Une première application du RGDP, avant l’heure ?
Le 16 février 2018, le Tribunal de première instance néerlandophone de Bruxelles a condamné Facebook à faire cesser le suivi et à détruire les données à caractère personnel qu’il a récoltées sans en avoir informé les personnes concernées. Cette condamnation a suivi au pied de la lettre l’argumentation de la Commission vie privée basée sur une étude de la KUL. Elle anticipe la mise en pratique du Règlement général sur la protection des données qui entrera en vigueur le 25 mai prochain.
L’étude menée par la KUL a démontré que Facebook collecte et traite des données à caractère personnel par le biais de cookies ou desocial plug-ins sans en informer les personnes concernées. Qui plus est, Facebook les utilise également sur des sites tiers, ce qui a comme conséquence que des navigateurs qui n’ont jamais accédé au site de Facebook se retrouvent suivis sans avoir donné leur consentement.
Cette jurisprudence met en exergue deux notions importantes : la notion de communication aux personnes concernées du traitement des données à caractère personnel et la notion de consentement à un tel traitement. En effet, un des principes consacrés par le RGDP en ce qui concerne le traitement des données à caractère personnel est que les données doivent être traitées de manière licite (tout traitement doit avoir un des fondements légaux prévus par le RGDP) et transparente (les personnes concernées doivent être clairement informées du traitement de leur données personnelles).
Ces obligations d’information et de transparence obligent le responsable du traitement à fournir à la personne concernée, par écrit ou par tout autre moyen y compris électronique, des informations sur le traitement en question. Ces informations doivent être fournies en termes clairs, simples et aisément accessibles. En l’espèce, Facebook n’a pas suffisamment informé les navigateurs quant aux catégories de données traitées, à leur usage et à la durée de leur conservation.
Le consentement de la personne concernée occupe une place centrale dans le traitement des données : il permet aux personnes concernées de « contrôler les activités de traitement des données »[1]. Ce consentement doit être donné par une déclaration ou par un acte positif clair par lequel la personne concernée manifeste de manière libre, spécifique, éclairée et univoque son accord quant au traitement des données personnelles la concernant. Le responsable du traitement doit être en mesure de prouver que la personne concernée a effectivement consenti au traitement. Selon le jugement, Facebook n’a pas obtenu de consentement valable quant au traitement des données personnelles des navigateurs.
Le Tribunal ayant suivi le rapport de la Commission de la vie privée, a condamné Facebook à :
- Cesser de suivre et sauvegarder les données à caractère personnel des navigateurs tant qu’il n’a pas mis sa politique en conformité avec le droit belge en matière de vie privée ;
- Détruire toutes les données à caractère personnel obtenues illicitement ;
- Publier la condamnation dans des journaux papier belges et l’intégralité du jugement sur son site internet.
Le jugement prévoit également une astreinte de 250.000 € par jour de retard à payer à la Commission de la vie privée, avec un maximum de 100 millions d’euros.
Facebook a interjeté appel de cette décision.
Cette condamnation est un signal fort lancé aux grandes entreprises avant l’entrée en vigueur du RGPD. Toute récolte illégale de données doit être arrêtée mais aussi et surtout détruite. Il est donc conseillé aux entreprises (surtout les grandes entreprises) de s’atteler d’ores et déjà à mettre tous les moyens en œuvre pour se conformer au nouveau règlement et en particulier de s’assurer au minimum qu’un consentement au traitement a bien été donné.
Mohamed Chaâban
