Facebook à nouveau condamné en Belgique au nom de la vie privée

« Facebook mène actuellement une grande campagne publicitaire où il fait part de son attachement à la vie privée. Nous espérons qu’il mettra [cela] en pratique. »

Cette déclaration, on la doit à Willem Debeuckelaere.

Le président de la CPVP (Commission de protection de la vie privée, équivalent belge de la CNIL française) s’est exprimé après une décision de justice rendue contre l’entreprise américaine.

Ayant statué sur le fond, le tribunal néerlandophone de première instance de Bruxelles la somme de se conforter à la loi belge, sous peine d’une amende pouvant atteindre 100 millions d’euros.

Pour saisir les tenants et aboutissants du dossier, il faut remonter au 27 novembre 2014, date choisie par Facebook pour annoncer une révision imminente de sa Déclaration des droits et responsabilités, mais aussi de sa politique en matière de données et de cookies.

Consultée au sujet de ces changements qui avaient pris effet le 30 janvier 2015 « tant par des utilisateurs de Facebook inquiets, que par les médias, le Parlement fédéral et le secrétaire d’État chargé notamment de la protection de la vie privée », la CPVP avait commandé une analyse à des chercheurs de l’université catholique de Louvain (KUL) et de l’université libre néerlandophone de Bruxelles (VUB).

Du rapport étaient ressortis plusieurs constats. Notamment le fait que Facebook suivait à la trace tous ses visiteurs, y compris ceux qui n’avaient pas de compte et ceux qui avaient choisi de ne pas être pistés. Ce essentiellement au moyen de modules sociaux proposés à des exploitants de sites externes en vue d’une intégration.

La CPVP en avait conclu à une pratique invasive, le groupe Internet pouvant « facilement » relier les habitudes de navigation de ses utilisateurs à leur identité réelle, à leurs interactions sur les réseaux sociaux et à des données sensibles telles que des informations médicales ou des préférences religieuses.

Portes fermées

Facebook avait contesté ces incriminations, attribuant le suivi des internautes non connectés à un bug et considérant que sa filiale irlandaise devait être considérée comme seule personne de contact pour l’enquête, en tant qu’unique responsable du traitement.

S’estimant compétente, la CPVP avait adressé à Facebook une série de recommandations. Elle l’enjoignait tout particulièrement de renoncer à toute collecte et utilisation de données par le biais de cookies et de modules sociaux, sauf avec le consentement indubitable et spécifique des personnes concernées, et dans la mesure où cela est strictement nécessaire.

Un premier jugement en référé – provisoire, donc – était tombé en novembre 2015.

Sous la menace des sanctions brandies par le même tribunal néerlandophone de première instance de Bruxelles, Facebook avait entrepris, pour se mettre en conformité, de fermer l’accès à l’ensemble de ses services pour les internautes belges non inscrits, expliquant qu’à défaut de pouvoir collecter des données, la sécurité n’était plus assurée.

À la mi-2016, la cour d’appel de Bruxelles avait renversé le jugement, recommandant aux parties de porter l’affaire auprès de la justice irlandaise.

Soutenant que ses cookies permettent d’éviter les piratages et la création de faux comptes, Facebook compte également faire appel de la décision sur le fond.

Crédit photo : Janitors via Visualhunt / CC BY