Tribunal de grande instance de Paris, 7 août 2018, n° 1407300

TRIBUNAL D E GRANDE INSTANCE DE PARIS1

 1/4 social JUGEMENT N° RG 14/07300 rendu le 07 Août 2018 N° MINUTE :

Assignation du : 24 Mars 2014 MCS

DEMANDERESSE

Union Fédérale des Consommateurs – QUE CHOISIR représentée par son Président Monsieur Y Z. […]

représentée par M^e François-pierre LANI, avocat au barreau de PARIS, vestiaire #P0426

DÉFENDERESSE

Société X Inc. 1355 Market Street Suite […]

Société X INTERNATIONAL COMPANY, Société de droit irlandais dont le siège social est sis The Academy, […], […], INTERVENANT VOLONTAIRE représentées par M^e Joseph VOGEL, avocat au barreau de PARIS, vestiaire #P0151

COMPOSITION DU TRIBUNAL PhilippeVALLEIX, Premier Vice-Président Elodie GUENNEC, Juge Martine CHARRE SERVEAU, Juge

assisté de ALEXANDRE Mathilde Greffier, lors des débats et de Marie-Aline PIGNOLET , Greffier,lors du prononcé.

DEBATS

A l’audience du 28 novembre 2017 tenue en audience publique

Expéditions exécutoires délivrées le : Page 1

Décision du 07 août 2018 1/4 social N° RG 14/07300

JUGEMENT Prononcé par mise à disposition au greffe Contradictoire en premier ressort

DEMANDERESSE

Union Fédérale des Consommateurs – QUE CHOISIR représentée par son Président Monsieur Y Z. […]

représentée par M^e François-pierre LANI, avocat au barreau de PARIS, vestiaire #P0426

DÉFENDERESSE

Société X Inc. 1355 Market Street Suite […]

Société X INTERNATIONAL COMPANY, Société de droit irlandais dont le siège social est sis The Academy, […], […], INTERVENANT VOLONTAIRE représentées par M^e Joseph VOGEL, avocat au barreau de PARIS, vestiaire #P0151

COMPOSITION DU TRIBUNAL PhilippeVALLEIX, Premier Vice-Président Elodie GUENNEC, Juge Martine CHARRE SERVEAU, Juge

assisté de ALEXANDRE Mathilde Greffier, lors des débats et Marie-Aline PIGNOLET, Greffier, lors du prononcé,

DEBATS A l’audience du 28 novembre 2017 tenue en audience publique

JUGEMENT Prononcé par mise à disposition au greffe Contradictoire en premier ressort

Page 2

Décision du 07 août 2018 1/4 social N° RG 14/07300

La société X Inc. est une société soumise au droit américain de l’État du Delaware, dont le siège social est situé à […]). La société exploite une plateforme numérique d’échanges et de communications en ligne. Le contractant des utilisateurs français du réseau social X est, selon les conditions d’utilisation émises par X Inc. les 27 janvier 2016 et 30 septembre 2016, la société X Inc. pour les contrats conclus antérieurement au 18 mai 2015, la société X International Company, société de droit irlandais, dont le siège social est situé à DUBLIN (Irlande), postérieurement à cette date, Les « Conditions Générales d’Utilisation » du contrat d’utilisation de la plate-forme, contrat liant X aux utilisateurs sont composées de trois documents principaux, à savoir : -Des « Conditions de service » (autrement appelées « Conditions »), -De la « Politique de confidentialité », -Des « Règles X », Et de « toutes les politiques associées ». Par assignation en date du 24 mars 2014, l’association UNION FÉDÉRALE DES CONSOMMATEURS – QUE CHOISIR (UFC – QUE CHOISIR) (ci-après l’UFC) a fait citer devant le Tribunal de grande instance de Paris les sociétés X Inc. et X International Company aux fins de faire constater le caractère abusif ou illicite de 269 clauses des Conditions Générales d’Utilisation de la plate-forme au sein des trois documents précités, dans les versions du 25 juin 2012, 21 octobre 2013, 8 septembre 2014, 18 mai 2015, 27 janvier 2016 et 30 septembre 2016, de les faire supprimer ou déclarer réputées non écrites et de réparer le préjudice causé à l’intérêt collectif des consommateurs. Par conclusions prises pour l’audience de mise en état du 1^er décembre 2015, la société X International Company est intervenue volontairement à l’instance. Aux termes de ses dernières écritures signifiées par la voie électronique par le Réseau privé virtuel avocats (RPVA) le 24 février 2015 au visa des articles L.421-1 et suivants, R.411-2 et L.132-1 du code de la consommation (devenu L.212-1 du même code), l’UFC a demandé de :

— déclarer les clauses visées réputées non écrites dans tous les contrats proposés par X, y compris ceux qui ne sont plus proposés ; -A aux sociétés X Inc. et X International Company d’en informer à leurs frais les consommateurs concernés ; -assortir cette condamnation d’une astreinte de 5.000 € par clause et par jour de retard postérieurement au délai d’un mois à compter de la signification du jugement à intervenir ; -condamner solidairement les sociétés X Inc. et X International Company à payer à l’UFC – QUE CHOISIR la somme de 1.000.000 € en réparation du préjudice moral subi par l’intérêt collectif

Page 3

Décision du 07 août 2018 1/4 social N° RG 14/07300

des consommateurs et la somme de 1.000.000 € en réparation du préjudice matériel subi par l’intérêt collectif des consommateurs, -A la publication d’un communiqué judiciaire aux frais avancés des sociétés X Inc. et X International Company dans les journaux « Ouest France », « Aujourd’hui – Le Parisien », « Le Monde », « Figaro », « Libération », « 20 minutes », « Métro » et « Direct matin » et sur la page d’accueil de son site internet accessible à l’URL https://X.com/de manière lisible pendant une durée de trois mois, dans le délai de quinze jours à compter de la signification du présent jugement ; -A l’exécution provisoire de la décision à intervenir ; -condamner solidairement les sociétés X Inc. et X International Company à payer la somme de 55.000 euros à l’UFC – QUE CHOISIR en application de l’article 700 du Code de procédure civile et aux dépens.

Par dernières écritures signifiées par la voie électronique par RPVA le 4 mai 2017, les sociétés X Inc. et X International Company (la société X), demandant de :

Vu l’article 6 de la Convention européenne des droits de l’homme, Vu l’article 47 de la Charte des droits fondamentaux, Vu le Code de la consommation, tel que modifié par la loi 2014-344 du 17 mars 2014, et notamment ses articles L.111-1, L.111-2, L.121-17, L.121-19, L.121-19-2 ; L.121-19-4, L.132-1, L.133-2, L.135-1, L.141-5, L.421-1, L.421-2, L.421-6, R.111-2, R.132-1 et suivants, Vu le Code de la consommation tel que modifié par l’ordonnance n°2016-301, et notamment, les articles L.111-1, L.111-2, L.111-3, L.211-1, L.212-1, L.221-1, L.221-5, L.221-6, L 221-7, L.221-11, L.221-13, L.221-15, L.241-1, L.211-2, L.224-30, L.232-1, L.621-1, L.621-2, L.621-7, L.621-8, R.111-2, R.111-3, R.212-1, R.631-3 Vu la Directive 93/13/CEE du Conseil, du 5 avril 1993, concernant les clauses abusives dans les contrats conclus avec les consommateurs, Vu la directive 2011/83/ du 25 octobre 2011 relative aux droits des consommateurs, Vu l’article 267 TFUE, Vu les articles 2, 6, 7, 32, 35, 68 et 69 de la Loi « Informatique et Libertés » Vu les articles 4, 15, 56 et 753 du Code de Procédure Civile et de l’article 6-1 de la Convention EDH

Page 4

Décision du 07 août 2018 1/4 social N° RG 14/07300

I. SUR LES CRITIQUES DE L’UFC QUE CHOISIR AU REGARD DU DROIT DE LA CONSOMMATION.

A TITRE PRINCIPAL : CONSTATER l’inapplicabilité des dispositions du Code de la consommation invoquées en l’espèce. En conséquence, REJETER l’ensemble des demandes de l’UFC QUE CHOISIR visant a faire juger abusives et/ou illicites un certain nombre de clauses des conditions de X sur le fondement du droit de la consommation, en ce compris le droit des clauses abusives. ECARTER la Recommandation n° 2014-02 relative aux contrats proposés par les fournisseurs de services de réseaux sociaux des débats. A défaut, SURSEOIR A STATUER et RENVOYER devant le Tribunal administratif de Paris afin qu’il se prononce sur la validité de la Recommandation rendue. A TITRE SUBSIDIAIRE : CONSTATER que les demandes de l’UFC QUE CHOISIR au titre des clauses abusives portent sur l’objet du contrat en violation de l’article L. 212-1 alinéa 3 du Code de la consommation, en conséquence, REJETER l’ensemble des demandes de l’UFC QUE CHOISIR à l’encontre de X. REJETER l’ensemble des demandes de l’UFC QUE CHOISIR à l’encontre de X. REJETER les demandes de l’UFC QUE CHOISIR tenant a voir A la suppression des clauses critiquées sous astreinte ; REJETER la demande de l’UFC QUE CHOISIR tendant a voir ordonnee la publication du jugement dans 8 journaux et sur le site internet de X. REJETER la demande de l’UFC QUE CHOISIR tendant a l’octroi d’une somme de 2.000.000 € en réparation du préjudice pretendûment matériel (1.000.000 €) et moral (1.000.000 €) causé à l’interet collectif des consommateurs. REJETER la demande de l’UFC QUE CHOISIR tendant a voir prononcée l’exécution provisoire. DEBOUTER l’UFC QUE CHOISIR de l’ensemble de ses demandes, dires et conclusions. A titre subsidiaire, AMENAGER l’astreinte éventuellement proposée pour laisser a X le temps de prendre les mesures nécessaires, En conséquence, à titre subsidiaire, N’A la suppression éventuelle de certaines clauses des conditions générales de X sous astreinte par clause et par jour de retard que posterieurement a

Page 5

Décision du 07 août 2018 1/4 social N° RG 14/07300

l’expiration d’un delai de neuf mois a compter de la signification du jugement à intervenir. A titre subsidiaire, si une publication judiciaire du jugement devait être ordonnée, INCLURE dans le texte du communiqué la liste des clauses concernées et REJETER en tout état de cause la demande de publication sur le site internet de la société X. A titre subsidiaire, et en conséquence, si une publication judiciaire du jugement devait être ordonnée, A que le communiqué judiciaire précise : « COMMUNIQUE JUDICIAIRE : Par décision en date du…, le Tribunal de Grande Instance de Paris, à la requête de l’Association UFC-QUE CHOISIR, a déclaré les clauses suivantes contenues dans les conditions générales de X abusives et / ou illicites : (liste des clauses) Le Tribunal a ordonné en conséquence la suppression de ces clauses et a déclaré celles-ci inopposables aux consommateurs. » II. SUR LES TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL MIS EN OEUVRE PAR X DANS LE CADRE DE SES SERVICES. SUR LES TRAITEMENTS DE DONNEES A CARACTERE PERSONNEL MIS EN OEUVRE PAR X DANS LE CADRE DE SES SERVICES. – DIRE ET JUGER que les pretentions de l’UFC QUE CHOISIR sont irrecevables, faute pour la demanderesse d’exposer les moyens en fait susceptibles de caractériser une violation de la Loi du 6 janvier 1978 sur l’Informatique, les fichiers et les libertés et suffisants pour permettre au juge de connaître l’objet exact des prétentions formées sur ce fondement et d’en apprécier le bien-fondé ; – DIRE ET JUGER que les demandes de l’UFC sur le fondement de la Loi du 6 janvier 1978 sur l’Informatique, les fichiers et les libertés sont irrecevables, faute pour celle-ci d’établir en l’espèce l’existence d’un intérêt collectif des consommateurs ; – DIRE ET JUGER que les demandes de l’UFC formées au visa des articles 7 et 32-II (2nd alinéa) de la Loi du 6 janvier 1978 sur l’Informatique, les fichiers et les libertés sont irrecevables, ces dispositions n’étant pas relatives à des infractions pénales pour lesquelles les associations de consommateurs peuvent engager l’action civile, au sens des articles L.621-1 et L.621-2 du Code de la consommation;

Page 6

Décision du 07 août 2018 1/4 social N° RG 14/07300

En tout état de cause, – DIRE ET JUGER que la société X procède, dans le cadre de ses services, à des traitements de données à caractère personnel légitimes et en conformité avec ses obligations s’agissant de l’information et du recueil du consentement de ses utilisateurs, et qu’aucune clause des Conditions d’utilisation ou de la Politique de Vie privée ne saurait être jugée illicite au regard de cette loi ; – DEBOUTER l’UFC QUE CHOISIR de l’ensemble de ses demandes, fins et conclusions à cet égard ; III. En tout état de cause, CONDAMNER l’UFC QUE CHOISIR a payer a la societé X la somme de 55.000 euros sur le fondement de l’article 700 du CPC. En tout état de cause, CONDAMNER l’UFC QUE CHOISIR en tous les depens dont distraction au profit de la Selas VOGEL & VOGEL conformement aux dispositions de l’article 699 du CPC.

