Pe 9 noiembrie 2015, o instanță belgiană de prim grad a obligat Facebook (mai exact Facebook Inc., Facebook Ireland Limited şi Facebook Belgium SPRL), sub sancțiunea unei amenzi usturătoare – 250.000 Euro pe zi, să înceteze profilarea prin cookie-uri și social plug-ins a cetățenilor belgieni care nu sunt utilizatori Facebook.
Decizia vine ca urmare a recomandării emise de autoritatea de supraveghere din Belgia pe 13 mai 2015, care conținea o serie de solicitări adresate Facebook cu scopul de a asigura o transparență mai ridicată în ceea ce privește folosirea cookie-urilor și a stopa practica profilării extinse a utilizatorilor și chiar non-utilizatorilor prin cookie-uri (datr) și social plug-ins. Autoritatea a menționat faptul că neimplementarea solicitărilor va fi considerată o încălcare a legii belgiene.
Facebook nu a dat curs solicitărilor, mai ales pe fondul respingerii competenței autorităților din alte state decât Irlanda de a-i reglementa activitatea în Uniunea Europeană, astfel că autoritatea belgiană de supraveghere a inițiat o ordonanță președințială prin care a solicitat întreruperea imediată a încălcării legii de către Facebook.
Instanța a considerat că este competentă să se pronunțe asupra litigiului, contrar apărării Facebook, citând precedentul Google Spain. Urgența măsurii a fost considerată îndeplinită întrucât încălcarea privește drepturi fundamentale, care sunt întotdeauna urgente. De asemenea, încălcarea nu privește drepturile unei singure persoane, ci drepturile unui grup imens, și în plus, datele prelucrate pot avea caracter sensibil. Instanța a constatat că IP-ul și identificatorul unic stocat de Facebook pe terminalul utilizatorilor sunt date cu caracter personal, contrar apărării Facebook că acestea ar identifica doar terminalul.
Pe fond instanța a reținut, asemenea autorității de supraveghere, că Facebook încalcă legea prin întinderea profilării practicate cu privire la persoanele care nu sunt utilizatori ai rețelei sociale, indiferent de scopul în care ar fi prelucrate aceste date. Mai exact, instanța a precizat că Facebook nu poate invoca niciunul din posibilele temeiuri legale pentru prelucrarea prin cookie-uri și social plug-ins a datelor personale ale non-utilizatorilor Facebook, întrucât nu a fost obținut consimțământul acestora şi nici nu există vreun contract cu acestea; mai mult nu există vreo obligație legală de a prelucra aceste date, iar interesul Facebook de a asigura securitatea rețelei nu trece testul proporționalității în comparație cu dreptul fundamental la viață privată a persoanelor fără cont Facebook.
Mai mult, instanța a stabilit că prelucrarea datelor non-utilizatorilor reţelei sociale nu este legală, întrucât aceasta are loc înainte ca cei în cauză să se poată informa complet cu privire la serviciile oferite de Facebook, și chiar împotriva faptului că refuză aceste servicii.
În ceea ce privește nevoia de a asigura securitatea, invocată de Facebook drept motiv pentru prelucrarea cookie-ului de tracking datr, instanța a precizat că „până și un „neinițiat în internet” înțelege că prelucrarea sistematică a cookie-ului datr în sine este insuficientă pentru a combate atacurile menționate de Facebook, deoarece infractorii pot foarte simplu să ocolească acest cookie prin software care blochează instalarea cookie-urilor”. În plus, decizia menționează că există metode mai puțin intruzive de a asigura securitatea, ceea ce înseamnă că prelucrarea datelor persoanelor care nu deţin un cont Facebook este disproporționată.
Facebook a declarat că va ataca hotărârea instanţei belgiene, însă acest lucru nu atrage suspendarea automată a executării deciziei.