Jurisprudence - Respect de la vie privée
| Vie privée - Compétence des juridictions belges (oui) - Droit applicable - Référé - Urgence (oui) - Traitement des données à caractère personnel - Cookies - Plug-ins sociaux - Utilisateur non inscrit du réseau Facebook - Information préalable - Consentement éclairé. . |
Le traitement automatisé des adresses I.P. et des cookies de navigateur permettant une identification unique, comme le cookie « Datr », constitue un traitement de données à caractère personnel étant donné qu'il correspond parfaitement à la définition visée à l'article 2, b, de la directive 95/46/CE et à l'article 1er, paragraphe 2, de la loi relative à la protection de la vie privée.
Ce traitement, qui inclut le simple enregistrement ou la simple réception automatisée de ces données du navigateur d'un utilisateur qui visite une page web dotée d'un plug-in social, doit par conséquent satisfaire aux conditions stipulées aux articles 4 et 5 de la loi relative à la protection de la vie privée ainsi qu'à l'article 129 de la loi relative aux communications électroniques.
Dans le cas d'un utilisateur qui se trouve sur le territoire belge qui ne s'est jamais inscrit sur Facebook, ni n'a valablement consenti, de quelque manière que ce soit, aux conditions d'utilisation de Facebook, mais qui a accédé au domaine facebook.com et a donc fait l'objet d'un enregistrement d'un cookie « Datr », les défenderesses ne peuvent prouver qu'elles étaient autorisées en vertu d'un quelconque consentement indubitable de l'utilisateur à enregistrer ce cookie « Datr » et à ensuite le recevoir à nouveau.
Étant donné que les données à caractère personnel des utilisateurs non inscrits, en particulier en cas d'utilisation irréfléchie de la bannière ou du plug-in social, sont déjà traitées avant même que l'utilisateur non inscrit n'ait pu s'informer de manière exhaustive - voire alors qu'il ne souhaite pas faire usage du plug-in social ou, plus généralement, des services Facebook -, ces données ne font manifestement pas l'objet d'un traitement équitable et légitime. Elles ne sont en outre pas obtenues pour des finalités déterminées, explicites et légitimes, et sont traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des prévisions raisonnables de l'intéressé et des dispositions légales et réglementaires applicables, en violation de l'article 4, 1° et 2° de la loi relative à la protection de la vie privée.
Facebook ne peut pas invoquer le nécessité du traitement pour la réalisation de l'intérêt légitime qu'il poursuit, puisque que la mise en balance provisoire de l'intérêt de Facebook contre les droits fondamentaux des non-utilisateurs concernés penche incontestablement en faveur des non-utilisateurs, dès lors que les traitements litigieux sont clairement disproportionnés vu la finalité indiquée et l'échelle à laquelle les traitements sont effectués, et dès lors qu'il ne s'agit pas de traitements équitables et légitimes.
(Président de la Commission belge de protection de la vie privée / Facebook Inc., S.P.R.L. Facebook Belgium, Facebook Ireland Limited )
(...) La loi du 13 juin 2005 relative aux communications électroniques est la transposition en droit belge de - notamment - la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (« directive vie privée et communications électroniques ») (J.O.C.E., 31 juillet 2002, L 201/37) (article 1er de la loi). Cette directive dispose en son article premier :
« Article premier
Champ d'application et objectif
1. La présente directive harmonise les dispositions des États membres nécessaires pour assurer un niveau équivalent de protection des droits et libertés fondamentaux, et en particulier du droit à la vie privée, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circulation de ces données et des équipements et des services de communications électroniques dans la Communauté.
2. Les dispositions de la présente directive précisent et complètent la directive 95/46/CE aux fins énoncées au paragraphe 1er. En outre, elles prévoient la protection des intérêts légitimes des abonnés qui sont des personnes morales. (...) ».
Dès lors que la loi du 13 juin 2005 relative aux communications électroniques constitue une transposition de cette directive, elle spécifie et complète également la directive 95/46/CE, elle-même transposée par la loi relative à la protection de la vie privée.
