La protection des données personnelles sur les réseaux sociaux
Twitter, Facebook, Instagram, et bien d’autres : les réseaux sociaux font partie intégrante du quotidien de notre société. Que cela soit à travers des stories, des commentaires ou encore de simples likes, nous laissons des traces identifiables à notre personnalité appelées données. Comment sont-elles collectées sur les réseaux sociaux et quels en sont les risques juridiques ?
I. COLLECTE DES DONNÉES PERSONNELLES
En 2022, les utilisateurs des réseaux sociaux représentaient 58,4 % de la population mondiale.[1] Chacun d’entre eux, en interagissant sur ses plateformes numériques, s’expose à un traitement de ses données personnelles par des tiers. En effet, majoritairement gratuits, les réseaux sociaux sont facilement accessibles et permettent une utilisation immédiate et continue de leurs services en ligne. Cependant, le contrôle de ces données, qui sont partagées, publiées ou encore enregistrées, peut se révéler difficile, rendant les informations impossibles à supprimer. Il s’agit, de ce fait, d’un marché important pour les marques qui réalisent des investissements dans le but de partager leur publicité sur les réseaux sociaux, et accroître ainsi leur clientèle.
Néanmoins, malgré l’aspect divertissant de ces plateformes, les utilisateurs peuvent être confrontés à des risques juridiques tels que des atteintes à la propriété ou encore des atteintes à la personnalité. En effet, certaines interactions sont basées notamment sur l’hyperlinking (lien qui renvoie vers un contenu), l’embedding (la publication d’une image incrustée sur le mur), ou le cyberbullying qui peuvent amener à la commission d’une infraction pénale telle que la calomnie (art. 174 CPP).
Tandis que les commentaires et les postes apparaissent comme des données de plus grande importance et plus aptes à remplir les conditions d’une telle infraction pénale, un simple like d’un commentaire peut tout autant, à lui seul, constituer une atteinte à la personnalité.[2]
Malgré tout cela, l’exploitation de nos données dépasse le cercle des utilisateurs eux-mêmes. Comme évoqué précédemment, les réseaux sociaux sont attractifs pour les entreprises. A titre d’exemple, parmi elles, au cœur d’un scandale mondial, ouvert en 2018, se trouve Cambridge Analytica, une société britannique qui analyse et exploite des données afin, notamment, de déterminer les comportements des utilisateurs. Début 2014, Facebook lui a vendu une grande quantité de données issues de plus de 50 millions de profils Facebook à des fins de marketing politique, sans le consentement des individus concernés.[3] C’est par le biais d’un sondage d’opinion élaboré par un chercheur d’Oxford puis introduit sur Facebook, que les données des participants et de leur amis Facebook ont été siphonnées par Cambridge Analytica.[4] Cette récolte de données aurait, selon des enquêtes, eu une influence sur l’élection de l’ancien président américain Donald Trump et sur le Brexit.[5] Malgré le fait que cette affaire se soit close par le paiement de 725 millions de dollars par Facebook en décembre 2022, la problématique de la protection des données demeure. Dans quelle mesure nos données peuvent-elles être utilisées sur les réseaux sociaux ?
«Nous avons cherché un accord car cela allait dans notre intérêt et celles des parties prenantes. Ces trois dernières années, nous avons totalement revu notre approche concernant la vie privée et mis en place un programme pour en améliorer la protection», Dina El Kassaby Luce, porte-parole de Meta.[6]
II. TRANSFERT, APPROPRIATION ET COMMERCIALISATION DES DONNÉES : CONSENTEMENT ET FINALITÉ
« Toutes les informations qui se rapportent à une personne identifiée ou identifiable sont des données personnelles »
Guide relatif aux mesures techniques et organisationnelles de la protection des données du Préposé fédéral à la protection des données et à la transparence
Les données constituent notre existence numérique. Il peut s’agir d’informations telles que notre identité, notre âge ou encore notre numéro de téléphone. Dans ce cas précis, on dit qu’il s’agit de données démographiques, mais elles peuvent aussi être géographiques, comportementales ou bien psychographiques, c’est-à-dire cibler nos centres d’intérêts et donc permettre la publicité ciblée. Parmi toutes ces données, certaines sont dites sensibles et doivent bénéficier d’une protection accrue.
