La décision du TGI sur l’affaire UFC-que choisir contre Twitter est utile pour la place centrale qu’elle donne à l’obligation d’information à la charge du responsable de traitement, à la manière de formaliser et de respecter cette obligation, ainsi qu’aux conséquences de son non-respect.
(suite du premier commentaire)
Pour rappel, cette décision du TGI de Paris rendue le 7 août 2018 qualifie la société Twitter :
- de « professionnel » au sens du Code de la consommation, et
- d’ «hébergeur » (dans une certaine mesure) au sens de la Loi pour la Confiance dans l’Économie du numérique (LCEN), et
- de « responsable de traitement » au sens de la Loi Informatique et Libertés (LIL).
Ces trois qualifications imposent des obligations d’informations. À ce titre, les juges analysent le contenu des informations délivrées par Twitter sous l’angle des données personnelles afin de vérifier si le recueil du consentement de l’utilisateur-consommateur résulte bien « d’une manifestation de volonté libre, spécifique et informée ». On retrouve ici les critères des lignes directrices du G29 relatives au consentement (WP259 du 28 novembre 2017). Les manquements de Twitter à ce sujet sont de différentes natures :
- manquement à l’obligation d’information ;
- fourniture d’informations incomplètes ;
- fourniture d’informations ambiguës ;
- absence de recueil de consentement éclairé pour traiter les données personnelles.
1. Précisions des informations et validité du consentement
Le consentement de la personne concernée peut être valablement recueilli uniquement lorsque cette personne bénéficie d’une information préalable adéquate, complète et non ambiguë.
L’information délivrée ne doit tout d’abord pas induire en erreur la personne concernée sur l’étendue de ses droits. Aussi, la clause qui indique que dans certaines hypothèses, notamment la prospection commerciale, « il n’est pas certain que [la personne concernée puisse] s’opposer à la réception » de ces publicités, induit la personne concernée en erreur puisqu’elle laisse planer une incertitude expliqué. En effet, la personne concernée doit pouvoir s’opposer, pour des motifs légitimes, à une telle finalité. Aussi, la contractualisation d’une incertitude constitue pour le TGI une manière d’induire la personne concernée en erreur. Cela vicie son consentement, et rend donc la clause contraire à la LIL.
L’information ne doit pas non plus être trop simplifiée, par exemple en prévoyant que les données personnelles seront transférées « aux Etats-Unis, en Irlande et/ou dans d’autres pays (…) ». Une telle simplification crée deux difficultés : tous les pays ne sont pas clairement identifiés, et certains pays ne sont pas en Union européenne. Or, le consentement au transfert de données personnelles hors de l’Union européenne ne peut être valablement donné que si la personne concernée est en mesure d’identifier les pays destinataires de ses données.
Pareillement, la personne concernée doit pouvoir savoir si ses données seront protégées par une décision d’adéquation ou par un autre outil reconnu par l’Union européenne comme assurant une protection adéquate des données personnelles (BCR, clauses contractuelles types, etc.). Il est donc nécessaire que les conditions générales de Twitter identifient précisément les pays destinataires des données, indiquent le fondement juridique qui permet ce transfert, et garantissent la protection des données dans le pays de destination.
Est également trop simplifiée la clause qui se contente d’affirmer que Twitter peut « consulter, lire, conserver et divulguer » « toute information » ou « tweet ». Ces informations et tweets peuvent contenir des données personnelles. Il était donc indispensable que Twitter informe les personnes concernées sur les finalités de ces traitements, et sur leur fondement juridique. Aussi, en ne précisant la finalité de ces « lectures », Twitter viole son obligation d’information et le consentement de la personne concernée ne peut donc être considéré comme valable.
Sur la question des informations fournies à la personne concernée et au recueil de son consentement, on peut relever la position des juges sur le cas spécifique des transferts de données en cas de faillite, de fusion, d’acquisition ou, plus largement, de toute opération de transfert des actifs d’une société à une autre société.
