants s’interrogent notamment sur la légalité de l’Étude, et pointent le fait qu’ils n’ont pas consenti à ce que leurs données personnelles fassent l’objet de tels traitements (notamment un profilage politique) par EU DisinfoLab et/ou M. Vanderbiest.

(…)

En ce qui concerne les données personnelles traitées, la Chambre Contentieuse (…) distingue d’une part, « les activités de traitement liées à la réalisation de l’Étude [scientifique] de EU DisinfoLab » (activités de traitement 1) et d’autre part « les activités de traitement liées à la publication en ligne de fichiers Excel contenant notamment les données ayant servi de base pour cette Étude et ce aux fins de transparence et de justification de l’Étude » (activités de traitement 2).

Selon l’article 4.7 du RGPD, le responsable de traitement est la personne physique ou morale qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement – c’est-à-dire celle qui décide qu’un traitement doit avoir lieu et détermine de façon effective pour quelles finalités et par quels moyens ce traitement a lieu.

En l’absence de dispositions légales ou contractuelles permettant de déterminer quelle partie exerce cette influence déterminante, la Chambre Contentieuse doit procéder à l’identification du responsable de traitement par l’analyse des éléments factuels et des circonstances — activités concrètes et contexte spécifique — de l’affaire [cf. EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, para. 19, 23, 24, 26.]

[Dans le cas d’espèce] la Chambre Contentieuse tient compte des circonstances factuelles ci-après pour déterminer l’influence des parties sur la définition des finalités et/ou des moyens des traitements de données en cause :

En ce qui concerne les activités de traitement 1 telles qu’identifiées ci-dessus, tant le premier que le second défendeur s’attribuent mutuellement la qualification de responsable de traitement.

EU DisinfoLab reconnaît avoir confié à M. Vanderbiest la tâche de rédiger l’Étude en cause, mais affirme que ce dernier disposait d’une marge de manœuvre concernant la réalisation effective de celle-ci, qu’il a déterminé seul les moyens de traitement à mettre en œuvre pour parvenir au résultat produit ainsi que la finalité de l’Étude. EU DisinfoLab considère que son propre rôle s’est limité à un rôle de « soutien, de relecture et de publication », et que M. Nicolas Vanderbiest aurait décidé seul les moyens de la réalisation de l’Étude, notamment, le recours à un logiciel d’extraction de données […]. EU DisinfoLab déclare par ailleurs que M. Nicolas Vanderbiest avait qualité de collaborateur bénévole au sein de l’association. Enfin, EU DisinfoLab souligne que la participation de ses administrateurs (MM. Alexandre Alaphilippe et Gary Machado) à la rédaction de l’Étude intervient en fin de l’élaboration de cette Étude, le 6 août 2018. Lors de l’audience, EU DisinfoLab insiste pour rappeler que M. Vanderbiest est co[1]fondateur d’EU DisinfoLab […]. EU DisinfoLab en tire la conclusion que la première défenderesse est co-responsable du traitement.

À l’inverse, M. Nicolas Vanderbiest affirme n’avoir eu aucun pouvoir décisionnel ou fonction décisionnelle concernant la publication de l’Étude, étant sous l’autorité de son responsable Gary Machado à toutes les étapes de réalisation de l’Étude. Il admet cependant avoir « dicté la méthodologie et réalisé une grande partie des analyses statistiques », dont les résultats ont ensuite été communiqués et publiés sur le site de EU DisinfoLab.

La Chambre Contentieuse juge qu’en tant que commanditaire et éditeur de l’Étude, EU DisinfoLab est bien responsable du traitement des données personnelles concernées par l’Étude. EU DisinfoLab, en effet, a bien déterminé les finalités de l’Étude via la commande de l’Étude et sa décision de la publier. En outre, la réalisation de cette Étude cadre dans la réalisation de son objet social et l’Étude, sous sa forme finale est présentée comme une étude d’EU DisinfoLab, qui s’inscrit dans sa mission sociale. Ce document est par ailleurs encore disponible sur le site d’EU DisinfoLab lors des constatations du rapport d’Inspection en avril 2020.

