Strasbourg, le 7 novembre 2011 MC-NM(2010)003rev4

English
pdf

COMITÉ D'EXPERTS SUR LES NOUVEAUX MÉDIAS
(MC-NM)
______

5ème réunion
20-21 septembre 2011
Agora
Salle G05

______

Projet de recommandation du Comité des Ministres aux Etats membres sur les mesures de protection des droits de l'homme dans le cadre des services des réseaux sociaux

    LES RÉSEAUX SOCIAUX COMME MOYEN DE PROMOTION DES DROITS DE L’HOMME ET CATALYSEUR EN FAVEUR DE LA DÉMOCRATIE

    1. Les services de réseaux sociaux jouent un rôle considérable dans la vie quotidienne d’un nombre de gens plus en plus important. Ils sont un outil d'expression et de communication entre individus mais aussi pour les moyens de communications de masse ou les médias en agrégat.. Cette complexité offre aux opérateurs de services de réseaux sociaux ou de plateformes de grandes possibilités de promouvoir l'exercice et la jouissance des droits de l'homme et des libertés fondamentales, notamment la liberté d'exprimer, de créer et d'échanger des contenus et des opinions et la liberté de réunion.

    2. L’importante croissante du rôle des services de réseaux sociaux et des autres services de médias sociaux offre aussi de grandes opportunités pour renforcer la possibilité des individus à participer à la vie politique, sociale et culturelle. Le Comité des Ministres a reconnu la valeur de service public d’internet dans ce qu’il contribue avec d’autres services de TIC à promouvoir l’exercice et la jouissance des droits de l’homme et des libertés fondamentales de ses utilisateurs. Ces réseaux sociaux, qui font partie intégrante de la valeur de service public d’internet, peuvent contribuer au renforcement de la démocratie et de la cohésion sociale.

    LES DROITS DE L’HOMME PEUVENT ÊTRE MENACES SUR LES RÉSEAUX SOCIAUX
    3. Le droit à la liberté d'expression et d'information, ainsi que le droit au respect de la vie privée et de la dignité humaine peuvent aussi être menacés sur les sites des réseaux sociaux, qui peuvent contenir des pratiques discriminatoires. Ces menaces peuvent notamment découler de l'absence de garanties juridiques, y compris procédurales, dans les procédés qui peuvent conduire à l’exclusion d’un utilisateur ; d’une protection inadaptée des enfants et des jeunes contre les contenus et comportements susceptibles de leur être préjudiciables ; d’une atteinte aux droits d’autrui ; de l’absence d’une configuration par défaut qui respecte la vie privée ; du manque de transparence de l’objectif dans lequel les données à caractère personnel sont collectées et traitées.

    4. Les utilisateurs des services de réseaux sociaux doivent respecter les droits et des libertés d'autrui. L'éducation aux médias est particulièrement importante dans le domaine des services de réseaux sociaux pour faire prendre conscience aux utilisateurs de leurs droits lorsqu'ils les utilisent ainsi que pour leur permettre d’acquérir ou de renforcer les valeurs des droits de l’homme et d’adopter les comportements essentiels au respect des droits et libertés d'autrui.

    IL CONVIENT QUE LES FOURNISSEURS RESPECTENT LES DROITS DE L’HOMME ET LA PRIMAUTÉ DU DROIT

    5. Un nombre d’Etats membres du Conseil de l’Europe a déjà mis en place des mécanismes de corégulation et d'autorégulation de l’utilisation des réseaux sociaux conformes aux normes applicables.. Il est important que ces mécanismes respectent le principe d’une procédure équitable, conformément au droit à être entendu et au droit de recours contre des décisions rendues, y compris lorsque cela s’avère nécessaire, au droit à un procès équitable, dans un délai raisonnable, à commencer par la présomption d’innocence.
    .

