C’est une première en Europe. Saisie par la CNIL belge, le tribunal de première instance de Bruxelles, statuant en référé, a interdit à Facebook de glaner des données personnelles des internautes non inscrits sur son site. Sauf à obtenir préalablement leur consentement.
La procédure avait été initiée début 2015 par la Commission de la protection de la vie privée. La CPVP, équivalent de notre CNIL, avait décidé d’ausculter de près la refonte des conditions générales d’utilisation du réseau social et en particulier sa politique de gestion des cookies.
Selon la CPVP, « Facebook bafoue les législations européennes et belges »
Le 13 mai 2015, la CPVP avait publié une recommandation, après avoir commandé une étude approfondie auprès d’un groupe de recherche interuniversitaire (voir ce PDF et cette page pour les cookies). « Les résultats de cette analyse sont déconcertants, écrivait alors l’autorité de contrôle, sans ménagement. Facebook bafoue les législations européennes et belges en matière de vie privée, et ce à différents niveaux ». Elle épingle spécialement l’acteur américain pour le traitement des « données à caractère personnel tant de ses membres, utilisateurs, que de tout internaute qui entre en contact avec des produits et des services de Facebook. »
Dans sa recommandation, elle suggérait également aux sites qui utilisent des plug-ins sociaux d’opter pour des solutions à deux clics, histoire d’obtenir véritablement le consentement de l’utilisateur lorsqu’il pointera sa souris sur « J’aime » ou « Partage ». « Le propriétaire du site Internet doit informer correctement le visiteur de son site Internet et doit obtenir son consentement spécifique pour les cookies et autres métafichiers dont il ne maîtrise probablement pas la réutilisation ». Enfin, à destination des utilisateurs, elle conseille « d’utiliser des add-ons de navigateur qui bloquent le traçage ou d’utiliser le mode incognito de leur navigateur. »
En réponse Facebook avait surtout estimé que la législation belge ne lui était pas applicable, puisque l’entreprise a son siège européen à Dublin. Le dossier n’ayant pas obtenu d’issue favorable aux yeux de la CNIL belge, celle-ci a décidé d’agir en référé devant le tribunal de première instance de Bruxelles. Bien lui en a pris : dans son ordonnance rendue hier, celui-ci lui a donné gain de cause.
Une astreinte de 250 000 euros par jour de retard
La justice belge somme ainsi Facebook de cesser de conserver les données privées des internautes non membres du réseau dans les 48 heures, sous astreintes de 250 000 euros par jour de retard. Comme rapporté par L'Echo.be, le cœur du litige repose sur les cookies placés sur leur ordinateur afin de retracer leur historique. Selon le communiqué du tribunal, cité par nos confrères, « ces cookies continuent d'exister pendant deux ans et Facebook peut les consulter à chaque fois qu'un internaute arrive sur une page Facebook ou sur la page d'un site où il peut "liker" ou recommander le contenu à d'autres utilisateurs de Facebook. Le juge des référés a jugé qu'il s'agit de données personnelles, que Facebook peut seulement utiliser si l'internaute donne expressément son consentement, comme le prévoit la loi belge de protection de la vie privée. »
« Facebook place des cookies qui retiennent qu’un internaute a visité une page Facebook, par exemple celle d’un ami, mais aussi qu’il a visité la page d’une chaîne de magasins, d’un parti politique, d’un groupe d’entraide ou d’une autre association. Ainsi, ils conservent des cookies sur les intérêts éventuels et les préférences des internautes » a encore déploré la même source, dans un extrait cité cette fois par LeSoir.be .
Pour la justice, la seule façon pour Facebook de glaner ces informations est de recueillir le consentement préalable des internautes, voilà d’ailleurs pourquoi son attention se porte sur les seuls internautes non inscrits sur le site, ceux qui n’ont pu exprimer un tel vœu.
Facebook n’aime pas
Anticipant cette décision, Alex Stamps, responsable sécurité de Facebook, avait décrit dans un post du 13 octobre sa politique de cookies en se focalisant sur celui baptisé « datr » : diminuer le risque de création de faux comptes, prévenir des attaques DDoS ou le vol de contenus, etc. « Si la justice nous interdit d’utiliser ce cookie en Belgique, nous perdrons un de nos meilleurs signaux pour démontrer que quelqu’un vient sur notre site de manière légitime. Dans la pratique, cela signifierait que nous aurions à traiter toute visite sur notre service en ligne comme une connexion non sécurisée, nous contraignant de déployer toute une gamme d’autres méthodes pour vérifier que les internautes sont les légitimes propriétaires de leurs comptes. Cela rendrait également la Belgique plus attrayante pour les spammeurs et ceux qui font du trafic dans des comptes compromis sur des forums undergrounds. »
Ce déluge d'arguments techniques n'a pas fait mouche, pas plus, sur le terrain juridique que la ligne de défense les avocats de Facebook. Ils ont maintenu que « c'est l'autorité de surveillance de l'État où est situé l'établissement qui s'occupe du traitement des données récoltées qui est compétente. Dans ce cas, il s'agit de la commission de protection de la vie privée irlandaise. Celle-ci a examiné à plusieurs reprises et approuvé la politique de cookies de Facebook ».
L’entreprise américaine a fait savoir qu’elle ferait appel de l’ordonnance. Si ce recours n'est pas suspensif, l’enjeu pour elle ne réside pas seulement en Belgique : c’est la crainte d’un effet d’entraînement dans l’ensemble des pays européens, dont la France du moins si la CNIL venait à montrer le même volontarisme que la CPVP au regard des règles affichées sur son site.