Dans ce sens - et uniquement en ce sens - la Commission de la protection de la vie privée peut donc invoquer l'article 129 de la loi relative aux communications électroniques. L'article 129 de la loi relative aux communications électroniques, qui est invoqué par la Commission de la protection de la vie privée, renvoie lui-même à deux reprises à la loi relative à la protection de la vie privée, lorsqu'il stipule que l'abonné ou l'utilisateur concerné doit recevoir, conformément aux conditions fixées dans la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, des informations claires et précises concernant les objectifs du traitement et ses droits sur la base de la loi du 8 décembre 1992, et que son consentement n'exempte pas le responsable du traitement des obligations de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel qui ne sont pas imposées par ledit article.
(...)
| 3.5. |
Évaluation de la modalité de référé |
Facebook enregistre manifestement le cookie « Datr » lorsqu'un internaute visite une page web du domaine facebook.com, indépendamment du fait qu'il soit ou non un utilisateur de Facebook. Ce cookie a une durée de validité de deux ans. Pendant ces deux années, le cookie reste sur l'ordinateur de l'internaute, à moins que ce dernier ne le supprime lui-même.
Lorsque cet internaute visite par la suite un site web sur lequel se trouve un plug-in social de Facebook, le serveur de Facebook demandera au navigateur de l'intéressé, lors du chargement du contenu du plug-in social, d'envoyer le cookie « Datr ». Le cookie « Datr » n'est cependant pas le seul composant de la communication entre le navigateur et le serveur de Facebook : l'adresse I.P. de l'internaute et l'U.R.L. du site web sur lequel se trouve le plug-in sont également transmises. L'envoi de l'adresse I.P., en particulier, est en effet une propriété essentielle du T.C.P./I.P., le protocole qui permet la communication par Internet et sur lequel repose le protocole H.T.T.P.
La combinaison des cookies « Datr », de l'adresse I.P. et du site web que l'internaute visite permet à Facebook de suivre le comportement de navigation de l'internaute individuel.
La présente requête de la Commission de la protection de la vie privée vise à entendre dire que Facebook, en (a) enregistrant le cookie « Datr » sur les ordinateurs de non-utilisateurs belges et en (b) interrogeant ensuite les informations contenues dans ce cookie chaque fois que des non-utilisateurs belges visitent un site web sur lequel un plug-in social de Facebook a été intégré, enfreint la loi relative à la protection de la vie privée et l'article 129 de la loi relative aux communications électroniques.
Selon la Commission de la protection de la vie privée, Facebook viole ainsi les articles 4 et 5 de la loi relative à la protection de la vie privée :
« Article 4. Paragraphe 1er. Les données à caractère personnel doivent être :
1° traitées loyalement et licitement ;
2° collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des prévisions raisonnables de l'intéressé et des dispositions légales et réglementaires applicables. Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n'est pas réputé incompatible lorsqu'il est effectué conformément aux conditions fixées par le Roi, après avis de la Commission de la protection de la vie privée ;
3° adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues et pour lesquelles elles sont traitées ultérieurement ;
4° exactes et, si nécessaire, mises à jour ; toutes les mesures raisonnables doivent être prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées ;
5° conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont obtenues ou pour lesquelles elles sont traitées ultérieurement. Le Roi prévoit, après avis de la Commission de la protection de la vie privée, des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques.
Paragraphe 2. Il incombe au responsable du traitement d'assurer le respect du paragraphe 1er.
Article 5. Le traitement de données à caractère personnel ne peut être effectué que dans l'un des cas suivants :
a. lorsque la personne concernée a indubitablement donné son consentement ;
b. lorsqu'il est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ;
c. lorsqu'il est nécessaire au respect d'une obligation à laquelle le responsable du traitement est soumis par ou en vertu d'une loi, d'un décret ou d'une ordonnance ;
d. lorsqu'il est nécessaire à la sauvegarde de l'intérêt vital de la personne concernée ;
e. lorsqu'il est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées ;
f. lorsqu'il est nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le tiers auquel les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée qui peut prétendre à une protection au titre de la présente loi.
Le Roi peut, par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée, préciser les cas où la condition mentionnée sous f. est considérée ne pas être remplie ».
De l'avis de la Commission de la protection de la vie privée, Facebook viole par ailleurs les droits des intéressés en ne leur fournissant pas au préalable les informations pourtant prescrites par l'article 9 de la loi relative à la protection de la vie privée.
