C) Statut des informations publiées sur les réseaux sociaux

a) Les données contenues dans les messages des médias sociaux sont des données
au sens du règlement GDPR

Tout d'abord, il convient de se référer à la définition donnée dans le règlement GDPR

adopté au niveau européen qui régit effectivement au sein des États les relations qui
s'établissent dans les rapports avec les plateformes de médias sociaux ou qui pourraient
s'établir dans ce contexte. Ainsi, à l'article 4(4) 1, nous voyons que : „données à caractère
personnel” : toute information concernant une personne physique identifiée ou identifiable
(„personne concernée”)1. Les informations résultant d'une publication sur les médias sociaux
concernent certainement une personne, et dans ce cas, il s'agit d'informations médicales qui
sont étroitement liées à la personne de Mme AA.

Une classification ultérieure des données à caractère personnel est effectuée par le
Parlement européen2 dans une déclaration de confidentialité sur les données susceptibles
d'être collectées par le biais des médias sociaux. Ainsi, dans la section 4, nous identifions
deux types de données : 1) les données fournies (le type de données que nous partageons
sciemment avec les responsables du traitement - par exemple l'adresse électronique) et 2) les
données collectées (qui peuvent résulter des messages publiés sur les médias sociaux et des
interactions sur la plateforme - par exemple les commentaires ou le partage de messages). Il
est clair que dans le cas de Mme AA, il s'agit de données qui ont pu être collectées, qui ont pu
résulter de son activité sur Facebook. Par conséquent, nous comprenons que les données
médicales de Mme AA sont des données aux fins du règlement GDPR, mais il s'agit de
données collectées et non directement fournies par Mme AA. La collecte des données n'est
pas une activité illicite, mais comme nous le verrons, l'intention de l'utilisateur de les partager
est importante.

b) Les réseaux sociaux sont un forum public, mais cela ne suffit pas

Selon la jurisprudence de la Cour européenne des droits de l'homme et la doctrine, les

réseaux sociaux constituent un forum public3. Ainsi, d'un certain point de vue, on pourrait
considérer qu'en publiant sur Facebook des données médicales, celles-ci ont atteint un espace
public, qui ne bénéficie plus du droit à la vie privée au sens de l'article 8 de la Convention
européenne des droits de l'homme. Toutefois, il est essentiel de prendre en considération deux
aspects. Premièrement, il ne ressort pas de l'affaire que, dans le cas de Mme AA, son compte
serait public ; au contraire, elle dispose d'un compte privé qu'elle gère très soigneusement
avec un nombre limité d'amis/de personnes qui peuvent accéder à ses messages. Il apparaît
1
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679.
2
https://www.europarl.europa.eu/website/files/Privacy_statement_Social_media_usage.pdf.
3
 Klaipėda City District Court (Klaipėdos apgardos teismas) No.1A-411-107/2011, 26 May 2011; Packingham
v. North Carolina, 777 S.E.2d 738, 744 (N.C. 2015).15–1194 (2017); Knight First Amendment Inst. at Columbia
Univ. v. Trump 928 F. 3d 226 (2019); van Dijck, J., & Poell, T. (2015); ‘Social Media and the Transformation of
Public Space. Social Media + Society’ (2015) 1(2), SAGE Journal
<https://doi.org/10.1177/2056305115622482>.
donc clairement que l'intention de Mme AA n'était pas de fournir un élément d'information de
manière publique, accessible à tout le monde, de manière irréversible, mais que la requérante
souhaitait partager les informations obtenues grâce au test ADN avec un groupe cible
restreint. Deuxièmement, même si l'on admet que les informations médicales sont tombées
dans le domaine public, comme la Cour l'a rappelé dans l'affaire Satakunnan Markkinapörssi
Oy et Satamedia c. Finlande4 au paragraphe 134 : „Le fait qu'une information soit déjà dans
le domaine public ne supprime pas nécessairement la protection de l'article 8 de la
Convention”. En outre, Mme AA n'est pas une personne publique, de sorte que son droit à la
vie privée devrait peser lourd face à un éventuel droit à la liberté d'expression de sa collègue.

Ainsi, la requérante a commis une erreur en partageant des données qu'elle ne

souhaitait pas dans l'environnement virtuel. Ces données pourraient être considérées comme
des „données incidentes”, c'est-à-dire des „informations cachées involontairement dans un
message public sur l'internet ou les plateformes de médias sociaux”5. Le fait de les prendre
après qu'elles ont été supprimées, en exprimant clairement l'intention de ne pas les rendre
publiques, et de les utiliser pour exercer une discrimination dans la relation de travail
constitue une violation manifeste de l'article 8 relatif à la vie privée. En effet, nous soutenons
que les données médicales de la requérante doivent être protégées même si, pendant une
courte période, elles ont été présentes dans une publication privée sur Facebook, aucun
besoin social ou intérêt public ne justifiant l'ingérence dans la vie privée du requérant.

4
Satakunnan Markkinapörssi Oy and Satamedia Oy v. Finland [GC] - 931/13.
5
Kutschera, S. Incidental data: observation of privacy compromising data on social media platforms. Int.
Cybersecur. Law Rev. 4, 91–114 (2023). https://doi.org/10.1365/s43439-022-00071-w.