Un cookie qui dérange notre commission de la vie privée devra être supprimé par Facebook. Le réseau social pourrait donc interpréter chaque connexion à un compte Facebook comme une tentative de fraude, et déployer de lourdes procédures de vérification.
Facebook devra arrêter de traiter et tracer les habitudes de navigation des personnes qui surfent sur internet en Belgique, a décidé lundi le tribunal civil de Bruxelles siégeant en référé. Le réseau social a reçu 48 heures pour y remédier et devra payer 250.000 euros par jour à la Commission belge de protection de la vie privée (CPVP) dans le cas où il ignore ce jugement.
Lorsqu'un internaute visite un site web, ce dernier place habituellement de minuscules fichiers ou "cookies" sur le système du surfeur, afin de faciliter sa communication avec le site, par exemple en conservant le choix de la langue ou en gardant les produits sélectionnés par le consommateur dans son "panier" jusqu'au moment où celui-ci confirme définitivement son achat. Ce qui est autorisé, selon le juge des référés, tant que les cookies sont supprimés à la fin de la session internet.
Des infos conservées deux ans par Facebook
Facebook place également un cookie qui retient qu'un utilisateur visite pour la première fois une page Facebook, comme par exemple celle d'un ami, mais aussi d'une chaîne de magasins ou d'un parti politique.
Ce cookie, appelé "datr", emmagasine les intérêts et préférences des utilisateurs. Il est conservé deux ans et Facebook peut à chaque fois le consulter lorsque l'internaute se rend sur une page Facebook, like un article ou encore partage une publication.
Selon la CPVP, les adresses IP des ordinateurs et les codes d'identification des non-utilisateurs Facebook sont ainsi réunis et stockés, ce qui constitue une violation de la vie privée.
Essentiels à la sécurité ?
Facebook a plaidé que les datr-cookies étaient essentiels pour la protection des données contre les cybercriminels, les logiciels malveillants, les tentatives de créer des faux comptes ou de voler des données, et que ceux-ci ne sont pas utilisés pour faire de la pub à destination de non-utilisateurs Facebook.
Le tribunal civil de Bruxelles, siégeant en référé, a cependant donné raison à la CVPV et jugé que les données collectées par les datr-cookies étaient bel et bien des données personnelles. "Facebook ne peut utiliser ces données que si l'utilisateur a donné son autorisation, sans ambiguïté, selon la loi belge pour la protection de la vie privée", a expliqué Anouk Devenyns, juge de presse au tribunal de première instance de Bruxelles.
"Si l'internaute a lui-même un compte Facebook, on peut en déduire qu'il a donné l'autorisation. Mais si le surfeur n'a pas de compte, alors Facebook doit d'abord expressément demander une autorisation et livrer les explications nécessaires."
"Des perturbations" !
Facebook a expliqué qu'il comptait aller en appel de cette décision. "Nous utilisons les datr-cookie depuis plus de cinq ans pour rendre Facebook plus sûr pour les 1,5 milliard d'utilisateurs de par le monde. Nous irons en appel de cette décision et sommes occupés à limiter au maximum les perturbations possibles pour accéder à Facebook en Belgique", a indiqué l'entreprise dans une courte réaction à l'issue du jugement.
Alex Stamos, le chef de la sécurité chez Facebook, avait déjà évoqué le procès dans un billet il y a quelques semaines. Il en dit un peu plus sur ces "perturbations possibles"...
"En pratique, si la justice nous empêche d'utiliser le cookie datr en Belgique, cela signifierait que l'on devrait considérer chaque visite sur nos services en Belgique comme un login suspect, et déployer une série de méthodes de vérification pour que les utilisateurs prouvent qu'ils sont les propriétaires de leur compte", peut-on lire
