Me Connecter
Me connecter
PartagerPartager
Fermer
Linked InGoogle PlusTwitter
Partager
Partager

Recherche dans la JLMB

Retour aux résultatsDocument précédentDocument suivant
Information
30/06/2017
Version PDF
-A +A

Le cookie « Datr » de Facebook : préservation de la sécurité des utilisateurs ou atteinte massive à la vie privée des internautes ?


Jurisprudence - Respect de la vie privée

I. Vie privée - Traitement des données à caractère personnel - Compétence internationale - Droit applicable - Utilisateur non inscrit du réseau Facebook - Action contre le gestionnaire du réseau - Incompétence des juridictions belges.
II. Référé - Urgence - Appréciation.

I. Rappel des faits
En novembre 2014, le réseau social Facebook a informé ses membres de la modification de ses conditions d'utilisation, lesquelles lui octroyaient dorénavant la possibilité de surveiller le parcours de navigation de ses utilisateurs sur des sites web qui ne constituent pas de sites du domaine Facebook [1]. Cette annonce a soulevé de nombreuses questions. La Commission de la protection de la vie privée (ci-après C.P.V.P.) a alors commandé une étude technico-juridique. Celle-ci [2] démontrait que chaque fois qu'un internaute non-membre du réseau social visitait un site web du domaine facebook.com (les pages publiques d'individus, de sociétés ou d'autres organisations), Facebook enregistrait automatiquement un cookie « Datr » sur le disque dur de ce visiteur, permettant d'identifier son navigateur de manière unique, et ce pour une durée de deux ans. Lorsque l'internaute consultait ensuite un site web sur lequel se trouvait un plug-in social de Facebook (par exemple le bouton « j'aime », présent sur 32 pour cent des sites les plus fréquentés), son navigateur se connectait automatiquement au serveur de Facebook, que l'internaute utilise ou non ce plug-in [3]. Suite à cette connexion, les informations du cookie « Datr » enregistré sur le disque dur de l'internaute, l'adresse I.P. et l'U.R.L. du site web visité étaient transférées aux serveurs de Facebook, permettant ainsi d'établir un profil des centres d'intérêt de l'internaute.
Forte de la jurisprudence Google Spain [4], la C.P.V.P. a cité en référé la société de droit américain Facebook Inc. (société mère), la société de droit irlandais Facebook Ireland Limited (société cocontractante des internautes européens) et la S.P.R.L. Facebook Belgium (société chargée du lobbying en Belgique). La C.P.V.P. demandait qu'il leur soit fait injonction, au titre de mesure provisoire, d'arrêter le suivi du parcours de navigation des habitants du territoire belge non-membres du réseau social Facebook.
Par ordonnance du 9 novembre 2015, le premier juge s'est estimé compétent, a jugé la loi belge du 8 décembre 1992 applicable et fait droit à la demande de la C.P.V.P., condamnant Facebook à prendre les mesures nécessaires.
Facebook a interjeté appel de cette ordonnance. Dans un arrêt du 29 juin 2016, la cour d'appel s'est estimée incompétente en ce qui concerne Facebook Irlande et Facebook Inc. À l'égard de Facebook Belgium, la compétence des cours et tribunaux belges a toutefois été reconnue, mais la demande de la commission a été déclarée non fondée pour défaut d'urgence. La licéité du suivi des personnes qui ne sont pas membres de Facebook n'a donc pas été discutée en degré d'appel et sera à nouveau débattue lors de la procédure au fond. Les plaidoiries devraient avoir lieu en dates des 12 et 13 octobre 2017 [5].
L'objet du présent numéro de cette revue étant la protection des données à caractère personnel, notre contribution aborde essentiellement les questions relatives aux cookies et aux traitements de données à caractère personnel qui y sont liées, soit les points envisagés par le premier juge, sans aborder les questions de compétence [6], d'autant que la question de la compétence internationale des tribunaux perdra de son importance une fois que le règlement général 2016/679 sur la protection des données sera entré en vigueur. En effet, dès le 25 mai 2018, la C.P.V.P. et les autres autorités nationales pourront infliger des amendes administratives allant jusqu'à 20.000.000 euros ou 4 pour cent du chiffre d'affaires mondial du groupe auquel la société contrevenante appartient, alors que la C.P.V.P. ne dispose pas de cette compétence de sanction à l'heure actuelle et est obligée de se tourner vers les tribunaux.
II. Cookies : aspects techniques
Le premier juge a défini le cookie comme étant « un simple fichier texte qu'un serveur web envoie à un navigateur qui demande d'accéder au serveur. Le navigateur conserve ce fichier dans un dossier en vue d'un usage ultérieur. Les navigateurs ont été conçus de telle manière qu'un cookie qui a été enregistré dans un navigateur sera automatiquement communiqué au serveur web qui l'a initialement envoyé chaque fois que le navigateur demandera à accéder à ce même serveur. De cette manière, le serveur pourra identifier le navigateur dont provient la requête et trouver les informations spécifiques au navigateur qui sont nécessaires pour la mise à disposition efficace des services et du contenu demandés ».
La position du premier juge est conforme aux explications techniques données à ce sujet par la C.P.V.P. [7] ou par le groupe « de l'article 29 » [8]. Il est renvoyé à l'abondante littérature sur le sujet pour le surplus [9].
Un cookie est donc un fichier texte enregistré directement dans le terminal de l'internaute via son navigateur par les serveurs des sites web visités. L'internaute n'est toutefois pas toujours conscient que des cookies provenant de sites web tiers peuvent être installés sur son terminal, notamment lorsqu'il s'agit de cookies provenant de régies publicitaires ou de réseaux sociaux tels que des « boutons » permettant le partage de contenus sur leurs services [10].