La Chambre Contentieuse ne suit pas l’argumentation de la première défenderesse en ce qu’elle rejette quasi entièrement la responsabilité de l’Étude et du traitement de données concerné sur les épaules du chercheur bénévole Nicolas Vanderbiest, notamment parce qu’il aurait contribué à la définition des moyens de réalisation de l’Étude, selon EU DisinfoLab.

Sur la question de la définition des moyens du traitement de données, la Chambre Contentieuse juge qu’en décidant que l’Étude serait réalisée par trois de ses membres (à savoir, rédaction par M. Vanderbiest et un autre membre de DisinfoLab, et relecture par un troisième membre de DisinfoLab), EU DisinfoLab a déterminé les principaux moyens de traitement. En outre, au final, deux administrateurs d’EU DisinfoLab ont relu et « corrigé » l’Étude avant sa publication, ce qui implique une participation effective aux moyens de traitement des données personnelles ayant servi à réaliser cette Étude. EU DisinfoLab a également déterminé les moyens de traitement utilisés par M. Vanderbiest en ce que le 30 juillet 2018, M. Gary Machado, Managing Director d’EU DisinfoLab, demande à M. Vanderbiest de rechercher des concordances entre les données des utilisateurs Twitter actifs dans l’affaire Benalla et les données recueillies par M. Vanderbiest dans son analyse préalable des Macronleaks (désinformation dans la campagne présidentielle).

La Chambre Contentieuse fait valoir qu’en publiant l’Étude sous son nom et sur son site, EU  DisinfoLab a endossé la responsabilité non seulement des finalités mais aussi des moyens de traitement de l’Étude, y compris la comparaison avec des « études » anciennes de M. Vanderbiest et le recours aux moyens d’analyse de tweets fournis par un prestataire tiers, à savoir le logiciel Visibrain (lequel n’est pas partie à la cause selon le périmètre d’enquête défini par le Service d’Inspection). À cet égard, le Service d’Inspection souligne à juste titre que « [q]uand bien même M. Vanderbiest aurai[t] de son propre chef souhaité réaliser ce comparatif avec ces anciennes études, il a en tout état de cause été approuvé et permis par EU DisinfoLab qui l’a repris dans l’Étude finalement publiée »

Selon la Chambre Contentieuse, M. Vanderbiest peut être considéré comme coresponsable de traitement de cette Étude dans la mesure où il a réalisé l’Étude en tant que contributeur bénévole […].

En tant que participant bénévole aux activités d’EU DisinfoLab, M. Vanderbiest peut être considéré comme volontaire au sens de la loi du 3 juillet 2005 relative au droit des volontaires, étant entendu que les caractéristiques du volontariat sont l’exercice d’une activité au sein d’une organisation « sans rétribution ni obligation », c’est-à-dire une activité exercée à titre libre et gratuit. À l’inverse d’un contrat de travail, il n’existe donc pas de lien de subordination dans le cadre du volontariat. Néanmoins, le volontaire – sans être subordonné – peut accepter volontairement les règles de fonctionnement de l’association au profit de laquelle il exécute des tâches à titre bénévole (règlement d’ordre intérieur, statuts) et accepter d’effectuer les prestations requises pour remplir la mission définie par l’association, ce qui est le cas ici.

La Chambre Contentieuse rappelle que dans son arrêt du 10 juillet 2018, la CJUE a retenu la responsabilité conjointe en ce qui concerne la collecte et le traitement de données personnelles par des témoins de Jéhovah agissant en tant que bénévoles dans le cadre des objectifs de leur association, même en l’absence d’instructions directes de l’association en ce qui concerne la collecte de données concernées [CJUE, C-25/17, para. 66.] . En l’occurrence, M. Vanderbiest est co-responsable du traitement de données 1, dans la mesure où il a volontairement rédigé l’Étude et a déterminé en partie les moyens de traitement (ex. recours à un logiciel Visibrain pour collecter les données). En outre, M. Vanderbiest n’a conclu aucun contrat de sous-traitance avec EU DisinfoLab en vue d’encadrer ce traitement et définir sa responsabilité comme sous-traitant au sens de l’article 28 du RGPD. En réponse aux questions des défenderesses quant à la pertinence des questions du Service d’Inspection à ce sujet, la Chambre Contentieuse précise qu’un contrat de sous-traitance n’aurait certes pas constitué l’élément déterminant permettant de qualifier le rôle de M. Vanderbiest, mais qu’une telle circonstance aurait pu être prise en considération à titre d’indice de la volonté de M. Vanderbiest d’agir en tant que sous-traitant, si tant est que M. Vanderbiest avait dans les faits limité son rôle à celui d’un sous-traitant tel que défini à l’article 4 (8) du RGPD, à savoir, la personne physique ou morale qui « traite les données à caractère personnel pour le compte du responsable de traitement », quod non. En l’espèce, la Chambre Contentieuse considère que les éléments déterminant la qualité du responsable de traitement sont essentiellement la rédaction volontaire de l’Étude par M. Vanderbiest et la décision de ce dernier de recourir au logiciel Visibrain pour collecter les données.

