gdpr-article

Facebook condamné à se mettre en conformité avec la loi belge sous peine d’une astreinte de 250.000 euros par jour de retard

Dans une décision en date du 16 février 2018, le tribunal de première instance de Bruxelles a condamné la société Facebook pour avoir suivi et enregistré le comportement de navigation des personnes sans leur consentement.

C’est l’aboutissement d’une procédure judiciaire entamée en 2015 par la CPVP (Commission de la Protection de la vie privée), l’homologue belge de la CNIL (Commission Nationale Informatique et Libertés) française, qui estimait que la société Facebook violait la loi belge. Dans ce premier jugement sur le fond, après deux décisions en référé de 2015 et 2016, le tribunal affirme avoir « pleinement suivi la position » de l’autorité.

La décision est à la fois sévère et originale. Sévère pour l’astreinte de 250 000 euros par jour de retard, avec un maximum de 100 millions d’euros, et originale car la situation des non-utilisateurs est visée et à travers eux, la question des cookies et autres dispositifs de pistage et de profilage (les boutons « J’aime » ou « Partager » présents sur Facebook et que l’entreprise met aussi à disposition de sites tiers).

Le tribunal belge compétent pour se prononcer sur cette affaire

Le tribunal fonde tout d’abord sa compétence sur l’arrêt Google Spain SL du 13 mai 2014 qui affirme que le droit national relatif aux données personnelles s’applique lorsqu’un responsable de traitement, qui n’est pas établi sur le territoire de l’Union européenne, recourt à des « moyens » de traitement de données à caractère personnel situés sur le territoire de l’état membre. Or en l’espèce, il existe bien en Belgique une filiale de Facebook Inc., la société Facebook Belgium qui réalise des missions relatives au marketing, à la gestion des affaires publiques et à la vente d’espaces publicitaires en Belgique pour le groupe.

La non-conformité de Facebook à la législation belge

Le tribunal constate ensuite que le réseau social ne respecte pas la législation belge en matière de vie privée. Pour ce faire, il se base sur une enquête de la CPVP qui pointe que Facebook n’obtiendrait pas le consentement valable des personnes concernées par la collecte de leurs données. L’organisme ne fournirait pas non plus une information suffisante concernant les catégories de données collectées, leur usage, la durée de conservation, les technologies mises en œuvre et les droits des personnes. Aussi, cette collecte serait déloyale, en plus d’être excessive. En effet, Facebook ne respecterait pas le choix d’outils d’opt-out par l’internaute qui continuerait à recevoir de la publicité de la part de la société. De plus, il ressort qu’elle aurait recours à différentes technologies (« cookies », « social plug-ins », « pixels ») dont la combinaison serait de nature à reconstituer les comportements de navigation de ses utilisateurs mais également de non-utilisateurs. La Commission déclare ainsi que : « Facebook est quand même en mesure de suivre votre comportement de navigation sans que vous ne le sachiez, et a fortiori, sans que vous ne le souhaitiez, grâce à ces pixels invisibles que Facebook a placés sur plus de 10 000 autres sites ».

Pour sa part, Facebook soutenait que les cookies permettent d’examiner le comportement d’un internaute afin de déterminer s’il correspond à celui d’un utilisateur normal, d’éviter la création de faux comptes et de réduire le risque de piratage. Le réseau social ajoutait que les « cookies et pixels » sont des technologies standards et que des efforts sont faits depuis quelques années pour aider les gens à comprendre ces différentes technologies.

Le tribunal conclut à la non-conformité des traitements mise en œuvre par l’entreprise pour défaut d’information et d’autorisation valable des personnes concernées à la collecte et au traitement de leurs données à caractère personnel.

Les mesures ordonnées par la justice belge

Le tribunal ordonne que :

  • Facebook cesse de suivre et d’enregistrer le comportement de navigation des personnes qui surfent depuis la Belgique tant qu’il ne met pas ses pratiques en conformité avec la législation belge en matière de vie privée.
  • Facebook détruise toutes les données à caractère personnel obtenues illégalement.
  • Facebook publie l’intégralité du jugement, qui s’étend sur 84 pages, sur son site Internet et publie les trois dernières pages de ce jugement avec les mesures imposées dans des journaux papier belges néerlandophones et francophones.

 Le réseau social doit désormais modifier ses pratiques. Il avait déjà été condamné par la CNIL à l’amende maximale de 150 000 euros pour « de nombreux manquements à « la Loi Informatique et libertés » en mai 2017 et par un tribunal berlinois le 16 janvier 2018 pour utilisation illégale des données personnelles de ses utilisateurs en janvier 2018. Les avocats du réseau social ont d’ores et déjà indiqué qu’ils allaient faire appel de cette décision.

 

Autres Articles

Prêt pour votre mise en conformité RGPD ?