Enfin, la Commission de la protection de la vie privée est d'avis que Facebook enfreint l'article 129 de la loi relative aux communications électroniques en collectant le cookie « Datr » chaque fois qu'un non-utilisateur visite un site web d'un tiers sur lequel un plug-in social de Facebook a été intégré, sans avoir obtenu à cette fin le consentement préalable, libre, spécifique, éclairé et indubitable des non-utilisateurs.
Le siège ne peut adhérer au point de vue de Facebook lorsque cette dernière affirme que les informations qu'elle collecte permettraient uniquement d'identifier un ordinateur et ne constitueraient pas des données à caractère personnel.
Les articles 2 de la directive 95/46/CE et 1er, paragraphes 1er et 2 de la loi relative à la protection de la vie privée définissent comme suit les concepts « données à caractère personnel » et « traitement des données à caractère personnel » :
« Article 2
Définitions
Aux fins de la présente directive, on entend par :
a. "données à caractère personnel" : toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ;
b. "traitement de données à caractère personnel" (traitement) : toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction ; ».
Le cookie « Datr » que Facebook enregistre sur l'ordinateur d'un internaute et par le biais duquel elle obtient des informations identifie de manière unique le navigateur internet de l'internaute en question. Le cookie contient en effet un « unique identifier ». Facebook reçoit également des informations additionnelles qui lui permettent, directement ou indirectement, d'identifier des individus, par exemple l'adresse I.P. de l'ordinateur de l'internaute.
Tant la Cour de justice de l'Union européenne que le groupe de travail article 29 ont déjà explicitement confirmé que les adresses I.P. constituent des « données à caractère personnel » (voy. notamment l'arrêt de la Cour de justice, Scarlet Extended S.A. c. Société belge des auteurs, compositeurs et éditeurs S.C.R.L. (SABAM) du 24 novembre 2011, C-70/10, point 51 i.f. : « (...), ces adresses étant des données protégées à caractère personnel, car elles permettent l'identification précise desdits utilisateurs »).
Étant donné que les défenderesses affirment elles-mêmes que le cookie « Datr » est notamment utilisé pour exercer une certaine forme de contrôle d'accès, et donc entre autres pour déterminer à qui l'accès à un service Facebook sera le cas échéant refusé, le cookie « Datr » doit à ce titre être lui aussi considéré comme une donnée à caractère personnel.
Le traitement automatisé des adresses I.P. et des cookies de navigateur permettant une identification unique, comme le cookie « Datr », constitue par conséquent un traitement de données à caractère personnel étant donné qu'il correspond parfaitement à la définition visée à l'article 2, b, de la directive 95/46/CE et à l'article 1er, paragraphe 2, de la loi relative à la protection de la vie privée.
Ce traitement, qui inclut le simple enregistrement ou la simple réception automatisée de ces données du navigateur d'un utilisateur qui visite une page web dotée d'un plug-in social, doit par conséquent satisfaire aux conditions stipulées aux articles 4 et 5 de la loi relative à la protection de la vie privée. Pour cette raison, le fait que Facebook enregistre ces données durablement ou seulement pour une courte durée n'est pas pertinent.
Dans le cas d'un utilisateur qui se trouve sur le territoire belge mais qui ne s'est jamais inscrit sur Facebook, ni n'a valablement consenti, de quelque manière que ce soit, aux conditions d'utilisation de Facebook, mais qui a accédé au domaine facebook.com et a donc fait l'objet d'un enregistrement d'un cookie « Datr », les défenderesses ne prouvent pas qu'elles étaient autorisées en vertu d'un quelconque consentement indubitable de l'utilisateur (article 5, a de la loi relative à la protection de la vie privée) à enregistrer ce cookie « Datr » et à ensuite le recevoir à nouveau.
En ce qui concerne le stockage d'informations ou l'obtention de l'accès à des informations déjà stockées dans les équipements terminaux d'un utilisateur - définition à laquelle l'enregistrement et la lecture ultérieure de cookies répondent manifestement -, l'article 129 de la loi relative aux communications électroniques est des plus explicites :
« Article 129. Le stockage d'informations ou l'obtention de l'accès à des informations déjà stockées dans les équipements terminaux d'un abonné ou d'un utilisateur est autorisé uniquement à condition que :
1° l'abonné ou l'utilisateur concerné reçoive, conformément aux conditions fixées dans la loi du 8 décembre 1992 relative à la protection de la vie privée et à l'égard des traitements de données à caractère personnel, des informations claires et précises concernant les objectifs du traitement et ses droits sur la base de la loi du 8 décembre 1992 ;
2° l'abonné ou l'utilisateur final ait donné son consentement après avoir été informé conformément aux dispositions visées au point 1°.
