La justice belge a donné 48 heures à Facebook pour qu’il cesse de « tracer » les internautes qui n’ont pas de compte chez lui

Le réseau social utilise des micro-fichiers informatiques appelés « cookies » qui enregistrent les pages consultées par tout utilisateur ayant navigué sur le site de Facebook — même ceux qui n’y possèdent pas de compte.
10.11.15
Mark Zuckerberg à San Francisco, le 11 septembre 2012. (Photo via Wikimedia Commons)

Facebook n'a plus le droit de « tracer » les utilisateurs belges qui ne possèdent pas de compte sur le réseau social en utilisant des cookies, ces micro-fichiers placés par un site internet sur un ordinateur et qui enregistrent les navigations des internautes. C'est la décision qu'a rendu ce lundi le tribunal de première instance néerlandophone de Bruxelles. Facebook se défend de vouloir espionner, et a d'ores et déjà annoncé avoir l'intention de faire appel.

La cour a ordonné à Facebook de cesser dans les 48 heures de conserver les données des personnes qui surfent sur internet depuis la Belgique et qui ne sont pas enregistrées sur le réseau social. La peine prévue si Facebook ne se conforme pas à cette décision est de 250 000 euros par jour.

« Nous pensons que le jugement de la Cour est un pas important vers une meilleure protection de la vie privée pour les usagers d'internet », nous ont dit ce mardi après-midi les chercheurs Brendan Van Alsenoy et Günes Acar, co-auteurs d'un rapport sur lequel la Cour a basé son jugement. « Cela lance un signal clair : les entreprises du web n'ont pas le droit de tracer de manière indiscriminée les individus sans leur consentement ou sans qu'ils en soient conscients. »

La loi belge, conformément à la loi européenne, stipule en effet qu'un internaute ne peut faire l'objet d'un tel « traçage » que dans le cas où il en a par avance été informé et qu'il l'a accepté. Les informations recueillies par des cookies peuvent par exemple être utilisées pour pratiquer de la publicité ciblée.

« Facebook place des cookies qui enregistrent qu'un internaute a visité une page Facebook, par exemple celle d'un ami, mais aussi qu'il a visité la page d'une chaîne de magasins, d'un parti politique, d'un groupe d'entraide ou d'une autre association », explique le tribunal dans un communiqué envoyé par mail. « Ainsi, ces cookies conservent les intérêts éventuels et les préférences des internautes. »

Le tribunal de Bruxelles avait été saisi en juin dernier par la Commission de la protection de la vie privée belge (CPVP), qui a pour mission de veiller au respect de la vie privée lors du traitement de données à caractère personnel — l'équivalent de la CNIL en France.

Un rapport à l'origine de l'action en justice

Avant d'avoir recours à la justice, la Commission de la vie privée belge avait commandé un rapport à des chercheurs de l'université de Louvain et de la Vrije Universiteit Brussel. Une première version du texte avait été rendue publique en février 2015.

Ce rapport, qui détaille en profondeur le fonctionnement du réseau social, avait établi que Facebook traçait, en plus de ses membres, également les non-utilisateurs de Facebook qui consultaient le site sans pour autant y avoir créé un compte. Une opération réalisée par un cookie nommé « datr ».

Selon les chercheurs, cette utilisation des « cookies » contrevient à la législation européenne en vigueur. En effet, l'article 5.3 de la directive européenne sur la protection de la vie privée dans le secteur des communications électroniques, adoptée le 12 juillet 2002 et connue sous le nom de « ePrivacy Directive », stipule que le stockage d'information « n'est autorisé qu'à la condition que le souscripteur ou l'utilisateur concerné ait été clairement informé […] du but de ce processus, et qu'il se voit offert le droit de le refuser […] ».

Par ailleurs, le rapport critiquait également le fait que les utilisateurs du réseau eux-mêmes, ceux qui possèdent donc un compte Facebook, n'ont d'autre choix que d'accepter la présence des cookies, et qu'ils continuent à être « tracés », même une fois déconnectés ou leur compte désactivé.

La défense de Facebook : assurer la sécurité

Suite à cette étude, la Commission de la vie privée belge avait publié une recommandation de principe début mai : « Facebook doit renoncer au placement systématique de cookies […] chez les non-utilisateurs de Facebook », avait notamment déclaré la CPVP.

Mais Facebook n'en a pas tenu compte. Un porte-parole du réseau social avait expliqué fin mars au Business Insider que les informations enregistrées ne servaient à aucune utilisation en lien avec de la publicité, mais que le but était plutôt d'assurer la sécurité des internautes et l'intégrité de son service, en prévenant la création massive de comptes par des robots ou les connexions non autorisées, par exemple. Alex Stamos, le responsable de la sécurité pour Facebook, l'a à nouveau expliqué dans un billet posté le 13 octobre dernier.

Mais la Commission de la vie privée belge n'a pas considéré que cet argument était fondé : « Tout d'abord, il est possible de garantir la sécurité des utilisateurs de manière moins intrusive », déclare-t-elle dans son rapport. De plus, selon elle, « pour un "attaquant" potentiel, ce serait un jeu d'enfant de simplement bloquer et/ou supprimer les cookies lors du lancement de l'attaque. »

Facebook mis en difficulté par les lois européennes

Ce n'est pas la première fois que Facebook est confronté à des problèmes posés par la législation européenne. Une plainte contre Facebook est en cours en Autriche.

Cette plainte a été rendue possible par une décision, le 6 octobre dernier, de la Cour de justice de l'Union européenne (CJUE). Elle a en effet déclaré que le cadre juridique qui encadre le transfert des données d'Europe aux États-Unis pour les entreprises était « invalide ». Concrètement : rien ne dit que les données qui transitent sont réellement protégées.

Ce cadre juridique, ou « Safe Harbor » (« sphère de sécurité »), est celui qui régit l'envoi des données récoltées par Facebook en Europe jusqu'aux États-Unis. Désormais, les législations nationales pourront ainsi vérifier si le transfert des données est réellement sûr.

Suite à cette décision de la cour européenne, et suite à une plainte portée par un Autrichien, Max Schrems, une commission irlandaise — pays où est basée la filiale de Facebook en Europe — va également devoir enquêter sur l'envoi de ces données vers les serveurs américains.

Suivez Lucie Aubourg sur Twitter : @LucieAbrg

À lire : Le vagin de Courbet fera passer Facebook devant la justice française