Concepts principaux
Home » Réseaux sociaux » Introduction aux réseaux sociaux et aux questions de protection des données » Concepts principaux

L’imprécision des données recueillies par les réseaux sociaux, ainsi que les règles juridiques en matière de protection des données personnelles, suggèrent aux gestionnaires des réseaux sociaux, et à ceux qui utilisent les données recueillies sur ces réseaux à des fins de recherche, de prendre en compte, plutôt que la catégorie du réseau social, à la fois le type de données traitées et les principaux critères suivants :

  • la finalité pour laquelle ils utilisent les données ;
  • la réglementation applicable, et notamment les conflits réglementaires pouvant résulter de leur activité et les finalités initiales de la collecte des données personnelles dans les réseaux sociaux.

Un réseau social est un service de la société de l’information. Le concept de service de la société de l’information est mentionné à l’article 2.a et aux considérants 17 et 18 de la directive CE 2000/31, ainsi qu’à l’article 4 (25) du RGPD. Ils font tous référence à l’article 1.1.b de la directive européenne 2015/1535. Un service de la société de l’information est tout service fourni normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services.

Les opérateurs d’un réseau social ont le double statut de fournisseur de services sociaux et de responsable du traitement des données, selon leur politique de confidentialité, qui les considère comme tels.[1] En tant que prestataires de services sociaux, ils sont soumis à la responsabilité des articles 12 à 15 de la directive 2000/31/CE. En tant que responsables du traitement des données, ils doivent à la fois s’assurer que les données sont traitées conformément à l’article 5 du RGPD et être en mesure de le démontrer (article 5.2 du RGPD). Ceux qui utilisent le réseau social à des fins qui dépassent le statut de simple utilisateur (par exemple, l’utilisation des réseaux sociaux à des fins de recherche) sont également considérés comme responsables du traitement des données, et sont responsables en conséquence. Toutefois, il est également vrai qu’en cas de contrôle conjoint, lesresponsables du traitement peuvent être impliqués à différentes étapes du traitement des données à caractère personnel et à différents degrés. Dans un tel scénario, le niveau de responsabilité de chacun d’eux doit être évalué au regard de toutes les circonstances pertinentes du cas particulier.[2]

 

 

  1. Afin de clarifier les rôles et responsabilités respectifs des fournisseurs et des cibleurs de médias sociaux, il est important de tenir compte des lignes directrices de l’EDPB (Lignes directrices 8/2020 sur le ciblage des utilisateurs de médias sociaux Version 2.0 adoptée le 13 avril 2021, à l’adresse : https://edpb.europa.eu/system/files/2021-04/edpb_guidelines_082020_on_the_targeting_of_social_media_users_en.pdf, p. 11) et de la jurisprudence pertinente de la CJUE. Les arrêts rendus dans les affaires Wirtschaftsakademie (C-210/16), Témoins de Jéhovah (C-25/17) et Fashion ID (C-40/17) sont particulièrement pertinents ici.
  2. Voir : 4 Arrêt Wirtschaftsakademie, C-210/16, point 43 ; arrêt Témoins de Jéhovah, C-25/17, point 66 et arrêt Fashion ID, C-40/17, point 70.

 

Aller au contenu principal