La justice a tranché : Facebook devra cesser de suivre et d’enregistrer le comportement de navigation des personnes qui surfent depuis la Belgique tant qu’elle ne met pas ses pratiques en conformité avec la législation belge en matière de vie privée. Facebook doit aussi détruire toutes les données à caractère personnel obtenues illégalement.

La Commission belge pour la protection de la vie privée (équivalent de la CNIL) a entamé il y a 3 ans une action judiciaire contre Facebook.

L’originalité du dossier tient dans l’angle d’attaque : au-delà de la protection des utilisateurs qui ont accepté les conditions générales, c’est la situation des non-utilisateurs qui est visée au travers de la question de la légalité des cookies, plug-ins sociaux et pixels.

Après une ordonnance de référé rendue en 2015, c’est la décision au fond qui vient de tomber. Elle est très sévère pour Facebook qui doit cesser immédiatement les traitements jugés illicites, et détruire toutes les données à caractère personnel obtenues illégalement.

Compétence

Confirmant la décision rendue en référé, le tribunal affirme que le droit belge en matière de vie privée est d’application et que les tribunaux belges sont compétents.

Facebook avait argumenté qu’elle ne devait respecter que le droit irlandais en matière de vie privée et que seuls les tribunaux irlandais étaient compétents.

Selon un raisonnement désormais connu, le tribunal a fondé sa compétence sur l’arrêt Google Espagne rendu par la Cour de justice le 13 mai 2014, selon lequel le droit national en matière de vie privée d’un État membre de l’UE s’applique si les activités d’un établissement local dans cet État membre sont indissociablement liées aux activités du responsable du traitement. Or, il y en en belgique une société membre du groupe qui réalise un travail de lobby pour le groupe et participe au marketing et à la vente d’espaces publicitaires.

Fond

Quatre éléments principaux ont été soumis à la justice :

  • Absence de consentement valable : Selon la Commission, Facebook n’obtient pas le consentement valable des personnes concernées pour la collecte de leurs données à caractère personnel à l’aide de cookies, de plug-ins sociaux et de pixels.
  • Information insuffisante : Facebook manquetrait à son obligation de fournir les informations minimales que la loi vie privée prescrit (notamment en ce qui concerne les catégories de données qui sont collectées et les droits des personnes concernées).
  • Déloyal : Facebook donnerait à tort l’impression qu’elle ne suivra plus les habitudes de navigation des personnes concernées lorsque ces dernières utilisent les outils d’opt-out que Facebook met à leur disposition.
  • Excessif : Facebook continuerait à collecter des données concernant les habitudes de navigation des personnes concernées même après qu’elles aient indiqué ne pas vouloir recevoir de la publicité ciblée de Facebook.

Dans son communiqué de presse, la Commission expliquait qu’elle souhaite que Facebook :

  • “informe clairement les personnes concernées à propos de l’utilisation par Facebook de cookies et de leur collecte via les plug-ins sociaux de Facebook, les pixels Facebook ou des moyens technologiques similaires ;
  • obtienne un consentement valable pour le placement de cookies, pour autant qu’ils ne soient pas strictement nécessaires à un service que la personne concernée demande expressément ;
  • renonce à la collecte excessive de cookies via ses plug-ins sociaux, les pixels Facebook ou des moyens technologiques similaires ; et
  • renonce à fournir des informations qui pourraient raisonnablement induire les personnes concernées en erreur quant à la portée réelle des mécanismes qu’elle met à disposition pour gérer l’utilisation de cookies par Facebook.”

Les non-utilisateurs impactés

On l’a dit, cette action judiciaire est remarquable en ce qu’elle pose des questions inabordées à ce jour : un réseau social a pour vocation d’être … social, c’est-à-dire faciliter le partage.

Tout cela est très bien, mais ces partages ont, à un moment ou à un autre, un impact sur les personnes qui ne sont pas membres du réseau social et n’ont donc ni pris connaissance, ni validé, les conditions d’utilisation.

Au centre de ce débat : le cookie datr de Facebook. La CNIL expliquait que “Facebook est en mesure de suivre la navigation des internautes, à leur insu, sur des sites tiers alors même qu’ils ne disposent pas de compte Facebook. En effet, le site dépose un cookie sur le terminal de chaque internaute qui visite une page Facebook publique, sans l’en informer (pages d’un événement public ou d’un ami par exemple). Ce cookie permet alors au site d’identifier tous les sites internet sur lesquels cet internaute se rend dès lors qu’ils contiennent un bouton Facebook.”

Le jugement rendu

Pour l’instant nous ne disposons que des communiqués.

Sur cette base, on peut dire que le tribunal confirme qu’afin de collecter des données personnelles sur toute personne (utilisateur de Facebook ou non) qui navigue sur Internet, “Facebook a recours à différentes technologies, comme les célèbres « cookies » ou les « social plug-ins » (par exemple, les boutons « J’aime » ou « Partager ») ou encore les « pixels » qui sont invisibles à l’œil nu. Il les utilise sur son site Internet, mais aussi et surtout sur les sites Internet de tiers. Ainsi, l’enquête révèle que même si vous n’avez jamais pénétré sur le domaine Facebook, Facebook est quand même en mesure de suivre votre comportement de navigation sans que vous ne le sachiez, et a fortiori, sans que vous ne le souhaitiez, grâce à ces pixels invisibles que Facebook a placés sur plus de 10 000 autres sites.

À l’instar de la Commission vie privée, le tribunal conclut que Facebook 1) ne nous informe pas suffisamment sur le fait qu’il collecte des informations nous concernant, sur la nature des informations collectées, sur l’usage de ces informations et sur délai de conservation de ces dernières et 2) ne reçoit pas d’autorisation valable de notre part pour collecter et traiter ces informations.”

Des mesures rares et sévères

En résumé, le tribunal ordonne, comme l’a demandé la Commission de la vie privée, que :

  • Facebook cesse de suivre et d’enregistrer le comportement de navigation des personnes qui surfent depuis la Belgique tant qu’il ne met pas ses pratiques en conformité avec la législation belge en matière de vie privée.
  • Facebook doit également détruire toutes les données à caractère personnel obtenues illégalement.
  • Facebook doit publier l’intégralité du jugement, qui s’étend sur 84 pages, sur son site Internet et publier les trois dernières pages de ce jugement avec les mesures imposées dans des journaux papier belges néerlandophones et francophones.

Le tribunal a donc été au bout de la logique : si des données ont été collectées sans base légale, le traitement est illicite et il doit non seulement être arrêté mais les données qui en résultent doivent être détruites.

Si Facebook ne respecte pas le jugement, il se verra contraint de payer des astreintes à la Commission vie privée d’un montant de 250 000 euros par jour de retard, avec un maximum de 100 millions d’euros.

Le jugement sera bientôt publié sur le site de … Facebook (qui a déjà annoncé un appel).