La société X fait valoir que le droit de la consommation et plus particulièrement les règles afférant aux clauses abusives ne s’appliquent pas en l’espèce au service gratuit rendu à l’utilisateur par X, la relation entre X et l’utilisateur ne pouvant dès lors donner lieu à un déséquilibre. La société précise que les clauses critiquées par l’UFC QUE CHOISIR portent sur l’objet du contrat, ce que le droit positif interdit. Elle ajoute que les clauses en cause sont parfaitement accessibles, claires et compréhensibles et que les données de l’utilisateur sont traitées par X en conformité avec la Loi Informatique et Libertés. Aucune clause ne saurait donc être annulée de ces chefs. Conformément aux dispositions de l’article 455 du code de procédure civile, les moyens développés par chacune des parties à l’appui de leurs prétentions respectives sont directement énoncés dans la partie DISCUSSION de la présente décision.

Après clôture des débats par ordonnance du 17 octobre 2017 du Juge de la mise en état et évocation de cette affaire lors de l’audience civile collégiale du 28 novembre 2017, au cours de laquelle chacun des conseils des parties a réitéré ses précédentes écritures, la décision a été mise en délibéré au 19 juin 2018, prorogée au 7 août 2018.

DISCUSSION :

L’UFC – QUE CHOISIR soutient que l’activité principale de X consiste en la mise à disposition d’un service de réseau social permettant de publier de brefs messages (appelés « tweets ») pouvant comporter des écrits, des photos, des liens vers des contenus

Page 7

Décision du 07 août 2018 1/4 social N° RG 14/07300

numériques, de suivre les publications d’autres utilisateurs et de participer à des fils de discussion. La société TWITER affirme que la plate-forme qu’elle offre aux utilisateurs un service de « microblogging » (« micro blogage ») gratuit ; qu’elle n’est pas un réseau social, mais un hébergeur. En l’espèce, l’ensemble des clauses des « Conditions Générales d’Utilisation » de la société X, produites au débat, établit que le service rendu aux utilisateurs ne se résume pas à un service d’hébergement assurant, au sens de l’article 6.I.2 de la Loi pour la Confiance en l’Economie Numérique (L.C.E.N.), « un service, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services », mais un service permettant des échanges et communications en ligne entre des personnes, qui partagent les mêmes centres d’intérêt, caractéristique d’un réseau social. Toutefois, dans le cadre du service de réseautage social, la société X met en place des activités de natures diverses, non exclusives les unes des autres, allant de l’activité d’hébergement, c’est-à-dire du simple rôle technique de stockage des informations, à la collecte, le traitement et la gestion de Contenus déposés par l’utilisateur.

I. SUR LA RECEVABILITÉ DE L’ACTION DE L’ASSOCIATION UFC – QUE CHOISIR :

L’association UFC QUE-CHOISIR sollicite de la juridiction par application des articles L. 421-6 du code de la consommation, devenu l’article L. 621-7 du code de la consommation, et des articles L. 421-1 et L. 421-2 du code de la consommation, devenus les articles L.621-1 et L. 621-2 du même code, la suppression des clauses abusives et/ou illicites présentes dans les « Conditions Générales d’Utilisation » (les « Conditions ») de la société X, la « Politique de confidentialité » et les « Règles X », ainsi que la réparation du préjudice qui en est résulté. La société X conteste, s’agissant de l’application de la Loi Informatique et Libertés, la recevabilité de la demande d’UFC – QUE CHOISIR sur le fondement des articles L. 421-1, L. 421-2, L. 421-6 du code de la consommation devenus respectivement les articles L.621-1 et L.621-2 et L. 621-7 du même code depuis le 1^er juillet 2016, en l’absence de préjudice résultant d’infractions pénalement sanctionnées. Aux termes de l’article L. 421-2 devenu l’article L.621-1 du code de la consommation, les associations de consommateurs mentionnées à l’article L.421-1 et agissant dans les conditions précisées à cet article peuvent demander à la juridiction civile ou à la juridiction répressive, statuant sur l’action civile, d’A au défendeur ou au prévenu, le cas échéant sous astreinte, toute mesure destinée à faire cesser des agissements illicites ou à supprimer dans le contrat ou le type de contrat en cours ou non, proposé aux consommateurs une clause illicite et peuvent également demander, selon le cas, à la juridiction civile ou à la

Page 8

Décision du 07 août 2018 1/4 social N° RG 14/07300

juridiction répressive de déclarer que cette clause est réputée non écrite dans tous les contrats identiques conclus par le défendeur ou le prévenu avec des consommateurs et de lui A d’en informer à ses frais les consommateurs concernés par tous moyens appropriés. L’article L. 421-6 du code de la consommation, devenu l’article L. 621-7 du code de la consommation, prévoit que les associations mentionnées à l’article L. 421-1 devenu l’article L. 621.1 du code de la consommation et les organismes justifiant de leur inscription sur la liste publiée au Journal officiel de l’Union européenne en application de l’article 4 de la directive 2009/22/ CE du Parlement européen et du Conseil du 23 avril 2009 modifiée, relative aux actions en cessation en matière de protection des intérêts des consommateurs, peuvent agir devant la juridiction civile pour faire cesser ou interdire tout agissement illicite au regard des dispositions transposant les directives mentionnées à l’article 1er de la directive précitée. L’article L. 411-1 devenu l’article L. 811-1 du code de la consommation prévoit que les associations de défense des consommateurs peuvent être agréées après avis du ministère public, les conditions dans lesquelles ces associations peuvent être agréées compte tenu de leur représentativité sur le plan national ou local ainsi que les conditions de retrait de cet agrément, étant fixées par décret. L’association UFC – QUE CHOISIR justifie qu’elle remplit la condition préalable d’agrément prévue par l’article L. 421-2 devenu l’article L. 621-1 du code de la consommation en produisant à l’appui de sa demande le décret du 5 août 2011 portant renouvellement de son agrément pour cinq ans à compter du 22 septembre 2011. Les articles L. 421-2 et L. 421-6, devenus respectivement les articles L. 621-1 et L. 621-7 du code de la consommation autorisent les associations de consommateurs agréées à solliciter en justice la cessation d’agissements illicites et à demander la suppression de clauses abusives ou illicites dans tout contrat ou type de contrat proposé ou destiné à un consommateur, l’agissement illicite, au sens des articles précités, n’étant pas nécessairement constitutif d’une infraction pénale. D’où il suit que UFC QUE CHOISIR est recevable dans son action en cessation ou interdiction des agissements illicites mentionnée aux articles L. 421-2 devenu l’article L. 621-1 et l’article L. 421-6, devenu l’article L. 621-7 du même code, visant la suppression des clauses abusives ou illicites présentes dans les « Conditions Générales d’Utilisation » de la société X, ainsi que la réparation du préjudice en résultant pour l’intérêt collectif des consommateurs par ces agissements illicites.

II. SUR L’APPLICATION DES RÈGLES DU DROIT DE LA CONSOMMATION AUX CONDITIONS GENERALES D’UTILISATION DE X :

Selon des écritures régulièrement déposées auxquelles il convient de se référer pour le détail de son argumentation, l’association UFC – QUE CHOISIR conteste la gratuité du service rendu aux utilisateurs de la plate-forme alléguée par la société X et sollicite de la

Page 9

Décision du 07 août 2018 1/4 social N° RG 14/07300

juridiction que certaines clauses des « Conditions Générales d’Utilisation » de X soient déclarées abusives et réputées non écrites dans tous les contrats proposés par X, y compris ceux qui ne sont plus proposés. L’association UFC – QUE CHOISIR fait valoir que, depuis la date de l’assignation, le code de la consommation a fait l’objet d’importantes modifications, notamment celles résultant de la loi n°2014-344 le 17 mars 2014, dite Loi Hamon ; que des modifications résultant de l’adoption de la « loi n°2015-990 du 6 août 2015 pour la croissance, l’activité et l’égalité des chances économiques », dite Loi Macron, concernent les actions prévues aux articles L. 421-2 et L. 421-6 du code de la consommation ; qu’enfin une codification à droit constant a réorganisé et renuméroté le 1^er juillet 2016 les articles du code de la consommation à l’occasion de l’entrée en vigueur de l’ordonnance n°2016-301 du 14 mars 2016, de sorte que les contrats conclus avant la Loi Hamon demeurent régis par les dispositions du code de la consommation dans leur rédaction antérieure ; que néanmoins les actions y afférant concerneant l’ensemble des contrats. Selon la société X, le contrat d’utilisation du réseau social est un contrat gratuit, cette gratuité exclurait en conséquence l’application des dispositions du droit de la consommation. La société X précise que depuis le début de la procédure initiée par l’association UFC – QUE CHOISIR, certaines clauses ont été supprimées ; qu’en conséquence elle ne formule d’observations que sur la version des conditions en ligne depuis le 30 septembre 2016, sans reprendre le texte dans toutes ses versions successives.

A. Sur la gratuité du service de X :

Aux termes des articles 1105 et 1106 devenu l’article 1107 du code civil, le contrat est dit à titre onéreux, lorsque chacune des parties reçoit de l’autre un avantage en contrepartie de celui qu’elle procure, il est dit à titre gratuit, lorsque l’une des parties procure à l’autre un avantage, sans recevoir de contrepartie. Il ressort des documents relatifs aux Conditions Générales d’utilisation et de la Politique de confidentialité de X, produits au débat, qu’en contrepartie de l’accès et de l’utilisation des Services X, l’utilisateur accepte que X, ses fournisseurs et ses partenaires puissent placer des publicités ciblées en fonction des requêtes effectuées au moyen des services (clause n° 1.5 des Conditions d’utilisation du é( juin 2012, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016, devenu la clause n° 4.3.1 du 30 setembre 2016) ; que les services de X sont financés par la publicité, la société X étant susceptible d’utiliser les informations décrites dans sa Politique de confidentialité pour que les publicités soient plus pertinentes, pour en mesurer l’efficacité et pour aider à reconnaître les appareils de l’utilisateur afin de lui diffuser des annonces sur et hors X (clause n° 16 de la Politique de confidentialité du 30 septembre 2016) ; que X collecte, utilise les informations que l’utilisateur adresse lors de son utilisation de ses Services, son site Web, quand l’utilisateur envoie

