Données personnelles : Facebook peut reprendre une « activité normale » en Belgique

JuridiqueLégislationMarketingRégulationsSocial Media
facebook-belgique-cookies-appel

Facebook peut à nouveau collecter, en Belgique, des données sur les internautes non connectés à son réseau social. Mais jusqu’à quand ?

Facebook est tout sourire en Belgique.

La société Internet de Mark Zuckerberg est parvenue à inverser, en appel, une décision de justice qui lui enjoignait de ne plus collecter les données d’internautes non connectés à son réseau social, qu’ils disposent ou non d’un compte.

La décision en question avait été rendue le 9 novembre 2015 par le juge des référés du tribunal néerlandophone de première instance de Bruxelles.

Menacé, en cas de refus d’obtempérer dans les 48 heures, d’une amende de 250 000 euros par jour, Facebook avait décidé de fermer l’accès à l’ensemble de ses services pour les internautes belges non inscrits, en expliquant qu’à défaut de pouvoir collecter des données, la sécurité n’était plus assurée.

Pour saisir les subtilités du dossier, il faut remonte au 27 novembre 2014, data choisie par la multinationale pour annoncer une révision imminente de sa Déclaration des droits et responsabilités, mais aussi de sa politique relative aux données et aux cookies.

Ces changements étaient entrés en vigueur le 30 janvier 2015. Quelques semaines plus tard, la CPVP, équivalent de la CNIL française, était montée au créneau, sollicitée par des « utilisateurs inquiets » tout comme par le Parlement fédéral… et Bart Tommelein, alors secrétaire d’État à la Lutte contre la fraude sociale, à la Protection de la vie privée et à la Mer du Nord.

Bilan de compétence(s)

Désirant savoir si elle était bel et bien compétente pour examiner – et éventuellement sanctionner – les pratiques de Facebook, l’autorité nationale avait saisi la justice. Elle s’était par ailleurs attaché l’expertise technique des chercheurs de l’université catholique de Louvain (KUL) et de l’université libre néerlandophone de Bruxelles (VUB).

Il en avait résulté plusieurs recommandations adressées à Facebook au mois de mai. En tête de liste, renoncer à toute collecte et utilisation de données par le biais de cookies et de modules sociaux, sauf avec le consentement indubitable et spécifique des personnes concernées, via un opt-in et dans la mesure où cela est strictement nécessaire.

Facebook, pour sa part, estimait que c’était sa filiale irlandaise qui devait, en tant que siège européen du groupe, être considérée comme seule responsable du traitement des données et donc comme personne de contact pour l’enquête.

Au cœur de l’argumentaire, la notion de sous-traitance, abordée dans les CGU. Il y est en l’occurrence précisé que tous les utilisateurs localisés en dehors des États-Unis et du Canada doivent conclure un contrat avec Facebook Irlande : la maison mère Facebook Inc. n’agirait qu’en tant qu’intermédiaire pour l’enregistrement et l’hébergement de données.

Quant à l’article 4 de la directive vie privée 95/46/CE, Facebook l’interprète dans le sens que si un responsable du traitement de données a un établissement dans un État membre de l’UE, seule le droit de cet État membre peut être appliqué : les contrôleurs des autres États membres ne peuvent faire obstacle, car la libre circulation des données au sein de l’UE est un principe fondamental du marché intérieur.

Allez voir en Irlande

La CPVP signalait pour sa part que Facebook ne mentionnait, dans son rapport financier, qu’une seule entité opérationnelle : Facebook Inc., aux États-Unis. Et que la compétence décisionnelle pour toutes les opérations appartenait au CEO Mark Zuckerberg. Bilan : il n’apparaissait pas que Facebook Irlande « puisse prendre des décisions en tout autonomie en ce qui concerne la finalité et les moyens relatifs aux traitements de données à caractère personnel des citoyens belges ».

Un argument validé par le tribunal de première instance, qui s’était aussi prononcé sur la question du traçage des internautes via les « modules » sociaux ouverts aux exploitants de sites tiers.

La CVCP dénonçait une pratique invasive par laquelle Facebook pouvait « facilement » relier les habitudes de navigation des utilisateurs à leur identité réelle et à des données sensibles telles que des informations médicales ou des préférences religieuses.

Le réseau social n’a jamais démenti l’existence de ce mécanisme, mais a assuré qu’il jouait un rôle primordial dans la protection des utilisateurs, en identifiant leurs navigateurs pour minimiser les risques de piratage ou encore de création de faux comptes.

Le tribunal avait considéré que les données collectées par ce biais avaient un caractère personnel et qu’il fallait donc, ne serait-ce qu’en vertu de la loi nationale du 8 décembre 1992 sur la protection de la vie privée à l’égard des traitements de données à caractère personnel (LVP), que Facebook obtienne la permission des utilisateurs concernés… y compris ceux non inscrits à ses services.

La cour d’appel de Bruxelles a reconnu que Facebook avait enfreint des lois nationales, mais elle s’est déclarée incompétente pour trancher ce type de litige, recommandant aux deux parties de porter l’affaire auprès de la justice irlandaise.

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur