Belgique : Facebook condamné pour traque illégale, et ensuite ?

Mark Zuckerberg, le PDG de FaceBook, présentant l'application Messenger lors d'une conférence le 4 novembre 2015 (AP Photo/Eric Risberg)

La condamnation de Facebook ce lundi 9 novembre par la justice belge interdit désormais au géant d'Internet de traquer les visiteurs belges consultant son réseau social. Cette décision d'un tribunal national qui s'appuie sur le droit européen pourrait-elle stopper les pratiques intrusives de la plateforme web aux 1,5 millards d'utilisateurs ?

dans
La Belgique est fière d'avoir réussi ce qu'aucun autre pays au monde n'a encore pu faire : condamner Facebook pour pratiques abusives de pistage et de conservation de données personnelles sans consentement de l'utilisateur. L'infraction constatée contrevient au droit belge mais aussi à la léglislation européenne sur la protection des données. C'est la Commission de la vie privée belge (équivalent de la Commission nationale informatique et liberté en France, CNIL, ndlr) qui avait assigné le géant Internet en justice, en juin dernier.

Explications  : les utilisateurs de Facebook, en s'inscrivant sur le réseau social, donnent leur accord pour que leurs données — dont celles de connexion — puissent être utilisées par l'entreprise américaine. Cette pratique contractuelle est connue, et les utilisateurs de Facebook en "signant" la CGU (Condition générale d'utilisation) lors de leur inscription, offrent cette possibilité à l'entreprise.

Mais lorsque des utilisateurs non inscrits fréquentent le réseau social et cliquent sur des boutons "j'aime", consultent des pages de Facebook, ils sont eux aussi traqués sans donner leur accord. De la même manière, les membres de Facebook, lorsqu'ils sont déconnectés du réseau social et naviguent ailleurs sur Internet, sont toujours traqués par le réseau social…

"Facebook vous observe"

Ces précisions techniques de pistage numérique opérées par  Facebook à l'encontre des internautes ont été dévoilées en février dernier par des chercheurs belges des
universités de Leuven et de la Vrije Universiteit Brussel. C'est leur rapport qui a poussé la Commission à attaquer l'entreprise californienne en justice.

Ce qu'ont découvert les chercheurs, est l'utilisation par Facebook de cookies spécifiques (ces petits fichiers utilisés par le navigateur et contenant des informations sur les actions de l'utilisateur), appelés "datr" et placés sur l'ordinateur des internautes, à leur insu. Des "modules sociaux" installés par des sites-tiers (partage de contenus extérieurs avec Facebook) viennent compléter le dispositif illégal de traque des données des utilisateurs.

Les cookies "datr" que le géant américain dépose sur l'ordinateur des internautes qui utilisent Facebook — qu'ils en soient membres ou non — contiennent de nombreuses informations de navigation qui  sont utilisées à des fins commerciales par la firme. Les cookies "datr" contiennent aussi le mot de passe de l'utilisateur.  Le tribunal précise les problématiques engendrées par ces dispositifs techniques, dans un communiqué : "
"Facebook place des cookies qui retiennent qu’un internaute a visité une page Facebook, par exemple celle d’un ami, mais aussi qu’il a visité la page d’une chaîne de magasins, d’un parti politique, d’un groupe d’entraide ou d’une autre association"
 

Précisions sur les modules sociaux :
Les modules sociaux sont des composants de sites Internet qui sont conçus pour
partager le contenu d'une source externe avec le réseau social de Facebook et permettre une certaine personnalisation d'un site Internet externe. Des exemples de modules sociaux sont les boutons "J'aime" et "Partager". Les propriétaires de sites Internet externes qui ajoutent de tels modules sociaux à leur site Internet intègrent en quelque sorte un morceau de Facebook dans leur site Internet. La manière dont ces modules sociaux sont généralement implémentés sur des sites Internet externes forcent en d'autres termes le navigateur de l'utilisateur à extraire du contenu (comme des images ou des scripts) des serveurs de Facebook, communiquant ainsi à Facebook des informations sur les sites Internet visités par l'utilisateur au moyen de cookies (ce qu'on appelle le "third-party tracking").
Extrait de la recommandation au sujet de FaceBook de la Commission de protection de la vie privée belge (13/05/2015) - PDF

Le droit européen bafoué ?