Page 10

Décision du 07 août 2018 1/4 social N° RG 14/07300

ou reçoit des tweets via SMS, quand il accède à X à partir d’une application telle que X pour Mac, X pour Android ou Tweetdeck (clauses n°3, 3 bis et 3 ter de la Politique de confidentialité du 21 octobre 2013, 8 septembre 2014, 18 mais 2015, 27 janvier 2016 et 30 septembre 2016). Il ressort également des clauses issues des documents produits que, lorsque l’utilisateur utilise un des services de X, il consent à ce que la société collecte, transfert, manipule, conserve, divulgue, utilise les informations de l’utilisateur aux fins prévues par la Politique de confidentialité, quel que soit le pays de résidence de l’utilisateur ou le lieu depuis lequel il fournit des informations (clauses n°3, 3 bis et 3 ter de la Politique de confidentialité du 21 octobre 2013, 8 septembre 2014, 18 mai 2015, 27 janvier 2016 et 30 septembre 2016), que lorsque l’utilisateur crée ou reconfigure un compte X, il fournit des informations personnelles telles que son nom, son nom d’utilisateur, son mot de passe et son adresse e-mail (clause n°9 de la Politique de confidentialité du 21 octobre 2013, 8 septembre 2014, 18 mai 2015, 27 janvier 2016 et 30 septembre 2016) ; que X peut utiliser les coordonnées de l’utilisateur afin de lui faire parvenir des informations sur les services de X ou lui proposer des offres (Clause n°6 de la Politique de confidentialité des 21 octobre 2013, 8 septembre 2014, 18 mai 2015, 27 janvier 2016 et 30 septembre 2016) ; que la Politique de confidentialité décrit la manière et le moment ou X collecte, utilise et partage les informations à travers les différents sites Web, SMS, API, notifications par e-mail, applications, boutons, widgets, publicités, services de transactions commerciales, ainsi qu’à travers les autres services couverts qui renvoient à cette Politique (…) et par l’intermédiaire de des partenaires de X et autres tierces parties (clauses 3, 3bis, 3 ter de la Politique de confidentialité des 21 octobre 2013, 8 septembre 2014, 18 mai 2015, 27 janvier 2016 et 30 septembre 2016) ; que les interactions de l’utilisateur sur X, les informations que l’utilisateur fournit au moment de son inscription et les relations de X avec ses partenaires annonceurs permettent à X de faire en sorte que le contenu sponsorisé soit plus pertinent pour l’utilisateur (notamment la clause n° 9 de la Politique de confidentialité des 21 octobre 2013, 8 septembre 2014, 18 mai 2015, 27 janvier 2016, devenue la clause n° 10 du 30 septembre 2016). Il résulte de ce qui précède que, si la société X propose aux utilisateurs de la plate-forme des services dépourvus de contrepartie monétaire, elle commercialise à titre onéreux auprès d’entreprises partenaires, publicitaires ou marchands, des données, à caractère personnel ou non, déposées gratuitement par l’utilisateur à l’occasion de son inscription sur la plate-forme et lors de son utilisation. Ainsi, la fourniture de données collectées gratuitement puis exploitées et valorisées par X doit s’analyser en un « avantage » au sens de l’article 1107 du code civil, qui constitue la contrepartie de celui que X procure à l’utilisateur, de sorte que le contrat conclu avec X est un contrat à titre onéreux. En conséquence, en collectant des données déposées gratuitement par l’utilisateur à l’occasion de son accès à la plate-forme et en les commercialisant à titre onéreux, la société X, agissant à des fins commerciales, tire profit de son activité, de sorte qu’il est un « professionnel » au sens de l’article liminaire du code de la

Page 11

Décision du 07 août 2018 1/4 social N° RG 14/07300

consommation, lequel définit le professionnel, comme toute personne physique ou morale, publique ou privée, agissant à des fins entrant dans le cadre de son activité commerciale, y compris lorsqu’elle agit au nom ou pour le compte d’un autre professionnel. Au surplus, les dispositions de l’article L. 121-1 du code de la consommation, aux termes desquelles sont abusives les clauses, qui ont pour objet ou pour effet de créer, dans les contrats conclus entre professionnels et consommateur, un déséquilibre significatif entre les droits et obligations des parties au contrat, au détriment du consommateur, n’exigent pas que le contrat soit conclu à titre onéreux, seule la qualité des parties au contrat (professionnel/consommateur), déterminant l’application desdites dispositions, lesquelles ne sont donc pas limitées dans leur application aux seuls contrats conclus à titre onéreux. D’où il suit que le contrat d’utilisation de la plate-forme, exploitée par la société X en sa qualité de professionnel, est soumis aux dispositions du code de la consommation, notamment aux dispositions relatives aux clauses abusives, l’utilisateur qui participe au contenu restant un consommateur au regard des dispositions du code de la consommation.

B. Sur la recevabilité des demandes relatives aux clauses des conditions générales qui ne sont plus applicables :

Le deuxième alinéa de l’article L. 421-6 du code de la consommation, dans les rédactions issues des lois du 17 mars 2014 (loi Hamon) et du 6 aout 2015 (loi Macron), confère aux associations et organismes agréés le droit d’agir en suppression ou interdiction d’une clause illicite ou abusive dans tout contrat ou type de contrat proposé ou destiné au consommateur, le même article autorisant dans son troisième alinéa les associations et organismes agréés à solliciter du juge que cette clause soit réputée non écrite dans tous les contrats identiques conclus par le même professionnel avec des consommateurs. Dans sa rédaction antérieure à la loi du 17 mars 2014 – applicable aux versions des contrats proposés aux consommateurs à cette date – l’article L. 421-6 du code de la consommation, interprété à la lumière de l’article 6 §1 de la directive 93/13/CEE du 5 avril 1993 et lu en combinaison avec l’article 7 §1 et 2 de cette directive, ainsi qu’à la jurisprudence de la Cour de justice de l’Union européenne, les clauses des conditions générales d’un contrat conclu avec un consommateur par un professionnel, déclarées abusives à la suite de l’action prévue par l’article L. 421-6 du code de la consommation – permettant aux associations et organismes agréés le droit d’agir en suppression ou interdiction d’une clause illicite ou abusive dans tout contrat ou type de contrat proposé ou destiné au consommateur – ne lient ni les consommateurs qui sont parties à la procédure ni ceux qui ont conclu avec ce professionnel un contrat, dès lors que des contrats soumis à ces conditions générales et susceptibles de comporter des clauses abusives, peuvent avoir été conclus avant cette date avec des consommateurs.

Page 12

Décision du 07 août 2018 1/4 social N° RG 14/07300

Ainsi, les associations mentionnées à l’article L. 421-1 devenu l’article L. 621-1 du code de la consommation et les organismes agréés, disposant d’une action en cessation ou interdiction de tout agissement illicite, peuvent solliciter de la juridiction civile qu’une clause illicite ou abusive soit supprimée dans tout contrat ou type de contrat proposé ou destiné au consommateur et que cette clause soit réputée non écrite dans tous les contrats identiques conclus par le même professionnel avec des consommateurs. Par conséquent, sont recevables les demandes de l’association UFC – QUE CHOISIR concernant les clauses critiquées dans l’ensemble des versions des « Conditions Générales d’utilisation » de X, y compris les demandes relatives aux clauses ou versions de clauses des conditions générales qui ne sont plus applicables.

III. SUR LE CARACTÈRE ABUSIF DES DISPOSITIONS CRITIQUÉES :

L’article L. 132-1 du code de la consommation devenu l’article L. 212-1 du code de la consommation, comme résultant de l’ordonnance n° 2016-131 du 10 février 2016, dispose que, "dans les contrats conclus entre professionnels et consommateurs, sont abusives les clauses qui ont pour objet ou pour effet de créer, au détriment du consommateur, un déséquilibre significatif entre les droits et obligations des parties au contrat. Sans préjudice des règles d’interprétation prévues aux articles 1188, 1189, 1191 et 1192 du code civil, le caractère abusif d’une clause s’apprécie en se référant, au moment de la conclusion du contrat, à toutes les circonstances qui entourent sa conclusion, de même qu’à toutes les autres clauses du contrat. Il s’apprécie également au regard de celles contenues dans un autre contrat lorsque les deux contrats sont juridiquement liés dans leur conclusion ou leur exécution. L’appréciation du caractère abusif des clauses au sens du premier alinéa ne porte ni sur la définition de l’objet principal du contrat ni sur l’adéquation du prix ou de la rémunération au bien vendu ou au service offert pour autant que les clauses soient rédigées de façon claire et compréhensible. Un décret en Conseil d’État, pris après avis de la commission des clauses abusives, détermine des types de clauses qui, eu égard à la gravité des atteintes qu’elles portent à l’équilibre du contrat, doivent être regardées, de manière irréfragable, comme abusives au sens du premier alinéa. Un décret pris dans les mêmes conditions, détermine une liste de clauses présumées abusives ; en cas de litige concernant un contrat comportant une telle clause, le professionnel doit apporter la preuve du caractère non abusif de la clause litigieuse. Ces dispositions sont applicables quels que soient la forme ou le support du contrat. Il en est ainsi notamment des bons de commande, factures, bons de garantie, bordereaux ou bons de livraison, billets ou

Page 13

Décision du 07 août 2018 1/4 social N° RG 14/07300

tickets, contenant des stipulations négociées librement ou non ou des références à des conditions générales préétablies. » L’article R.212-1 du code de la consommation, résultant du décret n? 2016-884 du 29 juin 2016, dispose que : « Dans les contrats conclus entre des professionnels et des consommateurs, sont de manière irréfragable présumées abusives, au sens des dispositions des premier et quatrième alinéas de l’article L. 212-1 et dès lors interdites, les clauses ayant pour objet ou pour effet de : 1- Constater l’adhésion du consommateur à des clauses qui ne figurent pas dans l’écrit qu’il accepte ou qui sont reprises dans un autre document auquel il n’est pas fait expressément référence lors de la conclusion du contrat et dont il n’a pas eu connaissance avant sa conclusion ; 2- Restreindre l’obligation pour le professionnel de respecter les engagements pris par ses préposés ou ses mandataires ; 3- Réserver au professionnel le droit de modifier unilatéralement les clauses du contrat relatives à sa durée, aux caractéristiques ou au prix du bien à livrer ou du service à rendre ; 4- Accorder au seul professionnel le droit de déterminer si la chose livrée ou les services fournis sont conformes ou non aux stipulations du contrat ou lui conférer le droit exclusif d’interpréter une quelconque clause du contrat ; 5- Contraindre le consommateur à exécuter ses obligations alors que, réciproquement, le professionnel n’exécuterait pas ses obligations de délivrance ou de garantie d’un bien ou son obligation de fourniture d’un service ; 6- Supprimer ou réduire le droit à réparation du préjudice subi par le consommateur en cas de manquement par le professionnel à l’une quelconque de ses obligations ; 7- Interdire au consommateur le droit de demander la résolution ou la résiliation du contrat en cas d’inexécution par le professionnel de ses obligations de délivrance ou de garantie d’un bien ou de son obligation de fourniture d’un service ; 8- Reconnaître au professionnel le droit de résilier discrétionnairement le contrat, sans reconnaître le même droit au consommateur ; 9- Permettre au professionnel de retenir les sommes versées au titre de prestations non réalisées par lui, lorsque celui-ci résilie lui-même discrétionnairement le contrat ; 10- Soumettre, dans les contrats à durée indéterminée, la résiliation à un délai de préavis plus long pour le consommateur que pour le professionnel ; 11- Subordonner, dans les contrats à durée indéterminée, la résiliation par le consommateur au versement d’une indemnité au profit du professionnel ;

Page 14

Décision du 07 août 2018 1/4 social N° RG 14/07300

12- Imposer au consommateur la charge de la preuve, qui, en application du droit applicable, devrait incomber normalement à l’autre partie au contrat. ».

A. Sur les conditions d’utilisation proposées par X :

1. Clause n° 0.1 des conditions d’utilisation :

Clause n° 0.1 des conditions d’utilisation du 25 juin 2012 : « Cette traduction est mise à disposition pour votre convenance. La version anglaise servira de référence en cas de conflit entre la traduction et la version originelle. » La société X fait valoir que la clause n° 0.1 des conditions d’utilisation a été supprimée. La critique de l’UFC-QUE-CHOISIR n’a donc plus lieu d’être. L’UFC répond qu’elle est recevable à solliciter la suppression de clauses modifiées ou supprimées postérieurement à la date de la délivrance de l’assignation. Le tribunal ayant répondu à cette argumentation dans le cadre de l’application dans le temps de la législation sur les clauses abusives aux diverses versions du contrat d’utilisation de X, il n’y a pas lieu d’examiner de nouveau cette exception. Aux termes de l’article 2 de la loi du 4 août 1994, « dans la désignation, l’offre, la présentation, le mode d’emploi ou d’utilisation, la description de l’étendue et des conditions de garanties d’un bien, d’un produit ou d’un service, ainsi que dans les factures et quittances, l’emploi de la langue française est obligatoire ».

En l’espèce, la clause prévoyant la primauté de la version anglaise des dispositions contractuelles sur la version française en cas de conflit entre ces deux versions linguistiques est illicite, en ce qu’elle ne permet pas l’accès effectif au contrat, le consommateur français se voyant appliquer un texte qui n’est pas écrit dans sa langue et qu’il ne peut, de ce fait, pas appréhender correctement. En conséquence la clause 0.1 des conditions d’utilisation du 25 juin 2012, illicite au regard de l’article 2 de la loi du 4 août 1994, sera réputée non écrite.