III. Applicabilité de la loi vie privée - Le cookie Datr contient-il des données à caractère personnel ?
Afin de conclure à l'applicabilité de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, il est indispensable d'examiner si les opérations étudiées constituent bien un traitement de données à caractère personnel automatisé en tout ou en partie.
En l'occurrence, le traitement automatisé est manifeste. Toutefois, s'il n'est pas contestable, ni contesté, qu'un cookie peut servir à identifier de manière unique le navigateur internet d'une personne, permet-il pour autant l'identification d'une personne, élément déterminant la qualification de données à caractère personnel ?
En l'occurrence, le premier juge a estimé que le cookie Datr en question identifie de manière unique le navigateur internet de l'internaute. Le cookie contient en effet un « unique identifier », soit un nombre unique. En outre, des informations additionnelles sont collectées par Facebook, informations qui lui permettent, directement ou indirectement, d'identifier des individus au moyen, par exemple de l'adresse I.P. de l'ordinateur de l'internaute. Or, il ressort de la jurisprudence de la Cour de justice de l'Union européenne qu'une adresse I.P. peut constituer une donnée à caractère personnel [11].
La combinaison de l'identifiant unique du cookie Datr et des informations obtenues par ailleurs, comme l'adresse I.P. et l'U.R.L. du site web que l'internaute visite, permet à Facebook de surveiller le comportement de navigation d'un internaute déterminé, conclut le premier juge, de sorte que le cookie Datr contient bien des données à caractère personnel.
IV. Violations de la loi Vie Privée
a. Les infractions aux articles 4, paragraphe 1er, 1° et 2°, ainsi qu'à l'article 9 de la loi vie privée
L'article 4, paragraphe 1er, 1° et 2°, de la loi vie privée impose au responsable du traitement de traiter loyalement et licitement des données qui doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec les finalités du traitement, compte tenu de tous les facteurs pertinents, notamment des prévisions raisonnables de l'intéressé et des dispositions légales et réglementaires applicables. L'article 9 de la loi vie privée traite des informations qui doivent être fournies à la personne concernée par le traitement avant la collecte de ses données.
En l'occurrence, Facebook n'informe pas préalablement les internautes non-inscrits sur son réseau que le cookie Datr est stocké dans leur terminaux [12].
b. L'absence de motif justifiant le traitement au sens de l'article 5 de la loi vie privée
L'article 5 de la loi vie privée fait la liste des motifs d'admissibilité des traitements de données à caractère personnel pouvant être invoqués par le responsable du traitement.
Le premier juge constate, comme indiqué au point précédent, que le premier motif de justification tiré du consentement indubitable de la personne concernée n'est vraisemblablement pas rencontré en l'espèce.
Le traitement serait-il alors nécessaire au respect d'une obligation à laquelle le responsable du traitement est soumis par ou en vertu d'une loi, d'un décret ou d'une ordonnance ? Le premier juge examine cette question au regard de l'obligation, prévue à l'article 16, paragraphe 4, de la loi vie privée, de prendre des mesures techniques et organisationnelles adéquates pour assurer la protection des données contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l'accès et tout autre traitement non autorisé. En effet, Facebook argumentait notamment que le cookie Datr était utilisé en partie à des fins de sécurisation des accès à ses domaines, de manière à protéger ses utilisateurs inscrits. Sur ce point, le premier juge tient un raisonnement intéressant en ce qu'il expose que cette obligation n'existe que pour autant que le responsable du traitement dispose d'un motif justifiant le traitement initial. À défaut d'un tel motif, le traitement serait de toute façon illicite, quand bien même des mesures techniques et organisationnelles adéquates seraient prises par ailleurs. De plus, le traitement de données de personnes n'ayant pas donné leur consentement ne pourrait pas être justifié par l'obligation de protéger les données de personnes faisant l'objet de traitements licites. En d'autres termes, il ne serait pas possible de rechercher un motif de légitimation dans un raisonnement circulaire basé sur les articles 5, c, et 16, paragraphe 4, de la loi vie privée. Si ce raisonnement est correct eu égard aux éléments concrets de l'espèce, il nous semble toutefois qu'il ne peut s'agir d'une règle générale. Différentes hypothèses peuvent exister dans lesquelles il est réellement nécessaire de traiter des données à caractère personnel de personnes n'ayant pas donné leur consentement afin de protéger d'autres données à caractère personnel. L'on pense, par exemple, au bannissement des adresses I.P. d'ordinateurs ayant été identifiées comme sources d'attaques informatiques. Chaque situation devra être appréciée in concreto afin d'établir ce caractère nécessaire au regard de l'objectif de protection poursuivi.
Mutatis mutandis, le même raisonnement s'applique à l'argumentation basée sur la nécessité du traitement pour la réalisation de l'intérêt légitime poursuivi par le responsable. La balance des intérêts entre une mesure de sécurité dont l'efficacité est relative et l'atteinte massive à la vie privée des internautes non-membres penchait clairement, selon le premier Juge, en défaveur du réseau social.
L'examen de l'adéquation des motifs d'admissibilité restants étant rapidement évacué, le premier juge a conclu à l'absence de motif d'admissibilité du traitement, lequel est donc illicite.
