Bien que la décision commentée ait été prononcée par une juridiction belge, la question se pose de savoir si –à supposer des faits similaires– la même décision aurait pu être prononcée par des juridictions françaises.

En effet, les cadres législatifs français et belge sont tous deux largement inspirés de la directive européenne 95/46/CE du 24 octobre 1995 sur la protection des données personnelles.

En l’espèce, la version belge du réseau social Facebook enregistrait un cookie « Datr » dès lors qu’un internaute, titulaire ou non d’un compte, visitait une page dudit site. Ce cookie était stocké sur le navigateur de l’internaute pendant une durée de deux ans, à moins que celui-ci ne le supprime de lui-même.

Par la suite, dès l’instant où cet internaute visitait un site web tiers sur lequel se trouvait un plug-in social de Facebook (« J’aime » ou « Commenter« ), le serveur de Facebook demandait au navigateur d’envoyer, lors du chargement du contenu du plug-in social, le cookie « Datr ». Etaient ainsi transmis l’adresse URL du site Internet tiers sur lequel figurait le plug-in ainsi que l’adresse IP de l’internaute.

Ce faisant, il était alors possible pour Facebook de suivre le comportement de navigation de la personne concernée.

Le droit belge comporte des dispositions très semblables à celles des articles 6 (principe de loyauté, de finalité, etc.), 7 (consentement au traitement) et 32 (droit à l’information) de la loi « informatique et libertés » française, au nom desquelles, compte tenu de l’installation du cookie et de la réception des données, les juges belges sont entrés en voie de condamnation.

Facebook, afin de remplir les obligations d’information et de consentement, avait mis en place une bannière apparaissant pour les visiteurs n’ayant jamais accédé au site, sur laquelle figurait la mention « Les cookies nous permettent de fournir, protéger et améliorer les services de Facebook. En continuant à utiliser notre site, vous acceptez notre Politique d’utilisation des cookies« . En cliquant sur le lien hypertexte « Politique d’utilisation des cookies« , le visiteur accédait à une page intitulée « Cookies, pixels et technologies similaires » comportant des informations sur les cookies. Cependant, cette page ne mentionnait pas explicitement le cookie « Datr ». En outre, le cookie s’enregistrait si le visiteur cliquait sur un autre élément de la page comportant la politique – incomplète – mais également, lorsque le visiteur cliquait sur un plug-in social figurant sur une page tierce, même s’il décidait de quitter le plug-in en cliquant sur « Annuler ».

Dans un cas comme dans l’autre, le juge belge a considéré qu’aucun consentement éclairé et indubitable n’avait pu être donné.

De même, à propos de la consultation par Facebook du cookie « Datr » lors de la visite d’un site tiers comportant le plug-in, les juges ont estimé qu’aucun consentement n’avait été valablement donné. Ce d’autant que Facebook agissait en qualité de tierce partie lors de cette consultation, puisque le plug-in était installé sur un site tiers à Facebook.

Les exceptions au consentement ne pouvaient davantage être invoquées, en l’absence, notamment, de contrat entre les parties prenantes ou d’un intérêt légitime de Facebook à procéder au traitement impliquant le cookie. En ce qui concerne ce dernier point, conformément à l’avis 06/2014 du G29 sur la notion d’intérêt légitime poursuivi par le responsable de traitement des données au sens de l’article 7 de la directive 95/46/CE, le juge a opéré une mise en balance des intérêts et droits fondamentaux en présence. Au vu de l’absence de nécessité, du peu d’efficacité en matière de sécurité et du caractère disproportionné du traitement, le juge a considéré que Facebook n’avait pas d’intérêt légitime permettant de justifier ce traitement.

Les juridictions françaises auraient pu rendre une décision semblable. En effet l’article 32 II de la loi « informatique et libertés » et la délibération n° 2013-378 de la CNIL du 5 décembre 2013 interdisent de faire usage des cookies en l’absence d’information complète et d’un consentement indubitable (sur ce point, voir notre article paru dans la Lettre des Propriétés intellectuelles de janvier 2014). En substance, cette délibération précise les moyens permettant de satisfaire aux impératifs d’information et de consentement préalables à l’usage des cookies, en imposant au responsable de traitement l’utilisation d’une bannière informative apparaissant lorsque l’internaute accède au site. Cette bannière doit comporter les finalités des cookies, la possibilité de s’y opposer et de changer les paramètres y afférents en cliquant sur un lien et l’information selon laquelle la poursuite de la navigation vaut accord au dépôt des cookies. En cliquant sur le lien figurant sur la bannière, l’internaute doit pouvoir se rendre sur une page informative précise mais aisément compréhensible concernant les cookies par catégories de finalités. Conformément à la délibération précitée, la pose du cookie ne peut intervenir qu’après que l’internaute y a consenti, c’est-à-dire a accompli une action sur le site, autre que la simple prise d’information. Or, s’il n’est pas expressément disposé par l’article 32 II de la loi « informatique et libertés » ou la délibération de la CNIL du 5 décembre 2013 que l’intégralité des cookies utilisés doive figurer dans la page d’information, un tel consentement aurait pu être considéré en l’espèce comme manquant en l’absence d’information précise sur le cookie et notamment sur sa finalité. D’autant plus que ladite délibération mentionne expressément que les cookies traceurs de réseaux sociaux générés par les « boutons de partage de réseaux sociaux » sont soumis à une information et un consentement préalables.

En outre, les exceptions au consentement figurant à l’article 7 de la loi « informatique et libertés » ne trouveraient probablement pas à s’appliquer, en l’absence de contrat conclu par les visiteurs non-inscrits et, sans doute, aussi d’intérêt légitime évalué conformément à l’avis du G29 précité, comme l’a fait le tribunal belge. Par ailleurs, la durée de conservation de deux ans aurait très certainement été jugée disproportionnée, la délibération de la CNIL de 2013 recommandant une durée maximale de treize mois.

Les conflits potentiels entre Facebook et ses usagers occasionnels ou réguliers étant récurrents, le juge français aura peut-être l’occasion de se prononcer, à son tour, sur un point similaire concernant les cookies.

Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.

Thomas Livenais, avocat en droit de la propriété intellectuelle