L'alinéa 1er n'est pas d'application pour l'enregistrement technique des informations ou de l'accès aux informations stockées dans les équipements terminaux d'un abonné ou d'un utilisateur final ayant pour seul but de réaliser l'envoi d'une communication via un réseau de communications électroniques ou de fournir un service demandé expressément par l'abonné ou l'utilisateur final lorsque c'est strictement nécessaire à cet effet.
Le consentement au sens de l'alinéa 1er ou l'application de l'alinéa 2, n'exempte pas le responsable du traitement des obligations de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel qui ne sont pas imposées par le présent article.
Le responsable du traitement donne gratuitement la possibilité aux abonnés ou utilisateurs finals de retirer le consentement de manière simple ».
La Commission irlandaise de protection des données a déclaré à ce sujet :
« Les cookies ne nécessitent pas tous un consentement pour pouvoir être utilisés. Il s'agit de cookies qui sont essentiels à la fourniture d'un service demandé par l'utilisateur - cookies de session, cookies d'authentification (pendant la durée de la session) et cookies servant à protéger l'utilisateur. Par exemple, le stockage d'articles dans un panier sur un site de vente en ligne ne requerra pas de consentement préalable. En général, ce sera le cas lorsque le cookie n'est enregistré que pour la durée de la session et est supprimé en fin de session ».
Le cookie « Datr » incriminé, qui ne disparaît pas à la fin de la session mais reste stocké pendant encore deux ans dans les dossiers utilisés par le navigateur, ne répond pas à cette définition et est manifestement soumis aux règles des articles 4 et 5 de la loi relative à la protection de la vie privée ainsi que de l'article 129 de la loi relative aux communications électroniques.
À l'audience consacrée aux plaidoyers, il a été abondamment question de la bannière que Facebook fait depuis peu apparaître sur sa page d'accueil et qui apparaît manifestement toujours lorsqu'un utilisateur n'a encore jamais visité une page du domaine facebook.com. Cette bannière se compose du texte : « Les cookies nous permettent de fournir, protéger et améliorer les services de Facebook. En continuant à utiliser notre site, vous acceptez notre politique d'utilisation des cookies ».
En cliquant sur le lien hypertexte associé aux mots « Politique d'utilisation des cookies », on accède à une page intitulée « Cookies, pixels et technologies similaires », laquelle fournit des explications relativement détaillées concernant les cookies. Toutefois, le cookie « Datr » n'y est pas explicitement nommé.
Apparemment, le cookie « Datr » n'est pas encore enregistré à ce moment, mais l'est au moment où l'utilisateur non inscrit clique sur un autre élément de cette page, par exemple sur les liens hypertextes « Services Facebook » ou « Déclaration des droits et responsabilités ».
De même, le cookie « Datr » ne serait pas enregistré lorsqu'un utilisateur non inscrit clique, consciemment ou non, sur un plug-in social de Facebook se trouvant sur une page web extérieure au domaine Facebook. En revanche, lorsque l'utilisateur clique sur « Annuler » pour quitter le plug-in social, le cookie « Datr » est apparemment enregistré.
De l'avis du siège, Facebook ne peut pas assimiler ces actes avec le fait de donner un consentement éclairé. Dans le premier cas, l'utilisateur est en effet encore en train de s'informer et le fait d'approfondir les informations proposées ne peut pas être assimilé à une utilisation des services Facebook. Dans le deuxième cas, ce même utilisateur non inscrit indique en quittant le plug-in qu'il ne souhaite justement pas faire usage du service proposé.
Le siège est également d'avis que Facebook ne dispose pas du consentement éclairé et indubitable de l'utilisateur lorsqu'il s'agit de consulter un cookie « Datr » enregistré précédemment dans le navigateur d'un utilisateur non inscrit. En vertu de l'article 129 de la loi relative aux communications électroniques, le responsable du traitement doit en effet avoir le consentement de l'utilisateur à la fois pour le stockage d'informations et pour l'obtention de l'accès à des informations déjà stockées dans les équipements terminaux d'un utilisateur.
