Imprimer

Mi-juin, la commission belge de la protection de la vie privée (CPVP) attaque Facebook en justice et lui réclame une astreinte de 250.000 € par jour pour la collecte et le traitement de données des utilisateurs sans leur autorisation. Si la somme est symbolique face au poids financier de la société américaine, elle devrait néanmoins retenir l'attention du réseau social marchand le plus rentable au monde. Le début des plaidoiries a été fixé au 21 septembre avec en arrière fond un enjeu majeur : que Facebook reconnaisse que le droit belge s'applique aux traitements des données échangées et partagées par ses adhérents belges.

Indéniablement, l'arrêt Google sur le droit à l'oubli numérique et l'arrêt « Data Retention » de la Cour euro-péenne de justice a fait du bien au moral d'une commission de plus en plus connectée avec ses alter ego euro-péens. Willem Debeuckelaere, Président de la CPVP : « 2014 a marqué un tournant. L'arrêt de la Cour de Justice du 13 mai 2014 dans l'affaire Google Espagne est une grand messe de la réflexion juridique pointue et plutôt saine. Il a permis de résoudre de nombreux problèmes ainsi que de renforcer et d'appliquer concrètement le droit existant en matière de protection de la vie privée. C'est un jugement qui ne s'enlise pas dans la mélasse de la pure avocasserie mais qui applique ce que le législateur a en principe présupposé et qui est appliqué avec bon sens. Sans crainte ni vassalité vis-à-vis des géants de l'Internet. Pas de beaux discours sur les intérêts commerciaux ou la dictature de la logique technologique, mais bien la protection du citoyen. C'est une cure de vitamines : enfin une confirmation de la tâche, de la mission, de l'autorité et de la juridiction d'une commission vie privée qui a enfin quelque chose à dire, à faire et d'emblée aussi une respon-sabilité ».


Incompatible avec les droits fondamentaux de l'Union

L'arrêt du 8 avril 2014 de la même Cour de Justice de l'Union européenne va dans ce sens. Il invalide la directive sur la conservation des données au motif de son incompatibilité avec la charte des droits fondamentaux del'Union. Cette directive adoptée en 2006 suite aux attentats de Madrid (2004) et de Londres (2005), contraint les opérateurs de télécommunication et les fournisseurs d'accès à Internet euro-péens à conserver les méta-données de communication de leurs usagers pour une durée allant de six mois à deux ans. En juillet 2013, le Parlement fédéral belge adopte, dans le cadre d'une procédure d'urgence, une loi et un arrêté transposant cette directive en droit belge. Cette loi et son arrêté d'application contraignent les fournisseurs de communications électro-niques à conserver, pour une durée d'un an, différentes données comme les numéros de téléphones appelés depuis un téléphone mobile, la localisation géographique de l'émission de l'appel, la date, l'heure et la durée des communications.


Recours

En février 2014 En Belgique, la NURPA (Net Users' Rights Protection Association, l'Association de Protection des Droits des Internautes), Data-panik.org, la Ligue des droits de l'Homme et de Liga voor Mensenrechten, soutenus notamment par l'Ordre des médecins et l'Association des journalistes professionnels, introduisent un recours auprès de la Cour constitutionnelle afin d'obtenir l'annulation de la loi transposant la directive européenne en droit belge. C'est chose faite depuis le 8 avril 2014 avec une confirmation le 11 juin 2015 dernier dans le cadre de deux recours en annulation introduits indépendamment. Commentaires d'André Loconte, porte-parole de la NURPA : « La décision de la Cour constitutionnelle apporte un peu d'air frais dans un contexte nauséabond où les actes meurtriers de quelques terroristes suffisent à anéantir les principes fondamentaux de droits et de libertés de nos démocraties. Cela doit rappeler à chacun que les droits et libertés sont un combat de tous les instants, plus encore quand la tendance en Europe est à l'empilement de mesures sécuritaires, comme le démontre tristement l'adoption de la loi renseignement en France ».

 

Meilleure coopération

Ces deux arrêts ont également ins-tauré des liens de coopération plus efficaces entre les différentes autorités européennes de protection des données. En novembre de l'année dernière, celles-ci, regroupées au sein du Groupe 29, ont adopté des lignes directrices communes. On dispose ainsi d'une interprétation harmonisée de l'arrêt ainsi que des critères que les autorités utiliseront dans le cadre de l'instruction des plaintes leur parvenant suite à des refus de déférencement par les moteurs de recherche. Willem Debeuckelaere : « L'année passée, la Commission belge n'a eu à connaître que 25 dossiers relatifs à un tel refus. Ceux-ci portent sur les cas les plus divers : compte-rendus par la presse d'actualités judiciaires, maintien dans la cache de Google de versions dépassées de pages web, demandes générales de suppression de toute mention on-line d'un nom, informations embarrassantes, etc. L'année 2015 sera sans aucun doute riche d'enseignements quant à la manière dont les possibilités offertes par cet arrêt seront mises en pratique, par les internautes, par les moteurs de recherche, par la commission vie privée et ses homologues européens mais également par les cours et tribunaux qui seront saisis de recours par des internautes insatisfaits ou par les autorités de protection des données elles-mêmes ».

