Une Cour de justice fait honneur à la Belgique en tentant enfin de mettre un terme aux pratiques éhontées de Facebook sur au moins un point : elle exige que le réseau social cesse de suivre et d’espionner le comportement d’utilisateurs qui ne sont pas abonnés à ses services, sans quoi elle risque une amende de 250 000 € par jour. On aurait souhaité que l’amende soit en rapport avec les bénéfices de l’entreprise, afin d’être dissuasive, mais c’est un premier pas, qu’auraient dû franchir les ‘grands’ pays de l’Union européenne, comme la France, l’Allemagne ou le Royaume-Uni, avant la Belgique. Facebook a annoncé son intention de faire appel.

Cette décision fait suite à la Commission de la protection de la vie privée (CPVP), l’équivalent belge de la CNIL, qui avait traîné Facebook devant les tribunaux le 15 juin dernier, l’accusant de violations ‘flagrantes et massives’ de la législation belge sur la vie privée et les données personnelles.

La CPVP avait chargé une équipe du Centre interdisciplinaire droit et technologies de l’information et de la télécommunication de l’université KU Leuven d’étudier l’éventuel impact de la nouvelle politique de confidentialité de Facebook, mise en place le 30 janvier 2015.

Celle-ci avait montré que le premier réseau social au monde collectait et traitait secrètement des données personnelles, non seulement de ses membres, mais de tous les internautes non-membre en contact indirect avec le réseau (en gros toute page avec un lien Facebook ou un lien « j’aime » ou « partager »), sans demander leur consentement.

Parce que Facebook n’a jamais fourni de réponse satisfaisante à ces griefs – l’entreprise américaine estime qu’elle n’a à répondre qu’à la commission de la vie privée irlandaise, puisque c’est là qu’est située sa filiale européenne – la CPVP a traîné Facebook devant une cour à Bruxelles.

Aux États-Unis, où Facebook était traînée devant les tribunaux pour les mêmes raisons par des personnes individuelles, le juge a malheureusement suivi l’entreprise en inversant la rhétorique : puisque les attaquants n’ont pas pu prouver de dommage irréparable, ils n’ont droit à aucune compensation. Et pour cause, puisque Facebook n’a jamais dévoilé la façon dont elle exploitait les données, et que la justice américaine ne lui a jamais demandé de le faire. Ce qui de notre point de vue est lamentable : tant qu’on ne peut prouver un tort porté par des pratiques d’espionnage illégal, une entreprise est cordialement invitée à continuer d’user et d’abuser des données en toute tranquillité.

En Europe, Facebook ne pourra plus se cacher systématiquement derrière les autorités irlandaises complaisantes. La Cour de justice de l’Union européenne a cassé l’accord du Safe Harbor, ou Sphère de protection, et prié le Data Commisssionner, l’équivalent irlandais de la CNIL, de bien vouloir examiner la plainte des citoyens européens, menés par Max Schrems, qui s’opposent au transfert de leurs données personnelles aux États-Unis.

Facebook ose toujours faire croire que le cookie qui permet de pister les utilisateurs d’Internet, a pour but de rendre le réseau social sécurisé. Pourtant le 16 septembre, le Global Deputy Chief Privacy Officer (!) de Facebook annonçait, sous couvert d’offrir aux internautes des publicités mieux ciblées, l’exploitation des pistages des pages avec des boutons ‘like’, à des fins publicitaires. Sans consentement de l’internaute, et sans qu’il clique sur un de ces boutons.

Facebook se garde bien de dire que, comme Google et d’autres géants, elle a développé des moyens de pister et d’espionner sans utiliser de cookies dès que les législateurs ont commencé, avec près de vingt ans de retard, à s’y intéresser.

Avec des techniques de ‘fingerprinting ou empreintes digitales numériques, qui dépassent malheureusement complètement les législateurs. En abusant massivement des navigateurs Internet, ces entreprises collectent un nombre insensé de données sur chaque connection, et le croisement de ces données leur permet, dans la plupart des cas, de reconnaître qui s’est connecté à quoi, et de dresser un historique individuel de navigation, même sans cookie, et même avec une adresse IP variable : nom, version, type et configurations du navigateur, résolution de l’écran, système d’exploitation et version, heure, fuseau horaire, région configurée, langue configurée, langue du clavier configuré, logiciels installés, polices de caractères installées, et ainsi de suite.