    6. En vertu du libellé de l’article 15.b du Statut du Conseil de l’Europe, le Comité des Ministres recommande aux Etats membres d'élaborer et de promouvoir, en coopération avec les acteurs du secteur privé et la société civile, des stratégies cohérentes visant à protéger et à promouvoir le respect des droits de l'homme dans le cadre des services de réseaux sociaux, conformément à la Convention de sauvegarde des droits de l’homme et des libertés fondamentales (STE n° 5) et, notamment, l’article 8 (Droit au respect de la vie privée et familiale), l’article 10 (Liberté d’expression) et l’article 11 (Liberté de réunion et d’association), combinés à la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (STE n° 108), tout particulièrement :

    EN OFFRANT UN ENVIRONNEMENT QUI PERMET AUX UTILISATEURS de réseaux sociaux de continuer à exercer leurs droits et libertés ;

    EN SENSIBILISANT DAVANTAGE LES UTILISATEURS, par un langage clair et compréhensible, aux éventuelles atteintes contre leurs droits fondamentaux et aux moyens d’éviter d’avoir un impact négatif sur les droits d’autrui lorsqu’ils utilisent ces services ;

    EN PROTÉGEANT LES UTILISATEURS CONTRE TOUT RISQUE sans pour autant limiter leur liberté d’expression et leur accès à l’information ;

    EN ENCOURAGEANT LA TRANSPARENCE QUANT AU TRAITEMENT DES DONNÉES et en empêchant le traitement illégitime des données à caractère personnel ;

    EN ENCOURAGEANT LES FOURNISSEURS DE SERVICES DE RÉSEAUX SOCIAUX À METTRE EN PLACE DES MÉCANISMES D’AUTORÉGULATION et à engager une concertation avec eux sur la mise en place de mécanismes de corégulation, lorsque cela s’avère nécessaire, afin de contribuer au respect des principes énoncés dans l’Annexe de la présente Recommandation ;

    EN PRENANT DES MESURES conformes aux principes énoncés à l’annexe de la présente Recommandation ;

    EN PORTANT LA PRÉSENTE RECOMMANDATION et son annexe à l’attention de tous les partenaires pertinents des secteurs privé et public et des instances publiques concernées, notamment les fournisseurs de réseaux sociaux et la société civile.

    Annexe à la recommandation

    I. INFORMATIONS ET MESURES ESSENTIELLES POUR AIDER LES UTILISATEURS DANS L’UTILISATION DES RÉSEAUX SOCIAUX

    Contexte et problèmes rencontrés :
    1. Les services de réseaux sociaux permettent de recevoir et de diffuser des informations. Les utilisateurs peuvent choisir individuellement les destinataires de ces informations, mais le plus souvent ces destinataires sont un ensemble dynamique de personnes, parfois même une « masse » d'inconnus (tous les membres du réseau social). Lorsque les profils des utilisateurs sont indexés par des moteurs de recherche, il y a un accès potentiellement illimité à certaines parties ou à la totalité des informations publiées sur ces profils.

    2. Il est important que les utilisateurs aient confiance que les informations qu’ils partagent seront traitées de manière appropriée. Ils devraient savoir si ces informations ont un caractère public ou privé et avoir conscience des conséquences de rendre une information publique. Les enfants et les adolescents, ainsi que d’autres catégories de personnes vulnérables, ont tout particulièrement besoin de conseils pour pouvoir gérer leur profil et comprendre l'impact que peut avoir la publication d’une information de nature personnelle, afin d'éviter de se mettre en danger et de nuire à autrui.

    Action :
    3. Les Etats membres devraient engager une collaboration avec le secteur privé et la société civile visant le respect du droit des utilisateurs à la liberté d’expression, notamment :

    EN AIDANT LES UTILISATEURS À COMPRENDRE LES PARAMÈTRES PAR DÉFAUT DE LEUR PROFIL. La configuration proposée par défaut aux utilisateurs devrait limiter l’accès de tiers à des contacts qu’ils ont eux-mêmes sélectionnés1. Les utilisateurs doivent pouvoir prendre une décision éclairée pour autoriser l’accès à leurs données à un public plus vaste, notamment en ce qui concerne l’indexage de leur profil par des moteurs de recherche externes. A cet égard  Le service de réseau social devrait :

    - informer les utilisateurs des effets d’un accès illimité à leurs profil et communications (dans le temps et géographiquement), en particulier, en expliquant clairement la différence entre communication privée et communication publique, ainsi que les conséquences de rendre une information publiquement disponible, y compris l’accès sans restriction à leurs données par des tiers, ainsi que la collecte de ces donnés ;

    - informer clairement les utilisateurs, en leur offrant des outils accessibles, qu’ils ont le droit de limiter l’accès à leurs données, ainsi que de les supprimer des archives et des fichiers temporaires des moteurs de recherche ;

    - offrir des possibilités adéquates et bien conçues de pouvoir consentir (« opt in ») à un accès plus large de tiers.