Au surplus, on ne peut pas qualifier un non-utilisateur ayant un jour ou l'autre visité le domaine facebook.com (et sur l'ordinateur de qui le cookie « Datr » a par conséquent été enregistré) d'« utilisateur », au sens de l'article 129 de la loi relative aux communications électroniques, qui demanderait explicitement un service Facebook chaque fois qu'il visite un site web de tiers sur lequel un plug-in social a été implémenté.
De l'avis du siège, on ne peut en effet pas considérer comme des « utilisateurs » des services Facebook des personnes qui ne disposent pas d'un compte Facebook mais qui ont un jour ou l'autre visité une page du domaine Facebook, ne serait-ce que parce que l'on peut aussi accéder tout à fait involontairement à la page Facebook d'un individu ou d'une organisation, par exemple en suivant un lien se trouvant sur une page web extérieure au domaine Facebook sans savoir que ce lien réfère à une page Facebook.
Le siège adhère en effet au point de vue de la Commission de la protection de la vie privée lorsque celle-ci affirme que rien ne prouve que les personnes qui visitent à l'occasion une page web du domaine facebook.com aient marqué leur accord sur les conditions d'utilisation de Facebook vers lesquelles pointe un lien se trouvant sur cette page, et donc aient consenti à ce que le cookie « Datr » soit enregistré sur leur disque dur. On ne peut que faire dans ce dossier une distinction entre, d'une part, les internautes disposant d'un compte Facebook, et, d'autre part, ceux qui n'en disposent pas mais qui visitent occasionnellement une page web du domaine facebook.com. Pour les premiers, on peut supposer qu'ils aient donné, au moins implicitement mais en tout cas indubitablement, leur consentement en vue de l'enregistrement et de la consultation ultérieure du cookie « Datr », mais pour les seconds, les défenderesses doivent le prouver. Or, il a été considéré plus haut que l'obtention de ce consentement n'a pas été prouvée.
Étant donné que les données à caractère personnel des utilisateurs non inscrits, en particulier en cas d'utilisation irréfléchie de la bannière ou du plug-in social, sont déjà traitées avant même que l'utilisateur non inscrit n'ait pu s'informer de manière exhaustive - voire alors qu'il ne souhaite pas faire usage du plug-in social ou, plus généralement, des services Facebook -, ces données ne font manifestement pas l'objet d'un traitement équitable et légitime. Elles ne sont en outre pas obtenues pour des finalités déterminées, explicites et légitimes, et sont traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des prévisions raisonnables de l'intéressé et des dispositions légales et réglementaires applicables.
Il s'agit là d'une violation manifeste de l'article 4, 1° et 2°, de la loi relative à la protection de la vie privée.
Enfin, le rôle de première partie que Facebook remplit, le cas échéant, dans le cadre de l'enregistrement du cookie « Datr » n'est plus présent lorsqu'elle collecte par la suite le cookie par le biais de plug-ins sociaux intégrés sur des sites web extérieurs au domaine Facebook, puisqu'elle agit alors en qualité de tierce partie dans le cadre du parcours de navigation de l'utilisateur non inscrit. En sa qualité de tierce partie, elle est en effet à ce moment uniquement en relation avec le propriétaire ou le designer du site web visité, et non avec le visiteur de cette page, lequel ne recourt pas explicitement aux services dudit tiers.
La prétendue extension du consentement déjà bancal de l'utilisateur non inscrit engendre apparemment elle aussi un traitement inéquitable et illégitime des données à caractère personnel, ne tenant de surcroît pas compte des attentes raisonnables de l'utilisateur non inscrit, ce qui semble constituer une nouvelle violation de l'article 4, 1° et 2°, de la loi relative à la protection de la vie privée.
À présent qu'il est clair que les défenderesses ne peuvent manifestement pas invoquer le consentement éclairé et indubitable des visiteurs non inscrits pour légitimer le traitement contesté des données à caractère personnel, il y a lieu d'examiner si elles peuvent invoquer les autres motifs d'admissibilité de l'article 5 de la loi relative à la protection de la vie privée.