Page 15

Décision du 07 août 2018 1/4 social N° RG 14/07300

2. Clause n°0.2 des Conditions d’utilisation :

Clause n°0.2 des Conditions d’utilisation du 25 juin 2012 : « Ces Conditions d’Utilisation ( »Conditions« ) régissent vos accès et utilisation des services, en ce compris notamment, nos différents sites Internet, les SMS, les API, les applications, les boutons, les notifications e-mail et les widgets, (les »Services« ou »X"), et toute autre information, textes, graphiques, photos ou autres documents mis en ligne, téléchargés ou figurant dans les Services (collectivement dénommés les “Contenus”). Votre accès et votre utilisation des Services sont conditionnés à votre acceptation et le respect des présentes Conditions. En accédant aux Services ou en les utilisant, vous acceptez d’être lié par ces Conditions".

Clause 0.2 des Conditions d’utilisation du 8 septembre 2014 : « Ces Conditions d’Utilisation ( »Conditions« ) régissent vos accès et utilisation des services, en ce compris notamment, nos différents sites Internet, les SMS, les API, les notifications e-mail, les applications, les boutons, les widgets, les publicités et les services commerciaux (les »Services« ou »X"), et toute autre information, textes, graphiques, photos ou autres documents mis en ligne, téléchargés ou figurant dans les Services (collectivement dénommés les “Contenus”). Votre accès et votre utilisation des Services sont conditionnés à votre acceptation et le respect des présentes Conditions. En accédant aux Services ou en les utilisant, vous acceptez d’être lié par ces Conditions ".

Clause 0.2 des Conditions d’utilisation du 18 mai 2015 et du 27 janvier 2016 : « Ces Conditions d’Utilisation (« Conditions ») régissent vos accès et utilisation de nos services, notamment nos différents sites Web, les SMS, API, notifications par email, applications, boutons, widgets, publicités et services de transaction commerciale (les « Services X »), et nos autres services qui disposent d’un lien vers ces Conditions (collectivement, les « Services »), ainsi que toute autre information et tous les, textes, graphiques, photos ou autres documents mis en ligne, téléchargés ou figurant dans les Services (collectivement dénommés les “Contenus”). Votre accès et votre utilisation des Services sont conditionnés par votre acceptation et le respect des présentes Conditions. En accédant aux Services ou en les utilisant, vous acceptez d’être lié par ces Conditions ».

Clause 0.2 des Conditions d’utilisation du 30 septembre 2016 : « (Si vous résidez en dehors des États-Unis) Les présentes Conditions d’utilisation (« Conditions ») régissent l’accès et l’utilisation par vous-même de nos services, y compris nos différents sites Web, SMS, API, notifications par e-mail, applications, boutons, widgets, publicités, services de transactions commerciales, et nos autres services couverts (https://support.X.com/articles/20172501), renvoyant à ces

Page 16

Décision du 07 août 2018 1/4 social N° RG 14/07300

Conditions (collectivement, les «Services »), ainsi que les informations, textes, liens, graphiques, photos, vidéos ou autres éléments ou combinaison d’éléments téléchargés à partir des Services ou apparaissant sur ceux-ci (collectivement dénommés le « Contenu »). En utilisant les Services, vous reconnaissez être lié(e) par les présentes Conditions. »

L’UFC-QUE CHOISIR considère que cette clause porte atteinte au consentement de l’utilisateur et ne respecte pas les dispositions du code de la consommation relatives à l’information précontractuelle. La société X réplique que la page d’accueil du site Internet de X dispense une information claire au futur utilisateur en ces termes « En vous inscrivant, vous acceptez les Conditions d’utilisation et la Politique de confidentialité, notamment l’utilisation de cookies ». Elle ajoute que depuis le 27 janvier 2016, lorsque l’utilisateur clique sur les « Conditions d’utilisation », il lui est proposé de télécharger le « contrat d’utilisation de X » qui reprend, sur un format durable et daté, l’ensemble des conditions d’utilisation du service, de sorte que l’utilisateur sait exactement à quoi il consent au moment où il décide d’ouvrir un compte X. Aux termes de l’article L. 111-2 du code de la consommation devenus les articles L. 111-1 et L. 111-2, de l’article R. 111-2 I et III, devenu l’article R. 111-2 7°) du code de la consommation, le professionnel, prestataire de services, est tenu de mettre le consommateur en mesure de connaître les caractéristiques essentielles du service et, s’il en utilise, les conditions générales, avant la conclusion du contrat et, en tout état de cause, lorsqu’il n’y pas de contrat écrit, avant l’exécution de la prestation de services. Ainsi, les articles L. 111-1 et L. 111-2 du code de la consommation précités dans les versions successives, obligent le prestataire de services à informer précisément le consommateur, de manière lisible et compréhensible, avant la conclusion du contrat des caractéristiques essentielles du service de façon à éclairer le consentement du consommateur. Tel n’est pas le cas de la clause critiquée, qui prévoit que la seule inscription, et par suite la navigation ultérieure sur le site, emporte l’adhésion implicite de l’utilisateur aux conditions d’utilisation en vigueur (l’information « précontractuelle » dispensée étant, au mieux, concomitante à l’inscription initiale (« au moment où il décide d’ouvrir un compte X ») et non préalable à celle-ci, la navigation ultérieure sur le site vaudrait acceptation implicite des conditions générales en vigueur au moment de l’utilisation du site. Aux termes de l’article R 132-1 1°) devenu l’article R. 212-1 du code de la consommation, dans les contrats conclus entre des professionnels et des consommateurs, sont présumées abusives de manière irréfragable, au sens des dispositions des premier et quatrième alinéas de l’article L. 212-1 et dès lors interdites, les clauses ayant pour objet ou pour effet de constater l’adhésion du consommateur à des clauses qui ne figurent pas dans l’écrit qu’il accepte ou qui sont reprises dans un autre document auquel il n’est pas fait expressément référence lors de la

Page 17

Décision du 07 août 2018 1/4 social N° RG 14/07300

conclusion du contrat et dont il n’a pas eu connaissance avant sa conclusion. La clause n°0.2 des Conditions d’utilisation du 25 juin 2012, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016 et du 30 septembre 2016, qui prévoient que l’inscription puis la navigation sur le site vaut acceptation des conditions générales d’utilisation à un moment où l’utilisateur n’a pas pu avoir accès à celles-ci, est, selon l’article R. 132-1, 1°) devenu l’article R. 212-1 du code de la consommation, de manière irréfragable présumée abusive. En conséquence, la clause 0.2 des « Conditions d’utilisation » dans les versions des 25 juin 2012, 8 septembre 2014, 18 mai 2015, 27 janvier 2016 et 30 septembre 2016, illicite au regard des articles L. 111-2 du code de la consommation devenus les articles L.111-1 et L.111-2, de l’article R. 111-2 I et III, devenu l’article R. 111-2 7°) du code de la consommation est abusive sur le fondement de l’article R 132-1 1°) devenu l’article R. 212-1 1°) du code de la consommation et sera réputée non écrite.

3. Clause n°1.1 des Conditions d’utilisation devenue clause 1.3 :

Clause n°1.1 des Conditions d’utilisation du 25 juin 2012 : « Vous êtes responsable de votre utilisation des Services, des Contenus que vous publiez sur les Services, et de toute conséquence qui en découlerait. Les Contenus que vous soumettez, postez, ou affichez sont susceptibles d’être vus par d’autres utilisateurs des Services et au travers de services et sites web fournis par des tiers (vous pouvez vous rendre sur la page des paramètres de compte pour contrôler qui peut accéder à vos Contenus). Vous ne devriez fournir que des Contenus que vous souhaitez partager avec d’autres conformément aux présentes Conditions ». Clause n°1.1 des Conditions d’utilisation du 8 septembre 2014 : « Vous êtes responsable de votre utilisation des Services, des Contenus que vous publiez sur les Services, et de toute conséquence qui en découlerait. Les Contenus que vous soumettez, publiez ou affichez sont susceptibles d’être vus par d’autres utilisateurs des Services et sur des services et sites Web fournis par des tiers (vous pouvez vous rendre sur la page des paramètres de compte pour contrôler qui peut accéder à vos Contenus). Vous ne devriez fournir que des Contenus que vous souhaitez partager avec d’autres conformément aux présentes Conditions ». Clause n°1.1 des Conditions d’utilisation du 18 mai 2015 et du 27 janvier 2016 : « Vous êtes responsable de votre utilisation des Services, des Contenus que vous publiez sur les Services, et de toute conséquence qui en découlerait. La plupart des Contenus que vous soumettez, publiez ou affichez à travers les Services X sont rendus publics par défaut et sont susceptibles d’être vus par d’autres utilisateurs et sur des services et sites Web fournis par des tiers (Pour en savoir plus, cliquez ici, et

Page 18

Décision du 07 août 2018 1/4 social N° RG 14/07300

rendez-vous sur la page des paramètres de compte pour déterminer qui peut accéder à vos contenus). Vous ne devriez fournir que des contenus que vous souhaitez partager avec d’autres conformément aux présentes conditions ». Clause n°3.1 des Conditions d’utilisation du 30 septembre 2016 : « Vous êtes responsable de l’utilisation que vous faites des Services et de tout Contenu que vous fournissez, y compris de la conformité aux lois, règles et réglementations en vigueur. Vous ne devez fournir un Contenu que dans la mesure où cela ne vous gêne pas de le partager avec d’autres. »

L’UFC-QUE CHOISIR fait valoir que ces clauses – dont les rédactions sont similaires – sont illicites et abusives en ce qu’elles instituent une présomption de responsabilité de l’utilisateur et limite, voire exonère X de sa responsabilité, alors qu’en sa qualité de responsable du traitement au regard de l’article 34 de la Loi Informatique et Libertés, X est tenu d’une obligation de préservation des données, de la prévention de leur déformation, de leur endommagement, ou de leur accessibilité par les tiers. La société X, affirme en page 37 de ses écritures qu’elle n’est pas « le responsable de traitement » au sens de l’article 3 de la Loi Informatique et Libertés. Elle précise à ce titre que c’est l’utilisateur, qui détermine, en qualité de « responsable éditorial » de ses publications, la finalité de ces publications et qui doit être considéré comme le responsable du traitement. C’est donc sur lui que pèse l’essentiel des obligations prévues par la Loi Informatique et Libertés (information, collecte du consentement, etc.). Par exemple, lorsqu’il choisit de publier une photo de ses voisins, il lui appartient de leur demander leur consentement. La société soutient qu’elle agit la plupart du temps en qualité de « sous-traitant » au sens de l’article 35 de la loi de la Loi Informatique et Libertés, à savoir celui qui « traite des données à caractère personnel pour le compte du responsable du traitement » et uniquement « sur instruction du responsable du traitement" (l’utilisateur) ; qu’elle agit donc en qualité de prestataire technique chargé d’héberger les données publiées par l’utilisateur, et ce sous les instructions de ces derniers. Elle assure qu’en l’occurrence, la clause n° 3.1 des Conditions d’utilisation du 30 septembre 2016 n’exclut pas la responsabilité de X.

En l’espèce, l’analyse comparative des clauses critiquées révèle, que la rédaction des clauses n’est pas similaire. Ainsi la rédaction des clauses n° 1.1 des Conditions d’utilisation du 25 juin 2012, du 8 septembre 2014 et du 25 juin 2012 et 18 mai 2015 et 27 janvier 2016 se décompose en trois parties. La première partie évoque la responsabilité encourue par l’utilisateur à l’occasion de l’utilisation des « Services » (de X) et de la publication de « Contenus ».

