Les réseaux sociaux en ligne et la vie privée

II Le traitement de données à caractère personnel

L'Article 2 alinéa 3 de la loi Informatique et Libertés dispose que « Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification,

27 CA Paris 27 avril 2007 Anthony G. contre SCPP disponible sur http://www.legalis.net/jurisprudencedecision.php3?id_article=1954 et CA Paris 15 mai 2007 Henri S. contre SCPP disponible sur http://www.foruminternet.org/specialistes/veille-juridique/jurisprudence/cour-d-appel-de-paris-13e-chambresection-a-15-mai-2007.html.

28 Avis n°4/2007, le concept de données à caractère personnel du 20 juin 2007, WP 136. p18.

29 Cass. Crim. 4 avril 2007 disponible sur http://www.legalis.net/jurisprudence-decision.php3?id_article=1959.

30 http://www.infos-du-net.com/actualite/15615-Senat-Adresse-IP.html.

l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction». L'objectif de la loi est d'inclure dans la notion de traitement la moindre opération effectuée sur les données personnelles.

La politique de confidentialité de Facebook indique qu'il collecte les informations personnelles que l'utilisateur a volontairement choisi de révéler et les données relatives à l'utilisation du site Internet. Le site Facebook indique également qu'il enregistre l'adresse IP de ses membres et qu'il conserve un certain nombre de données sur les utilisateurs³¹. La collecte, l'enregistrement et la conservation d'informations étant comprises dans la notion de traitement, les opérations effectuées sur les données à caractère personnel publiées sur le site Facebook constituent un traitement de données à caractère personnel.

Il reste à déterminer qui est le responsable du traitement auquel il appartient de déclarer le traitement de données à caractère personnel (III).

III Le responsable du traitement du site Facebook

L'article 3-I de la loi Informatique et Libertés dispose que « Le responsable d'un traitement de données à caractère personnel est, sauf désignation expresse par les

dispositions législatives ou réglementaires relatives à ce traitement, la personne, ^l'autoritépublique, le service ou l'organisme qui détermine ses finalités et ses moyens ». Le guide

« Transferts de données vers des pays non membres de l'Union européenne » élaboré par la CNIL en juin 2008 précise que la qualification de responsable du traitement se caractérise par son « autonomie dans la mise en place et la gestion d'un traitement »

En l'espèce, la société exploitant Facebook détermine les finalités et les moyens des traitements des données à caractère personnel qu'elle reçoit des différents pays dans lesquels son site est accessible. La société exploitant Facebook serait donc le responsable du traitement.

31 Extrait de la politique de confidentialité du site Facebook « vous pouvez actualiser votre profil personnel, vos relations, envoyer des messages, effectuer des recherches et envoyer des invitations, créer des groupes, mettre à jour des événements, ajouter des applications, ainsi que transmettre des informations de diverses manières. Nous conservons ces informations afin de vous offrir un service et des fonctions personnalisés. Dans la plupart des cas, nous les conservons ».

Mais cette société est-elle le seul responsable du traitement ? La société exploitant Facebook pourrait affirmer qu'elle offre seulement les moyens du traitement mais ne détermine pas les finalités du traitement. En effet, seul l'utilisateur choisit de publier des données à caractère personnel voire des données sensibles. Il publie ces informations de sa propre initiative et n'est pas obligé de délivrer ces informations. Pour étayer cette argumentation, il est possible de se fonder sur une délibération de la CNIL de 2005 dans laquelle l'autorité a considéré les auteurs de blogs comme des responsables du traitement bien qu'elle les a dispensé de la formalité de déclaration depuis 2005³². Même si la notion de co-responsables du traitement n'est pas prévue par loi Informatique et Libertés, cette notion apparaît à l'article 2 d) de la directive du 24 octobre 1995, qui définit le responsable du traitement comme « La personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel».

Il serait possible de s'inspirer de la décision de la Commission belge de protection de la vie privée (CPVP) qui, dans l'affaire SWIFT, a considéré que les banques au sein de la société Swift formaient une « communauté d'intérêts »³³ ad hoc, qui avait investie la société Swift d'une véritable délégation de fait par défaut. Cette communauté était donc un responsable du traitement. Un raisonnement similaire pourrait être appliqué à la communauté d'utilisateurs du site Facebook. L'adoption de ce type de raisonnement permettrait de responsabiliser les utilisateurs afin qu'ils soient davantage acteurs du sort de leurs données à caractère personnel. Toutefois, on peut valablement penser que seule la société exploitant le site de réseau social sera reconnue comme responsable du traitement, l'objectif de la loi Informatique et Libertés étant la protection des droits et libertés des individus. En outre, reconnaître que les utilisateurs sont également des responsables du traitement poserait de sérieux problèmes d'application de la loi Informatique et Libertés à tous les membres de Facebook. C'est la raison pour laquelle

32 Délibération n°2005-284 du 22 novembre 2005 décidant la dispense de déclaration des sites web diffusant ou collectant des données à caractère personnel mis en oeuvre par des particuliers dans le cadre d'une activité exclusivement personnelle.

33 Décision de la CPVP du 9 décembre 2008 relative au contrôle et à la procédure de recommandation initiés à l'égard de la société Swift scrl, paragraphes 50 et suivants. Disponible sur http://www.privacycommission.be/fr/static/pdf/cbpl-documents/swift---projet-de-d-cision-modifications-09-12- 200.pdf.

la CNIL a dispensé de déclaration les auteurs de blogs personnels³⁴, tout en adoptant une recommandation sur la mise en oeuvre de ces sites³⁵.

La mise en oeuvre d'un réseau social peut donc être considérée comme un traitement de données à caractère personnel, opéré par la société exploitant le site de réseau social en tant que responsable du traitement. La qualification de traitement de données à caractère personnel s'appliquant aux réseaux sociaux, le régime de la loi Informatique et Libertés s'applique en conséquence, sous réserve que cette loi soit applicable (Section 1). Ce point est important, car il conditionne l'application de la Loi Informatique et Libertés à la société exploitant Facebook.