Réseaux sociaux : vers une meilleure protection de la vie privée ?

Le "G29" a examiné la question de la responsabilité des réseaux sociaux en matière de protection des données personnelles. Il a ainsi publié plusieurs recommandations, visant à assurer une meilleure information des internautes et une sécurité renforcée des données.

A l'heure où les internautes du monde entier jugent indispensable de pouvoir partager en ligne leur intimité avec tous leurs amis, réels et virtuels, et où la société Facebook annonce qu'elle a atteint 250 millions d'utilisateurs, il est nécessaire de se pencher sur la question sensible de la protection de la vie privée des internautes. Les réseaux sociaux (Myspace, Facebook, Twitter, LinkedIn, etc.) sont des outils de communication formidables ; ils peuvent cependant s'avérer dangereux pour qui ne les utilise pas avec discernement.

 

Le "G29", groupe des autorités de protection des données personnelles européennes, a récemment publié des recommandations applicables aux réseaux sociaux, qu'il considère comme responsables de la protection des données personnelles des utilisateurs de leurs services (avis 5/2009 sur les réseaux sociaux en ligne, adopté le 12 juin 2009). Dans cet avis, le G29 a examiné plusieurs questions, dont les principales sont les suivantes : application des règles européennes relatives à la protection des données personnelles, information et protection des utilisateurs et des tiers, durée de conservation des données personnelles.

 

1. Application des règles européennes relatives à la protection des données personnelles

Les réseaux sociaux en ligne sont considérés par le G29 comme des "responsables de traitements" au sens de la directive relative à la protection des données personnelles, puisqu'ils fournissent les moyens de traitement des données personnelles des utilisateurs et déterminent l'usage qui peut en être fait, notamment à des fins commerciales.

Les règles européennes relatives à la protection des données personnelles leur sont donc applicables, y compris lorsqu'ils sont établis hors de l'Espace Economique Européen (EEE). En effet, dès lors qu'ils recourent à l'utilisation de cookies et au traitement d'adresses IP, ils doivent être considérés comme ayant recours à des moyens de traitement situés sur le territoire de l'EEE.

 

Le G29 soulève également la question de savoir si les utilisateurs eux-mêmes peuvent être soumis, en tant que responsables de traitements, aux règles relatives à la protection des données personnelles. Dans la plupart des cas, les utilisateurs bénéficient d'une exemption au titre de la conduite d'activités exclusivement personnelles.

Néanmoins, il se peut qu'un utilisateur soit considéré comme un responsable de traitement : il en est ainsi lorsqu'il agit pour le compte d'une société commerciale ou d'une association, ou lorsqu'il utilise la plateforme mise à sa disposition à des fins commerciales, politiques ou caritatives.

 

Les utilisateurs "professionnels" doivent en conséquence respecter toutes les dispositions applicables à la protection des données personnelles dans les Etats membres où ils procèdent aux traitements, et notamment assurer la sécurité et la confidentialité des données traitées.

 

2. Information et protection des utilisateurs et des tiers

Généralement, les utilisateurs des services proposés par les réseaux sociaux ne sont pas conscients de la richesse des données personnelles qu'ils fournissent et de l'utilisation qui peut en être faite par les réseaux sociaux et par des tiers, professionnels ou particuliers, dont ils ignorent ou oublient l'existence.

 

Certes, la mise à disposition d'informations privées est réalisée de façon volontaire, mais elle l'est dans le seul objectif de partager ces informations avec des personnes (plus ou moins) proches. Les autres finalités des traitements réalisés par les réseaux sociaux ne sont pas toujours clairement indiquées, notamment lorsqu'il s'agit de l'utilisation commerciale des données. Chacun se souviendra du scandale lié à la mise en place par Facebook de l'application publicitaire "Beacon", qui permettait aux amis d'un utilisateur d'être informés de ses faits et gestes sur des sites commerciaux partenaires de Facebook.