Page 19

Décision du 07 août 2018 1/4 social N° RG 14/07300

La seconde partie indique que ces « Contenus » sont susceptibles d’être « vus » par d’autres utilisateurs, services et sites Web fournis par des tiers, l’utilisateur ayant la possibilité de « contrôler » « qui peut accéder (à ses) Contenus » (Conditions d’utilisation du 25 juin 2012, du 8 septembre 2014 et du 25 juin 2012), voire de paramétrer « déterminer », en se « (rendant) sur la page des paramètres du compte », « qui peut accéder à (ses) Contenus » (Conditions d’utilisation du 18 mai 2015 et du 27 janvier 2016), en l’absence de quoi les « Contenus » seraient « rendus public par défaut ». La troisième partie est rédigée sous forme de conseil "Vous ne devriez fournir (…) conformément aux présentes Conditions". La rédaction de la clause n°3.1 des Conditions d’utilisation du 30 septembre 2016, diffère de la rédaction des précédentes clauses, en ce qu’elle se décompose en deux parties ; l’une relative à la responsabilité encourue par l’utilisateur à l’occasion de son utilisation des « Services » et de la fourniture de « Contenus » – rédaction enrichie d’une mention spécifique relative à la conformité des « Contenus » « aux lois, règles et réglementations en vigueur » – l’autre faisant à l’utilisateur obligation (et non sous forme de conseil) de ne fournir un Contenu « que dans la mesure où cela ne (le) gêne pas de le partager avec d’autres », la mention relative à la possibilité de restriction de l’accès audit « Contenu » « par d’autres utilisateurs et sur des services et sites Web fournis par des tiers » grâce au paramétrage du compte de l’utilisateur, n’étant plus évoquée.

a) Sur la présomption de responsabilité et l’exonération de la responsabilité de la société X :

Aux termes de l’article 3 de la loi Informatique et Libertés, le responsable du traitement est la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens du traitement des données à caractère personnel. Ainsi, contrairement à ce qu’allègue la société X, l’utilisateur de la plate-forme n’est pas le responsable du traitement, entendu comme l’entité qui, choisissant de traiter des données à caractère personnel pour des finalités qui lui sont propres, détermine les finalités et les moyens de ce traitement, au sens de l’article 3 de la loi précitée. L’article 34 de la loi précitée impose au responsable du traitement de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Il ressort de la clause n° 1.1 des Conditions d’utilisation des 25 juin 2012, 8 septembre 2014, 25 juin 2012, 18 mai 2015 et 27 janvier 2016, devenue la clause n°3.1 des Conditions d’utilisation du 30 septembre 2016, qu’elle fait peser sur l’utilisateur, par la généralité des termes employés, une présomption de responsabilité du fait de l’utilisation des Services et des Contenus qu’il publie sur le réseau X, et corrélativement exonère la société X de la responsabilité encourue en sa qualité de responsable du traitement.

Page 20

Décision du 07 août 2018 1/4 social N° RG 14/07300

De sorte que, dans l’hypothèse, non envisagée par la clause, d’une utilisation frauduleuse du compte de l’utilisateur par un tiers non autorisé, la responsabilité du responsable du traitement peut être engagée au titre de l’article 34 de la Loi Informatique et Libertés. Ainsi, en présumant que l’utilisateur est, dans tous les cas et sans aucun rappel des obligations propres de l’opérateur, présumé responsable des conséquences, qui découlerait d’une utilisation de son compte, même par un tiers non autorisé, la clause précitée est illicite au regard des articles 3 et 34 de loi précitée.

b) Sur l’absence d’information préalable de l’utilisateur quant à la collecte et l’exploitation de ses données

L’association UFC -QUE CHOISIR fait valoir que ces clauses indiquent que les contenus sont susceptibles d’être diffusés auprès des tiers, mais n’informent pas l’utilisateur de la finalité et des conditions de cette communication de données, en contradiction avec les articles 6-2°) et 32-I de la Loi Informatique et Libertés. La société X rappelle que les informations soumises, publiées ou affichées par l’utilisateur à travers les « Services », « sont rendus publiques par défaut et sont susceptibles d’être vus par d’autres utilisateurs et sur des services et sites Web fournis par des tiers ». Elle rappelle également qu’elle traitera nécessairement les données à caractère personnel figurant dans ces contenus, dans le but de les rendre accessibles au plus large public dans le monde, l’indication selon laquelle les données sont appelées à être diffusées au public sur d’autres « services et sites Web fournis par des tiers » répondant de façon concise, mais claire, à l’obligation de mentionner des « catégories de destinataires ». Aux termes de la clause n° 0.2 des Conditions d’utilisation, précédemment examinée par le tribunal, entrent dans la définition des « Contenus » (ou « Contenu »), "les informations, textes, liens, graphiques, photos, vidéos ou autres éléments ou combinaison d’éléments téléchargés à partir des Services ou apparaissant sur ceux-ci (collectivement dénommés le « Contenu »)« , soit des données personnelles au sens de l’article 2 de la loi Informatique et Libertés, lequel définit comme une donnée à caractère personnel, toute information relative à une personne identifiable ou pouvant être identifiée directement ou directement par référence à un ou plusieurs éléments, qui lui sont propres, la personne étant indentifiable lorsque le responsable du traitement ou toute autre personne dispose de moyens ou a accès aux moyens permettant son identification. Tel est le cas des données »collectivement dénommé(e)s le « Contenu » dans les conditions générales de X. Aux termes de l’article 6 de la Loi Informatique et Libertés, un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : « (…) (1°) que les données sont collectées et traitées de manière loyale et licite et pour des finalités déterminées, explicites et légitimes / (2°) elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. (…) elles

Page 21

Décision du 07 août 2018 1/4 social N° RG 14/07300

sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles / (3°) elles sont collectées et de leurs traitements ultérieurs. » Aux termes de l’article 32-I. de la loi précitée, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, par le responsable du traitement ou son représentant, de l’identité du responsable du traitement, de la finalité poursuivie par le traitement auquel les données sont destinées, des destinataires ou catégories de destinataires des données. En l’espèce les clauses critiquées prévoient que les éléments du « Contenu » fourni par l’utilisateur « sont susceptibles d’être vus par d’autres utilisateurs et sur des services et sites Web fournis par des tiers », parmi lesquels figurent des données personnelles, mais ne l’informe pas pour autant des données collectées ni de la finalité poursuivie par le traitement, auquel ces données sont destinées ni des destinataires ou catégories de destinataires des données en méconnaissance des articles 6 et 32-I de la Loi Informatique et Libertés précitée. D’où il suit que les clauses n°1.1 des Conditions d’utilisation du 25 juin 2012, du 8 septembre 2014 et du 25 juin 2012 et 18 mai 2015 et 27 janvier 2016 et n°3.1 des Conditions d’utilisation du 30 septembre 2016, illicites au regard des articles 3, 6 2°), 32-I, 34 de la Loi Informatique et Libertés, seront réputées non écrites.

4. Clause n°1.3 des Conditions d’utilisation devenue clause n° 1 :

Clause n°1.3 des Conditions d’utilisation de X du 25 juin 2012 : « Vous pouvez utiliser les Services uniquement si vous avez la capacité de conclure un contrat avec X et si vous n’êtes pas interdit de recevoir des services en vertu des lois des États-Unis ou d’autres lois applicables. Si vous acceptez ces Conditions et utilisez les Services au nom d’une entreprise, organisation, gouvernement ou autre entité juridique, vous déclarez et garantissez que vous êtes autorisé à le faire. Vous ne pouvez utiliser les Services qu’en conformité avec les présentes Conditions et toutes les lois, règles et règlements applicables qu’ils soient locaux, étatiques, nationaux et internationaux ». Clause n°1.3 des Conditions d’utilisation de X du 8 septembre 2014, du 18 mai 2015 et du 27 janvier 2016 : « Vous pouvez utiliser les Services uniquement si vous avez la capacité de conclure un contrat avec X et si vous n’avez pas l’interdiction de recevoir des services en vertu des lois des États-Unis ou d’autres lois applicables. Si vous acceptez ces Conditions et utilisez les Services au nom d’une entreprise, d’une organisation, d’un gouvernement ou d’une autre entité juridique, vous déclarez et garantissez que vous êtes autorisé à le faire. Vous ne pouvez utiliser les Services qu’en conformité avec les présentes Conditions et l’ensemble des lois, règles et règlements applicables qu’ils soient locaux, étatiques, nationaux et internationaux ».

Page 22

Décision du 07 août 2018 1/4 social N° RG 14/07300

Clause n°1 des Conditions d’utilisation de X du 30 septembre 2016 : « Vous ne pourrez utiliser les Services que si vous acceptez de signer un contrat vous liant à X et que si vous n’êtes pas interdite de recevoir ce type de services en vertu des lois du pays ou territoire dont vous relevez. Si vous acceptez les présentes Conditions et que vous utilisez les Services au nom d’une société, organisation, État ou autre entité juridique, vous déclarez et garantissez que vous êtes autorisée à le faire. »

L’UFC-QUE CHOISIR prétend que ces clauses, dont la rédaction est quasi identique, hormis la rédaction adoptée dans la version du 30 septembre 2016, sont à la fois illicites et abusives, car elles renvoient expressément aux conditions de capacité du cocontractant prévues par la loi américaine. Ces clauses, qui ne sont pas compréhensibles pour le consommateur français, sont illicites au regard des dispositions de l’article L. 133-2 du code de la consommation, devenu l’article L. 211-1 du code de la consommation. La société X estime que la critique inopérante et sollicite le rejet de la demande de l’UFC-QUE CHOISIR, la référence à la loi américaine ayant été abandonnée dans la version de la clause du 30 septembre 2016. Le Tribunal ayant répondu à cette argumentation dans le cadre de l’application dans le temps de la législation sur les clauses abusives aux diverses versions du contrat d’utilisation de X, il n’y a pas lieu d’examiner de nouveau cette exception. Aux termes de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation, les clauses des contrats proposés par les professionnels aux consommateurs doivent être présentées et rédigées de façon claire et compréhensible et s’interprètent en cas de doute dans le sens le plus favorable au consommateur. En l’espèce, la clause n° 1.3 des Conditions d’utilisation des versions des 25 juin 2012, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016, renvoie l’utilisateur à l’application d’une loi étrangère, en laissant croire qu’il ne pourrait bénéficier des dispositions plus favorables du droit français, est illicite et abusive. D’où il suit que la clause n° 1.3 des Conditions d’utilisation dans sa rédaction des 25 juin 2012, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016, est illicite au regard des dispositions de l’article L.133-2 du code de la consommation, devenu l’article L. 211-1 du code de la consommation et sera réputée non écrite.

5. Clause n° 1.4 des Conditions d’utilisation devenue clause n° 4.2 :

Clause n°1.4 des Conditions d’utilisation de X du 25 juin 2012 : « Les Services fournis par X sont en constante évolution. La forme et la nature des Services fournis par X peuvent changer à tout moment sans préavis. De plus, X peut cesser (définitivement

Page 23

Décision du 07 août 2018 1/4 social N° RG 14/07300

ou temporairement) de fournir les Services (ou toutes fonctionnalité inclue dans les Services), à vous ou aux utilisateurs en général, sans que X puisse être en mesure de vous en aviser préalablement. Nous nous réservons également le droit de définir à notre seule discrétion des limites sur l’utilisation et le stockage, à tout moment et sans préavis ». Clause n°1.4 des Conditions d’utilisation de X du 8 septembre 2014, du 18 mai 2015, du 27 janvier 2016 : « Les Services fournis par X sont en constante évolution. La forme et la nature des Services fournis par X peuvent changer ponctuellement et sans préavis. De plus, X peut cesser (définitivement ou temporairement) de fournir les Services (ou toute fonctionnalité incluse dans les Services), à vous ou aux utilisateurs en général, sans que X puisse être en mesure de vous en aviser préalablement. Nous nous réservons également le droit de définir à notre seule discrétion des limites sur l’utilisation et le stockage, à tout moment et sans préavis » Clause n°4.2 des Conditions d’utilisation de X du 30 septembre 2016 : « Nos Services évoluent en permanence. À ce titre, les Services sont susceptibles d’être modifiés occasionnellement, à notre entière discrétion. Nous sommes susceptibles de cesser (provisoirement ou définitivement) de vous fournir, à vous ou plus généralement aux utilisateurs, les Services ou toute fonctionnalité de ceux-ci. Nous nous réservons par ailleurs le droit de fixer des limites d’utilisation et de stockage, à tout moment et à notre seule discrétion. Nous sommes également susceptibles de retirer ou de refuser de distribuer un quelconque Contenu sur les Services, ou de suspendre ou résilier un utilisateur et de récupérer des noms d’utilisateurs, sans encourir aucune responsabilité à votre égard.

Selon UFC-QUE CHOISIR, par le jeu de ces clauses, dont la rédaction est similaire, X se réserve le droit de modifier unilatéralement le contenu des services voire à mettre en cause leur existence, et ce, sans préavis ni justification à son entière discrétion. Ces clauses devant être déclarées abusives au regard des articles R.132-1 3, R.132-1 6 et R.132-1 4° du code de la consommation.