La protection des données est un enjeu important dans notre société qui nécessite une législation de plus en plus encadrée. A titre d’exemple, le règlement général relatif à la protection des données (RGPD)[7] au niveau européen, et, en ce qui nous concerne plus particulièrement, la loi sur la protection des données (LPD) pour la Suisse, consacrent la protection des données.
Selon l’art. 2 al. 1 let. a et 3 al. 1 LPD, les champs matériel et territorial de la LPD sont donnés pour des états de fait qui déploient des effets sur le territoire helvétique.[8] Ainsi, la LPD est applicable en ce qui concerne les réseaux sociaux tels que Facebook pour des utilisateurs se trouvant sur le territoire Suisse. Dans une volonté de protection des données, l’art. 4 LPD énonce les principes généraux qui doivent être respectés par le responsable de traitement des données : licéité, proportionnalité, finalité et reconnaissabilité.
Tout traitement de donné doit être licite, c’est-à-dire ne pas atteindre la personnalité de la personne concernée, au sens de l’art. 12 al. 1 et 2 LPD. En effet, une telle atteinte est donnée lorsque les données personnelles sont traitées « en violation des principes définis aux art. 4, 5, al. 1, et 7, al. 1 » (let. a) ou encore « contre la volonté expresse de la personne concernée sans motifs justificatifs » (let. b).
En d’autres termes, l’utilisateur doit pouvoir reconnaître que seules ses données nécessaires sont collectées et traitées dans l’optique d’atteindre une finalité déterminée, et cela sans avoir été réalisé à son insu. Dans le cas contraire, un motif justificatif, au sens de l’art. 31 al. 1 LPD, tel que la loi, le consentement ou un intérêt prépondérant, doit être présent pour que le traitement des données soit licite.
En ce qui concerne les réseaux sociaux, les finalités, le mode de collecte ainsi que la durée de conservation des données, sont indiqués dans leurs conditions générales, politique de confidentialité ou encore cookies policy, auxquelles les utilisateurs consentent lors de la création d’un profil.
III. COMMENT PROTÉGER SES DONNÉES SUR LES RÉSEAUX SOCIAUX ET QUE FAIRE EN CAS DE VIOLATION ?
Dans l’hypothèse où la protection de vos données au sens de la LPD aurait été violée, notamment par le biais d’une fuite de données (« data leaks »), plusieurs solutions s’offrent à vous.
Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est un organe rattaché à l’administration de la Chancellerie fédérale suisse dont l’objectif est la surveillance et le conseil concernant la protection des données (art. 43 ss LPD). Ainsi, « il fournit des conseils aussi bien pour des questions juridiques que des aspects techniques de sécurité des données »[9]. Le PFPDT a, en outre, exposé sur son site internet une liste de mesures à prendre en cas de fuite de données.[10] Il recommande de rester vigilant concernant les potentiels messages renvoyant à des liens ou téléchargements et conseille de changer ses mots de passe mais surtout de suivre les « instructions des entreprises touchées ».[11]
De surcroît, le droit d’agir au civil contre un responsable de traitement privé demeure envisageable (art. 32 al. 3 LPD). Des mesures provisionnelles (art. 261 ss CPC), des actions en interdiction, constatation et cessation de l’atteinte en cas d’atteinte à la personnalité (art. 28 ss CC), des actions en dommages-intérêts (art. 41 et 97 CO), une action en exécution du droit d’accès, de rectification, effacement ou destruction des données ou mention du caractère litigieux et d’autres sont donc ouvertes.
Pour conclure, chaque jour, sur les réseaux sociaux, des données personnelles concernant les utilisateurs sont collectées puis traitées. Cependant, ces traitements de données sont soumis au respect d’une législation de plus en plus complexe dans le but, notamment, de lutter contre les atteintes à la personnalité. Malgré le fait que notre consentement soit nécessaire et que d’autres principes tels que la proportionnalité et la finalité doivent être respectés, il faut garder à l’esprit que, selon des chercheurs de l’université d’Adélaïde et de Vermont : “There is no place to hide on social networking platforms.”[12]. Le PFPDT reste, néanmoins, un allié dans la protection des données, auprès duquel il est possible de se référer pour obtenir des conseils.
Carole Petot
[1] KEMP.