La responsabilité de M. Vanderbiest en tant que co-responsable de traitement est toutefois limitée dans la mesure où il a attendu les instructions de son association avant d’entamer le traitement des données concernées, et dans la mesure où un responsable de l’association, M. Machado, a exercé un contrôle éditorial sur le ‘draft’ de l’Étude que lui a soumise M. Vanderbiest. M. Machado a aussi donné des instructions précises pour le modifier  (« relecture à réaliser, mettre des références, clarifier des éléments de la FAQ, etc ») et il supervisé la publication de l’Étude dans sa version définitive.

La Chambre Contentieuse note bien l’argument de la première défenderesse, selon lequel M. Vanderbiest est membre co-fondateur de l’ASBL EU DisinfoLab. La qualité de cofondateur n’implique toutefois pas une responsabilité personnelle de M. Vanderbiest en ce qui concerne le traitement de données personnelles tel que celui opéré à travers l’Étude, en vue de réaliser le but social de l’ASBL, car M. Vanderbiest est en principe exonéré de toute responsabilité pour les actes réalisés par cette ASBL dans le cadre de sa raison sociale, au même titre que ses autres co-fondateurs, et ce, en vertu des statuts mêmes d’EU DisinfoLab et de l’article 14 de la loi sur les ASBL.

En conclusion, concernant le rôle d’EU DisinfoLab en tant que responsable de traitement pour ce qui est du traitement de données personnelles en vue de réaliser l’Étude, la Chambre Contentieuse fait valoir que

en tant que commanditaire et éditeur de l’Étude, EU DisinfoLab est bien responsable du traitement des données personnelles concernées par l’Étude ;

en décidant que l’Étude serait réalisée par M. Vanderbiest et par un membre de DisinfoLab, avec relecture par un autre membre de DisinfoLab, EU DisinfoLab a contribué à la définition des moyens de traitement et enfin,

 en publiant l’Étude sous son nom et sur son site, EU DisinfoLab a endossé la responsabilité non seulement des moyens de traitement mais aussi des finalités de l’Étude.

M. Vanderbiest est quant à lui co-responsable de ce traitement en tant que bénévole d’EU DisinfoLab, dans la mesure où il a volontairement rédigé l’Étude et a décidé de recourir au logiciel Visibrain pour traiter les données personnelles dans le cadre des activités de traitement 1.

En ce qui concerne les activités de traitement 2, […]  la Chambre Contentieuse juge que EU DisinfoLab est l’unique responsable de traitement concernant la mise à disposition du fichier compressé contenant les documents […].

Concernant le rôle de M. Vanderbiest, la Chambre Contentieuse juge qu’il est l’unique responsable de traitement consistant en la mise à disposition des fichiers […]. En effet, il confirme avoir « partagé ces fichiers sans aucune validation avec [s]es supérieurs qu’ils soient du DisinfoLab ou de l’UCL ». M. Vanderbiest reconnaît avoir partagé ces fichiers de données brutes en dehors des instructions d’EU DisinfoLab : pour cette partie du traitement 2, il a donc agi en tant que responsable de traitement distinct.

Appréciation

Comme le relève Alexandre Jotterand dans le commentaire cité en introduction, les développements de la Chambre contentieuse, sur ces questions, « (…) s’inscrit dans la lignée de précédentes décisions concernant cette thématique, qui retiennent de manière toujours plus large une responsabilité conjointe dans le traitement des données. (…)  L’art. 5 let. j nLPD ayant repris la terminologie du RGPD, il est probable que les tribunaux suisses s’alignent à l’avenir sur ces décisions. »

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)