La société X rappelle qu’elle offre un service gratuit de « microblogging » aux utilisateurs, qui peuvent utiliser ou non le service offert, avec ou sans publicité ciblées, grâce aux moyens mis à leur disposition permettant de paramétrer leurs comptes. Elle ajoute que les utilisateurs peuvent également mettre fin à la relation avec X sans préavis, de sorte que X peut de son côté modifier librement le service qu’elle offre. Elle fait valoir qu’en cas de cessation du service les clauses d’exonération de responsabilité sont légitimes en raison de l’existence du service rendu sans contrepartie pesant à la charge du consommateur.

Page 24

Décision du 07 août 2018 1/4 social N° RG 14/07300

L’article R. 132-1 3°), 4°), 6°) devenus les articles R. 212-1 3°), 4°), 6°) du code de la consommation répute abusive, la clause qui réserve au professionnel le droit de modifier unilatéralement les clauses du contrat relatives à sa durée, aux caractéristiques du service à rendre, la clause qui supprime ou réduit le droit à réparation du préjudice subi par le consommateur en cas de manquement par le professionnel à l’une quelconque de ses obligations et qui présume irréfragablement abusive, enfin, la clause qui accorde au seul professionnel le droit de déterminer si les services fournis sont conformes ou non aux stipulations du contrat ou lui confère le droit exclusif d’interpréter une quelconque clause du contrat.

En l’espèce il résulte des termes mêmes des clauses critiquées que la société X peut, sans préavis, modifier, suspendre, voire supprimer de manière définitive « les Services ou toute fonctionnalité de ceux-ci » initialement mis à disposition des utilisateurs « sans encourir aucune responsabilité à votre égard », c’est-à-dire en supprimant le droit à réparation du préjudice éventuellement subi par l’utilisateur en cas d’inexécution par la société X de ses obligations.

D’où il suit que la clause n°1.4 des Conditions d’utilisation, dans la rédaction des 25 juin 2012, 8 septembre 2014, du 18 mai 2015 et 27 janvier 2016 et la clause n° 4.2 des Conditions d’utilisation du 30 septembre 2016 doit être déclarée abusive par application R. 132-1 3°), 4°), 6°) devenus les articles R. 212-1 3°), 4°), 6°) du code de la consommation et comme telle, réputée non écrite.

6. Clause n°1.5 des Conditions d’utilisation de X devenue clause n°4.3.1

Clause n°1.5 des Conditions d’utilisation du 25 juin 2012, 8 septembre 2014, 18 mai 2015 et du 27 janvier 2016 :

« Les Services peuvent contenir des publicités, qui peuvent être ciblées en fonction des Contenus ou de l’information disponibles sur les Services, des requêtes effectuées au moyen des Services, ou sur la base de toute autre information. Les types de publicités diffusées par X sur les Services, ainsi que leur étendue, sont susceptibles d’évoluer. En contrepartie de l’accès qui vous est offert à X et de l’utilisation des Services, vous acceptez que X et ses fournisseurs et partenaires puissent placer ces publicités sur les Services ou en relation avec l’affichage de Contenus ou avec des informations issues de l’utilisation des Services, que cela soit par vous ou par d’autres ».

Page 25

Décision du 07 août 2018 1/4 social N° RG 14/07300

Clause n°4.3.1 des Conditions d’utilisation de X du 30 septembre 2016 : « En contrepartie du droit à accéder et à utiliser les Services qui vous est consenti par X, vous acceptez que X et ses prestataires et partenaires tiers puissent placer des publicités sur les Services, ou en relation avec l’affichage du Contenu ou des informations provenant des Services et soumis par vous ou par d’autres. »

L’association UFC-QUE CHOISIR observe à juste titre que ces clauses mettent en évidence le modèle économique adopté par X, qui repose sur l’exploitation commerciale des données collectées auprès des utilisateurs par le biais de sa plateforme, notamment des données à caractère personnel, cette collecte constituant la « contrepartie du droit à accéder et à utiliser les Services qui est consenti (à l’utilisateur) par X ». L’association fait valoir que le traitement des données à caractère personnel nécessite, au regard de l’article 7 de la Loi Informatique et Libertés et de la directive 95/46/CE, un consentement spécifique de l’utilisateur, alors que, selon la société X, le consentement général de l’utilisateur est présumé avoir été donné par l’utilisateur dès son inscription sur le réseau X, cette autorisation portant, selon la société X, sur la collecte et l’utilisation de ses données à caractère personnel. Toutefois, ce consentement, à le supposer établi, ne peut constituer un consentement particulier de l’utilisateur au traitement de ses données personnelles à des fins de publicités comportementales. La société X répond que l'”internaute moyen« est de plus en plus »éduqué« . Il n’ignore pas, que les sites tels que X se financent de cette manière. Elle soutient qu’en précisant que les services X peuvent contenir des publicités ciblées en fonction notamment des contenus qu’il soumet et des requêtes qu’il effectue, l’utilisateur est parfaitement informé que ses données à caractère personnel sont susceptibles d’être véhiculées par ces contenus et requêtes et qu’elles peuvent être traitées par la société X à cette fin. Elle ajoute que l’article 7 de la Loi Informatique et Libertés n’exige pas que le consentement donné soit »spécifique« ou »particulier« , ni que le recueil d’un consentement distinct et renouvelé pour chacune des finalités d’un même traitement. Pour la société, l’association UFC QUE CHOISIR ajoute donc une condition qui ne figure pas dans la loi. La société précise également que les utilisateurs ont à leur disposition des moyens leur permettant, s’ils le souhaitent, de paramétrer leurs comptes afin de ne plus recevoir de publicités personnalisées et ajoute que la société X s’engage également à supporter le protocole »DO NOT TRACK", recommandé par la CNIL elle-même, qui permet à l’utilisateur d’éviter de faire l’objet d’un suivi personnalisé à des fins publicitaires. La Loi Informatique et Libertés fixe dans les conditions dans lesquelles des données à caractère personnel – permettant directement ou indirectement d’identifier des personnes physiques (article 2) – peuvent être collectées, exploitées, conservées, gérées, utilisées ou plus généralement faire l’objet d’une opération de traitement, en conférant à la personne concernée par ces opérations un droit à la protection de ses

Page 26

Décision du 07 août 2018 1/4 social N° RG 14/07300

données personnelles, qui doivent être traitées loyalement à des fins déterminées explicites et légitimes (article 6), et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi (article 7). Ainsi, la loi exige du responsable de la collecte et du traitement de données personnelles d’une personne physique, que soit recueilli son consentement express à ces opérations de collecte et de traitement, ce consentement ne pouvant se déduire de la seule inscription sur un site internet et de sa navigation ultérieure sur ce site. En l’espèce, les clauses n° 1.5 des Conditions d’utilisation du 25 juin 2012, 8 septembre 2014, 18 mai 2015 et du 27 janvier 2016 et n° 4.3.1 des Conditions d’utilisation de X du 30 septembre 2016 se contentent de présenter la collecte des données personnelles, fournies par l’utilisateur à l’occasion de son inscription sur le site et lors de sa navigation ultérieure, comme étant la nécessaire contrepartie de l’accès aux « Services » procuré par X. Au surplus, les clauses précitées, lues en combinaison avec la clause n° 0.2 des Conditions d’utilisation – précédemment qualifiée d’abusive au sens de l’article R 132-1 1°) devenu l’article R. 212-1 du code de la consommation par le Tribunal – se contentent de présupposer chez l’utilisateur un consentement implicite à l’intégralité des conditions générales d’utilisation, sans solliciter son consentement exprès à la collecte et au traitement de ses données personnelles. En conséquence, la clauses n° 1.5 des Conditions d’utilisation du 25 juin 2012, 8 septembre 2014, 18 mai 2015, du 27 janvier 2016 et la clause n° 4.3.1 du 30 septembre 2016 des Conditions d’utilisation de X, sont illicites au regard des articles 2, 6, 7 de la Loi Informatique et Libertés et abusives au regard de l’article R 132-1 1°) devenu l’article R. 212-1 du code de la consommation, et seront comme telles réputées non écrites.

7. Clause n°2 des Conditions d’utilisation de X devenue clauses n°2 et 4.7 §2

Clause n° 2 des Conditions d’utilisation du 25 juin 2012 :

« 2. Confidentialité

Toute information que vous communiquez à X est soumise à notre Politique de Vie Privée, qui régit la collecte et l’utilisation de vos informations. Vous comprenez qu’en utilisant nos Services, vous consentez à la collecte et l’utilisation (ainsi qu’il est énoncé dans la Politique de Vie Privée) de cette information, y compris le transfert de cette information aux États-Unis et / ou dans d’autres pays à des fins de stockage, de traitement et d’utilisation par X. Dans le cadre de la fourniture des Services, nous pouvons être amenés à vous adresser certaines communications, telles que des annonces de service et des messages administratifs. Ces communications sont considérées comme

Page 27

Décision du 07 août 2018 1/4 social N° RG 14/07300

partie intégrante des Services et de votre compte X, de sorte qu’il n’est pas certain que vous puissiez vous opposer à leur réception. Astuce Vous pouvez vous opposer à la réception de la plupart des communications adressées par X, y compris nos newsletters, e-mails de notification en cas de nouveaux Followers, etc. Veuillez-vous référer à l’onglet Notifications des Paramètres pour plus d’informations ».

Clause n° 2 des Conditions d’utilisation du 8 septembre 2014 :

2. Confidentialité Toute information que vous communiquez à X est soumise à notre Politique de confidentialité, qui régit la collecte et l’utilisation de vos informations. Vous comprenez qu’en utilisant nos Services, vous consentez à la collecte et à l’utilisation (ainsi qu’énoncé dans la politique de confidentialité) de ces informations, y compris le transfert de ces informations aux États-Unis et/ou dans d’autres pays aux fins de stockage, de traitement et d’utilisation par X. Dans le cadre de la fourniture des Services, nous pouvons être amenés à vous adresser certaines communications, telles que des annonces de service et des messages administratifs. Ces communications sont considérées comme partie intégrante des Services et de votre compte X, de sorte qu’il n’est pas certain que vous puissiez vous opposer à leur réception. Tip Vous pouvez vous opposer à la réception de la plupart des communications adressées par X, y compris nos newsletters, emails de notification en cas de nouveaux abonnés, etc. Veuillez-vous référer à l’onglet Notifications dans Paramètres pour plus d’informations.

Clause 2 des Conditions d’utilisation du 18 mai 2015 et du 27 janvier 2016 :

2. Confidentialité

Toute information que vous communiquez à X est soumise à notre Politique de confidentialité, qui régit la collecte et l’utilisation de vos informations. Vous comprenez qu’en utilisant nos Services, vous consentez à la collecte et à l’utilisation (ainsi qu’énoncé dans la politique de confidentialité) de ces informations, y compris le transfert de ces informations aux États-Unis, en Irlande et/ou dans d’autres pays aux fins de stockage, de traitement et d’utilisation par X. Dans le cadre de la fourniture des Services, nous pouvons être amenés à vous adresser certaines communications, telles que des annonces de service et des messages administratifs. Ces communications sont considérées comme partie intégrante des Services et de votre compte, de sorte qu’il n’est pas certain que vous puissiez vous opposer à leur réception.

Page 28

Décision du 07 août 2018 1/4 social N° RG 14/07300

Attention : vous pouvez contrôler la plupart des communications adressées par les Services X, y compris les notifications concernant l’activité vous concernant, vos Tweets, Retweets et votre réseau, ainsi que les mises à jour de X. Pour plus d’informations, consultez la section Notifications par e-mail et mobiles dans vos paramètres.