L'entreprise Facebook a fait appel de la décision de justice qui la condamne à verser une astreinte de 250 000 € par jour si elle continue à utiliser les cookies "datr" sur les navigateurs des internautes non-membres du réseau social. Cette décision non suspensive prendra effet demain.

La sanction judiciaire belge s'appuie sur la loi européenne et pourrait donc, à terme, s'étendre au delà de la Belgique. La CNIL française, questionnée sur cette affaire, confirme ne pas avoir encore sanctionné Facebook pour ses pratiques abusives, mais y travailler  : "Nous ne sommes pas habilité à porter plainte comme peut le faire la Commission de protection de la vie privée, mais nous pouvons faire des contrôles et des mises en demeure. En ce moment il y a des investigations à l'égard de Facebook de plusieurs CNIL européennes, dont la CNIL française. Il y a un groupe de contact de 6 membres au sein du G29 (organe consultatif européen indépendant sur la protection des données et de la vie privée, ndlr) qui s'est emparé de la question de Facebook, comme ça a été le cas pour Google auparavant. Pour la France, c'est la "privacy policy" (politique de confidentialité) au sens large, qui est traitée ".

Principales constatations vis-à-vis des non-utilisateurs de Facebook

Facebook place un cookie d'identification unique "datr" avec une durée de
vie de 2 ans lorsque, pour la première fois, un non-utilisateur de Facebook :

— visite une page Internet appartenant au domaine facebook.com
— visite certains sites Internet où sont intégrés Facebook Connect ou des
modules sociaux, bien que Facebook agisse ici en tant que tiers
— se désinscrit sur le site Internet d'opt-out de l'European Interactive Digital Advertising Alliance (permet de connaître tous les cookies installés sur votre navigateur et de les dasactiver, ndlr) pour le traçage dans le cadre de publicités ciblées par Facebook (notamment)

Lorsque la personne concernée (navigateur) visite par la suite une page Internet avec des modules sociaux de Facebook, Facebook reçoit à nouveau ce cookie d'identification unique à chaque fois avec notamment l'URL de la page Internet visitée. Ces constatations confirment que Facebook est en mesure de suivre les habitudes de navigation de non-utilisateurs de Facebook au moyen de modules sociaux en dehors du domaine du réseau social de Facebook
Extrait de la recommandation au sujet de FaceBook de la Commission de protection de la vie privée belge (13/05/2015) - PDF

La décision belge soulève en réalité une problématique très européenne d'hétérogénéité administrative qui n'aide pas à stopper efficacement les pratiques illégales des géants américains de l'Internet. La CNIL reconnaît cet aspect pénalisant, mais espère des améliorations : "Les CNILS européennes n'ont pas toutes les mêmes prérogatives. La CNIL belge n'a pas de pouvoir de sanction, mais elle peut saisir la justice. En France, c'est l'inverse. La Belgique s'est emparée du problème du "tracking" (pistage ou traçage des internautes), et nous en France, en ce moment, nous travaillons sur la confidentialité au sens large. Cela prend plus de temps. Sur les sanctions, la loi française permet une amende de 150 000 euros comme ça été le cas pour Google, et de 300 000 euros en cas de récidive. Mais les choses sont en train de changer, avec un règlement européen sur les données personnelles qui devrait établir que les CNIL auront un pouvoir de sanction qui sera équivalent à un certain pourcentage du chiffre d'affaire des entreprises. Les discussions vont être sur combien : les discussions engagées parlent d'un chiffre entre 2 et 5%, ce qui change un petit peu la donne".

Facebook a 48 heures depuis ce lundi pour se mettre en conformité avec la loi belge sur la protection de la vie privée. Si le pistage des internautes par Facebook persiste après cette échéance, et ce malgré l'appel en justice, l'entreprise de Mark Zuckerberg devra payer 250 000 euros par jour à la Belgique. Facebook a déclaré ne pas comprendre pourquoi on voulait lui interdire ces technologies qu'elle utilise depuis 5 ans, et espère que le retrait des cookies datr ne pénalisera pas les utilisateurs qui pourraient avoir du mal à se connecter à son réseau social.

Le géant d'Internet semble pour l'heure accepter son sort. Il n'est pour autant pas certain qu'il se contente de plier définitivement sous le droit du vieux continent, surtout si les instances européennes ne le contraignent pas… de façon coordonnée et massive.