Clauses abusives et données à caractère personnel : Twitter condamnée en France
Par un jugement en date du 7 août 2018, le Tribunal de grande instance de Paris s’est prononcé sur le caractère illicite – au regard du droit de la consommation et de la Loi Informatique et Libertés du 6 janvier 1978 – des clauses contenues dans les différentes versions des Conditions Générales d’Utilisation, de la Politique de confidentialité et des « Règles » de Twitter soumises à son examen.
Twitter a ainsi été condamnée à modifier l’ensemble de sa documentation contractuelle à destination des utilisateurs français et à rendre public le jugement dans son intégralité.
Les professionnels sont désormais avertis : les règles du droit de la consommation doivent être strictement prises en compte lors de la rédaction de leurs conditions générales d’utilisation et autres politiques de confidentialité.
Au terme d’une analyse remarquablement minutieuse, le Tribunal a non seulement jugé que le contrat Twitter était un contrat de consommation à titre onéreux (1) et que Twitter devait être considérée comme responsable de traitement au sens de la Loi Informatique et Libertés (2), mais encore décidé que 266 des clauses contenues dans la documentation contractuelle de Twitter, en ce compris celles de contrats qui ne sont plus proposés, sont abusives (3).
- L’application du droit de la consommation à la documentation contractuelle de Twitter
Twitter alléguait que le contrat d’utilisation du réseau social conclu par l’utilisateur étant gratuit, les dispositions du droit de la consommation français étaient inapplicables.
En l’espèce, si le service proposé par Twitter à ses utilisateurs est dépourvu de contrepartie monétaire, le Tribunal a retenu que Twitter « commercialise à titre onéreux auprès d’entreprises partenaires, publicitaires ou marchands, des données à caractère personnel ou non, déposées gratuitement par l’utilisateur à l’occasion de son inscription sur la plateforme et lors de son utilisation ». Ainsi, « la fourniture des données collectées gratuitement puis exploitées et valorisées par Twitter doit s’analyser en un avantage au sens de l’article 1107 du Code civil, qui constitue la contrepartie de celui que Twitter procure à l’utilisateur, de sorte que le contrat conclu avec Twitter est un contrat à titre onéreux ».
En conséquence, Twitter est qualifiée de professionnel et l’utilisateur partageant du contenu de consommateur au sens de l’article liminaire du Code de la consommation. Les règles du droit de la consommation sont donc applicables.
- La qualification de Twitter comme responsable de traitement au sens de la Loi Informatique et Libertés
La demanderesse soutenait que certaines des clauses contenues dans la documentation contractuelle de Twitter étaient abusives en ce qu’elles instituaient une présomption de responsabilité de l’utilisateur et limitaient, voire exonéraient Twitter de sa responsabilité, alors qu’en qualité de responsable du Traitement, Twitter est tenue d’une obligation de préservation des données, de la prévention de leur déformation, de leur endommagement, ou de leur accessibilité par les tiers.
Twitter alléguait quant à elle ne pas être le responsable de traitement puisque l’utilisateur détermine, en qualité de « responsable éditorial » de ses publications, leur finalité et doit en conséquence être considéré comme le responsable. Twitter soutenait encore qu’elle agissait comme sous-traitant uniquement « sur instruction du responsable de traitement » ; elle serait ainsi un simple prestataire technique chargé d’héberger les données publiées par l’utilisateur.
En conséquence, le Tribunal a retenu que Twitter était le responsable de traitement et qu’elle devait ainsi conformément à l’article 3 de la Loi Informatique et Libertés « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et empêcher que des tiers non autorisés y aient accès ». Le Tribunal a encore jugé que la clause qui « donne ainsi à croire à l’utilisateur qu’il doit assumer seul la charge de la sécurisation de ses données » est illicite au sens de l’article 34 de la Loi Informatique et Libertés.
- L’illicéité des clauses relatives aux données à caractère personnel
Après avoir tranché ces questions de fond, le Tribunal a minutieusement analysé l’ensemble des clauses contenues dans la documentation contractuelle de Twitter proposée entre 2014 et 2016.
Nous ne présenterons ci-après que quelques-unes des clauses relatives aux données à caractère personnel qui ont été déclarées abusives, c’est-à-dire celles qui « ont pour objet ou pour effet de créer, au détriment du consommateur, un déséquilibre significatif entre les droits et obligations des parties au contrat ».
- Le défaut de qualification des données à caractère personnel
Certaines clauses prévoyaient la collecte auprès de l’utilisateur d’« informations» ou de « coordonnées », sans préciser s’il s’agissait de données à caractère personnel. Or, l’obligation d’information précontractuelle mise à la charge du professionnel, se matérialise notamment par la fourniture au consommateur d’une présentation et d’une rédaction claire et compréhensible des clauses du contrat proposé.
En l’espèce, Twitter alléguait que l’utilisateur comprenait « nécessairement » que les offres proposées sont « susceptible(s) d’inclure des communications de nature commerciale » entre elle et des tiers.
Conformément à l’article 6 de la Loi Informatique et Libertés, le Tribunal a jugé que même s’il n’existe pas de véritable obligation de qualifier juridiquement les données à caractère personnel, le responsable du traitement doit recueillir le consentement explicite et éclairé de la personne concernée par la collecte et le traitement de ses données personnelles. L’utilisateur devant ainsi être en mesure de comprendre l’usage réel qui est fait de ses données, peu important qu’elles soient données de sa pleine initiative ou par l’utilisation d’outil tels que, notamment, des traceurs ou des cookies.
- La présomption de consentement de l’utilisateur au contrat et au traitement de ses données à caractère personnel par la simple navigation sur Twitter
La demanderesse soutenait que le consentement spécifique de l’utilisateur est requis pour le traitement de ses données à caractère personnel. A l’inverse, Twitter indiquait que le consentement général de l’utilisateur est présumé avoir été donné par l’utilisateur dès son inscription sur le réseau Twitter.