Dans de telles opérations, les données personnelles font partie du fonds de commerce et des actifs de la société, et doivent pouvoir être transférées. D’ailleurs, avant l’entrée en vigueur du RGPD, la norme simplifiée NS-48 relative aux fichiers clients-prospects prévoyait le respect de certaines conditions pour que la cession d’un fichier client soit un traitement valable :
- Le recueil du consentement exprès et spécifique de la personne concernée. Cette dernière doit avoir été préalablement et dûment informée des modalités du traitement (nom du responsable de traitement, destinataire, finalité, etc.) ;
- La possibilité pour la personne concernée de s’opposer de manière simple et dénué d’ambiguïté, au moment de la collecte, à la cession ultérieure des données personnelles.
La société Twitter prévoyait dans ses conditions générales qu’elle pouvait procéder au transfert de ses « fichiers clients » par le biais de vente ou de transfert d’actifs. Les juges qualifient cette clause d’abusive puisqu’elle prévoit « la vente ou le transfert » de données personnelles sans recueillir le consentement préalable des personnes concernée.
Selon le TGI, un tel traitement constitue une « utilisation ultérieure des données » et doit par conséquent être autorisé par les personnes concernées. Bien que cela ne soit pas expressément indiqué dans la décision, les juges font ici appel à la notion de granularité du consentement : la personne ne doit pas donner un consentement général mais plutôt un consentement propre à chaque traitement et finalité. Les juges affirment en outre que « aucun autre fondement juridique au traitement n’est applicable ». La clause est donc jugée illicite au regard de la LIL. Elle est également qualifiée d’abusive au regard du Code de la Consommation puisque Twitter peut céder « le contrat de l’utilisateur sans son accord, alors qu’aucune garantie ne lui est fourni quant au maintien de ses droits dans le temps ».
Bien que rendue avant l’entrée en vigueur du RGPD, cette position a le mérite d’indiquer que l’intérêt légitime du responsable de traitement n’est pas un fondement juridique recevable en cas de vente d’actifs immatériels et notamment de données personnelles. Rappelons d’ailleurs que l’intérêt légitime du responsable de traitement doit être mis en balance avec les intérêts et libertés fondamentaux de la personne concernée. Il est ici certain que la vente du fonds de commerce ne constitue pas un intérêt digne de protection supérieur à l’intérêt des personnes concernées de ne pas voir leurs données personnes communiquées à un tiers.
Avec l’entrée en vigueur du RGPD, le cas de la cession d’un fichier client et le transfert de données d’un responsable de traitement à un autre soulève de nouvelles questions. Partant des lignes directrices du G29 sur le consentement, il ne fait pas de doute que la cession de données personnelles constitue un traitement spécifique (un transfert) pour une finalité tout autant spécifique (son exploitation par le cessionnaire). Un consentement spécifique, libre et éclairé sur ce traitement est donc nécessaire. Toutefois, on pourrait se demander si le responsable de traitement cessionnaire des données personnelles, tenu à minima d’une obligation d’information selon les termes de l’article 14 du RGPD, ne devra pas chercher obtenir à nouveau un consentement de la personne concernée au traitement (nouvel opt-in) afin de s’assurer de la bonne hygiène de son fichier client. De nombreux transferts de données personnelles (cession, fusion-acquisition, etc.) sont très probablement non conformes au RGPD et le recueil d’un nouveau consentement valide permettrait au nouveau responsable de traitement de ne pas engager sa responsabilité sur un traitement dont la base juridique n’est pas licite à raison du laxisme du premier responsable de traitement sur le recueil d’un consentement libre, éclairé, et spécifique.
