Fil d'Ariane
Précisions sur les modules sociaux :
Les modules sociaux sont des composants de sites Internet qui sont conçus pour
partager le contenu d'une source externe avec le réseau social de Facebook et permettre une certaine personnalisation d'un site Internet externe. Des exemples de modules sociaux sont les boutons "J'aime" et "Partager". Les propriétaires de sites Internet externes qui ajoutent de tels modules sociaux à leur site Internet intègrent en quelque sorte un morceau de Facebook dans leur site Internet. La manière dont ces modules sociaux sont généralement implémentés sur des sites Internet externes forcent en d'autres termes le navigateur de l'utilisateur à extraire du contenu (comme des images ou des scripts) des serveurs de Facebook, communiquant ainsi à Facebook des informations sur les sites Internet visités par l'utilisateur au moyen de cookies (ce qu'on appelle le "third-party tracking").
Extrait de la recommandation au sujet de FaceBook de la Commission de protection de la vie privée belge (13/05/2015) - PDF
L'entreprise Facebook a fait appel de la décision de justice qui la condamne à verser une astreinte de 250 000 € par jour si elle continue à utiliser les cookies "datr" sur les navigateurs des internautes non-membres du réseau social. Cette décision non suspensive prendra effet demain.
La sanction judiciaire belge s'appuie sur la loi européenne et pourrait donc, à terme, s'étendre au delà de la Belgique. La CNIL française, questionnée sur cette affaire, confirme ne pas avoir encore sanctionné Facebook pour ses pratiques abusives, mais y travailler : "Nous ne sommes pas habilité à porter plainte comme peut le faire la Commission de protection de la vie privée, mais nous pouvons faire des contrôles et des mises en demeure. En ce moment il y a des investigations à l'égard de Facebook de plusieurs CNIL européennes, dont la CNIL française. Il y a un groupe de contact de 6 membres au sein du G29 (organe consultatif européen indépendant sur la protection des données et de la vie privée, ndlr) qui s'est emparé de la question de Facebook, comme ça a été le cas pour Google auparavant. Pour la France, c'est la "privacy policy" (politique de confidentialité) au sens large, qui est traitée ".
Principales constatations vis-à-vis des non-utilisateurs de Facebook
Facebook place un cookie d'identification unique "datr" avec une durée de
vie de 2 ans lorsque, pour la première fois, un non-utilisateur de Facebook :
— visite une page Internet appartenant au domaine facebook.com
— visite certains sites Internet où sont intégrés Facebook Connect ou des
modules sociaux, bien que Facebook agisse ici en tant que tiers
— se désinscrit sur le site Internet d'opt-out de l'European Interactive Digital Advertising Alliance (permet de connaître tous les cookies installés sur votre navigateur et de les dasactiver, ndlr) pour le traçage dans le cadre de publicités ciblées par Facebook (notamment)
Lorsque la personne concernée (navigateur) visite par la suite une page Internet avec des modules sociaux de Facebook, Facebook reçoit à nouveau ce cookie d'identification unique à chaque fois avec notamment l'URL de la page Internet visitée. Ces constatations confirment que Facebook est en mesure de suivre les habitudes de navigation de non-utilisateurs de Facebook au moyen de modules sociaux en dehors du domaine du réseau social de Facebook
Extrait de la recommandation au sujet de FaceBook de la Commission de protection de la vie privée belge (13/05/2015) - PDF
La décision belge soulève en réalité une problématique très européenne d'hétérogénéité administrative qui n'aide pas à stopper efficacement les pratiques illégales des géants américains de l'Internet. La CNIL reconnaît cet aspect pénalisant, mais espère des améliorations : "Les CNILS européennes n'ont pas toutes les mêmes prérogatives. La CNIL belge n'a pas de pouvoir de sanction, mais elle peut saisir la justice. En France, c'est l'inverse. La Belgique s'est emparée du problème du "tracking" (pistage ou traçage des internautes), et nous en France, en ce moment, nous travaillons sur la confidentialité au sens large. Cela prend plus de temps. Sur les sanctions, la loi française permet une amende de 150 000 euros comme ça été le cas pour Google, et de 300 000 euros en cas de récidive. Mais les choses sont en train de changer, avec un règlement européen sur les données personnelles qui devrait établir que les CNIL auront un pouvoir de sanction qui sera équivalent à un certain pourcentage du chiffre d'affaire des entreprises. Les discussions vont être sur combien : les discussions engagées parlent d'un chiffre entre 2 et 5%, ce qui change un petit peu la donne".
Facebook a 48 heures depuis ce lundi pour se mettre en conformité avec la loi belge sur la protection de la vie privée. Si le pistage des internautes par Facebook persiste après cette échéance, et ce malgré l'appel en justice, l'entreprise de Mark Zuckerberg devra payer 250 000 euros par jour à la Belgique. Facebook a déclaré ne pas comprendre pourquoi on voulait lui interdire ces technologies qu'elle utilise depuis 5 ans, et espère que le retrait des cookies datr ne pénalisera pas les utilisateurs qui pourraient avoir du mal à se connecter à son réseau social.
Le géant d'Internet semble pour l'heure accepter son sort. Il n'est pour autant pas certain qu'il se contente de plier définitivement sous le droit du vieux continent, surtout si les instances européennes ne le contraignent pas… de façon coordonnée et massive.