10 nov
2015

Het vonnis in de zaak Facebook

Bij vonnis van 9 november 2015 heeft de Voorzitter van de Rechtbank van Eerste Aanleg te Brussel, zetelend in kortgeding, Facebook Inc., Facebook Ireland Limited en Facebook Belgium BVBA veroordeeld om te stoppen met het registreren via cookies en social plug-ins van het surfgedrag van internetgebruikers uit België die geen Facebook-account hebben.


De veroordeling, die werd gevorderd door de Belgische Autoriteit op 10 juni 2015, treedt in werking 48 uren nadat de Autoriteit het vonnis aan Facebook zal betekenen. Als Facebook de veroordeling niet respecteert, moet het een dwangsom betalen van 250.000 EUR per dag van niet-naleving. De veroordeling blijft van kracht, zelfs als Facebook hoger beroep zou aantekenen.

Kort samengevat oordeelt de Rechtbank als volgt :

  1. Het Belgische privacyrecht is van toepassing en de Belgische rechter is bevoegd.

Ten eerste stelt de Rechtbank dat het Belgische privacyrecht van toepassing is en dat de Belgische rechtbanken bevoegd zijn. Facebook had geargumenteerd dat het enkel het Ierse privacyrecht moet naleven en dat enkel de Ierse rechtbanken bevoegd zijn. De Rechtbank is het daar echter niet mee eens en verwijst daarbij naar het Google Spain-arrest van het Hof van Justitie van 13 mei 2014, dat stelde dat het nationale privacyrecht van een EU-lidstaat van toepassing is als de activiteiten van een lokale vestiging in die lidstaat onlosmakelijk verbonden zijn met de activiteiten van de verantwoordelijke voor de verwerking. De Rechtbank stelt dat dit hier het geval is, omdat in België de vennootschap Facebook Belgium BVBA bestaat en deze lokale vennootschap lobbywerk verricht voor de Facebook-groep en betrokken is in de marketing en verkoop van advertentieruimte van de Facebook-dienst.

De Rechtbank stelt daarbij dat het irrelevant is of de verantwoordelijke voor de verwerking nu Facebook Inc. of Facebook Ireland Limited is, aangezien ook Facebook Ireland Limited deel uitmaakt van het Facebook-concern. De Rechtbank wijst er ook op dat het irrelevant is dat Facebook Belgium BVBA niet zelf persoonsgegevens zou verwerken of niet zelf contracten met adverteerders zou sluiten.

  1. Hoogdringendheid

Om een kortgeding in te stellen, moet de zaak hoogdringend zijn. De Rechtbank oordeelt dat aan die voorwaarde voldaan is, omdat vorderingen die betrekking hebben op fundamentele rechten en vrijheden (zoals de bescherming van de privacy) altijd hoogdringend zijn en omdat het gaat over de schending van het fundamenteel recht van niet één persoon maar van een enorme groep van personen. Door de miljoenen websites met Facebook social plug-ins is het volgens de Rechtbank haast onmogelijk om eraan te ontsnappen. Het kan daarbij ook gaan om zeer gevoelige gegevens waaruit bv. de gezondheid of religieuze, seksuele of politieke voorkeuren blijken.

  1. Het gaat om de verwerking van “persoonsgegevens”

Facebook verwerkt o.a. het IP-adres en een “unique identifier” die in Facebooks datr-cookie vervat zit. De Rechtbank oordeelt dat dit “persoonsgegevens” zijn en dat de inzameling ervan door Facebook een “verwerking” van persoonsgegevens is. Facebook had geargumenteerd dat dit geen persoonsgegevens zijn omdat ze louter zouden toelaten om een computer te identificeren.

  1. Schending van de Belgische privacywetgeving

De Rechtbank oordeelt vervolgens dat het feit dat Facebook van miljoenen inwoners van België die beslist hebben om geen lid te worden van Facebooks sociaal netwerk, gegevens over hun surfgedrag inzamelt, een “manifeste” schending van het Belgische privacyrecht is, en dit ongeacht wat Facebook met die gegevens doet na de inzameling ervan.

De Rechtbank wijst er onder andere op dat Facebook geen enkele wettelijke verantwoording kan inroepen voor het verwerken van persoonsgegevens van mensen die geen Facebook-account hebben via cookies en social plug-ins, omdat :

  • Facebook geen toestemming daarvoor bekomen heeft;
  • Facebook zich niet kan beroepen op een overeenkomst met mensen die geen Facebook-account hebben;
  • Facebook zich niet kan beroepen op een wettelijke verplichting;
  • het fundamenteel recht op privacy van mensen die geen Facebook-account hebben, zwaarder doorweegt dan het veiligheidsbelang van Facebook.

Bovendien meent de Rechtbank dat Facebooks verwerking van persoonsgegevens van mensen die geen Facebook-account hebben, ook niet eerlijk en rechtmatig is, omdat hun persoonsgegevens reeds verwerkt worden vooraleer zij zich volledig hebben kunnen informeren over de diensten van Facebook en zelfs zonder dat zij van die diensten gebruik wensen te maken.

Wat betreft het door Facebook ingeroepen veiligheidsargument, vindt de Rechtbank het weinig geloofwaardig dat het opvragen van de datr-cookie telkens wanneer een social plug-in op een website laadt, noodzakelijk zou zijn voor de veiligheid van de Facebook-diensten. De Rechtbank stelt dat “zelfs een “digibeet” begrijpt dat de stelselmatige inzameling van de datr-cookie op zich ontoereikend is om de aanvallen waar Facebook van spreekt tegen te gaan omdat criminelen het plaatsen van deze cookie zeer eenvoudig kunnen omzeilen met software die het plaatsen van cookies blokkeert”. Bovendien vindt de Rechtbank dat er minder intrusieve methodes bestaan om de beoogde beveiliging te realiseren, zodat Facebooks verwerking van persoonsgegevens van mensen die geen Facebook-account hebben, disproportioneel is.

  1. Dwangsom

De Rechtbank legt Facebook een dwangsom op van 250.000 EUR per dag dat zij de veroordeling niet naleeft, omdat het bedrag van de dwangsom voldoende afschrikwekkend moet zijn. De Rechtbank wijst er daarbij op dat Facebook in 2014 een omzet van 12,4 miljard dollar en een winst van 2,9 miljard dollar realiseerde en één van de financieel meest draagkrachtige bedrijven ter wereld is, zodat het bedrag van 250.000 EUR passend is.