On notera que c’est à la porte de la CNIL irlandaise que l’Autrichien Maxim Schrems avait vainement dû agir, avant finalement de faire tomber le Safe Harbour devant la CJUE. Il avait alors pris pour tremplin la capacité pour la NSA d’ausculter de près les flux glanés par le réseau social.
Commentaires (46)
#1
On peut avoir le même jugement en France SVP ?
#2
ben il font appel pour pas que cela se répande à toute l’Europe… ça risquerait de mettre à mal leur business model
#3
et comme pour utiliser le service on est obligé de signer la cgv(ou assimilé), l’utilisateur de facebook est bien feinté.
#4
Le problème ici n’est pas l’utilisateur de facebook mais le non-utilisateur qui lui n’a pas signé ces CGU mais se retrouve pisté quand même.
#5
#6
Vive la navigation privé. " />
#7
En France il suffit d’un chèque de quelques millions, façon µsoft et le probème est réglé.
#8
#9
C’est si flippant que ça de connaître des membres de ta famille ? " />
#10
#11
Dans ce cas, c’est surtout que les-dits membres de ta famille avaient du donner accès à leur messagerie, et certainement des échanges avec toi. Du coup en toute logique ils te proposent ceux qui t’ont dans leurs “contacts” mail.
#12
Pourvu que ça s’étende à l’échelle européenne et, accessoirement, à tous les autres espions du Web installés volontairement et en toute connaissance de cause par de nombreux sites.
#13
L’appel n’est pas suspensif..
#14
#15
Avec les caniches à la botte des usa qui dirigent ce pays (PS et UMP LR compris), on est pas près de voir ce genre de jugement ici.
#16
Ah ca y est ! On a eu le droit à “le traçage c’est pour votre bien/sécurité” !
#17
Ça n’efface les traces de ta navigation uniquement sur ton ordinateur. Même si la dernière build de Firefox a ajouté énormément de sens à la navigation privé, vpn tor etc… restent incontournable.
#18
Ich bin Belge!
#19
ce n’était qu’une question de temps, bientôt il nous mettront des logiciels directement intégré a l’os qui supprimera le.dernier.GoT.mp4 et windows_toolkit.exe sans demander l’avis préalable de l’utilisateur, biensur, toujours pour notre securité.
#20
Cool.
Ils ne bougent pas souvent les belges (ce sont de grosses fainéasses), mais quand ils agissent, c’est efficace " />
J’aime de plus en plus ce pays….
#21
Ghostery, cet ami transparent qui est pourtant bien utile.
#22
#23
#24
#25
#26
#27
Excellent ! Dommage que l’ont ne peut espérer une chose pareille en France à
cause de centaine de conflits d’intérêts !
#28
Ça existe déjà: si tu as un antivirus (qui commence par NOD et qui finit par 32), un site de céréales serials est systématiquement bloqué (parce que c’est soi-disant malveillant).
Et les activateurs de plein de logiciels (non officiels) sont également mis en quarantaine.
En revanche, certains installeurs malicieux passent sans problème!
#29
C’est ce qui s’appelle l’avoir dans l’os.
#30
#31
Le jugement s’applique-t-il aux personnes de nationalité belge, d’où qu’ils se connectent, ou à tous les internautes qui passent par un FAI belge, quelle que soit leur nationalité ?
Dans ce dernier cas (enfin, si la décision n’est pas cassée en appel), la Belgique va devenir intéressante pour les fournisseurs de VPN !
Ça me rappelle l’époque où je voulais m’inscrire sur Spotify pour prendre un abo payant : ils forçaient alors les nouveaux à se créer un compte uniquement via Facebook. Sauf… en Allemagne qui interdit de telles pratiques. J’étais donc passé par un mail en yahoo.de et Spotify Allemagne pour ouvrir un compte, et switcher dans la foulée sur un Fr ! " />
Heureusement que je suis d’une génération où on peut encore (possibilité / droit) échapper à FB…
#32
#33
#34
#35
#36
De même, le seul soucis que j’ai eu avec Ghostery c’est qu’il bloquait le système de captcha de dl.free.fr :)
#37
#38
Nos legislations sont tellement en décalage avec la réalité d’Internet.
Si chaque site devait respecter toutes les lois de tous les pays on n’en sortirait plus…
Je ne dis pas que l’un a tord ou a raison, un système qui n’est pas en décalage est par exemple le système Chinois puisque là tout ce qui vient de l’extérieur et qui ne convient pas est bloqué, tout ce qui est hébergé en Chine doit respecter les lois Chinoises.
En gros à terme je ne vois que deux issues, accepter qu’on ne peut pas contrôler Internet et revenir à la grande époque de l’Internet libre ou glisser petit à petit vers le modèle Chinois…
#39
Pardon, oui, exact, confondu, c’était noscript qui était chiant.
#40
#41
#42
Il faudrait aussi qu’ils interdisent la géolocalisation par smartphone (tu peux venir visiter ma maison, je ne suis pas là, sonne, tu verras personne ne te répondra, mais où va-t-on ?)" />
#43
#44
c’est valable ?
https://disconnect.me/
https://www.privacyfix.com/start/install
http://www.cnetfrance.fr/news/do-not-track-le-standard-anti-pistage-du-w3c-39765…
#45