    EN PERMETTANT AUX UTILISATEURS D’EXERCER UN CONTRÔLE SUR LEURS INFORMATIONS. Cela implique que les utilisateurs soient informés de la nécessité d’obtenir l’accord préalable d'autres personnes avant de publier des données à caractère personnel sur elles, y compris audio et vidéo, dans les cas où ils ont élargi l’accès à leurs propres données au-delà du cercle restreint des contacts qu’ils ont eux-mêmes sélectionnés ; sur la manière de supprimer totalement leur profil et l’ensemble des données stockées qui les concernent ou qu’ils ont envoyées sur un service de réseau social et, enfin, sur l’utilisation de pseudonymes.

    Les utilisateurs devraient toujours avoir la possibilité de revenir sur leur autorisation d’utiliser leurs données à caractère personnel. Avant de clôturer leur compte, les utilisateurs devraient être en mesure de se transférer aisément et librement et dans un format exploitable les données qu'ils ont téléchargées vers un autre service ou un outil périphérique,. Après la résiliation validée, toutes les données relatives à l’utilisateur du compte concerné devraient être définitivement supprimées du support de stockage du service de réseau social. Lorsque des applications de tiers leur permettent d’accéder aux données à caractère personnel des utilisateurs, les services doivent proposer un nombre suffisant de types d’accès de manière à ce que les utilisateurs puissent spécifiquement autoriser l’accès à différentes catégories de données.

    EN AIDANT LES UTILISATEURS À FAIRE DES CHOIX ÉCLAIRÉS SUR LEUR IDENTITÉ EN LIGNE. L’utilisation de profils avec pseudonyme représente à la fois des bénéfices et des risques en matière de droits de l'homme. Dans sa déclaration sur la liberté de la communication sur l’internet (adoptée le 28 mai 2003), le Comité des Ministres soulignait que « afin d’assurer une protection contre les surveillances en ligne et de favoriser l’expression libre d’informations et d’idées, les Etats membres devraient respecter la volonté des usagers de l’internet de ne pas révéler leur identité ». Le droit de pouvoir utiliser un pseudonyme devrait être garanti à la fois au regard de la liberté d’expression et du droit au respect de la vie privée. Lorsqu’un service de réseau social exige une identité réelle pour s’enregistrer sur son site, la diffusion de l’identité des utilisateurs sur internet devrait être facultative. Cela n'empêche pas pour autant les services répressifs d’avoir accès à la véritable identité d’un internaute lorsque cela s’avère nécessaire et sous réserve de conformité aux garanties juridiques applicables au respect des droits et des libertés fondamentales.

    EN INFORMANT LES UTILISATEURS SUR LES CONDITIONS GÉNÉRALES DES RESEAUX SOCIAUX DE MANIERE CONCISE , dans un langage adapté et aisément compréhensible par les groupes ciblés par les services de réseaux sociaux.

    EN ENCOURAGEANT LES INITIATIVES DE SENSIBILISATION destinées aux parents, aux éducateurs et aux personnes chargées de mineurs en vue de compléter les informations fournies par les services de réseaux sociaux, notamment à l’égard des plus jeunes qui utilisent des réseaux sociaux.

    EN INFORMANT CLAIREMENT LES UTILISATEURS sur la politique éditoriale du fournisseur de service de réseau social en ce qui concerne ses modalités de traitement de contenus apparemment illicites et ce qu’il considère un contenu ou un comportement inapproprié sur le réseau.

    II. PROTECTION DES ENFANTS CONTRE LES CONTENUS OU COMPORTEMENTS PRÉJUDICIABLES
    Contexte et problèmes rencontrés :
    4. La liberté d'expression comprend la liberté de diffuser et de recevoir des contenus uni peuvent être choquants, troublants et insultants. Les contenus inadaptés à certains groupes d'âge peuvent également bénéficier de la protection de l’article 10 de la Convention européenne des droits de l’homme, bien que leur diffusion soit soumise à conditions.