Clauses 2 et 4.7 §2 des Conditions d’utilisation du 30 septembre 2016 :

2. Confidentialité

« Notre Politique de confidentialité (https ://www.X.com/privacy) décrit comment nous traitons les informations que vous nous fournissez lorsque vous utilisez nos Services. Vous reconnaissez qu’en utilisant les Services, vous consentez à ce que nous collections et utilisions (selon les termes de la Politique de confidentialité) ces informations, y compris dans les cas où ces informations seraient transférées aux États-Unis, en Irlande et/ou dans d’autres pays aux fins d’être stockées, traitées ou utilisées par X ou ses sociétés affiliées. »

4.7 §2 Votre compte

« Vous pouvez contrôler la plupart des communications émanant des Services. Nous pourrons être amenés à vous communiquer un certain nombre d’informations, telles que des annonces de services et des messages administratifs. Ces communications sont considérées comme faisant partie des Services et de votre compte, et vous n’aurez pas forcément l’option de choisir de ne pas les recevoir. Si vous avez associé votre numéro de téléphone à votre compte et que vous modifiez ou désactiviez ensuite ce numéro de téléphone, vous devrez mettre à jour les informations de votre compte, de sorte que nous n’adressions aucun message au nouveau propriétaire de votre ancien numéro. »

Selon l’association UFC-QUE CHOISIR, la rédaction quasi-similaire des clauses précitées présume un consentement de l’utilisateur d’une part à la collecte et au traitement des données à caractère personnel des utilisateurs au mépris des dispositions des articles 7 et 32-I de la Loi Informatique et Libertés et d’autre part au transfert vers des États n’appartenant pas à l’Union européenne, contrevenant ainsi aux dispositions de l’article 68 de la Loi Informatique et Libertés. Pour la société X, les clauses critiquées sont relatives aux informations communiquées par l’utilisateur, qui, par hypothèse, a déjà accepté la « Politique de confidentialité », de sorte qu’il doit s’y conformer et consentir au traitement de ses informations. Elle estime que ces clauses ne présument pas le consentement de l’utilisateur à la collecte et au traitement des données à caractère personnel qu’il fournit,

Page 29

Décision du 07 août 2018 1/4 social N° RG 14/07300

mais renvoient à la lecture du document sans donner la possibilité à X de traiter ces données pour d’autres finalités que celles énumérées précisément dans ce document. En l’espèce, l’analyse comparative des quatre versions successives des clauses critiquées révèle que la rédaction des clauses n’est pas complètement similaire, même si le contenu s’articule autour de quatre parties identifiables dans chacune des versions examinées. Une « cinquième partie » apparait dans les clauses 2 et 4.7 § 2 des Conditions d’utilisation du 30 septembre 2016. Elle envisage le cas où l’utilisateur a associé son numéro de téléphone à son compte, l’a modifié ou désactivé et met à la charge de l’utilisateur l’obligation de mettre à jour ces informations sur son compte, de sorte que X « n'(adresse) aucun message au nouveau propriétaire de votre ancien numéro ». Cette obligation supportée par l’utilisateur, non critiquée dans ses conclusions par UFC-QUE CHOISIR, n’est assortie d’aucune sanction ni de prérogative accordée à X en cas d’inexécution de cette obligation, de sorte qu’elle ne peut créer de déséquilibre significatif au détriment du consommateur. La première partie concerne la « soumission » de toute information communiquée à X par l’utilisateur à (sa) Politique de Vie Privée / Politique de confidentialité, « qui régit la collecte et l’utilisation de vos informations », évoquant l’existence un traitement des « informations » (de l’utilisateur), qui s’effectuerait conformément à sa « Politique de Vie privée » / « Politique de confidentialité », à laquelle la dernière version permet d’accéder par lien hypertexte. La seconde partie concerne le consentement donné par l’utilisateur à l’occasion de sa navigation sur le site en ces termes : « Vous comprenez qu’en utilisant nos Services, vous consentez à la collecte et à l’utilisation (ainsi qu’énoncé dans la politique de confidentialité) de ces informations ». La troisième partie étend ce consentement au transfert de ces informations « aux États-Unis, en Irlande et/ou dans d’autres pays aux fins d’être stockées, traitées ou utilisées par X ou ses sociétés affiliées. ». La quatrième partie, rédigée sous la forme d’un « Tip » (version du 8 septembre 2014), que l’on peut traduire en français par « tuyau » (renseignement) ou sous la forme d’une astuce (version du 25 juin 2012) voire d’une alerte (« Attention » versions des 18 mai et 27 janvier 2016) intéresse le droit d’opposition reconnu à l’utilisateur par X dans des situations, d’où seraient exclus « certaines communications, telles que des annonces de service et des messages administratifs » (…)« , l’absence de droit d’opposition étant formulé en ces termes »de sorte qu’il n’est pas certain que vous puissiez vous opposer à leur réception« ou »vous n’aurez pas forcément l’option de choisir de ne pas les recevoir« , lesdites communications étant considérées comme partie intégrante des »Services« et du »compte« de l’utilisateur, les autres messages émanant de X : »newsletters, e-mails de notification en cas de nouveaux Followers (abonnés)« , étant susceptibles de paramétrage, selon diverses modalités et renvois, variant avec les versions, à savoir un »onglet Notifications des Paramètres pour plus d’informations« ou une » section Notifications

Page 30

Décision du 07 août 2018 1/4 social N° RG 14/07300

par e-mail et mobiles dans (les) paramètres", cette possibilité de paramétrage étant absente de la dernière version.

a) Sur le consentement de l’utilisateur à la collecte et au traitement des données à caractère personnel de l’utilisateur et sur son droit d’opposition :

(1) Sur le consentement de l’utilisateur :

L’association UFC-QUE CHOISIR reproche aux clauses précitées d’être abusives en ce qu’elles présument la connaissance par l’utilisateur des dispositions de la « Politique de confidentialité » et par conséquent son adhésion, du seul fait de son utilisation des « Services » mis à disposition par X. Aux termes de l’article 7 la Loi Informatique et Libertés, un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée. En prévoyant que « toute information (communiquées à X) est soumise à (la) Politique de confidentialité, qui régit la collecte et l’utilisation de vos informations et qu’en utilisant les Services, (l’utilisateur consent) à ce que (X) collect(e) et utilis(e) ces informations selon les termes de la Politique de confidentialité », la clause n° 2 du 25 juin 2012, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016 et la clause 4.7§2 du 30 septembre 2016, sont illicites au regard de l’article 7 la Loi Informatique et Libertés précité. Au surplus, la clause n° 2 du 25 juin 2012, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016 et la clause 4.7 § 2 du 30 septembre 2016, prévoyant que la navigation sur le site vaut acceptation de la « Politique de confidentialité », document figurant au nombre des trois documents principaux faisant corps avec les « Conditions Générales d’Utilisation », elles-mêmes présumées avoir été acceptées selon les mêmes modalités en vertu de l’application d’une clause 0.2 des « Conditions d’utilisation », dont le Tribunal a précédemment déclaré qu’elle était abusive et réputée non écrite, sont aux termes de l’article R. 132-1, 1°), devenu l’article R. 212-1 du code de la consommation, irréfragablement présumées abusives et sera réputée non écrite. (2) Sur le droit d’opposition

L’association UFC-QUE CHOISIR conteste à X le droit d’adresser des « communications », qui englobent, compte tenu de la généralité de la terminologie employée des publicités, sans possibilité pour l’utilisateur de s’y opposer en ces termes « il n’est pas certain que vous puissiez vous opposer à leur réception ». La société X réplique que la clause n°2 des « Conditions d’utilisation » informe l’utilisateur qu’il peut recevoir des communications, y compris des annonces. Selon la société, aucune obligation légale n’interdisant au professionnel d’adresser à un

Page 31

Décision du 07 août 2018 1/4 social N° RG 14/07300

utilisateur des notifications « administratives » ou autres correspondances ayant trait à la vie et à l’exécution du contrat ou d’envoyer des courriers électroniques à vocation non publicitaire, de sorte qu’il n’y a donc aucun abus de la part de X dans le fait d''indiquer que « il n’est pas certain que vous puissiez vous opposer à leur réception ». Elle ajoute qu’est offerte la possibilité à ses utilisateurs de s’opposer à « la plupart » des communications adressées par les Services X« - y compris des notifications relatives au service – par l’insertion au sein de la clause n° 2 d’un renvoi à la section »notifications par emails et mobiles", qui permet, grâce à des options de paramétrage, de s’opposer à quasiment tous les types de notifications. Elle précise qu’elle n’utilise jamais les emails de ses utilisateurs pour leur adresser des contenus publicitaires. Aux termes des articles 7 et 32-I 6°) de la Loi Informatique et Libertés, la personne concernée par la collecte de ses données personnelles doit, au moment de la collecte de ses données, donner son consentement, mais également être informée par le responsable du traitement de ses droits d’accès, d’opposition et de rectification des données, droits qu’elle tient des dispositions de la section 2 du chapitre V de la Loi Informatique et Libertés et ainsi être en mesure de s’opposer à leur utilisation. Ainsi, l’article 38 la Loi Informatique et Libertés prescrit que toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement et soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur. En l’espèce, en n’informant pas l’utilisateur (la personne concernée) de son droit de s’opposer, pour des motifs légitimes, à ce que ses données à caractère personnel fassent l’objet d’un traitement, ni à ce qu’elles soient utilisées à des fins de prospection, notamment commerciale, les clauses critiquées sont illicites au regard des dispositions précitées de la Loi Informatique et Libertés. En outre, ces clauses, en étant de nature à induire en erreur l’utilisateur sur l’étendue de ses droits, provoquant ainsi un déséquilibre significatif entre les parties au détriment du consommateur, sont abusives au regard de l’article L.132-1 du code de la consommation.

b) Sur le consentement de l’utilisateur au transfert vers des États n’appartenant pas à l’Union européenne.

Selon UFC-QUE CHOISIR par la généralité des termes employés, les clauses critiquées n’indiquent pas, hormis les Etats-Unis, les pays destinataires du transfert de données, ni les garanties apportées lorsque les destinataires sont situés dans des pays n’appartenant pas à l’Union européenne et qui n’assurent pas un niveau de protection suffisant de protection de la vie privée. Elle estime que ces clauses sont donc illicites et contreviennent ainsi aux dispositions de l’article 68 de la Loi Informatique et Libertés.

Page 32

Décision du 07 août 2018 1/4 social N° RG 14/07300

La société X réplique que les clauses informent l’utilisateur que les informations communiquées par l’utilisateur sont susceptibles d’être transférées en dehors de l’Union Européenne, dans les conditions fixées par la « Politique de Confidentialité, » conformément à l’article 69 de la Loi Informatique et Libertés, encadrant lesdits transferts. L’article 32-I de la Loi Informatique et Libertés exige du responsable du traitement, qu’il informe la personne concernée de la finalité poursuivie par le traitement, auquel les données sont destinées et des destinataires ou catégories de destinataires des données. L’article 68 de la même loi pose le principe d’interdiction de transférer des données à caractère personnel depuis la France vers un pays, tiers à l’Union européenne ou à l’Espace économique européen, qui n’a pas été reconnu par la Commission européenne comme assurant un niveau de protection « adéquat » et précise que le responsable du traitement ne peut « transférer (le)s données à caractère personnel (de la personne concernée) vers un État n’appartenant pas à la Communauté européenne que si cet État assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font l’objet ou peuvent faire l’objet ». Tel n’est pas le cas des clauses critiquées qui présument, par la seule acceptation des conditions générales d’utilisation, le consentement au transfert des données à caractère personnel de la personne concernée par les traitements vers des pays tiers, dont certains ne sont pas identifiés, ces pays étant susceptibles ne pas assurer un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes concernées. Ces clauses sont donc illicites au regard de l’article 32-I et 68 de la Loi Informatique et Libertés et abusives au sens des articles L.132-1 et R.132-1 1°) devenus les articles L. 212-1 et R. 212-1 1°) du code de la consommation. En conséquence, la clause n°2 des Conditions d’utilisation du 25 juin 2012 et du 8 septembre 2014, du 18 mai 2015, du 27 janvier 2016, devenues clauses 2 et 4.7 § 2 des Conditions d’utilisation du 30 septembre 2016, illicites au regard des articles 7 et 32-I 6°), 38 et 68 de la Loi Informatique et Libertés, est abusive au sens des articles L. 132-1 et R. 132-1 1°) du code de la consommation et irréfragablement abusive au regard des articles R. 132-1, 1°), devenu l’article R. 212-1 du code de la consommation et, comme telle, sera réputée non écrite.

