La Roumanie pourrait se servir de la loi GDPR pour intimider les journalistes

L'Autorité de protection des données roumaine a adressé une requête à des journalistes ayant publié un article sur une affaire de corruption, demandant notamment des informations pouvant amener à révéler les sources de ces derniers.

La nouvelle loi de l'UE sur la vie privée, ou Règlement général sur la protection des données (General Data Protection Regulation, plus connu sous son acronyme GDPR) est actuellement testée en Europe. La première affaire concernant cette réglementation en Roumaine a été lancée suite à la publication le 5 novembre dernier d'un article d'investigation, révélant un scandale de corruption qui implique un homme politique roumain et ses relations de proximité avec une entreprise de construction, par ailleurs accusée de fraude et faisant déjà l'objet d'une enquête.

Une lettre ouverte appelle à un équilibre entre protection des données et liberté d'expression

L'Autorité de protection des données (ANSPDCP) a envoyé une série de questions aux journalistes ayant publié cet article et demandé des informations concernant leurs sources. L'autorité de protection des données a également mentionné une pénalité allant jusqu'à 20 millions d'euros en cas de refus des journalistes de coopérer. Cet organe insiste sur le fait qu'elle agit de façon indépendante, sans interférence politique, et que sa raison d'être consiste à "assurer un équilibre entre la protection des données personnelles et la liberté d'expression et liberté d'information."

L'Association pour la technologie et internet (ApTi), aux côtés de 11 organisations de défense des droits humains et de la liberté de la presse a envoyé une lettre ouverte à l'ANSPDCP. ApTI est une ONG de défense des droits numériques, membre European Digital Rights (EDRi), qui soutient et promeut un internet libre et ouvert où les droits humains sont garantis et protégés. La lettre appelle l'autorité à analyser attentivement les affaires liées au à la réglementation GDPR susceptibles de mettre en péril la liberté d'expression et demande instamment la mise en place d'un mécanisme transparent en vue d'évaluer les demandes qui impliquent des opérations de traitement de données à des fins journalistiques.

Dans le même temps, ApTI, aux côtés de Privacy International, EDRi et 15 autres ONG des droits numériques a envoyé une lettre à la Direction européenne de la protection des données, avec l'ANSPDCP et la Commission européenne en copie, demandant à ce que la GDPR en soit pas détournée en vue de menacer la liberté des médias en Roumanie.

L'autorité de protection des données remet en question des publications Facebook

Le hashtag #TeleormanLeaks se réfère à un article de presse concernant le lien entre Tel Drum, une entreprise de construction de routes basée dans la région de Teleorman, en Roumanie, faisant actuellement l'objet d'une enquête pour avoir détourné des fonds européens, et Liviu Dragnea, président du Parti de sociaux démocrates et président de la Chambre des député.e.s, qui détient également un empire commercial dans le pays. La première partie de l'enquête a été publiée le 5 novembre par le projet RISE, un média roumain d'investigation. Une publication Facebook a également été publiée en vue de promouvoir l'enquête, en guise d'avant-goût.

Le 8 novembre, l'ANSPDCP a envoyé une notice au projet RISE, posant des questions sur les données personnelles inclues dans la publication Facebook, dont une question sur la provenance de ces données (les sources). Cela a provoqué une indignation au niveau international, L' Organised Crime and Reporting Project (OCCRP, un regroupement de journalistes d'enquête), la Commission européenne et des dizaines de journalistes et médias ayant exprimé leurs inquiétudes.

Le jour précédent la lettre de l'autorité adressée au projet RISE, les médias roumains ont révélé que l'une des principales figures impliquées dans ce scandale, l'actuel directeur commercial de l'entreprise de construction Tel Drum, et ancien directeur du Service de contrôle de la prévention financière au sein de la même entreprise, avait demandé auprès de l'ANSPDCP à ce que soit reconnu son "droit à l'oubli". Cependant, la notice de l'autorité adressée au projet Rise était apparemment fondée sur des informations d'une tierce partie plutôt que sur cette notice spécifiquement.

