Réseaux sociaux

Les entités ne sont en droit de récolter des données d'administrés librement accessibles sur internet que si elles ont une mission légale de faire activement de telles recherches.
Par exemple, dans le Canton de Neuchâtel, la loi prévoit que le Service social gère le dossier des bénéficiaires sur la base de leurs données (donc sans récolte sur les réseaux), (^{art. 32 et 42a LASoc}). En revanche, le Service de l'emploi est chargé d'effectuer des contrôles portant sur les conditions d'octroi de l'aide matérielle, sur la conformité de l'utilisation des prestations d'aide sociale ou sur les conditions d'un remboursement de l'aide fournie (^{art. 2a RELASoc}). Ce service est donc légitimé à récolter des données sur internet lors de ses investigations (dossier 2024.5268).

Si une entité ne poste pas de données personnelles (photos de personnes reconnaissables par exemple), l’utilisation d’un réseau social n’échappe que « partiellement » aux exigences des règles de protection des données. C’est-à-dire que, même si l’entité ne publie aucune donnée personnelle, il n’empêche qu’elle n’a aucune garantie que le réseau social ne siphonne pas les données, plus ou moins à l’insu des utilisateurs. Or, en 2018, la Cour de justice de l’UE a déclaré qu’il existait une responsabilité conjointe entre le réseau social et les entreprises utilisant les « Fan page ». Autrement dit, si le réseau social enfreint les règles de protection données, l’entreprise qui a ouvert la page engage aussi sa responsabilité relative aux traitements de données (pour les détails, voir l’avis 2018.2320), (dossier 2023.4975).