Dès lors que les défenderesses n'ont pas de contrat avec un utilisateur se trouvant sur le territoire belge mais ne s'étant jamais inscrit sur Facebook, et n'ayant en outre aucunement marqué son accord sur les conditions d'utilisation de Facebook, elles ne peuvent en aucun cas invoquer une quelconque nécessité du traitement contesté en vue de l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci.
En vertu de l'article 16, paragraphe 4, de la loi relative à la protection de la vie privée, le responsable du traitement et, le cas échéant, son représentant en Belgique, ainsi que le sous-traitant doivent, afin de garantir la sécurité des données à caractère personnel, prendre les mesures techniques et organisationnelles requises pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l'accès et tout autre traitement non autorisé de données à caractère personnel.
Ces mesures doivent assurer un niveau de protection adéquat, compte tenu, d'une part, de l'état de la technique en la matière et des frais qu'entraîne l'application de ces mesures et, d'autre part, de la nature des données à protéger et des risques potentiels.
Sur avis de la Commission de la protection de la vie privée, le Roi peut édicter des normes appropriées en matière de sécurité informatique pour toutes ou certaines catégories de traitements.
Cela ne signifie pourtant pas que le traitement contesté des données à caractère personnel soit nécessaire pour permettre aux défenderesses de respecter une obligation dont le responsable du traitement est investi par ou en vertu d'une loi, d'un décret ou d'une ordonnance.
Il y a en effet lieu de vérifier d'abord si un motif d'admissibilité de l'article 5 peut être invoqué. Dans la négative, le traitement des données à caractère personnel n'est pas autorisé. Or, ce n'est que lorsque le traitement des données à caractère personnel est autorisé que naît l'obligation de prendre les mesures techniques et organisationnelles requises pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l'accès et tout autre traitement non autorisé de données à caractère personnel.
Le fait de disposer d'un motif d'admissibilité est une obligation fondamentale autonome à l'égard des autres obligations découlant de la loi relative à la protection de la vie privée. Les obligations légales au sens de l'article 5, c, de la loi relative à la protection de la vie privée ne désignent donc naturellement que des obligations stipulées dans d'autres lois que la loi relative à la protection de la vie privée elle-même, par exemple des obligations découlant de la législation du travail et de la sécurité sociale.
En juger autrement reviendrait à adopter un raisonnement en boucle qui impliquerait que n'importe quelles données à caractère personnel peuvent être traitées en toutes circonstances, ce qui viderait entièrement de son sens la loi relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.
En effet, étant donné que l'on est toujours dans l'obligation de préserver l'intégrité des données à caractère personnel traitées, on pourrait toujours invoquer l'admissibilité du traitement, et il n'y aurait donc de cette manière jamais lieu de s'abstenir d'un traitement de données à caractère personnel.
On verrait ainsi apparaître une situation complètement absurde dans laquelle les utilisateurs de Facebook doivent indubitablement consentir au traitement de leurs données à caractère personnel, tandis que les non-utilisateurs - sans avoir donné aucun consentement - devraient tolérer que leurs données à caractère personnel soient traitées pour protéger les données à caractère personnel d'autres individus. Cette situation n'est évidemment pas acceptable : tout intéressé doit avoir la possibilité de consentir lui-même au traitement de ses données à caractère personnel.
Par ailleurs, les mesures prises elles-mêmes ne peuvent pas aller à l'encontre des exigences de qualité imposées par l'article 4 de la loi relative à la protection de la vie privée vu que cela les priverait de tout caractère approprié. Vu le caractère totalement abusif des traitements litigieux, les mesures prises n'ont aucun « caractère approprié ». Dès lors, l'article 16, paragraphe 4, de la loi relative à la protection de la vie privée ne peut en aucun cas servir de motif de légitimation.
Par ailleurs, on ne voit pas en quoi le traitement contesté serait nécessaire à la préservation d'un intérêt vital des utilisateurs non inscrits.
Les défenderesses ne démontrent pas - et n'invoquent même pas - avoir été investies d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique.
Le sixième et dernier motif d'admissibilité est la nécessité pour la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le tiers auquel les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée qui peut prétendre à une protection au titre de la présente loi.