    5. Les réseaux de services sociaux jouent un rôle de plus en plus important dans la vie des enfants, en contribuant au développement de leur personnalité et de leur identité, ainsi qu’à leur participation à des débats et à des activités sociales.

    6. Dans ce contexte, il est nécessaire de protéger les enfants du fait de la particulière vulnérabilité attachée à leur âge. Les parents, les éducateurs et les personnes chargées de mineurs devraient jouer un rôle prépondérant dans leur rapport avec les enfants en veillant à ce que ces derniers utilisent correctement ces services.

    7. Bien qu’ils ne soient pas tenus de contrôler, de surveiller et/ou de classer l’ensemble des contenus téléchargés par les utilisateurs, les fournisseurs de services de réseaux sociaux peuvent avoir l’obligation d’adopter certaines mesures préventives (par exemple comparables aux dispositions applicables aux contenus « réservés aux adultes » dans certains Etats membres) ou de réagir avec diligence à toute réclamation (modération à postériori).

    8. Les mécanismes de vérification de l'âge sont habituellement présentés comme un possible moyen de protéger les enfants des contenus susceptibles de leur être préjudiciables. Toutefois, il n'existe pas actuellement de solution technique unique en ligne pour vérifier l'âge qui ne porte pas atteinte à d'autres droits de l’homme et/ou n'encourage pas la falsification de l'âge.

    Action:
    9. En collaboration avec le secteur privé et la société civile, les Etats membres devraient prendre des mesures nécessaires à la sécurité des mineurs et à la protection de leur dignité, tout en respectant les garanties de procédure et le droit à la liberté d'expression et à l'accès à l'information, notamment :

    EN PRÉCISANT CLAIREMENT les types de contenus ou de partage de contenus ou de comportements susceptibles de porter atteinte aux dispositions légales applicables ;

    EN DONNANT DES INSTRUCTIONS PRÉCISES aux fournisseurs de services de réseaux sociaux en ce qui concerne leurs politiques éditoriales de telle sorte que des contenus ou des comportements puisse être défini comme « inapproprié » selon les conditions générales d’utilisation du service de réseau social, tout en veillant à ce que cette approche ne limite pas le droit à la liberté d'expression et d'information consacré par la Convention européenne des droits de l'homme ;

    EN ENCOURAGEANT LA MISE EN PLACE DE MÉCANISMES DE COOPÉRATION TRANSPARENTS destinés aux forces de l’ordre et aux services de réseaux sociaux. Ils devraient prévoir un respect des garanties procédurales prévues aux articles 8, 10 et 11 de la Convention européenne des droits de l’homme ;

    EN ENCOURAGEANT LA CRÉATION DE MÉCANISMES AISÉMENT ACCESSIBLES VISANT À SIGNALER tout contenu ou comportement inapproprié ou illicite sur des réseaux sociaux ;

    EN PARTAGEANT LES MEILLEURES PRATIQUES DESTINÉES À LA PRÉVENTION DU HARCÈLEMENT ET DE LA SOLLICITATION EN LIGNE. A ce titre, il conviendrait de traiter prudemment l’accès en fonction de l’âge, dans la mesure où cette information est fournie par les enfants eux-mêmes.

    EN VEILLANT AU RESPECT DE L’ARTICLE 10, ALINÉA 2 de la Convention européenne des droits de l’homme. Cela comprend s’abstenir de toute mesure générale de blocage et de filtrage d’un contenu injurieux ou préjudiciable d’une manière qui entraverait l’accès des utilisateurs au contenu en question. A cet égard, la Recommandation (2008)6 du Comité des Ministres sur les mesures visant à promouvoir le respect de la liberté d’information au regard des filtres internet devrait être mise en œuvre afin de veiller à ce que toute décision de blocage ou de suppression de contenu soit prise conformément à ces principes. Il convient également d’encourager des mécanismes transparents et volontaires de filtrage individuel.