 

Le G29 recommande en conséquence aux réseaux sociaux non seulement de garantir le respect des droits des utilisateurs, mais encore de protéger ces derniers contre eux-mêmes.

 

Les internautes ne modifiant que rarement les paramétrages par défaut qui leurs sont proposés, il appartient aux réseaux sociaux de leur proposer des paramétrages prévoyant par défaut la confidentialité des données. Les internautes peuvent ensuite décider en connaissance de cause d'élargir l'accès à leurs données. Ils doivent également avoir la possibilité d'utiliser des pseudonymes pour protéger leur identité.

 

Par ailleurs, les réseaux sociaux sont tenus de fournir une information complète sur les modalités et les finalités du traitement. Les utilisateurs doivent notamment savoir si leurs données sont susceptibles d'être utilisées à des fins commerciales par l'opérateur de réseau social, agissant pour son compte ou celui d'un annonceur, ou par des tiers auxquels ces données seraient transmises. Le G29 insiste à ce titre sur le respect des règles applicables aux sollicitations commerciales par voie électronique.

 

Les réseaux sociaux doivent également attirer l'attention des utilisateurs sur les dangers liés à la divulgation de données et contenus personnels et sur la nécessité de respecter la vie privée des tiers. Les utilisateurs doivent ainsi demander l'accord des tiers avant de mettre en ligne des photos ou des informations les concernant. Une attention particulière est également portée aux données sensibles, qu'il est interdit de collecter sans le consentement exprès des intéressés, ainsi qu'à la protection des mineurs.

 

Enfin, le G29 rappelle qu'il convient de respecter les droits d'accès, de rectification et de suppression des données dont bénéficient les personnes dont les données sont collectées. A cet égard, il recommande de mettre en place sur la page d'accueil du site un lien vers une procédure spécifique permettant aux utilisateurs et à tous tiers d'adresser des réclamations relatives au traitement de leurs données personnelles. Une telle procédure n'est pas sans rappeler celle prévue en France par la loi du 21 juin 2004 pour la confiance dans l'économie numérique, qui permet de notifier aux hébergeurs l'existence de contenus illicites.

 

3. Durée de conservation des données personnelles

L'avis du G29 précise clairement que les informations collectées par les réseaux sociaux doivent être supprimées dès que le compte d'un utilisateur est fermé par celui-ci ou par le réseau social. Bien plus, il préconise de rendre un profil inactif et invisible lorsqu'un utilisateur n'utilise pas son compte pendant un certain temps (sans autre précision), et même de supprimer les comptes restés inactifs trop longtemps. Le G29 réserve toutefois l'hypothèse où il serait nécessaire de conserver des données aux fins de prévenir des opérations illicites.

 

Il convient de garder à l'esprit que chacun bénéficie d'un "droit à l'oubli", qui est d'autant plus important qu'un internaute imprudent aura pu procéder à des divulgations de photos ou d'informations qu'il regrettera ensuite. Bien sûr, les opérateurs de réseaux sociaux ne peuvent contrôler les utilisations qui en sont faites par les relations de l'internaute. Ils sont cependant pleinement responsables de l'utilisation qu'ils font eux-mêmes de ces données, et doivent imposer aux tiers auxquels ils les fournissent des obligations très strictes à cet égard.

 

Les internautes eux-mêmes sont de plus en plus sensibles à cette question. La levée de boucliers à laquelle a été confrontée Facebook à l'occasion de la modification de ses conditions générales d'utilisation en février 2009, pour finalement faire machine arrière sous la pression des internautes, en est la preuve.

 

L'avis émis par le G29 montre que le respect de la vie privée et la protection des données personnelles sur Internet est un enjeu européen très important. Il est essentiel que les réseaux sociaux mettent en oeuvre les recommandations du G29 et qu'ils fournissent toutes les informations requises pour responsabiliser les internautes ; une fois éclairé, chaque internaute sera à même de décider des précautions qu'il souhaite prendre pour protéger sa vie privée.