Le Roi peut, par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée, préciser les cas où la condition mentionnée sous f. est considérée ne pas être remplie.
Il est peu vraisemblable que la consultation du ciookie « Datr », chaque fois qu'un plug-in social est chargé sur un site web visité par un non-utilisateur, soit réellement nécessaire à la sécurité des services Facebook.
Les défenderesses affirment que le cookie « Datr » aide en cas d'attaques à l'encontre de la plateforme Facebook, en particulier lorsqu'il s'agit de tentatives d'accès frauduleux. On peut supposer que c'est dans une certaine mesure le cas lorsqu'un contact est établi avec une page Facebook, mais dans la situation dont il est question ici, les non-utilisateurs ne souhaitent pas établir de connexion avec la plateforme Facebook, mais veulent seulement visiter un tout autre site web. Les défenderesses ne rendent pas plausible l'hypothèse selon laquelle une attaque pourrait être perpétrée contre la plateforme Facebook par le biais de plug-ins qui ne sont pas effectivement utilisés par les utilisateurs accédant à une page extérieure au domaine Facebook.
Même une personne totalement ignorante de la technologie numérique comprendra que la collecte systématique du cookie « Datr » est en soi insuffisante pour contrer les attaques évoquées par Facebook, étant donné que les criminels peuvent très aisément contourner l'enregistrement de ce cookie en utilisant des logiciels qui bloquent l'enregistrement des cookies. Pour un pirate potentiel disposant des connaissances I.T. que suppose la mise en place d'une telle attaque, il doit être un jeu d'enfant de bloquer tout simplement les cookies ou de les supprimer avant ou pendant le lancement de l'attaque. Le traitement contesté manque ainsi de l'efficacité requise pour la réalisation de la prétendue protection, vu qu'il suffit qu'un seul pirate malveillant sache comment bloquer les cookies pour que cette protection soit réduite à néant, et ce alors que ces connaissances sont étalées sur internet et sur les pages d'aide.
De plus, il semble qu'il existe des méthodes moins invasives pour réaliser la protection visée. Il n'est par exemple pas plausible qu'une attaque DDoS, qui passe par des milliers, voire des dizaines de milliers, d'ordinateurs infectés à travers le monde, ayant chacun leur cookie propre contenant un « unique identifier » - ou en étant dépourvu parce que le code utilisé le bloque ou le supprime - pourrait être empêchée par la simple collecte des cookies « Datr » des systèmes infectés.
Un géant informatique comme Facebook dispose assurément de méthodes de sécurisation plus efficaces, de sorte que le traitement contesté échoue également au contrôle de proportionnalité.
Vu le grand nombre de sites web recourant à un plug-in social de Facebook, la collecte des données à caractère personnel de non-utilisateurs par le biais de plug-ins sociaux permet incontestablement d'exposer et d'enregistrer une partie significative du comportement de navigation des utilisateurs de Facebook. De ce fait, cette mesure a un impact substantiel sur le droit fondamental au respect de la vie privée et à la protection des données à caractère personnel, d'autant qu'un géant de l'internet comme Facebook se trouve dans une position de force par rapport à un non-utilisateur individuel.
La mise en balance provisoire de l'intérêt de Facebook contre les droits fondamentaux des non-utilisateurs concernés penche incontestablement en faveur des non-utilisateurs, dès lors que les traitements litigieux sont clairement disproportionnés vu la finalité indiquée et l'échelle à laquelle les traitements sont effectués, et dès lors qu'il ne s'agit pas de traitements équitables et légitimes.
Ce fait constitue manifestement aussi une violation de l'article 4, 2° et 3°, de la loi relative à la protection de la vie privée, qui dispose que les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des prévisions raisonnables de l'intéressé et des dispositions légales et réglementaires applicables. Les données à caractère personnel doivent également être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues et pour lesquelles elles sont traitées ultérieurement. (...)
Dispositif conforme aux motifs.
Siég. : M. W. Thiery.
Greffier : Mme C. Kint. |
| Plaid. : MesFr. Debusseré, J. Dumortier, R. Roex, D. Van Liedekerke, D. Lindemans et P. Lefebvre. |
| [1] |
Traduction réalisée par la Commission belge de la protection de la vie privée. |