Dans de nombreux cas, les clauses de Twitter sont donc jugées contraires à l’obligation d’information au sens de la LIL et du Code de la consommation à raison de l’absence d’un ou plusieurs critères qui permettent de s’assurer :
- Que le consentement de la personne a été donné (par exemple en matière de transfert des données) ;
- Que le consentement de la personne concernée a été donné de manière libre, spécifique, informé et univoque (par exemple lorsque seul un opt-out par le biais d’une case pré-cochée est prévu en matière de prospection commerciale).
2. Les autres manquements relevés
Les manquements de Twitter ne s’arrêtent pas à une défaillance dans l’obligation d’information à la personne concernée au regard de la Loi Informatique et Libertés en vigueur au moment des faits. Les conditions générales de Twitter sont également abusives quant à (1) la collecte de données de personnes tierces par le biais de cookies, (2) la clause sur la cession de droit de propriété intellectuelle, (3) l’interprétation et la compréhension des conditions générales.
2.1. Sur les cookies
En matière de cookies et de collecte des données personnelles des non-utilisateurs, le comportement de Twitter n’est pas unique, ainsi que le rappel le très récent rapport remis sur les profils fantômes réalisés par Facebook.
Les conditions générales de Twitter indiquent que le réseau social installe des cookies et widgets sur différents sites internet. Plusieurs manquements sont constatés quant à ces derniers.
Tout d’abord, bien qu’une clause des conditions fasse mention des cookies, cette clause ne renvoyait pas vers la « politique d’utilisation des cookies ». Cette « absence de référence à un document contractuel important prive en effet le consommateur d’une information claire » et par conséquent vicie son consentement. La clause est donc abusive. Il en va de même sur la clause qui n’informe pas la personne concernée de sa possibilité de s’opposer à l’installation des cookies.
De manière plus générale, le TGI relève que les conditions générales de Twitter ne permettent pas à l’utilisateur-personne concernée « d’appréhender l’ensemble des finalités pour lesquelles les cookies sont utilisés » ni même des différents cookies qui existent (cookies de session, cookies persistant). Sur ce point encore, les conditions générales sont incomplètes et, par conséquent, jugées abusives.
Mais le point le plus intéressant est l’analyse rendue sur les données collectées auprès des personnes concernées qui ne sont pas des utilisateurs de Twitter. En premier lieu, les juges rappellent que la personne qui est à l’origine du dépôt de cookies et qui est destinataires des données collectées par les cookies en question est responsable de traitement. En l’occurrence il s’agit de Twitter. Les juges rappellent également que même « l’utilisateur « non inscrit » » sur le réseau social est protégé par la Loi Informatique et Libertés. Ils en déduisent que les personnes concernées par les cookies de Twitter, bien non inscrites sur le réseau social, disposent de droits quant à l’utilisation qui est faite de leurs données et notamment du droit de s’opposer à leur traitement. La clause qui limite ces droits aux utilisateurs inscrits est donc nécessairement et logiquement qualifiée d’abusive. En pratique, cela suppose que Twitter mette à disposition des utilisateurs non-inscrits un formulaire afin que ceux-ci puisse exercer leurs droits à partir du moment où ils consultent le réseau social.
2.2. Sur la clause de propriété intellectuelle
Cette clause est l’occasion d’aborder la responsabilité de Twitter en tant qu’hébergeur de contenus. Twitter, qui se prévaut de la qualité d’hébergeur, indique que chaque utilisateur serait responsable du contenu mis en ligne sur le réseau social. Naturellement une telle clause ne peut être que qualifiée d’abusive puisque l’hébergeur est légalement responsable du retrait du contenu ayant un caractère illicite et dont la société a connaissance ou qu’il lui a été notifié. La nullité de la clause exonératoire de responsabilité contraire à une disposition légale est connue de longue date mais son rappel et son application aux grands acteurs d’Internet peut s’avérer utile.
