[ 29 mars 2019 ]

Droit de la consommation

Clauses abusives et Google : gare à la rédaction de vos conditions générales !

La décision ne serait-t-elle qu’un coup d’épée dans l’eau, étant donné la disparition imminente d’un réseau social moribond et la suppression d’un ensemble de clauses déjà obsolètes ? Rien n’est moins sûr : rares sont les décisions relatives aux conditions générales d’utilisation (CGU) des opérateurs de plateforme en ligne, et riches sont leurs apports.

L’un des apports le plus remarquable concerne l’articulation entre droit de la consommation et protection des données à caractère personnel. Sur l’applicabilité combinée de ces régimes, le tribunal de grande instance confirme d’une part l’application de l’article L. 212-1 du Code de la consommation (anc. art. L. 132-1) en présence d’un contrat conclu entre un professionnel et des consommateurs, peu important que le contrat soit également adressé à des professionnels, ou qu’il soit conclu à titre gratuit ou onéreux (V. en ce sens TGI Paris, 7 août 2018, préc. ; CA Paris, 12 févr. 2016, n° 12/12401). D’autre part, reconnaissant à Google la qualité nullement contestable de responsable du traitement, le tribunal de grande instance estime que les objectifs de la loi n° 78-17 du 6 janvier 1978, « Informatique et Libertés » (LIL), concourent parfaitement avec les objectifs du droit de la consommation qui visent à protéger les consommateurs « dans leurs différentes activités de consommation ».

Sur le fond, l’approche du tribunal de grande instance est particulièrement enrichissante en ce qui concerne la manière de rédiger ses CGU, notamment lorsqu’un parallèle est dressé avec la récente décision de la CNIL condamnant Google pour les CGU de son OS Android (Délib. n° SAN-2019-001 du 21 janv. 2019). Des questionnements sur la méthode à adopter pour délivrer une information claire et compréhensible étaient légitimes. Une information complète sur un document unique pouvait effectivement paraître lourde. Aussi les opérateurs ont-ils pris pour habitude de délivrer une information par paliers, par renvois à des liens hypertextes. Il n’était toutefois pas évident de connaître clairement la frontière entre une information par renvois accessible et une information tellement morcelée qu’elle ne respecterait pas les exigences légales. Dans ses Règles de confidentialité, Google énonçait que l’utilisateur pouvait, par exemple « Utiliser Google Dashboard pour vérifier et contrôler certains types de données liés à [son] Compte Google » (clause n° 20) ou que l’utilisateur pourrait trouver « d'autres ressources utiles liées à la confidentialité et à la protection des données sur les pages Règles et principes de Google », en précisant le contenu desdites ressources (clause n° 39). Selon le tribunal de grande instance, de tels renvois sont parfaitement clairs pour un utilisateur « normalement avisé et vigilant », « eu égard à l’usage devenu courant et standard » de ces pratiques.

De son côté, cependant, la CNIL constate un défaut d’accessibilité des informations pour l’ensemble contractuel d’Android (Délib. n° SAN-2019-001, préc.). Saluant tout d’abord l’effort de Google en matière de transparence, elle précise que l’architecture de l’ensemble contractuel forme un tout « excessivement éparpillé ». A titre d’exemple, une information complète sur la géolocalisation nécessite pas moins de six actions, dont le parcours est dénué de caractère intuitif. Constat est donc fait que l’accès à l’information pour le système Android est bien plus complexe que celui de Google+, justifiant les approches de la CNIL et du tribunal de grande instance.

En effet, la CNIL avait déjà reconnu, et le Contrôleur européen de la protection des données avant elle (G29, Lignes directrices sur la transparence, WP260), la possibilité de délivrer une information en plusieurs niveaux et via différents canaux, pourvu que trois informations soient priorisées : l’identité du responsable du traitement, les finalités, ainsi que les droits des personnes (CNIL, Conformité RGPD : comment informer les personnes et assurer la transparence ?, 14 mai 2018). Sur ce point, les CGU de Google+ sont quelques peu évasives lorsqu’il s’agit de préciser les finalités du traitement. En effet l’exploitant du réseau social insiste sur le fait que le traitement des données a pour finalité l’amélioration de ses services par des « contenus adaptés », « pertinents », ou l’exécution des contrats (clauses n° 1, 4, 7, 12, 13, 27 des Règles de confidentialité). Or, rappelle le tribunal de grande instance, la finalité première du traitement des données par Google est la publicité ciblée qui est la source principale de revenus de l’opérateur. En restant lacunaire sur ce point, Google contrevient donc à son obligation d’information sur les finalités du traitement (LIL, art. 32, I, 2°). Pis, lorsque l’opérateur mentionne la publicité ciblée, celui-ci indique seulement qu’elle a pour objectif de « proposer des fonctionnalités pertinentes sur les produits » (clause n° 16 bis des Conditions d’utilisation), ce qui revient selon le tribunal de grande instance à laisser croire au consommateur qu’il est le seul à tirer avantage de la publicité ciblée, alors qu’elle n’est « réservée qu’au seul avantage de l’opérateur qui valorise ainsi économiquement [l’ensemble des données qu’il collecte] ». En conséquence, la clause n’est pas rédigée de manière claire et compréhensible selon les exigences de l’article L. 211-1 du Code de la consommation (anc. art. L. 133-2).

L’analyse de la CNIL est quasiment identique pour les services utilisés sur Android, l’ensemble contractuel énonçant les finalités suivantes : « proposer des services personnalisés en matière de contenu et d’annonces », « assurer la sécurité des produits et services », « fournir et développer des services », etc. Cette description, « trop générique » et « trop vague » selon la CNIL, ne permet pas à l’utilisateur de mesurer « l’ampleur des traitements et le degré d’intrusion dans leur vie privée », ce qui n’est pas conforme à l’obligation de transparence des informations prévue à l’article 12 du RGPD, spécifiquement l’obligation d’information sur les finalités du traitement (RGPD, art. 13, 1, c). Pour la plupart des sites web et applications mobiles, la publicité ciblée constitue leur seul revenu grâce au traitement de données personnelles telles que les données de géolocalisation ou les cookies. Mieux vaut donc le préciser clairement dans ses CGU !

TGI Paris, 12 février 2019, Google / UFC-Que Choisir, n° 14/07224