Privacy-autoriteiten in de Europese Unie hebben Facebook de voorbije jaren al verschillende keren in het vizier genomen. Telkens argumenteerde 's werelds grootste sociaalnetwerksite dat voor klachten in de EU enkel de Ierse privacy-autoriteit en rechtbanken bevoegd zijn, omdat daar de Europese hoofdzetel van Facebook is gevestigd. Toch heeft de rechtbank van eerste aanleg in Brussel deze week Facebook, of liever het Amerikaanse moederbedrijf en de Ierse en de Belgische dochter, veroordeeld voor de manier waarop het surfers zonder Facebook-account volgt via cookies en de alomtegenwoordige Facebook-icoontjes op websites, de social plugins. Als Facebook dat systeem van tracking niet aanpast, moet het een dwangsom van 250.000 euro per dag betalen.

"Dit is een belangrijk vonnis, dat ook buiten België weerklank zal hebben", zegt Frederic Debusseré. Hij is advocaat bij het in privacy- en ICT-recht gespecialiseerde kantoor time.lex en pleitte in deze zaak voor de Privacycommissie. "De voorbije twee jaar zijn er drie arresten geweest van het Europees Hof van Justitie, waarin de toepasselijkheid van de nationale privacywetgeving en de bevoegdheid van nationale privacy-autoriteiten aan bod kwamen. Telkens werd bevestigd dat de lokale privacywetgeving wel degelijk van toepassing is en dat nationale privacy-autoriteiten wel degelijk bevoegd zijn om inbreuken te behandelen op de lokale privacy-wetgeving door Facebook en andere multinationals."

"De Belgische privacywetgeving is van toepassing op de onlineactiviteiten van Facebook in België en de Belgische Privacycommissie is bevoegd om klachten tegen Facebook te handelen, zelfs al heeft de Belgische Facebook-vennootschap slechts enkele werknemers in België. En dit omdat de activiteiten van de Belgische vestiging onlosmakelijk verbonden zijn met de activiteiten van de hoofdzetel. De rechtbank van eerste aanleg in Brussel is de eerste rechtbank die de bevoegdheidsprincipes uit die Europese arresten toepast en ook nog eens bevestigt."

Facebook vindt het oneerlijk dat de Privacycommissie enkel hen aanpakt.

Frederic Debusseré: "Dat is inderdaad door Facebook opgeworpen geweest. Maar de Privacycommissie moet uiteraard ergens beginnen. En Facebook is nu eenmaal een belangrijke speler en het heeft manifeste inbreuken gepleegd op de Belgische privacywetgeving. De rechter heeft dat bevestigd. Facebook volgde ook surfers die geen lid van Facebook zijn en daar geen toestemming voor gegeven hadden, op externe sites via cookies en social plug-ins. Er moest zelfs niet eens op een like-knop worden geklikt, door gewoon de pagina te bezoeken, wordt een surfer al gevolgd.

"Er zijn meer dan 13 miljoen sites waar like-knoppen en andere social plug-ins zijn geïnstalleerd. Facebook kon via dat systeem grote delen van het surfgedrag van niet-leden in kaart brengen, zonder dat die surfers hun toestemming hebben gegeven."

Volgens Facebook heeft die cookie en de eraan gekoppelde inzameling van gegevens een veiligheidsfunctie.

Frederic Debusseré: "Facebook verdedigde zich met het argument dat het nodig was om zijn eigen website te beveiligen en dat België anders de wieg zou worden van cyberterrorisme. Maar de rechter veegde dat argument terecht van tafel. Voor de rechter is het aannemelijk dat de cookie in kwestie tot op zekere hoogte helpt bij het tegengaan van aanvallen op het Facebook-platform. Maar hier gaat om surfers die geen verbinding willen maken met Facebook, maar met andere sites waarop zulke social plug-ins staan. De rechter stelt ook dat zelfs een "digibeet" begrijpt dat de stelselmatige inzameling van die cookie op zich ontoereikend is om de aanvallen waar Facebook van spreekt, tegen te gaan. Cybercriminelen kunnen heel eenvoudig het systeem omzeilen met software die het plaatsen van cookies blokkeert."

Veel Belgische sites gebruiken ook die like-knoppen, komen zij nu in de problemen?

Frederic Debusseré:"Over de gevolgen voor externe websites met zulke plug-ins wil ik geen uitspraken doen. De Privacycommissie heeft in mei daarover een advies gegeven. Daarin staat dat websites voor hun social plug-ins beter een systeem toepassen waarbij een gebruiker eerst een like-knop moet activeren door erop te klikken. Het liken kost dan twee kliks, waarvan de eerste geldt als een toestemming voor het leggen van een verbinding met de server van Facebook, en de tweede klik gebruikt wordt om de like-opdracht te geven. Dat is de 'Social Share Privacy'-tool. Ook de Franse Privacycommissie heeft al gezegd dat die tool wél voldoet aan de wetgeving."

Hoe zal de procedure verder verlopen, Facebook heeft al aangekondigd dat het in beroep gaat.

Frederic Debusseré: "Facebook heeft dat inderdaad aangekondigd. Het kan dat doen tot uiterlijk één maand nadat de Privacycommissie het vonnis aan Facebook betekend zal hebben. Belangrijk is wel dat de dwangsom (250.000 euro per dag, nvdr) niet wordt opgeschort, wanneer Facebook beroep aantekent. Het is een procedure in kort geding en het vonnis is daarom onmiddellijk uitvoerbaar vanaf de betekening ervan (de spoedprocedure was gevraagd vanwege de ernst van de inbreuk, nvdr).

"De Privacycommissie heeft ook nog een andere zaak aangespannen bij de rechtbank van eerste aanleg in Brussel. Die zaak vangt aan begin 2016. Deze keer gaat het weer over hetzelfde systeem van cookies en de social plug-ins, maar dan ook over hoe geregistreerde gebruikers van Facebook daarvoor toestemming moeten geven."