V. Violation de l'article 129 de la loi du 13 juin 2005 relative aux communications électroniques
Outre les règles applicables en matière de traitement de données à caractère personnel, l'article 129 de la loi du 13 juin 2005 relative aux communications électroniques constituant la transposition en droit belge de la directive 2002/58/CE [13] exige le consentement préalable libre, spécifique, informé et indubitable de l'utilisateur concerné avant toute installation d'un cookie sur son terminal [14]. C'est cette disposition qui a fait fleurir, depuis sa transposition, les bannières qui apparaissent sur les sites web européens afin d'informer l'internaute lors de sa première connexion.
Le premier juge relève qu'un internaute non inscrit au réseau social ne peut être qualifié d'utilisateur au sens de cet article 129, puisqu'il ne demanderait pas explicitement des services à Facebook, se contentant de visiter une page web sur laquelle est inséré un plug-in social introduisant un cookie sur son terminal, ce qui implique un stockage illicite de ce cookie [15].
VI. Conclusions
Dès lors que la cour d'appel a botté en touche en invoquant des motifs de procédure, les prochains rebondissements de ce dossier sont attendus lors de l'examen au fond des arguments des parties. En attendant, les choses continuent d'évoluer. C'est ainsi qu'au mois de mai 2016, Facebook a modifié sa politique relative à l'usage des cookies en y intégrant des nouveautés relatives à son réseau de publicité, notamment pour se conformer aux exigences de la CNIL, l'autorité nationale française en charge du respect de la vie privée [16].
Malgré les dernières modifications dans les pratiques de Facebook, la Commission vie privée considère que Facebook n'obtient toujours pas de consentement valable des personnes concernées. Elle estime en outre que la collecte de données à caractère personnel par Facebook à l'aide de cookies et de modules sociaux est excessive dans plusieurs circonstances.
Une modification importante est que Facebook trace aujourd'hui également le comportement de navigation de personnes n'ayant pas de compte Facebook à des fins publicitaires.
Une autre modification importante est que, depuis août 2016, Facebook fait une utilisation à grande échelle de ce que l'on appelle les « pixels », afin d'obtenir des informations sur le comportement de navigation d'utilisateurs et de non-utilisateurs. Tout comme les modules sociaux, les « pixels » sont des outils que Facebook met à la disposition d'exploitants de sites internet externes. Ces pixels n'apparaissent pas comme un bouton ou une icône (comme le bouton « j'aime ») sur le site internet externe, mais comme un point invisible à l'oeil nu.
La CNIL a d'ailleurs décidé le 16 mai 2017 de prononcer une sanction de 150.000 euros à l'encontre des sociétés Facebook Inc. et Facebook Ireland.
On le constate, les enjeux sont cruciaux pour le fonctionnement technique du web et, surtout, pour les business model de ses acteurs. Celui-ci est basé sur la collecte des données des internautes au gré de leurs pérégrinations sur la toile, et ce dans le but de toujours mieux cibler la publicité qui leur est proposée ou les services qui leur sont offerts.
Comme dans tous les aspects de la protection des données à caractère personnel, le Règlement général sur la protection des données [17] va avoir un impact conséquent. Les exigences en termes de consentement, notamment, seront renforcées puisque le responsable du traitement devra prouver que la personne concernée a manifesté une volonté, libre, spécifique, éclairée et univoque d'accepter, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement. La demande de consentement devra être présentée clairement et être distincte des autres questions, formulée dans un langage clair et simple, compréhensible et facilement accessible. L'utilisateur devra être informé de la possibilité d'un retrait de ce consentement préalablement à la manifestation du consentement. Ce retrait devra être aussi simple que la manifestation du consentement.
Eu égard aux sanctions très importantes prévues par ce règlement [18], il est vivement recommandé aux entreprises de ne pas se contenter d'un flou artistique sur ces questions d'information et de récolte du consentement préalable, mais de se plier aux recommandations et autres guidelines des autorités de contrôle.
Le 16 mai 2017, la Commission vie privée a d'ailleurs publié une nouvelle recommandation (03/2017) concernant le traitement de données à caractère personnel par Facebook via des cookies, des plug-ins sociaux et des pixels.
La Commission vie privée recommande à Facebook :
  • d'informer clairement les personnes concernées à propos de l'utilisation par Facebook de cookies et de leur collecte via les modules sociaux de Facebook, les pixels Facebook ou des moyens technologiques similaires ;
  • d'obtenir un consentement valable pour le placement de cookies, pour autant qu'ils ne soient pas strictement nécessaires à un service que la personne concernée demande expressément ;
  • de renoncer à la collecte excessive de cookies via ses modules sociaux, les pixels Facebook ou des moyens technologiques similaires ;
  • de renoncer à fournir des informations qui pourraient raisonnablement induire les personnes concernées en erreur quant à la portée réelle des mécanismes qu'elle met à disposition pour gérer l'utilisation de cookies par Facebook.
En outre, la commission formule également une série de recommandations supplémentaires à l'égard des exploitants de sites internet qui utilisent les technologies et les services que Facebook met à leur disposition.
Enfin, la Commission vie privée donne à nouveau plusieurs recommandations aux internautes qui veulent se protéger d'un traçage de Facebook par le biais de modules sociaux.

