La Belgique donne 48h à Facebook pour cesser le traçage des internautes : le Goliath américain a-t-il trouvé son David ?

Atlantico : En Belgique, un juge des référés de Bruxelles a ordonné à Facebook d'arrêter de tracer les internautes qui ne sont pas inscrits sur le réseau social. La Belgique peut-elle faire plier Facebook ? Cette décision est-elle comparable à l'arrêt Safe Harbour (et si non, pouvez-vous expliquer en quoi ?) ?

Fabrice Mattatia : Nous n’avons que la dépêche d’agence, et pas le détail de la décision, mais on peut essayer de reconstituer le raisonnement. Selon toute vraisemblance, cette décision part d’un constat tout simple : lorsqu’une page web contient le fameux bouton permettant de partager un contenu sur Facebook ou de le "liker", Facebook collecte des informations sur tous les visiteurs de cette page, qu’ils soient membres de Facebook ou non. Or une telle collecte est contraire au droit européen (la dépêche d’agence mentionne la loi belge, que je ne connais pas en détail, mais de même que pour la loi française, il s’agit obligatoirement d’une transposition de la directive européenne 95/46/CE de 1995, on peut donc raisonner en se basant sur cette directive qui sert de base commune aux lois des 28 Etats membres). En effet, le droit européen impose que dans une telle situation les visiteurs de la page soient informés et donnent leur consentement. Or nous pouvons tous vérifier que ce n’est pas le cas : nous ne sommes pas informés de l’existence d’une telle collecte de nos données, et on nous demande encore moins notre consentement. Le juge en a donc logiquement et immédiatement tiré les conséquences en ordonnant à Facebook de cesser cette pratique sous 48 heures.

Cette décision n’est toutefois pas comparable à l’arrêt du 6 octobre 2015 de la Cour de justice de l’Union européenne. En invalidant le Safe Harbor, la CJUE tirait les conséquences de l’incompatibilité entre les droits fondamentaux reconnus aux citoyens européens (dont la protection de leurs données) et le droit interne américain (dont la possibilité pour le gouvernement américain d’avoir un accès massif aux données des Européens), et elle mettait les gouvernements au pied du mur. Il s’agit d’un problème fondamental qui ne peut être résolu que par la modification profonde d’un des deux droits antagonistes : en gros, soit les Américains doivent renoncer au Patriot Act, soit nous devons abdiquer nos droits fondamentaux, soit personne ne modifie ses lois et alors nous devons cesser tout échange de données avec les Etats-Unis, comme certaines CNIL en Europe l’envisagent déjà ! La situation est donc lourde de conséquences. Tandis que la décision concernant Facebook, outre qu’il s’agit d’un référé qui peut encore être contesté sur le fond et donner lieu à des recours, n’est qu’un simple rappel à la loi qui peut être résolu très rapidement par Facebook en mettant fin à la collecte. Sauf, évidemment, que cela aura des conséquences financières pour ce dernier (perte des revenus générés par la revente aux annonceurs publicitaires des données collectées illégalement), et donc qu’il risque de multiplier les recours pour gagner du temps.

Cette décision peut-elle faire tâche d'huile, se répandre au niveau européen ? Est-elle transposable en France par exemple

Oui, tout à fait, puisque la loi française dérive comme la loi belge de la directive européenne de 1995. En France, au niveau administratif, la CNIL peut se saisir du dossier, effectuer des contrôles, et mettre en demeure Facebook de cesser ce type de collecte. Il y a également la voie pénale : sur plainte d’un internaute, un juge pénal pourrait lui aussi ordonner la fin de cette pratique.

On voit apparaître ici une des divergences des transpositions de la directive : la CNIL française dispose d’un pouvoir de sanction autonome, alors que son homologue belge n’en a pas et a dû porter plainte en justice pour faire sanctionner Facebook.

Profitons-en pour préciser que les Etats européens, la Commission et le Parlement européen sont actuellement en train de finaliser un nouveau texte qui remplacera la directive de 1995. Les CNIL seront alors toutes dotées d’un pouvoir de sanction financière qui pourrait atteindre, selon les chiffres en cours de négociation, de 2 à 5% du chiffre d’affaires mondial de l’entreprise fautive. Si ce règlement est adopté, Facebook, Google et les autres risqueront alors très gros à ne pas respecter le droit européen.

D'autres réseaux sociaux sont-ils menacés par cette décision belge ? Et quelle peut être la parade imaginée par Facebook pour éviter ce type de soucis judiciaires à l'avenir ?

Tous les réseaux qui collecteraient des données sans consentement sont concernés. Sur les pages web, vous n’avez pas que le bouton Facebook : il y en a plusieurs autres, placés juste à côté, qui permettent de partager l’information avec ses amis et avec ses relations. Mais j’avoue que je ne sais pas s’ils donnent eux aussi lieu à une collecte de données sans le consentement de l’internaute.

Pour Facebook, la parade à ce type de souci est simple : il suffit de mettre fin à cette collecte !