    III. DONNÉES À CARACTÈRE PERSONNEL ET CONFIANCE DANS LES RÉSEAUX SOCIAUX

    Contexte et problèmes rencontrés :
    10. Les services de réseaux sociaux traitent un nombre considérable de données à caractère personnel, y compris les données relatives au profil des internautes et à leur utilisation d’internet. Des tiers, comme les employeurs, les compagnies d'assurance, les services répressifs et les services de sécurité, sont notamment susceptibles d’accéder aux données à caractère personnel publiées dans un profil.
    11. Les données à caractère personnel ne devraient pas être traitées par les services de réseaux sociaux au-delà du but légitime particulier pour lequel elles ont été collectées. Ils devraient limiter le traitement aux seules données strictement nécessaires pour parvenir à l'objectif convenu et pour une durée aussi courte que possible.
    12. Les services de réseaux sociaux doivent demander le consentement éclairé des utilisateurs lorsqu’ils souhaitent traiter de nouvelles données à leur sujet, partager leurs données avec d'autres catégories de personnes ou d’entreprises et/ou utiliser leurs données à des fins autres que celles spécifiées lors de leur collecte initiale. Comme le précise la Recommandation (2010) 13 sur la protection des personnes à l'égard du traitement automatisé des données à caractère personnel dans le cadre du profilage, les utilisateurs devraient être informés de l’utilisation de leurs données personnelles à de fins de profilage. Le refus ou le consentement de l’utilisateur ne doit avoir aucune incidence sur son accès au service en question. Lorsque des applications de tiers permettent à ces derniers d’accéder aux données à caractère personnel des utilisateurs, les services concernés doivent proposer un nombre suffisant de types d’accès de manière à ce que les utilisateurs puissent spécifiquement autoriser l’accès à différentes catégories de données.
    Action :
    13. Outre les mesures énoncées dans la première partie de cette Annexe, les Etats membres, en coopération avec le secteur privé et la société civile, devraient collaborer avec les exploitants de réseaux sociaux afin de garantir le droit au respect de la vie privée des utilisateurs, notamment :

    EN ASSURANT LA PROMOTION DES MEILLEURES PRATIQUES DESTINÉES AUX UTILISATEURS. Cela comprend une configuration par défaut qui respecte la vie privée en limitant l’accès à des contacts sélectionnés par les utilisateurs eux-mêmes, l'application des mesures de sécurité les plus adaptées, le consentement éclairé des utilisateurs préalable à la diffusion de données à caractère personnel, le partage des données à caractère personnel avec d'autres catégories de personnes ou de sociétés et/ou l'utilisation de leurs données par tout autre nouveau moyen.

    EN VEILLANT À CE QUE LES UTILISATEURS PUISSENT EXERCER EFFICACEMENT LEURS DROITS en leur proposant, notamment, une interface claire et dotée d’un nombre suffisant de types d’accès de manière à ce qu’ils puissent spécifiquement autoriser différentes catégories d’accès à des tiers.
    EN S’ASSURANT QUE LES DONNÉES SENSIBLES BÉNÉFICIENT D’UNE PROTECTION ACCRUE. L'utilisation de techniques susceptibles d’avoir des répercussions significatives sur la vie privée des utilisateurs ou par exemple lorsque le traitement porte sur des données sensibles ou biométriques (comme la reconnaissance faciale), exige un niveau de protection élevé qui ne doit pas être activé par défaut.
    EN VEILLANT À CE QUE LES FOURNISSEURS APPLIQUENT LES MESURES DE SÉCURITÉ LES PLUS ADAPTÉES à la protection des données à caractère personnel contre tout accès illicite par des tiers. Cela devrait comprendre des mesures de cryptage du début jusqu’à la fin de la communication (end-to-end) entre l’utilisateur et le site des services de réseaux sociaux. En l’absence de disposition applicable aux infractions relatives à des données, les services de réseaux sociaux devraient signaler aux utilisateurs concernés toute atteinte portée à leurs données à caractère personnel afin qu’ils puissent prendre des mesures préventives comme changer leur mot de passe et/ou surveiller de près leurs opérations financières (lorsque les fournisseurs disposent de leurs informations bancaires ou de carte de crédit).
    EN ENCOURAGEANT « LE RESPECT DE LA VIE PRIVÉE DÈS LA CONCEPTION » (« PRIVACY BY DESIGN »). Les services de réseaux sociaux devraient être encouragés à répondre à la nécessité de protéger les données à caractère personnel dès la phase de conception de leurs produits ou services et à évaluer en permanence les incidences sur la vie privée de toute modification apportée à des services existants afin de renforcer la sécurité et le contrôle des données à caractère personnel des utilisateurs.