 


[1] V. Verdoodt, E. Wauters et B. Van Alsenoy, « Richting eerlijke bedingen en meer privacy van Facebook gebruikers ? », D.C.C.R 2015, nos 108-109, (35).
[2] « From social media service to advertising network. A critical analysis of Facebook revisited Policies and Terms », voy.http://www.law.kuleuven.be/citip/en/news/item/icri-cir-advises-belgian-privacy-commission-in-facebook-investigation (pour consulter la version la plus récente) et http://www.law.kuleuven.be/citip/en/news/item/facebooks-revised-policies-and-terms-v1-3.pdf (version en date du 26 janvier 2017).
[3] Par définition, l'internaute non-membre de Facebook ne fait pas usage de ce type de plug-in, puisque cet usage nécessite la disposition d'un compte d'utilisateur.
[4] Pour une analyse de cet arrêt : C.J.U.E.,13 mai 2014, Google Spain S.L. et Google Inc. c. Agencia Espagñola de ProtecciÓn de Datos (A.E.P.D.), C-131/12 et A. Cassart et J.-Fr. Henrotte « Arrêt Google Spain : la révélation d'un droit à l'effacement plutôt que la création d'un droit à l'oubli », cette revue, 2014, pp. 1183 et s.
[5] C. Verhaeghe, S. Cardoen, « Proces tegen Facebook is voor oktober 2017 », De redactie.be, 18 mars 2016, http://deredactie.be/cm/vrtnieuws/cultuur%2Ben%2Bmedia/media/2.37414?eid=1.2604383.
[6] Pour une analyse des questions de droit judiciaire que pose cette affaire, voy. G. Dejemeppe, « L'affaire Facebook : questions de procédure », R.D.T.I., n° 62/2016, p. 113.
[7] C.P.V.P., Recommandation d'initiative concernant l'utilisation des cookies (CO-AR-2012-004), 4 février 2015, https://www.privacycommission.be/sites/privacycommission/files/documents/recommandation_01_2015_0.pdf.
[8] Groupe de travail « article 29 » sur la protection des données, avis 2/2010 sur la publicité comportementale en ligne, 22 juin 2010, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_fr.pdf.
[9] Par exemple : C. De Terwangne, « Chapitre 5.5. - Les cookies et autres logiciels "espions" », in Vie privée et données à caractère personnel, Bruxelles, Politeia, 2013, pp. 503-510 ; A. Philippart De Foy, K. Van Gossum, « Les cookies : état des lieux et perspectives », R.D.T.I., 2013/3, n° 52, pp. 5-19 ; P.-J. Vandevelde, A. Dierick, « Cookies : a new european recipe », C.J., 2012/4, pp. 104-111 ; B. De Vuyst, « Cookies in Europa » in Mundi et Europae civis - Liber Amicorum Jacques Steenbergen, Gent, Uitgeverij Larcier, 2014, pp. 397-403.
[10] R. Leenes et E. Kosta, « Taming the cookie monster with Dutch law-A tale of regulatory failure », Computer Law & Security Review 2015, liv. 3, vol. 31, p. 319.
[11] C.J.U.E., 24 novembre 2011, Scarlet Extended S.A. c. Société belge des auteurs, compositeurs et éditeurs S.C.R.L. (SABAM), C-70/10, point 51. Voy. également C.J.U.E., 19 octobre 2016, Patrick Breyer c. Bundes-republik Deutschland, C-582/14, n° 49.
[12] La question de l'information suffisante des membres du réseau social Facebook pourrait légitimement être posée mais n'a pas été examinée dans le cadre de cette procédure.
[13] Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (Directive vie privée et communications électroniques), J.O.C.E., 31 juillet 2002, L201/37.
