Applicabilité de la Directive européenne en matière de vie privée

La directive relative à la protection des données s'applique généralement aux fournisseurs de services de réseaux sociaux, même si leur siège est établi en dehors de l'Espace économique européen. L'utilisation de cookies et de logiciels similaires par un prestataire de services en ligne peut notamment être considérée comme une utilisation de moyens sur le territoire de l'État membre, et la législation relative à la protection des données de l'État membre en question s'y applique dès lors. L'article 4, premier alinéa, c) de la directive relative à la protection des données dispose en effet que la législation relative à la protection des données d'un État membre déterminé s'appliquera lorsque le prestataire de services en ligne utilise des équipements qui se trouvent sur le territoire d'un État membre. Selon l'article 4, deuxième alinéa, le fournisseur du service de réseau social doit dans ce cas désigner un représentant établi sur le territoire de l'État membre concerné.

En ce qui concerne le responsable du traitement, le Groupe 29 prend une position nuancée dans son avis.

Les fournisseurs de services de réseaux sociaux sont responsables du traitement étant donné qu'ils fournissent les moyens pour le traitement de données des utilisateurs et proposent tous les services de base concernant la gestion des utilisateurs (par exemple l'ouverture et la suppression de comptes). Les fournisseurs de services de réseaux sociaux déterminent également l'usage qui peut être fait des données des utilisateurs à des fins de publicité et de marketing, parmi lesquelles les publicités de tiers.

Les fournisseurs d'applications peuvent également être responsables du traitement s'ils développent des applications en complément des services du réseau social et que les utilisateurs décident d'utiliser une telle application.

Les utilisateurs d'un service de réseau social seront généralement considérés comme personnes concernées. La directive relative à la protection des données n'impose pas aux personnes physiques qui traitent des données à caractère personnel dans le cadre d' "activités exclusivement personnelles ou domestiques" les obligations d'un responsable du traitement (ce qu'on appelle la dispense pour "finalités domestiques"). Toutefois, dans certains cas, à savoir lorsqu'il n'est plus question de finalités purement domestiques, cette dispense ne s'appliquera pas et l'utilisateur sera considéré comme un responsable du traitement. Ce sera par exemple le cas lorsqu'un utilisateur de services de réseaux sociaux intervient au nom d'une entreprise ou d'une organisation ou utilise les services à des fins commerciales, politiques ou caritatives. Lorsque les utilisateurs traitent des informations sur des personnes tierces, elles pourront également être considérées comme responsables du traitement.