[2] Arrêt du tribunal fédéral 6B_1114/2018 du 29 janvier 2020.
[3] FILIPONNE.
[4] AUDUREAU.
[5] WEMAËRE.
[6] LE TEMPS.
[7] JOURNAL OFFICIEL DE L’UNION EUROPEENNE.
[8] M. PRAZ, N 1. 2.
[9] PFDT protection des données.
[10] DT fuite de données.
[11] Ibid.
[12] LINDSEY.
Bibliographie :
AUDUREAU Wiliam, « Ce qu’il faut savoir sur Cambridge Analytica, la société au cœur du scandale Facebook », 22/03/2018, mis à jour le 14/05/2018, [en ligne], URL : https://www.lemonde.fr/pixels/article/2018/03/22/ce-qu-il-faut-savoir-sur-cambridge-analytica-la-societe-au-c-ur-du-scandale-facebook_5274804_4408996.html, (consulté le 22/02/2023)
FILIPONNE Dominique, « 50 millions de profils Facebook exploités par Cambridge Analytica pour favoriser l’élection de Trump », 20/03/2018, [en ligne], URL : https://www.lemondeinformatique.fr/actualites/lire-50-millions-de-profils-facebook-exploites-par-cambridge-analytica-pour-favoriser-l-election-de-trump-71213.html, (consulté le 22/02/2023)
KEMP Simon, « Digital 2022 : digital adoption doubled over the past decade », 26/01/2022, [en ligne], URL :https://datareportal.com/reports/digital-2022-digital-adoption-doubled-over-the-past-decade?utm_source=Global_Digital_Reports&utm_medium=Partner_Article&utm_campaign=Digital_2022, (consulté le 22/02/2023)
LE TEMPS, « Facebook accepte de payer 725 millions de dollars dans l’affaire Cambridge Analytica », 23/12/2022, mis à jour le 16/02/2023, [en ligne], URL : https://www.letemps.ch/monde/facebook-accepte-payer-725-millions-dollars-laffaire-cambridge-analytica, (consulté le 22/02/2023)
LINDSEY Nicole, « New research study shows that social media privacy might not be possible », 03/02/2019, [en ligne], URL : https://www.cpomagazine.com/data-privacy/new-research-study-shows-that-social-media-privacy-might-not-be-possible/, (consulté le 22/02/2023)
M. PRAZ Emilie, « La protection des données et les réseaux sociaux : L’application des principes généraux de la LPD », 12/01/2015, [en ligne], URL : https://jusletter.weblaw.ch/fr/dam/publicationsystem/articles/jusletter/2015/785/la-protection-des-do_fdb2345c0b/pdf_fr.pdf, (consulté le 22/02/2023)
PFPDT, « Mandat : Protection des données », [en ligne], URL : https://www.edoeb.admin.ch/edoeb/fr/home/le-pfpdt/mandat.html, (consulté le 22/02/2023) (cité : PFDT protection des données)
PFPDT, « Réseaux sociaux : réseaux sociaux victimes de fuite de données », 13/04/2021, [en ligne], URL : https://www.edoeb.admin.ch/edoeb/fr/home/protection-des-donnees/Internet_und_Computer/services-en-ligne/medias-sociaux.html, (consulté le 22/02/2023) (cité : PFDT fuite de données)
WEMAËRE Alcyone, « L’ombre de Cambridge Analytica plane sur une centaine de campagnes électorales », 05/04/2018 mis à jour le 06/04/2018,[en ligne], URL : https://www.france24.com/fr/20180405-cambridge-analytica-facebook-elections-trump-brexit-politique, (consulté le 22/02/2023)
Jurisprudence :
Arrêt du tribunal fédéral 6B_1114/2018 du 29 janvier 2020
Loi et règlements :
LPD du 19/06/1992 (Etat le 01/03/2019), [en ligne], URL : https://www.fedlex.admin.ch/eli/cc/1993/1945_1945_1945/fr, (consulté le 22/02/2023)
JOURNAL OFFICIEL DE L’UNION EUROPEENNE, « Règlement (UE) 2016/679 du parlement européen et du conseil », 27/04/2016, [en ligne], URL : https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679, (consulté le 22/02/2023)
Source image : https://pixabay.com/fr/photos/gens-google-polaroid-pinterest-3175027/
