La justice belge a infligé vendredi un revers à Facebook en sommant le réseau social de cesser de pister les internautes en Belgique sans leur consentement, sous peine d’une astreinte de 250.000 euros par jour, pouvant atteindre 100 millions d’euros.
Le géant d’internet a immédiatement annoncé son intention de faire appel.
Facebook doit « cesser de suivre et d’enregistrer l’utilisation d’internet des personnes surfant de Belgique, jusqu’à ce qu’il se conforme à la loi belge sur la vie privée », écrit le tribunal néerlandophone de première instance de Bruxelles, dans un communiqué résumant un jugement de 84 pages.
Le groupe américain « doit également détruire toutes les données personnelles obtenues illégalement », poursuit le tribunal.
S’il ne se soumet pas au jugement, il devra payer une astreinte « de 250.000 euros par jour de retard, avec un maximum de 100 millions d’euros ».
« Nous sommes déçus du verdict d’aujourd’hui et nous avons l’intention de faire appel », a réagi Facebook auprès de l’AFP dans un communiqué.
Le justice avait été saisie au printemps 2015 par la Commission de la protection de la vie privée (CPVP), l’équivalent belge de la Cnil française, qui estimait que Facebook violait la loi belge.
-‘J’aime’-
Dans ce premier jugement sur le fond –après deux décisions en référé en 2015 et 2016– le tribunal affirme avoir « pleinement suivi la position » de la CPVP.
En cause, l’utilisation par le réseau social de « cookies » et de « pixels espions », ces micro-fichiers qui conservent les données ou les habitudes des internautes et continuent de les pister — qu’ils possèdent un compte ou non.
Mais aussi les boutons « J’aime » ou « Partager » présents sur Facebook et que l’entreprise met aussi à disposition de sites tiers.
Même si « vous n’avez jamais visité le site de Facebook auparavant, Facebook peut suivre votre comportement de navigation, sans que vous vous en rendiez compte », souligne le tribunal.
« Facebook ne nous informe pas suffisamment sur le fait qu’il recueille des informations sur nous, sur la nature des informations qu’il recueille » et « sur ce qu’il fait de ces informations », conclut-il.
Le géant américain n’obtient pas non plus « de notre part une autorisation valide pour recueillir et traiter tous ces renseignements ».
« C’est une grande victoire pour les internautes », s’est félicité Johannes Kleis, porte-parole du Bureau européen des associations de consommateurs (Beuc). « Ce que fait Facebook est contraire aux lois européennes sur la protection des données et devrait être stoppé dans toute l’UE. »
-‘Pertinent’-
Facebook soutient pour sa part que les « cookies » permettent d’examiner le comportement d’un internaute afin de déterminer s’il correspond à celui d’un utilisateur normal, ce qui permet d’éviter la création de faux comptes et réduit le risque qu’un compte soit piraté.
« Au cours des dernières années, nous avons travaillé dur pour aider les gens à comprendre comment nous utilisons les cookies pour sécuriser Facebook et leur montrer un contenu pertinent », souligne le groupe dans son communiqué de vendredi.
« Les cookies et les pixels que nous utilisons sont des technologies standard », ajoute-t-il.
Le réseau social a annoncé fin janvier à l’AFP avoir mis en place une importante équipe pour se préparer à l’entrée en vigueur, le 25 mai prochain, d’une nouvelle législation européenne sur la protection en ligne de la vie privée: le Règlement général sur la protection des données personnelles (RGPD).
Le RGPD représente une petite révolution pour les entreprises, administrations, associations, partis politiques, et aussi les sous-traitants qui seront tenus de ne collecter que les données personnelles nécessaires.
Ils ne pourront pas les garder plus longtemps que nécessaire et devront s’assurer du consentement éclairé des intéressés, qui garderont un droit de regard sur leur utilisation.
En France, la Cnil (Commission nationale de l’informatique et des libertés) avait infligé à Facebook en mai 2017 l’amende maximale de 150.000 euros pour « de nombreux manquements à la Loi informatique et libertés » dans sa gestion des données des utilisateurs.