Réseaux sociaux et données personnelles

Le cadre juridique applicable aux réseaux sociaux n’est pas exactement identique à celle d’un site standard.

En fournissant les moyens permettant de traiter les données des membres du réseau et en déterminant la manière dont ces données peuvent être utilisées à de fins publicitaires ou commerciales, y compris la publicité fournie par des tiers, le site en question assume la qualité de responsable du traitement des données, conformément à la loi Informatique et Libertés du 6 janvier 1978.

L’avis n° 5/2009 adopté par le groupe de travail « article 29 » sur la protection des données relativement aux réseaux sociaux en ligne, rappelle qu’il leur appartient de garantir la mise en place de paramètres par défaut respectueux de la vie privée afin de limiter l’accès des données personnelles des membres aux contacts choisis par ceux-ci.

Aussi, il est nécessaire dans les conditions générales d’utilisation proposées d’indiquer aux internautes la politique appliquée à cet égard.

Il appartient également au réseau social d’assurer un niveau de sécurité approprié des données traitées, tant au moment de la conception du système de traitement, qu’au moment même du traitement.

Dans l’hypothèse où les données des membres seraient utilisées à des fins de marketing direct, ou que les données seraient partagées ou communiquées avec des tiers, ou encore dans le cas de traitement de données sensibles, il s’agira d’informer les membres de ces aspects.

Les données sensibles ne peuvent, en outre, être traitées sans le consentement explicite des membres concernés.

Par ailleurs, il appartient également au réseau social de mettre en garde les membres contre les risques d’atteinte à leur vie privée et à celle des autres, lorsqu’ils mettent des informations, images ou idées, en ligne sur le réseau social.

Aussi, il peut également être recommandé de leur conseiller de ne pas mettre en ligne des photos ou informations concernant d’autres personnes sans le consentement de celles-ci.

La page d’accueil devra également présenter un lien vers un contact à même de recevoir les réclamations des membres, relativement à la protection de leurs données.

Enfin, un délai maximal de conservation des données des membres inactifs pourrait être prévu, au delà duquel les comptes correspondants seraient supprimés.

Les membres doivent, enfin, être autorisés à prendre un pseudonyme dans leur communication via le réseau social mis en place.

Il conviendra également de procéder aux formalités préalables déclaratives auprès de la CNIL.

A cette fin, il me sera indispensable que le responsable du traitement ait une vision claire et exhaustive de l’ensemble des données traitées dans le cadre du réseau social mis en place, ainsi que des destinataires d’éventuels transferts à l’étranger et sous-traitants auxquels il peut avoir recours dans la mise en œuvre de ces traitements.