La pertinence des réseaux sociaux est aujourd’hui indiscutable. Il s’agit d’un service de la société de l’information, dont la fourniture implique le traitement de données, que ce soit dans le but de fournir le service lui-même, ou pour d’autres objectifs tels que proposer de la publicité personnalisée aux utilisateurs. Dans ce contexte, le fournisseur du service de réseau social, en tant que responsable du traitement, devra mettre en œuvre les mesures appropriées pour garantir le respect de ses obligations conformément à la réglementation sur la protection des données.
Le propriétaire du réseau social, en tant que fournisseur du service, disposant des moyens techniques nécessaires et décidant de la finalité, du contenu et de l’utilisation des données traitées, est clairement considéré comme le responsable du traitement. Par conséquent, la clé de son action doit être basée sur la proactivité, la confidentialité dès la conception (privacy by design) et la confidentialité par défaut (privacy by default). Cela signifie que l’utilisateur doit se voir offrir le service avec le plus haut niveau de confidentialité possible dès le départ. Ainsi, il appartient à l’utilisateur, s’il le souhaite, de réduire cette confidentialité par des actes de consentement explicites, et que son compte ait par défaut le moins de données possible, ne rendant le profil public que lorsque l’utilisateur le permet expressément. Ainsi, le fournisseur du réseau social devra, lors de la détermination des moyens et lors du traitement lui-même, adopter des mesures techniques et organisationnelles appropriées pour mettre en œuvre efficacement les principes de protection des données et intégrer les garanties nécessaires dans le traitement. Quelques exemples de mesures concrètes comprennent avoir une base juridique adéquate pour la légitimité du traitement, appliquer la minimisation des données et la limitation de la finalité, respecter le principe d’information ou limiter la durée de conservation des données.
En ce qui concerne le consentement, sauf exceptions particulières, le traitement des données personnelles sur les réseaux sociaux doit être basé sur le consentement donné par leurs titulaires comme base de légitimation. Et ce consentement doit être libre, éclairé, sans équivoque, révocable, explicite, transparent, positif et vérifiable, nécessitant donc une déclaration explicite ou une action affirmative, une fois que l’information pertinente a été reçue. Cependant, il convient de noter que lorsque le traitement a plusieurs objectifs, le consentement doit être donné pour chacun d’entre eux.
D’autre part, il est nécessaire de considérer la position des utilisateurs de réseaux sociaux en tant que responsables, ou non, du traitement. À cet égard, il faut différencier les utilisateurs individuels des utilisateurs corporatifs. En ce qui concerne les utilisateurs individuels, ceux-ci utilisent les réseaux à des fins personnelles, et bénéficient de l’exception de traitement personnel ou domestique prévue par la norme, car ils n’ont aucune connexion avec une activité professionnelle ou commerciale. Par conséquent, les utilisateurs particuliers ne seront pas considérés comme responsables du traitement des données personnelles de tiers qu’ils peuvent effectuer lors de leurs activités sur le réseau social. Cependant, il ne faut pas oublier qu’ils seraient responsables de l’utilisation des données de tiers conformément à toute autre position légale, telle que la protection du droit à l’honneur, à la vie privée personnelle ou familiale et à l’image. Néanmoins, il existe des cas où les activités d’un utilisateur particulier ne bénéficient pas de cette exemption, comme lorsque tous les membres d’un réseau social peuvent accéder à un profil ou lorsque les données sont indexables par les moteurs de recherche. Dans ces cas, l’accès dépasse le cadre personnel ou domestique, et donc, la diffusion ouverte à des tiers est considérée comme un traitement de données soumis à la réglementation.
D’un autre côté, les utilisateurs corporatifs, dans la mesure où ils utilisent le réseau comme plateformes pour le développement d’activités commerciales ou professionnelles, peuvent être considérés, à l’inverse, comme responsables du traitement. Il convient de noter ici que cet utilisateur corporatif sera responsable, conjointement avec le fournisseur du réseau social, établissant la nature solidaire des deux responsabilités concurrentes, sans préjudice du fait qu’entre eux, ils peuvent délimiter leurs responsabilités d’un commun accord.
Enfin, il est nécessaire de déterminer la responsabilité du fournisseur du réseau social pour les actes illicites de ses utilisateurs. Dans ces cas, au-delà de la propre responsabilité de l’utilisateur, la responsabilité du fournisseur doit également être affirmée, non pas en raison de l’activité de l’utilisateur, mais en raison de sa propre action face à la constatation de l’acte illicite commis par l’utilisateur en utilisant son service. Par conséquent, les motifs d’exonération de responsabilité que le fournisseur pourra invoquer sont les suivants : 1) l’absence de connaissance effective de sa part sur la nature illicite du contenu fourni par l’utilisateur ou ; 2) à défaut, le retrait diligent de celui-ci, ou avoir rendu son accès impossible. En conclusion, après l’analyse réalisée, il est clair que les réseaux sociaux sont soumis à la réglementation sur la protection des données, identifiant les différents responsables du traitement des données dans le cadre de cette prestation de services, ainsi que la position des utilisateurs et leurs droits.
