Interdiction du traçage des internautes non-membres de Facebook en Belgique. Quid en France ?
22 février 2016
Bien que la décision commentée ait été prononcée par une juridiction belge, la question se pose de savoir si –à supposer des faits similaires– la même décision aurait pu être prononcée par des juridictions françaises.
En effet, les cadres législatifs français et belge sont tous deux largement inspirés de la directive européenne 95/46/CE du 24 octobre 1995 sur la protection des données personnelles.
En l’espèce, la version belge du réseau social Facebook enregistrait un cookie « Datr » dès lors qu’un internaute, titulaire ou non d’un compte, visitait une page dudit site. Ce cookie était stocké sur le navigateur de l’internaute pendant une durée de deux ans, à moins que celui-ci ne le supprime de lui-même.
Par la suite, dès l’instant où cet internaute visitait un site web tiers sur lequel se trouvait un plug-in social de Facebook (« J’aime » ou « Commenter« ), le serveur de Facebook demandait au navigateur d’envoyer, lors du chargement du contenu du plug-in social, le cookie « Datr ». Etaient ainsi transmis l’adresse URL du site Internet tiers sur lequel figurait le plug-in ainsi que l’adresse IP de l’internaute.
Ce faisant, il était alors possible pour Facebook de suivre le comportement de navigation de la personne concernée.
Le droit belge comporte des dispositions très semblables à celles des articles 6 (principe de loyauté, de finalité, etc.), 7 (consentement au traitement) et 32 (droit à l’information) de la loi « informatique et libertés » française, au nom desquelles, compte tenu de l’installation du cookie et de la réception des données, les juges belges sont entrés en voie de condamnation.
Facebook, afin de remplir les obligations d’information et de consentement, avait mis en place une bannière apparaissant pour les visiteurs n’ayant jamais accédé au site, sur laquelle figurait la mention « Les cookies nous permettent de fournir, protéger et améliorer les services de Facebook. En continuant à utiliser notre site, vous acceptez notre Politique d’utilisation des cookies« . En cliquant sur le lien hypertexte « Politique d’utilisation des cookies« , le visiteur accédait à une page intitulée « Cookies, pixels et technologies similaires » comportant des informations sur les cookies. Cependant, cette page ne mentionnait pas explicitement le cookie « Datr ». En outre, le cookie s’enregistrait si le visiteur cliquait sur un autre élément de la page comportant la politique – incomplète – mais également, lorsque le visiteur cliquait sur un plug-in social figurant sur une page tierce, même s’il décidait de quitter le plug-in en cliquant sur « Annuler ».
Dans un cas comme dans l’autre, le juge belge a considéré qu’aucun consentement éclairé et indubitable n’avait pu être donné.
De même, à propos de la consultation par Facebook du cookie « Datr » lors de la visite d’un site tiers comportant le plug-in, les juges ont estimé qu’aucun consentement n’avait été valablement donné. Ce d’autant que Facebook agissait en qualité de tierce partie lors de cette consultation, puisque le plug-in était installé sur un site tiers à Facebook.
Les exceptions au consentement ne pouvaient davantage être invoquées, en l’absence, notamment, de contrat entre les parties prenantes ou d’un intérêt légitime de Facebook à procéder au traitement impliquant le cookie. En ce qui concerne ce dernier point, conformément à l’avis 06/2014 du G29 sur la notion d’intérêt légitime poursuivi par le responsable de traitement des données au sens de l’article 7 de la directive 95/46/CE, le juge a opéré une mise en balance des intérêts et droits fondamentaux en présence. Au vu de l’absence de nécessité, du peu d’efficacité en matière de sécurité et du caractère disproportionné du traitement, le juge a considéré que Facebook n’avait pas d’intérêt légitime permettant de justifier ce traitement.