    EN PROTÉGEANT LES TIERS associés à des utilisateurs de réseaux sociaux.
    Les personnes qui n’utilisent pas les réseaux sociaux peuvent également être affectées par des publications faites par des utilisateurs de réseaux sociaux ou par l'utilisation de leurs données à caractère personnel par le service de réseau social lui-même. Ils devraient pouvoir disposer de moyens efficaces pour exercer leurs droits sans pour autant devoir devenir membre du service en question et/ou fournir une quantité excessive de données à caractère personnel. Les fournisseurs de services de réseaux sociaux devraient s’abstenir de collecter et de traiter les données à caractère personnel de personnes qui ne sont pas membres des services qu’ils offrent, par exemple, leurs adresses électroniques et leurs données biométriques (par exemple les photographies). Il importe que les utilisateurs soient conscients de leurs obligations à l’égard d’autres personnes et, tout particulièrement, du fait que la publication de données à caractère personnel de tiers doit respecter les droits de ces derniers.

    EN VEILLANT À CE QUE LE TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL PROVENANT DE RÉSEAUX SOCIAUX PAR LES FORCES DE L’ORDRE RESPECTENT L’ARTICLE 8 de la Convention européenne des droits de l’homme. Le respect des dispositions applicables à la protection des données à caractère personnel est essentiel. Cela inclut de veiller à ce que le traitement à des fins répressives des données à caractère personnel provenant de l'utilisation de services de réseaux sociaux s’effectue uniquement dans un cadre juridique approprié ou à la suite d’instructions spécifiques de l'autorité publique compétente décidées conformément à la loi.
    EN VEILLANT À CE QUE LA LOI APPLICABLE ET LA JURIDICTION CONCERNEE SOIENT CLAIRES ET PRÉCISES. Il convient que les utilisateurs soient informés de la loi qui s’applique aux services des réseaux sociaux et au traitement de leurs données à caractère personnel. Les dispositions contenues dans les conditions générales d’utilisation qui permettent un choix opportuniste ou par commodité du forum ou de la juridiction applicable devraient être nulles s’il n’existe aucun lien satisfaisant vers ce forum ou cette juridiction ; le forum ou la juridiction de l'utilisateur serait préférable lorsqu’un nombre significatif d'utilisateurs est présent sur un territoire précis.
    EN SENSIBILISANT LES UTILISATEURS SUR DE POSSIBLES ATTEINTES À LEURS DROITS FONDAMENTAUX et en leur permettant de chercher réparation lorsque leurs droits ont été enfreints. Les utilisateurs doivent être informés des éventuels risques sur leur droit au respect de la vie privée, non seulement dans les conditions essentielles des services de réseaux sociaux (y compris lorsque des modifications sont apportées aux conditions générales du service) mais à chaque fois qu’un tel risque se présente, par exemple, lorsque les utilisateurs mettent à disposition de nouveaux utilisateurs (ou groupes d’utilisateurs) des informations relatives à leur profil ou lorsqu’ils installent une application tiers.

    Les utilisateurs devraient être informés, de manière claire et compréhensible et dans un langage adapté, du traitement de leurs données à caractère personnel, ainsi que de l'existence des moyens dont ils disposent pour exercer leurs droits (d’accès, de rectification et de suppression).

    Outre l’application des dispositions légales, des mécanismes appropriés de traitement des réclamations devraient offrir des garanties contre les comportements abusifs d’utilisateurs, notamment en ce qui concerne l’usurpation d’identité.



1 Voir l’Avis 5/2009 du Groupe de travail Article 29 sur la protection des données, du 12 juin 2009 ; 30e Conférence internationale des Commissaires à la protection des données et de la vie privée, Résolution sur la protection de la vie privée dans les services de réseaux sociaux, Strasbourg, le 17 octobre 2008) ; « Mémorandum de Rome » du Groupe de travail international sur la protection des données dans les télécommunications (GTIPDT), (Rome, les 3 et 4 mars 2008).