Le droit le plus important et celui de l'utilisateur (et, plus généralement, de toute personne dont les données font l'objet d'une publication ou d'un autre traitement) de choisir lui-même ce qu'il advient des informations le concernant (principe d'« auto-détermination informationnelle »). Pour qu'il puisse faire usage de ce droit, il doit pouvoir agir en bonne connaissance de cause et avoir à sa disposition des moyens simples: il doit savoir comment ses données sont utilisées (en particulier par le fournisseur de service) et pouvoir déterminer qui peut accéder à ses données et les utiliser le cas échéant.
Dans ce contexte, certaines obligations incombent au fournisseur de service (même si celui-ci met à disposition le réseau social depuis un pays hors Union européenne):
- L'utilisateur doit pouvoir choisir lui-même dans quelle mesure ses informations seront publiques (le fournisseur de service doit lui offrir une possibilité simple et gratuite à cet effet). Par défaut, le compte d’utilisateur doit être paramétré de sorte que les données stockées dans le réseau social sont de nature "privée" ; ainsi, une mise à disposition des informations à un plus grand public devient un choix délibéré de l'utilisateur et ne se fait pas à son insu.
- L’utilisateur doit pouvoir s’attendre que son identité ne soit pas révélée au public (en ayant par exemple la possibilité d’utiliser un pseudonyme).
- Le fournisseur de service doit informer l'utilisateur de manière claire et intelligible sur le "qui", le "pourquoi" et le "comment" de l'usage des données stockées dans le réseau social: identité du fournisseur de service, exploitations des profils d'utilisateur à des fins commerciales ou de marketing, transmissions à des tiers,... . D’une manière plus générale, les fournisseurs de service devraient également contribuer à sensibiliser les utilisateurs à l'égard des risques liés à la publication des données (en affichant par exemple un message lorsque l'utilisateur choisit de rendre accessible les données à un plus grand public).
- A côté du fait d'être informé par le fournisseur de service, l'utilisateur doit être d'accord avec tout usage qui est fait de ses données. En vertu de la législation en vigueur, cet accord ne doit pas être lié à une contrainte quelconque et doit toujours pouvoir se faire en bonne connaissance de cause. ans ce contexte, une importance particulière revient aux traitements de données dites "sensibles" (données relatives à la santé, à la vie sexuelle, aux opinions politiques, à la race et à l’ethnie, aux convictions religieuses ou philosophiques, à l'appartenance syndicale ; données génétiques).
- Toute personne (membre ou non du réseau social) dont les données font l'objet d'un stockage dans le réseau social - voire d'une publication - doit avoir une possibilité simple et gratuite pour demander la suppression de données la concernant.
- Le fournisseur de service doit assurer que les tiers offrant des applications et services additionnels dans le cadre du réseau se conforment aux dispositions légales relatives à la protection des données et à la vie privée. L'accès aux données accordé à ces tiers doit être limité au nécessaire. L'utilisateur doit avoir une possibilité simple de signaler au fournisseur de service d’éventuels soucis quant à une application ou un service.
- Les utilisations des données à des fins commerciales ou de marketing (que ce soit par le fournisseur de service ou par des tiers auxquels les données sont communiquées) doivent se faire dans le respect des dispositions légales et des droits des personnes que ces données concernent.