En tout état de cause, la demanderesse soulignait que le consentement, à le supposer établi, ne peut constituer un consentement particulier de l’utilisateur au traitement de ses données personnelles à des fins de publicités comportementales. De manière intéressante, Twitter arguait en outre que l’« internaute moyen » est de plus en plus « éduqué », et qu’il n’ignore pas que les sites tels que Twitter se financent de cette manière.
Le Tribunal a considéré que le consentement ne peut se déduire de la seule inscription sur un site internet et de sa navigation ultérieure sur ce site. Dès lors, la documentation contractuelle de Twitter se contentant de présenter la collecte des données personnelles – fournies par l’utilisateur à l’occasion de son inscription sur le site et lors de sa navigation ultérieure – comme étant la nécessaire contrepartie de l’accès aux services de Twitter, est abusive.
- L’absence de consentement de l’utilisateur au transfert hors de l’Union Européenne de ses données personnelles
Le Tribunal a encore jugé que sont abusives les clauses prévoyant une acceptation implicite de l’utilisateur – résultant de l’utilisation du service – au transfert de ses données à caractère personnel vers des pays tiers, dont certains ne sont pas identifiés (« tout autre pays où Twitter exerce des activités »), ces pays étant susceptibles de ne pas assurer un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes concernées au sens de l’article 68 de la Loi Informatique et Libertés. En effet, la certification Safe Harbor puis le Privacy Shield prévu dans la documentation contractuelle ne couvrent pas l’intégralité des pays vers lesquels des données sont transférées, mais seulement les Etats-Unis.
- Le défaut d’information de l’utilisateur des finalités du traitement de ses données à caractère personnel et de leur transfert à des tiers
Twitter prétendait que la collecte des données personnelles s’effectuerait dans le seul intérêt de l’utilisateur afin de nourrir et d’améliorer les services mis à sa disposition.
Cependant, il ressort de l’analyse des clauses menée par le Tribunal que Twitter pouvait utiliser les coordonnées de l’utilisateur afin de lui « proposer des offres commerciales », et que les « services (de Twitter) sont financés par la publicité ». Twitter alléguait à ce sujet que l’utilisation des données à caractère personnel collectées auprès de l’utilisateur permet de lui proposer des offres commerciales et que l’utilisation des données personnelles constitue « une aide » (pour) « d’autres personnes » à trouver le compte de l’utilisateur, sans toutefois identifier clairement les « personnes », à qui les données sont transmises.
Ce faisant, le Tribunal a pu retenir non seulement que Twitter manquait à son obligation d’informer l’utilisateur sur les finalités et sur les bénéficiaires du transfert des données – conformément à l’article 32-I de la Loi Informatique et Libertés – mais que ces clauses avaient en outre pour effet de conférer au professionnel le droit exclusif d’interpréter une clause ambiguë dans le sens qui lui serait le plus favorable. En conséquence, ces clauses sont déclarées abusives.
- L’exclusion par Twitter de sa responsabilité pour la sécurisation des données
Le responsable de traitement est la personne qui détermine les finalités et les moyens du traitement des données à caractère personnel (Article 3 de la Loi Informatique et Libertés). L’article 34 de la même loi lui impose de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
Dans sa documentation contractuelle, Twitter recommande à l’utilisateur de « réfléchir sérieusement à ce qu’(il) (rend) public », laissant entendre à celui-ci qu’il serait le seul responsable des contenus qu’il publie, et ce, malgré la collecte de données à caractère personnel pour lesquelles il n’a pu donner son consentement.
Le Tribunal a pu retenir que l’utilisateur n’a ni l’information de l’existence, ni la conscience d’une telle collecte, de sorte que, dans une telle situation, il n’est pas véritablement concevable qu’il puisse « réfléchir sérieusement » aux contenus qu’il publie. Dès lors, une telle clause est abusive. Twitter reste tenue, en sa qualité de responsable du traitement, de prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
- La conservation illimitée des données à caractère personnel de l’utilisateur par Twitter
Le Tribunal a rappelé que l’article 36 de la Loi Informatique et Libertés dispose que les données à caractère personnel ne peuvent être conservées au-delà de la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
Or, la documentation contractuelle de Twitter prévoyait que les données de l’utilisateur – dont les données à caractère personnel – sont conservées après la suppression du compte de l’utilisateur, sans limitation de durée, Twitter se réservant ainsi le droit de les conserver sans motif légitime pour une période sans lien avec la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. Pis encore, en cas de résiliation du contrat, Twitter conservait les contenus mis en ligne par l’utilisateur.
De toute évidence de telles clauses en reconnaissant au professionnel un pouvoir de décision unilatéral, constituent à nouveau, au regard du droit de la consommation, une clause de nature à créer un déséquilibre significatif entre les droits et obligations des parties au contrat au détriment du consommateur.
En conclusion, ce jugement remarquable par sa longueur (plus de 265 pages) et son analyse minutieuse, s’inscrit dans la droite lignée du Règlement Général sur la Protection des Données selon lequel le professionnel collectant des données à caractère personnel doit impérativement s’assurer du consentement éclairé de son utilisateur. La législation française sur les clauses abusives étant issue de la directive européenne no. 93/13/CEE du Conseil du 5 avril 1993, il conviendra de prêter attention au retentissement que pourrait avoir ce jugement dans les autres Etats de l’Union Européenne.
Enfin, la portée de cette décision devra également être appréciée au regard des deux décisions qui devraient être rendues dans les prochains mois dans le cadre des procédures initiées devant les tribunaux français à l’encontre de Facebook et Google et fondées sur des demandes similaires.