Il en va de même pour la clause qui prévoit que l’utilisateur concède une licence d’exploitation mondiale, non exclusive et gratuite, sur tout contenu partagé par cet utilisateur. Twitter conteste la qualification de « cession globale d’œuvre future » au sens du Code de la propriété intellectuelle puisque cette clause porterait en réalité sur « une licence d’utilisation » et uniquement sur le contenu partagé volontairement par les utilisateurs. Il ne s’agirait donc pas d’une « cession globale » au sens de l’article L.131-1 du Code de la propriété intellectuelle.
L’argument ne prospère bien évidemment pas devant les juges. D’une part, il est admis depuis longtemps que s’agissant de la prohibition de la « cession globale d’œuvre future » le terme de « cession » tel qu’utilisé vise indifféremment les contrats de licence et de concession. D’autre part, la notion de « cession globale » doit s’entendre par opposition à la cession d’œuvres déterminées ou déterminables. Dans la mesure où Twitter revendique une autorisation d’exploitation sur tous les contenus publiés sur son réseau, sans aucune précision ni critère de détermination des œuvres concernées, la qualification de cession globale ne pouvait qu’être constatée. Cette solution, classique, pourrait d’ailleurs être transposée à de nombreux réseaux sociaux ou sites d’hébergement qui transposent en droit français des raisonnements juridiques qui relèvent en réalité du droit anglo-saxon.
2.3. Sur les règles d’interprétation du contrat
La conséquence de tout ce qui précède (ambiguïté des clauses, absence d’information ou informations incomplètes, contrariété des clauses aux dispositions légales) est, selon l’UFC-Que choisir, que chacune de ces clauses doit être considérée comme abusive au sens du Code de la consommation. En effet, sont considérées comme irréfragablement abusives les clauses qui créent un déséquilibre significatif entre le professionnel et le consommateur (art. L.212-1 du Code de la consommation). L’article R.212-1 du même code donne plusieurs exemples dont :
- La clause qui constate l’adhésion d’un consommateur à des clauses qui ne figurent pas dans l’écrit qu’il accepte et dont il n’a pas connaissance avant la conclusion du contrat ;
- La clause qui réserve au professionnel le droit exclusif d’interpréter une clause.
La précision des termes contractuels est donc au cœur du jugement rendu. Or, l’emploi de « termes et expressions non définies », les termes « vagues ou expressions générales telles que « notamment » », les clauses qui sont rédigées de manière « équivoque », les définitions qui « ne sont pas accessibles dans les documents fournis à l’utilisateur », l’absence non motivée de certaines informations telles que les durées de conservation des données personnelles, ou encore la contradiction entre plusieurs clauses du même ensemble contractuel, ont toutes pour effet « de conférer au professionnel un droit exclusif d’interpréter une clause ». Les nombreux manquements constatés sur le terrain de la LIL, du Code de la propriété intellectuelle ou de la LCEN matérialisent le droit exclusif d’interprétation des clauses par le professionnel. Tous ces manquements permettent donc de caractériser un déséquilibre significatif au profit du professionnel, Twitter, et donc de qualifier d’abusives les clauses étudiées.
Conclusion
Cette décision rappelle que dans les relations avec les consommateurs-utilisateurs-personnes concernées, la précision des termes, l’exhaustivité des informations, la clarté des informations sont essentielles, tant dans le domaine des données personnelles que dans celui de la propriété intellectuelle. Dès lors que ces conditions ne sont pas remplies, dès lors qu’un doute subsiste quant au sens à donner à une clause, un risque existe sur la validité de celle-ci. Bien que depuis l’entrée en vigueur du RGPD de nombreuses pratiques contractuelles se soient améliorées (par exemple la suppression des cases pré-cochées), les efforts doivent être poursuivis afin de s’assurer que le consentement de la personne concernée soit bien recueilli selon les dispositions du RGPD et qu’il soit effectivement libre, spécifique, informé et préalable au traitement. Et ce, même pour les personnes non-inscrites sur un réseau social. En la matière, beaucoup d’efforts restent à faire…
(commentaire 2 sur 2)
