L'Autorité publie une nouvelle recommandation concernant le traitement de données à caractère personnel par Facebook via des cookies, des plug-ins sociaux et des pixels

---

Contexte

Le 13 mai 2015, l'Autorité a publié une recommandation d'initiative concernant le traitement par Facebook de données à caractère personnel d'utilisateurs et de non-utilisateurs via des cookies et des modules sociaux. Depuis cette recommandation, Facebook a modifié sa politique et ses pratiques en matière de cookies en septembre 2015 et en mai 2016. C'est pour cette raison que le 12 avril 2017, l'Autorité a émis une nouvelle recommandation (03/2017) contenant une analyse à la fois technique et juridique des récentes modifications. 

Nouvelle politique en matière de cookies et nouvelles techniques de traçage

Malgré les dernières modifications dans les pratiques de Facebook, l'Autorité considère que Facebook n'obtient toujours pas de consentement valable des personnes concernées. Elle estime en outre que la collecte de données à caractère personnel par Facebook à l'aide de cookies et de modules sociaux est excessive dans plusieurs circonstances.

Une modification importante est que Facebook trace aujourd'hui également le comportement de navigation de personnes n'ayant pas de compte Facebook à des fins publicitaires.

Une autre modification importante est que depuis août 2016, Facebook fait une utilisation à grande échelle de ce que l'on appelle les "pixels", afin d'obtenir des informations sur le comportement de navigation d'utilisateurs et de non-utilisateurs. Tout comme les modules sociaux, les "pixels" sont des outils que Facebook met à la disposition d'exploitants de sites Internet externes. Ces pixels n'apparaissent pas comme un bouton ou une icône (comme le bouton "j'aime") sur le site Internet externe, mais comme un point invisible à l'œil nu.

L'Autorité a constaté que plusieurs sites Internet belges utilisaient également des pixels Facebook, dont hln.be, rtbf.be et gezondheid.be. La présente recommandation ne se prononce pas sur la légalité des pratiques de ces exploitants de sites Internet, mais l'Autorité entame une enquête complémentaire à ce sujet.

Recommandations à l'égard de Facebook

L'Autorité recommande à Facebook :

• d'informer clairement les personnes concernées à propos de l'utilisation par Facebook de cookies et de leur collecte via les modules sociaux de Facebook, les pixels Facebook ou des moyens technologiques similaires ;
• d'obtenir un consentement valable pour le placement de cookies, pour autant qu'ils ne soient pas strictement nécessaires à un service que la personne concernée demande expressément ;
• de renoncer à la collecte excessive de cookies via ses modules sociaux, les pixels Facebook ou des moyens technologiques similaires.
• de renoncer à fournir des informations qui pourraient raisonnablement induire les personnes concernées en erreur quant à la portée réelle des mécanismes qu'elle met à disposition pour gérer l'utilisation de cookies par Facebook.

Recommandations à l'égard des exploitants de sites Internet et des internautes

Par ailleurs, l'Autorité formule également une série de recommandations supplémentaires à l'égard des exploitants de sites Internet externes qui utilisent les technologies et les services que Facebook met à leur disposition.

Enfin, l'Autorité donne à nouveau plusieurs recommandations aux internautes qui veulent se protéger d'un traçage de Facebook par le biais de modules sociaux.

Position commune des autorités de protection des données

L'Autorité fait partie d'un Groupe de contact créé au niveau européen, conjointement avec les autorités de protection des données de France, des Pays-Bas, d'Espagne et de Hambourg. Chacune de ces autorités de contrôle a actuellement une propre procédure indépendante en cours contre Facebook. Les membres du Groupe de contact partagent toutefois certaines objections de fond, notamment en ce qui concerne le manque d'informations et la validité du consentement des personnes concernées.

Procédure quant au fond

Entre-temps, la procédure judiciaire actuelle quant au fond entre l'Autorité et Facebook devant le tribunal de première instance néerlandophone de Bruxelles se poursuit. Cette procédure quant au fond porte sur le traitement par Facebook de données à caractère personnel tant d'utilisateurs que de non-utilisateurs de Facebook via des cookies (également différents du cookie "datr"), des modules sociaux et des pixels. La procédure quant au fond a été introduite le 15 janvier 2016 et les plaidoiries devraient avoir lieu les 12 et 13 octobre 2017.

Déroulement antérieur de la procédure

Le 18 mai 2015, Facebook a été mise en demeure pour violation de la Loi vie privée et de la Loi relative aux communications électroniques. Le 10 juin 2015, l'Autorité a cité Facebook Inc., Facebook Belgium SPRL et Facebook Ireland Limited devant le Président du tribunal de première instance néerlandophone de Bruxelles, siégeant en référé. L'objet de la procédure en référé se limitait à l'enregistrement du comportement de navigation de personnes qui ne sont pas des utilisateurs de Facebook par l'intermédiaire de modules sociaux et de cookies, en particulier ce qu'on appelle le cookie "datr". La décision en référé rendue en première instance le 9 novembre 2015 intimant à Facebook de cesser l'utilisation contestée du cookie "datr" a été annulée le 29 juin 2016 par le juge des référés siégeant en degré d'appel pour des motifs de compétence et de défaut d'urgence. L'Autorité se concentre à présent sur la procédure quant au fond.