[14] L'article 129 de la loi relative aux communications électroniques comprend deux exceptions à l'exigence d'un consentement préalable, notamment l'hypothèse dans laquelle cette exception est strictement nécessaire à la fourniture d'un service de la société de l'information demandé expressément par l'utilisateur. Selon le groupe de l'article 29, cette exception, issue de la directive 2002/58/CE, ne peut pas être invoquée à l'encontre des personnes qui ne sont pas membres ou qui sont déconnectés d'un site web constituant un réseau social, ceci plus particulièrement par rapport aux cookies enregistrés et collectés par le biais de plug-ins sociaux, dénommés « cookies de modules sociaux de pistage », puisque ces cookies ne peuvent pas être considérés comme "strictement nécessaires" à la fourniture d'une fonctionnalité expressément demandée par l'utilisateur » (Groupe de travail article 29, avis 04/2012 sur l'exemption de l'obligation de consentement pour certains cookies, adopté le 7 juin 2012 (W.P. 194) http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp194_fr.pdf, p. 10) ; V. Verdoodt, E. Wauters et B. Van Alsenoy, « Richting eerlijke bedingen en meer privacy van Facebook gebruikers ? », D.C.C.R., 2015, nos 108-109, p. 43.
[15] Concrètement, il faudrait toutefois nuancer ce point puisque le site web sur lequel un plug-in social est déployé devrait supporter ou, à tout le moins partager, la charge de l'obligation d'information et de récolte du consentement de l'utilisateur. En effet, si l'ampleur des traitements effectués par Facebook ou par les autres services similaires est réelle, l'éditeur d'un site web ne peut ignorer le fait que le déploiement d'un plug-in social sur ses pages entraîne le placement de cookies tiers sur les terminaux de ses visiteurs.
[16] A. Debet, « Facebook sommé de se conformer aux règles françaises de la protection des données, note », C.C.E., n° 6, juin 2016, p. 38. D'autres autorités nationales ont également décidé de mener une action concertée en raison de la politique de confidentialité modifiée par Facebook. Il s'agit des autorités de Belgique, des Pays-Bas, de l'Espagne et du Land d'Hambourg.
[17] Règlement (UE) du Parlement européen et du Conseil n° 2016/679, 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), J.O.U.E., 4 mai 2016, L 119, 1, http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR.
[18] Notamment des amendes administratives pouvant aller jusqu'à 10.000.000 euros ou, dans le cas d'une entreprise, jusqu'à 2 pour cent du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.


Fermer

Date(s)

  • Date de publication : 30/06/2017

Auteur(s)

  • Custers, A.
  • Henrotte, J.

Référence

Custers, A. et Henrotte, J., « Le cookie « Datr » de Facebook : préservation de la sécurité des utilisateurs ou atteinte massive à la vie privée des internautes ? », J.L.M.B., 2017/26, p. 1250-1255.

Branches du droit

    • Droit public et administratif > Poste et télécommunications > Télécommunications > Communication électronique - Internet
    • Droit civil > Personnes > Vie privée > Tradivent données à caractère personnel > Champ d'application
    • Droit civil > Personnes > Vie privée > Tradivent données à caractère personnel > Conditions des tradivents
    • Droit civil > Personnes > Vie privée > Tradivent données à caractère personnel > Droits de la personne concernée

User login