Le Groupe de l’article 29 a adopté le 12 juin 2009 un avis destiné aux fournisseurs de services de réseaux sociaux, qui prend la forme d’un guide de conformité aux principes européens de protection des données. Cet avis, qui rappelle l’applicabilité de la réglementation communautaire, propose des mesures concrètes afin de garantir les droits des utilisateurs.
Alors que la concurrence entre réseaux sociaux en ligne se renforce et que Facebook a récemment détrôné MySpace en nombre d’utilisateurs, la collecte et l’utilisation des données personnelles des internautes continuent de susciter l’inquiétude et conduisent les autorités compétentes à une vigilance accrue.
C’est dans ce contexte que le G29 s’est saisi de la question de la protection des données sur les réseaux sociaux en ligne et a adopté le 12 juin dernier un avis fixant sa position en la matière.
Le Groupe de l’article 29 (G29), qui rassemble les autorités de protection des données des Etats membres de l’Union européenne, a en effet souhaité fournir aux fournisseurs de services de réseaux sociaux un guide incitant ces derniers assurer la conformité des traitements de données aux principes européens de protection des données.
L’avis du G29 rappelle en premier lieu l’applicabilité du droit européen aux réseaux sociaux, quand bien même que le siège social du fournisseur de service se trouverait hors de l’Union européenne. A cet égard, sont considérés comme responsables de traitement le fournisseur de service de réseau social, mais aussi les éditeurs d’applications proposées aux utilisateurs et impliquant une collecte de données personnelles.
Conformément à la Directive 95/46/CE du 24 octobre 1995, les utilisateurs disposent donc d’un droit d’accès et de rectification. Pour le G29, le respect de ces droits suppose que les utilisateurs puissent se plaindre via la page d’accueil du réseau social concerné de toute atteinte à leur vie privée, et ce qu’ils soient membres du réseau social ou non. Il est également recommandé que les utilisateurs puissent adopter un pseudonyme.
Le G29 rappelle aux fournisseurs de services de réseaux sociaux leur obligation d’informer les utilisateurs de manière claire et complète sur les traitements de données personnelles, comprenant un avertissement sur les risques qu’implique l’utilisation d’un réseau social. Les utilisateurs doivent notamment être informés de l’interdiction de publier des informations ou des images relatives à des tiers sans l’accord de ces derniers. Des paramètres de gestion de compte par défaut doivent être prévus, afin d’assurer à l’utilisateur profane un contrôle sur ses données personnelles.
Le « droit à l’oubli » est également pris en compte : les responsables de traitement sont invités à définir une durée de conservation limitée au-delà de laquelle les données des utilisateurs inactifs devront être effacées. Les comptes des utilisateurs manifestant la volonté de se désinscrire du réseau devront de la même manière être supprimés.
S’agissant de l’utilisation des données, le G29 rappelle l’applicabilité de la réglementation limitant les pratiques de marketing direct et indique qu’un document sur la publicité en ligne sera prochainement adopté.
Enfin, l’avis rappelle que de nombreux mineurs s’inscrivent sur les réseaux sociaux et préconise que des dispositifs spécifiques et adaptés soient mis en place afin d’assurer leur protection.
Le G29 a souhaité que les fournisseurs de services de réseaux sociaux répondent à ce document, en indiquant quelles mesures concrètes permettront d’assurer le respect des droits à la vie privée et à la protection des données. Il est également prévu que des auditions soient organisées à la fin de l’année.
Aussi, compte tenu de ces multiples incitations, les acteurs concernés devraient être amenés à revoir leurs politiques de confidentialité et à proposer aux utilisateurs une démarche renouvelée, plus respectueuse de leurs données.
Références :
Data protection working party, Opinion 5/2009 on online social networking adopted on 12 June 2009, WP 16 – voir le document
