Les communautés virtuelles et "réseaux sociaux" sur Internet tels Facebook, Myspace ou StudiVZ connaissent, depuis quelques années, un essor fulgurant et font l'objet d'une popularité croissante parmi les internautes.
Ces services généralement gratuits, bien qu’ils comportent de nombreuses innovations, sont source de nouveaux enjeux et de certaines préoccupations concernant la protection de la vie privée.
En effet, une fois que ces informations sont stockées dans le réseau et disponibles sur Internet, il peut s’avérer difficile de garder le contrôle sur les divers usages qui en peuvent être faits (par exemple à des fins commerciales, voire à d’autres fins non prévues par l’utilisateur).
Les autorités nationales de protection des données de l'Union européenne (dont la CNPD), réunies dans le groupe de travail de l'Article 29", se sont penchées sur cette question et ont élaboré un papier de guidance précisant les règles applicables tant pour les fournisseurs des services de « réseaux sociaux » que pour les personnes utilisant ces services (avis n° 5/2009 du 12 juin 2009, WP 163 - voir en bas de page).
Ce papier souligne notamment l'importance du droit de toute personne concernée de choisir elle-même ce qu'il advient des informations la concernant. Il se consacre en particulier à la protection accrue qui doit être accordée aux utilisateurs mineurs.
Dans ce contexte, le papier énumère certaines obligations incombant aux fournisseurs de service (même s’ils sont situés hors de l’UE):
- l'utilisateur doit pouvoir choisir lui-même dans quelle mesure ses informations seront publiques (à défaut, le compte doit être paramétré de sorte que la publicité de données soit limitée) ;
- il doit être clairement mis en connaissance du "qui", du "pourquoi" et du "comment" de l'usage des données qu’il stocke dans le réseau ;
- il doit être d'accord avec tout usage qui est fait de ses données ;
- il doit avoir le droit de rester anonyme par rapport au public (par le biais d’un pseudonyme).
De plus :
- toute personne (membre ou non du réseau social) concernée doit pouvoir se plaindre et demander la suppression de données la concernant ;
- les comptes restés inactifs pendant une certaine période doivent être supprimés ;
- le fournisseur de service doit assurer que les tiers offrant des applications et services additionnels dans le cadre du réseau se conforment aux dispositions légales relatives à la protection des données et à la vie privée ;
- les utilisations des données à des fins commerciales ou de marketing doivent se faire dans le respect des dispositions légales et des droits des personnes que ces données concernent ;
- le fournisseur de service doit faire preuve d’une décence particulière vis-à-vis des utilisateurs mineurs et mettre en place des mesures pour les protéger.