Les juridictions françaises auraient pu rendre une décision semblable. En effet l’article 32 II de la loi « informatique et libertés » et la délibération n° 2013-378 de la CNIL du 5 décembre 2013 interdisent de faire usage des cookies en l’absence d’information complète et d’un consentement indubitable (sur ce point, voir notre article paru dans la Lettre des Propriétés intellectuelles de janvier 2014). En substance, cette délibération précise les moyens permettant de satisfaire aux impératifs d’information et de consentement préalables à l’usage des cookies, en imposant au responsable de traitement l’utilisation d’une bannière informative apparaissant lorsque l’internaute accède au site. Cette bannière doit comporter les finalités des cookies, la possibilité de s’y opposer et de changer les paramètres y afférents en cliquant sur un lien et l’information selon laquelle la poursuite de la navigation vaut accord au dépôt des cookies. En cliquant sur le lien figurant sur la bannière, l’internaute doit pouvoir se rendre sur une page informative précise mais aisément compréhensible concernant les cookies par catégories de finalités. Conformément à la délibération précitée, la pose du cookie ne peut intervenir qu’après que l’internaute y a consenti, c’est-à-dire a accompli une action sur le site, autre que la simple prise d’information. Or, s’il n’est pas expressément disposé par l’article 32 II de la loi « informatique et libertés » ou la délibération de la CNIL du 5 décembre 2013 que l’intégralité des cookies utilisés doive figurer dans la page d’information, un tel consentement aurait pu être considéré en l’espèce comme manquant en l’absence d’information précise sur le cookie et notamment sur sa finalité. D’autant plus que ladite délibération mentionne expressément que les cookies traceurs de réseaux sociaux générés par les « boutons de partage de réseaux sociaux » sont soumis à une information et un consentement préalables.
En outre, les exceptions au consentement figurant à l’article 7 de la loi « informatique et libertés » ne trouveraient probablement pas à s’appliquer, en l’absence de contrat conclu par les visiteurs non-inscrits et, sans doute, aussi d’intérêt légitime évalué conformément à l’avis du G29 précité, comme l’a fait le tribunal belge. Par ailleurs, la durée de conservation de deux ans aurait très certainement été jugée disproportionnée, la délibération de la CNIL de 2013 recommandant une durée maximale de treize mois.
Les conflits potentiels entre Facebook et ses usagers occasionnels ou réguliers étant récurrents, le juge français aura peut-être l’occasion de se prononcer, à son tour, sur un point similaire concernant les cookies.
Auteurs
Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.
Thomas Livenais, avocat en droit de la propriété intellectuelle
A lire également
Application du droit des données personnelles aux « objets connectés »... 25 novembre 2014 | CMS FL
La résiliation du contrat d’édition d’une œuvre de collaboration ... 8 février 2016 | CMS FL
Etude du Conseil supérieur de l’audiovisuel sur les plates-formes numéri... 6 février 2017 | CMS FL
Publication d’une ordonnance pour faciliter l’identification électronique... 20 février 2018 | CMS FL
Sanctions de la CNIL en cas de violation de données personnelles... 28 novembre 2017 | CMS FL
Spamming par SMS : le Conseil d’Etat confirme la sanction de la CNIL... 27 mai 2015 | CMS FL
Forums de discussion : les propos diffamatoires doivent être promptement suppri... 22 novembre 2016 | CMS FL
Appréciation du risque de confusion entre deux grands crus bordelais : une déc... 7 février 2017 | CMS FL
Articles récents
- L’action en nullité d’un accord collectif est ouverte au CSE
- Complémentaire santé : vigilance sur la rédaction des dispenses d’adhésion
- Précisions récentes sur la portée de l’obligation de sécurité de l’employeur dans un contexte de harcèlement
- La jurisprudence pragmatique du Conseil d’Etat en matière de PSE unilatéral : Délimitation du périmètre du groupe (Partie I)
- Détachement, expatriation, pluriactivité : quelques nouveautés en matière de mobilité internationale
- Avenant de révision-extinction d’un accord collectif : « Ce que les parties ont fait, elles peuvent le défaire »
- Dialogue social et environnement : la prise en compte des enjeux environnementaux à l’occasion des négociations collectives d’entreprise
- L’accès de l’expert-comptable du CSE aux informations individuelles relatives aux salariés lors de la consultation sur la politique sociale de l’entreprise
- Conférence : Sécuriser vos pratiques pour limiter les risques juridiques dans l’entreprise (risque pénal, congés payés, RPS)
- Le recours à un client mystère : une méthode de contrôle loyale à condition d’être transparente