 

Le CEO de Facebook USA aux manettes

Le « suivi » de Facebook depuis l'entrée en vigueur début 2015 de ses nouvelles conditions d'exploitation de données est également le fruit d'une collaboration européenne, soit les autorités de protection des données belge, hollandaise, allemande, espa-gnole et française. L'enjeu est d'importance : qu'elles soient reconnues comme interlocuteur juridiquement valable par la société dirigée par Marc Zuckerberg (31 ans et autant de milliards d'euros sur son compte d'épargne perso, 1,75 m, marié avec Priscilla Chan, fils de Karen Xempner et Edward Zuckerberg). Voilà pourquoi la Commission belge assigne non seulement Facebook Belgique, mais aussi Facebook Irlande et surtout Facebook USA devant les tribunaux belges. Explication : jusqu'à présent, Facebook considère que seul le droit national irlandais de protection des données peut être appliqué pour tous les utilisateurs européens de son réseau social. Facebook argumente que ce n'est pas Facebook Inc. – établie aux États-Unis –mais Facebook Ireland Limited qui doit être considérée comme le responsable du traitement des données à ca-ractère personnel des utilisateurs européens.

 

Mon cœur est Irlandais

La CPVP rejette formellement cette argumentation et fait remarquer qu'il n'y a qu'une seule unité opérationnelle mentionnée dans le rapport financier officiel de Facebook. C'est Facebook Inc. dont « la compétence décisionnelle pour toutes les opérations appartiennent exclusivement au CEO et pas à une autre personne ». C'est aussi Facebook Inc qui assure la collecte des enregistrements de toutes les données d'utilisateurs.

 

Mais pas mes décisions

Selon la Commission, « il n'apparaît pas que Facebook Ireland puisse prendre des décisions en toute autonomie en ce qui concerne la finalité et les moyens relatifs aux traitements de données à caractère personnel des citoyens belges. D'ailleurs, les nouvelles conditions d'utilisation Facebook ont été ins-taurées simultanément à l'échelle mondiale. Dans ce cadre, il n'a pas été question d'une politique de vie privée différente à l'égard des citoyens euro-péens. Au contraire, cette politique de vie privée ne mentionne nulle part le terme technique « données à caractère personnel » propre à la législation européenne mais bien les termes « données » et « in ormations personnelles », par lesquels Facebook vise uniquement un nom ou une adresse prendre contact avec la personne concernée ou connaître son identité ».

 

SPRL Facebook Belgium : la commission belge compétente

Et Facebook en Belgique ? Selon la Commission, la SPRL est directement pilotée par les USA, même si elle n'a pas insensible à la Saint Patrick :
« L'activité principale de la SPRL belge en 2013 a consisté à apporter du soutien en matière de "public policy" au Groupe Facebook. La Cour euro-péenne de justice conclut dans son arrêt du 13 mai 2014 que le droit national d'un État membre en matière de protection des données est applicable si les activités d'un établissement établi dans cet État membre sont indissociablement liées aux activités du responsable du traitement, ce indépendamment de la question de savoir si cet établissement exerce lui-même ou non des activités de traitement de données. Dès lors, il ne fait aucun doute que la législation belge en matière de vie privée est d'application, ce qui entraîne la compétence de la Commission vie privée belge. Toutes les mesures doivent donc être prises afin que la loi belge de protection des données soit appliquée et respectée par Facebook sur le territoire belge ».

 

Vivement septembre...

L'enjeu est de taille dans un contexte où, comme l'indique Willem Debeucke-laere : « Le Conseil de l'Union euro-péenne s'oriente de plus en plus vers la libéralisation tandis que le Parlement européen opte clairement pour un niveau de protection élevé dans une perspective des droits de l'homme ». Vivement septembre...

 

 

Souces & Infos
Le rapport 2014 de la CPVP : http://www.privacycommission.be/sites/privacycommission/files/
documents/Rapport-annuel-2013.pdf

Le texte de la recommandation de la CPVP : http://www.privacycommission.be/sites/privacycommission/files/documents/recommandation_04_2015.pdf