Sur la notice, il apparaît qu'en vertu de la GDPR, l'ANSPDCP se considère en droit de demander les sources des informations publiées sur la publication Facebook. Cependant, elle ne parvient pas à expliquer en quoi cette demande n'est pas contraire aux lois roumaines protégeant la liberté d'expression, et plus particulièrement aux dispositions sur l'utilisation de données à des fins journalistiques. l'ANSPDCP n'a pas non plus clarifié ses analyses pour "réconcilier" les droits fondamentaux en question.

La Roumanie restreint l'Article 85 de la GDPR de l'UE

La façon dont la Roumanie a appliqué la GDRP pose des questions car dérogations à la GDRP à des fins journalistiques sont possibles dans seulement trois scénarios très restreints. Cela est contenu dans l'article 7. Le traitement des données personnelles à des fins journalistiques est en général plus large que cela. Restreindre les dérogations à des fins journalistiques à seulement trois cas ne permet pas en effet de respecter entièrement la liberté d'expression, et notamment la liberté journalistique, mais aussi la jurisprudence en matière de droits de l'Homme.

Les intentions de l'ANSPDCP sont opaques

L'exemption prévue à l'Article 7 susmentionné prévoit que le "traitement des données à des fins journalistiques ou universitaires, ou d'expression artistique ou littéraire, peut être conduit si cela concerne des données personnelles qui ont été rendues publiques par le "sujet des données" ou si elles sont étroitement liées au statut public de la personne ou au caractère public des faits dans lesquels il ou elle est impliquée".

À partir de la correspondance avec le projet RISE, nous imaginons que l'ANSPDCP considère que la publication FB n'a pas été écrite à des fins journalistiques et que la situation ne s'inscrit pas dans l'une des exceptions prévues par l'Article 7.

Il est également possible que l'ANSPDCP n'ait jamais eu l'intention d'analyser et étudier les activités journalistiques, mais avait pour seul but de démontrer qu'il y avait eu une atteinte à la réglementation sur la protection des données. Toutefois, même si la protection des données avait appliqué l'Article 7, ses déficiences montrent que la liberté d'expression et les sources des journalistes ne sont pas garanties.

L'Autorité de protection des données n'est pas nécessairement en droit de demander à ce que les sources soient révélées

Au vu de la jurisprudence de la Cour européenne des droits de l'Hommes (CrEDH) relative à la liberté d'expression, on peut se demander si l'ANSPDCP avait le droit d'exiger les sources des journalistes d'enquête. En outre, cette requête est assez vague. L'autorité semble chercher des informations standards dans les affaires de protection des données, telles que les sources des données ou le support de conservation des données.

Cependant, dans la seconde partie de la requête, l'ANSPDCP mentionne le droit à l'accès au support de conservation des données sur lequel les données personnelles sont conservées. Cela peut être interprété comme une demande visant à découvrir où les données sont stockées, alors que ce type d'accès ne devrait être requis que s'il était nécessaire d'accomplir ses pouvoirs d'investigation en conformité avec la loi procédurale roumaine.

Réconcilier la protection des données et la liberté d'expression

Pour que l'autorité de protection des données "réconcilie" la liberté d'expression et la protection des données personnelles (et donc la vie privée), la loi doit prévoir un exemption qui soit adéquate. Comme nous l'avons expliqué plus haut, la dérogation limitée à l'article 7 de la loi roumaine soulève un certain nombre d'inquiétudes. Pour que la loi s'applique de manière effective et cohérente, l'orientation et la formation sont aussi très importantes.

La jurisprudence de la CrEDH liste les facteurs qui nécessitent d'être pris en compte en ce qui concerne ces droits fondamentaux : la liberté d'expression et le respect de la vie privée. Ces facteurs incluent la contribution du travail à l'intérêt général, la façon dont l'information a été obtenue et son contenu, sa forme et les conséquences de sa publication.

En réponse à cette affaire, Privacy International, EDRi, ApTI et d'autres ONG ont demandé une orientation et intervention du contrôleur européen de la protection des données . Cet organe doit être utilisé pour protéger les droits. Il ne représente pas un outil visant à étouffer le travail d'intérêt public des journalistes, et à les intimider.