Dans un récent jugement(1) , la justice belge a ordonné à Facebook de cesser de pister les internautes en Belgique sans leur consentement, sous peine d’une astreinte de 250.000 euros par jour, pouvant atteindre 100 millions d’euros.
Le Tribunal a suivi l’avis de la Commission belge de la Protection de Vie privée.
En cause, l’utilisation par le réseau social de « cookies » et de « pixels espions », ces micro-fichiers qui conservent les données ou les habitudes des internautes et continuent de les pister — qu’ils possèdent un compte ou non.
Les articles 4, § 1, 3° et 5 a) de la loi belge du 8 décembre 1992 sur la protection de la vie privée (LVP) se lisent comme suit :
« Art. 4. § 1er. Les données à caractère personnel doivent être :
(…)
3° adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues et pour lesquelles elles sont traitées ultérieurement;
(…).
Art. 5. Le traitement de données à caractère personnel ne peut être effectué que dans l’un des cas suivants : a) lorsque la personne concernée a indubitablement donné son consentement; ».
Au Maroc, la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel contient des dispositions similaires à la loi belge.
L’article 3.1, a,b et c de la loi marocaine stipule :
« Les données à caractère personnel doivent être : a) traitées loyalement et licitement ; b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités ; c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ; ».
Quant à l’article 4 de cette loi, il dispose que le « traitement des données à caractère personnel ne peut être effectué que si la personne concernée a indubitablement donné son consentement à l’opération ou à l’ensemble des opérations envisagées ».
Selon la législation belge, Facebook doit prioritairement se référer à l’article 5, a) de la LVP pour légitimer les traitements commentés, quelles que soient les autres bases légales invoquées ou invocables, et être en mesure de démontrer que les exigences qui figurent dans cette disposition sont bien respectées.
Il ressort de ce qui précède que la personne concernée doit toujours donner au préalable un consentement indubitable et spécifique avant que Facebook puisse placer ou recevoir le cookie dans le cadre de modules sociaux.
Afin d’être valable en droit, le consentement de la personne concernée doit être libre, informé, spécifique et indubitable.
Il nous paraît que ce raisonnement juridique qui a conduit la condamnation de Facebook par un Tribunal en Belgique devrait également être identique au Maroc pour le cas où la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) serait amenée à introduire une procédure judiciaire contre Facebook à l’instar de l’action de la Commission belge de la Protection de Vie privée.
(1).Le jugement du Tribunal de Première Instance de Bruxelles (chambre néerlandophone) du 16 février 2018 est susceptible d’appel à la date du 19/02/2018.