À l’heure actuelle, force est de constater que même les réseaux sociaux les plus récalcitrants se sont, du moins sur le papier, pliés aux exigences rigoureuses imposées par le RGPD. Ce dernier a aussi pour objectif l’encadrement du traitement (c’est-à-dire toute opération de collecte, d’enregistrement, de conservation ou encore de diffusion, de quelque manière que ce soit) des données personnelles que les personnes physiques partagent ou publient sur Internet, y compris sur les réseaux sociaux. Les différentes plates-formes ont bien sûr mis à jour leurs politiques de confidentialité en prenant soin d’informer, via des notices souvent peu lisibles, leurs utilisateurs sur les traitements effectués, ces derniers ne pouvant finalement qu’espérer que la pratique suive la théorie.

Nul besoin par conséquent de (ré)expliquer ici les règles imposées par le RGPD, ni de rendre les utilisateurs attentifs aux nombreux traitements dont leurs données personnelles font l’objet sur ces plates-formes.

Il est par contre utile de mettre en garde les utilisateurs enclins à étaler leur vie privée sur les réseaux sociaux contre des utilisations de leurs données, échappant potentiellement au RGPD.

Utilisation de données personnelles à l’insu de RGPD

Facebook, Instagram ou encore Snapchat, pour ne nommer que ceux-là, offrent une toile de fond idéale pour les personnes souhaitant partager leurs bonheurs et leurs malheurs les plus variés, souvent sans restriction aucune liée à la visibilité de ces informations.

Or, ce n’est plus un secret que ces plates-formes sont systématiquement consultées par des employeurs qui veulent «se faire une idée» sur les potentiels futurs employés qu’ils sont peut-être sur le point de recruter.

Le traitement de données personnelles provenant des réseaux sociaux par un employeur semble être parfaitement encadré. Ainsi, le groupe de travail «Article 29» estime dans un de ses avis (2/2017) que «les employeurs ne sont autorisés à collecter et à traiter les données à caractère personnel (en provenance des médias sociaux) relatives aux demandeurs d’emploi que dans la mesure où la collecte de ces données est nécessaire et pertinente pour l’exécution du travail faisant l’objet de la demande», pour préciser plus loin que «la personne concernée doit … être correctement informée de tout traitement de ce genre avant de s’engager dans le processus de recrutement».

Regarder n’est pas traiter?

Or, la question cruciale qu’il s’agit de se poser est de savoir à partir de quel moment il y a effectivement «traitement». Si toute retranscription d’information, prise de notes ou même de screenshots constituent de toute évidence un traitement soumis aux conditions citées ci-avant, qu’en est-il de la pure «consultation» d’un profil social par un employeur?

Malheureusement, la position du groupe Article 29 n’est pas très claire sur ce point, de sorte qu’on peut estimer qu’il est parfaitement concevable d’envisager une utilisation purement intellectuelle de ces données qui ne constituerait pas un traitement au sens de RGPD et qui échapperait donc à tout contrôle.

Affirmer le contraire, reviendrait indirectement à admettre que le RGPD puisse déterminer ce que les gens, en l’occurrence les employeurs, ont le droit de simplement penser ou non. Or, ceci amènerait de toutes nouvelles discussions, sans parler de l’impossibilité de prouver que l’employeur a effectivement utilisé in fine ces données dans son processus de décision de recrutement ou non.

Concrètement, le fait pour un employeur de se former une opinion à partir d’informations librement partagées ne constituerait ainsi pas un traitement potentiellement sanctionné par le RGPD, du moment qu’aucune concrétisation matérielle n’a lieu.

Si une telle analyse devait être affirmée dans le futur, ces utilisations «intellectuelles» de données personnes représenteraient dès lors une raison supplémentaire pour chacun de faire preuve de retenue sur les réseaux sociaux ou de paramétrer la confidentialité et la visibilité de ses comptes sociaux de façon consciencieuse.

1. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, entré en vigueur le 25 mai 2018.