Données personnelles : cookies amers pour Facebook
Facebook se retrouve en position délicate face à la justice belge, qui lui somme d’arrêter de pister les internautes non inscrits sur son réseau social.
Facebook se retrouve en position défavorable devant la justice belge.
Le réseau social compte faire appel de la décision* rendue à son encontre ce lundi 9 novembre 2015 par le tribunal de première instance de Bruxelles, que la CPVP avait saisi au printemps.
Cette autorité nationale, équivalent de la CNIL française, souhaitait notamment savoir si elle était bel et bien compétente pour examiner – et éventuellement sanctionner – les pratiques de Facebook en matière de gestion de la vie privée des internautes.
Pour saisir les subtilités du dossier, il faut remonter à ses origines, le 27 novembre 2014, date choisie par la société Internet de Mark Zuckerberg pour annoncer une révision imminente de sa Déclaration des droits et responsabilités, mais aussi de sa politique relative aux données et aux cookies.
La CPVP dit avoir été consultée à plusieurs reprises depuis l’entrée en vigueur de ces changements le 30 janvier 2015. Des « utilisateurs inquiets » l’ont sollicitée, tout comme les médias, le Parlement fédéral… et Bart Tommelein, secrétaire d’État à la Lutte contre la fraude sociale, à la Protection de la vie privée et à la Mer du Nord.
Avec ou sans consentement ?
Face à cette inquiétude, la CNIL belge avait décidé d’analyser en détail ces nouvelles conditions d’utilisation, avec l’expertise technique des chercheurs de l’université catholique de Louvain (KUL) et de l’université libre néerlandophone de Bruxelles (VUB).
Il en avait résulté plusieurs recommandations adressées à Facebook au mois de mai. En tête de liste, renoncer à toute collecte et utilisation de données par le biais de cookies et de modules sociaux, sauf avec le consentement indubitable et spécifique des personnes concernées, via un opt-in et dans la mesure où cela est strictement nécessaire.
Entretemps, le réseau social avait abattu ses cartes, estimant que c’était sa filiale irlandaise qui devait, en tant que siège européen du groupe, être considérée comme seule responsable du traitement des données… et donc comme personne de contact pour l’enquête.
Au coeur de l’argumentaire, la notion de sous-traitance, abordée dans les CGU. Il y est en l’occurrence précisé que tous les utilisateurs localisés en dehors des États-Unis et du Canada doivent conclure un contrat avec Facebook Irlande : la maison mère Facebook Inc. n’agirait qu’en tant qu’intermédiaire pour l’enregistrement et l’hébergement de données (pour davantage de précisions, voir notre article « Données personnelles : la CNIL belge ne lâche pas Facebook »).
La CVCP n’aime pas
Siégeant en référé, le tribunal de première instance de Bruxelles a rejeté cette présomption. Tout en se prononçant sur la question du traçage des internautes.
Sur ce dernier point, l’étude conjointe des universitaires de la KUL et de la VUB avait laissé suggérer que Facebook suivait tous ses visiteurs, y compris ceux qui n’ont pas compte. Ce en déposant des cookies sur leurs terminaux, essentiellement à travers les « modules sociaux » proposés à des exploitants de sites tiers en vue d’une intégration – le bouton « J’aime » étant particulièrement populaire, implémenté sur 32 % des 10 000 sites Web les plus visités, selon Quantcast ranking.
Pour la CVCP, il s’agit là d’une pratique invasive, Facebook pouvant « facilement » relier les habitudes de navigation de ses utilisateurs à leur identité réelle, à leurs interactions sur les réseaux sociaux et à des données sensibles telles que des informations médicales ou des préférences religieuses.
Facebook ne dément pas l’existence des cookies incriminés (conservés pour une durée de 2 ans), mais assure qu’ils jouent un rôle primordial dans la protection des utilisateurs en identifiant leurs navigateurs pour minimiser les risques de piratage ou encore de création de faux comptes. Sans eux, il faudra « soumettre toutes les requêtes provenant de Belgique à un processus fastidieux de vérification ».
Problème : la justice belge considère que les données collectées par ce biais ont un caractère personnel. Il faut donc, ne serait-ce qu’ en vertu de la loi nationale du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel (LVP), que Facebook obtienne la permission des utilisateurs concernés. Or, c’est difficile quand ils ne sont pas inscrits sur le réseau social…
* En cas de refus d’obtempérer dans les 48 heures suivant le jugement selon lequel il lui appartient d’arrêter de pister les internautes belges non inscrits sur sa plate-forme, Facebook encourt 250 000 euros d’amende par jour.
Crédit photo : Gelner Tivadar – Shutterstock.com