Affaire APD contre Facebook – la CJUE saisie ! - Facebook  (CC BY 2.0)
Photo: Facebook (CC BY 2.0)

- Par Equal team

Affaire APD contre Facebook – la CJUE saisie !

Dans le cadre de la procédure intentée par l’ancienne Commission de la Vie Privée à l’encontre du géant américain Facebook, la Cour d’appel de Bruxelles a décidé ce 8 mai 2019 de poser une question préjudicielle à la CJUE.

Dans le rétro. La saga continue ! En 2015, une étude menée par des chercheurs de la KUL et la VUB, commanditée par la Commission de Protection de la Vie Privée – CPVP, devenue Autorité de Protection des Données - et relayée par de nombreux médias internationaux, avait mis en évidence la possibilité pour le réseau social Facebook de tracer la navigation de tout utilisateur, à leur insu, sur des sites tiers, et ce même s’il ne dispose pas de compte Facebook ou s’il s’en est déconnecté.

En cause ? Le cookie « Datr », déposé par la société sur le terminal de chaque internaute qui visite une page Facebook publique – un événement public, par exemple. Celui-ci permet ensuite à Facebook d’identifier tous les sites internet sur lesquels cet internaute se rend dès lors qu’ils contiennent un bouton redirectionnel portant le fameux « f » blanc sur fond bleu. Selon Facebook, qui s’était défendu fin 2015 via son chef de la sécurité, l’installation de ce cookie était rendue nécessaire pour limiter le nombre de faux profils et prévenir le vol de comptes, notamment.

L’attaque. Le problème, c’est que, dès lors, le cookie était installé sans le consentement préalable de l’utilisateur. La découverte n’était donc pas au goût de l’Autorité de Protection des Données – APD, qui avait introduit un recours devant les juridictions civiles belges afin de faire stopper l’usage de ce cookie par la société de Mark Zuckerberg, au motif que cet usage contrevenait à la réglementation belge et européenne.

Le nœud : la compétence. Les tribunaux belges étaient-ils compétents pour connaître de la demande de l’APD, alors que Facebook, on le sait, agit en Europe via Facebook Ireland Ltd, installée dans le pays au trèfle ? Dans le cadre d’une procédure en référé, la Cour d’appel (Bruxelles, 18ème ch., 2016/KR/2 , 29 juin 2016) avait conclu en juin 2016 à l’incompétence des juridictions belges.

Dans le cadre de la procédure au fond, le Tribunal de Première Instance, dans son jugement du 16 février 2018 (Civ. Bruxelles, 24ème ch., AR/2016/153/A, 16 février 2018), avait établi à l’inverse un parallèle avec l’arrêt Google Spain de la CJUE (CJUE, 13 mai 2014, C-131/12, Google Spain SL, Google Inc. C. Agencia Española de Protección de Datos) et conclu au lien inextricable entre Facebook Inc. et Facebook Belgique dès lors que la société suivait le comportement des internautes sur le territoire. Facebook a évidemment fait appel de la décision.

Renvoi devant la CJUE. Par son arrêt du 8 mai 2019, la Cour d’appel a décidé de poser une question préjudicielle à la Cour de Justice de l’Union Européenne visant à savoir si la procédure introduite devant les juridictions civiles par l’APD pouvait se poursuivre compte tenu des règles européennes en vigueur.

Entre-temps, en effet, le RGPD a introduit le mécanisme de « guichet unique », qui permet qu’une entreprise qui effectue un traitement de données transfrontalier n’ait plus à s’adresser à chacune des autorités de protection des données des pays membres dans lesquels elle est active, mais soit en contact avec une autorité qui soit l’interlocuteur unique, dans le pays où se trouve son établissement principal. Pratiquement, cela voudrait-il dire que l’autorité belge ne peut connaître du dossier Facebook et donc intenter une action judiciaire, et devrait laisser une homologue, en l’occurrence irlandaise, agir ?

Tout le poids sur l’Irlande ? On le sait en effet, la quasi-totalité des entreprises du numérique ont choisi l’Irlande comme terre d’accueil pour leur établissement principal dans l’Union Européenne. La Data Protection Commission of Ireland serait-elle donc en charge des enquêtes contre tout ce beau monde ? Helen Dixon, la présidente de l’autorité irlandaise, a affirmé le 1er mai dernier devant la Commission du Commerce du Sénat Américain que pas moins de 51 enquêtes étaient en cours, donc 17 concerneraient des grandes entreprises des techs comme Facebook, Twitter, WhatsApp, Google, AirBnB, Microsoft ou encore Oath, et que les résultats en seraient produits dès cet été !

Le 21 janvier 2019, la CNIL française avait condamné Google a une sanction financière de 50 millions d’euros, en raison du « manque de transparence, de l’information insatisfaisante et de l’absence de consentement valable pour la personnalisation de la publicité » de l’entreprise de Palo Alto lors de la configuration du système d’exploitation Android par l’utilisateur. Évidemment, Google a rapidement annoncé faire appel de cette décision, basée sur un recours introduit par des organisations comme La Quadrature du Net et None of Your Business : nul doute qu’elle fera également valoir ses vues quant à la compétence de l’autorité administrative parisienne.

Dans le même temps, la réflexion américaine avance, avec notamment le dépôt, le mois dernier, d’une proposition bipartisane baptisée DETOUR Act visant à l’interdiction des dark patterns et la réflexion, encore murissante, sur un potentiel texte similaire au RGPD. Cette démarche aboutira-t-elle à un texte correspondant aux standards européens créant un véritable cadre « occidental », ou le temps politique et juridique sera-t-il pris de cours, une fois de plus, par le temps technologique ,

Dans l’intervalle que ces décisions, ces textes et ces dossiers s’avèrent concluants, on ne peut que vous conseiller, si cette question vous intéresse, de suivre de près l’actualité toujours chaude des données à caractère personnel. L’APD, visiblement, a choisi d’y jouer un rôle.


Photo :