8. Clause n°3 des Conditions d’utilisation de X devenue clause n°4.7§1 :

Clause n°3 des Conditions d’utilisation de X du 25 juin 2012, du 8 septembre 2014, du 18 mai 2015 et du 27 janvier 2016 : « Vous êtes responsables de la protection du mot de passe que vous utilisez pour accéder aux Services et pour toutes les activités ou les actions faites après authentification avec votre mot de passe. Nous vous encourageons à utiliser pour votre compte des mots de passe forts

Page 33

Décision du 07 août 2018 1/4 social N° RG 14/07300

(mots de passe constitués d’une combinaison de lettres majuscules et minuscule, de chiffres et de caractères spéciaux). X ne saurait être responsable d’un quelconque dommage résultant d’un manquement de votre part sur ce qui précède. » Clause n°4.7 § 1 des Conditions d’utilisation de X : « Vous devrez peut-être créer un compte pour utiliser certains de nos Services. Vous êtes responsable de la protection de votre compte ; nous vous invitons donc à utiliser un mot de passe fort et à limiter son utilisation à ce compte. Nous déclinons toute responsabilité en cas de perte ou de préjudice qui découlerait du non-respect par vous de ce qui précède. »

L’association UFC QUE CHOISIR considère que cette clause est illicite en ce qu’elle exclue toute responsabilité de X, lorsqu’après authentification, le consommateur utilise les services X, notamment en cas de dommage résultant d’une utilisation illicite de son compte utilisateur ou d’un piratage par un tiers du mot de passe de l’utilisateur. X indique qu’il s’agit d’une clause classique imposant à l’utilisateur de sécuriser son mot de passe. L’article 34 de la Loi Informatique et Libertés prévoit que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. En l’espèce, la clause n°3 des Conditions d’utilisation de X du 25 juin 2012, du 8 septembre 2014, du 18 mai 2015 et du 27 janvier 2016 informe l’utilisateur qu’il est responsable de la protection de son mot de passe lui permettant d’accéder « aux Services et pour toutes les activités ou les actions » et de toutes les activités ou actions effectuées après authentification sur le site, la société X s’exonérant des dommages résultant d’un défaut d’un manquement de l’utilisateur sur la protection de son mot de passe. A ce titre l’utilisateur est « encouragé » à utiliser des "mots de passe forts (…) constitués d’une combinaison de lettres majuscules et minuscule, de chiffres et de caractères spéciaux". La clause n°4.7§1 des Conditions d’utilisation de X reprend sous le terme d'« 'invitation » le même conseil d’utiliser un mot de passe « fort », sans que toutefois ne soit défini et illustré – comme dans les versions précédentes – le qualitatif « fort » accolé au terme « mot de passe », dont il est cette fois conseillé de limiter « son utilisation à ce compte ». Ainsi, aux termes des clauses critiquées, l’utilisateur demeure seul responsable de la protection de son mot de passe (clause n°3 des Conditions d’utilisation) et plus généralement de son compte (clause n° 4.7§1 des Conditions d’utilisation), alors que les pratiques notamment de « programmes malveillants/hameçonnage », susceptibles "d’endommager ou d’interrompre le fonctionnement du navigateur ou de l’ordinateur d’une autre utilisateur, ou encore de compromettre la

Page 34

Décision du 07 août 2018 1/4 social N° RG 14/07300

vie privée d’un autre utilisateur« , sont bien identifiés par la société X (clause n° 3 des »Règles de X« ), la société X se contentant au sein de la clause précitée d’indiquer qu’elle »s’efforce de protéger ses utilisateurs contre les abus et le spam."

Or, aux termes de l’article 34 de la Loi Informatique et Libertés, la société X, en sa qualité de responsable de traitement, est tenue de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et empêcher que des tiers non autorisés y aient accès. Ce libellé de clause donne ainsi à croire à l’utilisateur qu’il doit assumer seul la charge de la sécurisation de ses données, alors qu’en sa qualité de responsable de traitement, la société X est également tenue à une obligation de préservation de ces données, les clauses critiquées sont illicites au regard de l’article 34 de la Loi Informatique et Libertés précité. En conséquence, la clause n° 3 des Conditions d’utilisation du 25 juin 2012, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016, devenue la clause n°4.7§1 des Conditions d’utilisation, illicite au regard de l’article 34 de la Loi Informatique et Libertés, sera réputée non écrite.

9. Clause n° 4.1 des Conditions d’utilisation :

Clause n°4.1 des Conditions d’utilisation de X du 25 juin 2012 : « Tous les Contenus, qu’il s’agisse des Contenus publiés ou communiqués à titre public ou privé, sont placés sous la seule responsabilité de la personne à l’origine de la communication de ces Contenus. X n’est pas en mesure de surveiller ou de contrôler les Contenus postés au travers des Services, et ne peut engager sa responsabilité vis-à-vis de ces Contenus. Vous reconnaissez que toute utilisation des Contenus publiés au travers des Services, est à vos entiers risques et périls ». Clause n°4.1 des Conditions d’utilisation de X du 8 septembre 2014, du 18 mai 2015 et du 27 janvier 2016 : « Tous les Contenus, qu’il s’agisse des Contenus publiés ou communiqués à titre public ou privé, sont placés sous la seule responsabilité de la personne à l’origine de la communication de ces Contenus. X n’est pas en mesure de surveiller ou de contrôler les Contenus postés au travers des Services, et ne peut engager sa responsabilité vis-à-vis de ces Contenus. Vous reconnaissez que toute utilisation des Contenus publiés ou obtenus via des Services, est à vos entiers risques et périls ».

Page 35

Décision du 07 août 2018 1/4 social N° RG 14/07300

Pour l’association UFC-QUE CHOSIR, ces clauses ont pour objet de limiter, voire d’empêcher l’engagement de la responsabilité de X en cas d’inexécution de ses obligations en sa qualité de prestataire de service d’un réseau social, notamment en cas de contenu indésirable, X étant responsable, a minima en qualité d’hébergeur, des contenus communiqués, conformément aux dispositions de l’article 6.I.2 de la « Loi pour la Confiance dans l’Économie Numérique » du 21 juin 2004. Selon la partie défenderesse, X n’est qu’un hébergeur ; il ne peut donc voir sa responsabilité engagée relativement aux contenus publiés Aux termes de l’article 6.I.2 de la « Loi pour la Confiance dans l’Économie Numérique » (L.C.E.N.) du 21 juin 2004, l’hébergeur n’est pas responsable des informations stockées à la demande d’un utilisateur, à condition que l’hébergeur n’ait pas eu connaissance du caractère illicite de l’activité ou de l’information, ou que l’hébergeur, dès le moment où il en a eu connaissance, a agi promptement pour retirer ces données ou en rendre l’accès impossible. En l’espèce, la généralité des termes employés dans la clause 4.1 des Conditions d’utilisation, telle qu’issue des versions du 25 juin 2012, du 8 septembre 2014, du 18 mai 2015 et du 27 janvier 2016 et relatifs à l’engagement de la responsabilité de la personne à l’origine de la communication de contenus, à l’occasion de toute utilisation des Contenus publiés ou obtenus (« X n’étant pas en mesure de surveiller ou de contrôler les Contenus postés au travers des Services »), ne distingue pas le cas où, ayant eu connaissance du caractère illicite de l’activité ou de l’information, l’hébergeur a tardé, lorsqu’il en a eu connaissance, à retirer promptement ces données ou en rendre l’accès impossible. De ce fait, la clause contrevient aux dispositions de l’article 6.I.2 de la loi précitée, l’hébergeur pouvant dans un tel cas endosser tout ou partie de la responsabilité encourue. Dès lors, la clause prévoyant que la responsabilité sera supportée uniquement par l’utilisateur (la personne qui a rendu les contenus disponibles), exonérant en conséquence l’hébergeur, est illicite comme contraire à l’article 6.I.2 de la « loi pour la confiance dans l’économie numérique ». La clause est également abusive au sens de l’article R.132-1 6°) devenu l’article R. 212-1 6°) du code de la consommation, en ce qu’elle a pour objet ou pour effet de supprimer ou de réduire le droit à réparation du préjudice subi par le consommateur en cas de manquement par le professionnel à l’une de ses obligations. D’où il suit que la clause n° 4.1 des Conditions d’utilisation de X, du 25 juin 2012, du 17 avril 2015 et du 27 janvier 2016, illicite au regard de l’article 6.I.2 de la « Loi pour la Confiance dans l’Economie Numérique » du 21 juin 2004, est abusive par application R. 132-1 6°), devenu l’article R. 212-1, 5°) et 6°) du code de la consommation, et, comme telle, doit être réputée non écrite.

Page 36

Décision du 07 août 2018 1/4 social N° RG 14/07300

10. Clause n° 4.2 des Conditions d’utilisation devenue clause n°3.2.

Clause n°4.2 des Conditions d’utilisation de X du 25 juin 2012, du 8 septembre 2014, du 17 avril 2015 et du 27 janvier 2016 : « L’exhaustivité, la véracité, l’exactitude, ou la fiabilité des Contenus ou des informations publiés au travers des Services n’est en aucune manière assumée, supportée, revendiquée ou garantie par X. X ne soutient aucune opinion exprimée par l’intermédiaire des Services. Vous comprenez qu’en utilisant les Services, vous pouvez être exposé à des Contenus qui pourraient être offensants, blessants, inexacts ou inappropriés ou, dans certains cas, des messages mal titrés ou trompeurs. En aucun cas, X ne pourra être tenue responsable de quelque manière que ce soit d’un quelconque dommage ou perte, de quelque nature que ce soit, résultant de l’utilisation des Contenus, y compris, de manière non exhaustive, en cas d’erreur ou omission dans les Contenus, que ces Contenus soient affichés, transmis par courrier électronique, transmis ou rendus disponibles d’une autre manière au moyen des Services ou diffusés autrement ». Clause n°3.2 des Conditions d’utilisation de X du 30 septembre 2016 : « Tout usage ou recours à un quelconque Contenu ou élément publiés via les Services, ou que vous auriez obtenu via les Services, sera à vos risques et périls. Nous n’approuvons, ne soutenons, ne représentons et ne garantissons pas l’exhaustivité, la véracité, l’exactitude ou la fiabilité d’un quelconque Contenu ou d’une quelconque information publiée via les Services, ni ne cautionnons aucune des opinions exprimées par l’intermédiaire des Services. Vous comprenez qu’en utilisant les Services, vous risquez d’être exposé(e) à un Contenu qui pourrait être offensant, malfaisant, inexact ou de quelque autre façon inappropriée, voire, dans certains cas, à des messages qui auraient été mal adressés ou qui seraient de quelque autre façon trompeurs. Tout Contenu relève de la seule responsabilité de la personne qui a créé ce Contenu. Nous ne surveillons et ne contrôlons pas nécessairement tous les Contenus publiés via les Services, et nous ne pouvons assumer la responsabilité de ceux-ci. »

Selon l’association UFC-QUE CHOSIR, ces clauses suppriment toute responsabilité de X en sa qualité de « responsable de traitement », telle que prévue par l’article 2 de la directive 95/46/CE et par l’article 3 de la Loi Informatique et Libertés. La société X réplique qu’elle agit en qualité qu'« hébergeur », sa responsabilité ne pouvant donc être recherchée en raison du contenu des publications des utilisateurs.

L’article 2 de la Loi Informatique et Libertés définit le traitement de données à caractère personnel comme toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la

Page 37

Décision du 07 août 2018 1/4 social N° RG 14/07300

consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. L’article 3 de la Loi Informatique et Libertés répute « responsable d’un traitement de données à caractère personnel », sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens. L’article 34 de la Loi Informatique et Libertés prévoit que le responsable de traitement doit prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et notamment empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès. Aux termes de l’article 6.I.2 de la « Loi pour la Confiance dans l’Économie Numérique » du 21 juin 2004, l’hébergeur n’est pas responsable des informations stockées à la demande d’un utilisateur, à condition que l’hébergeur n’ait pas eu connaissance du caractère illicite de l’activité ou de l’information, ou que l’hébergeur, dès le moment où il en a eu connaissance, a agi promptement pour retirer ces données ou en rendre l’accès impossible. Or, si la société X, en collectant et en utilisant des données à caractère personnel de ses utilisateurs, répond bien à la définition que donnent les textes précités du responsable du traitement de données à caractère personnel, tel n’est pas le cas de la clause critiquée, dont la rédaction relève de l’activité « a minima » d’hébergeur de X, déjà envisagée dans l’examen par le Tribunal de la clause n°4.1 des Conditions d’utilisation de X, des 25 juin 2012, 17 avril 2015 et 27 janvier 2016. De sorte que, pour des motifs identiques à ceux exposés lors de l’examen de la clause n°4.1 des Conditions d’utilisation de X, du 25 juin 2012, du 17 avril 2015 et du 27 janvier 2016, il conviendra de déclarer illicites les clauses critiquées. D’où il suit que la clause n°4.2 des Conditions d’utilisation de X du 25 juin 2012, du 8 septembre 2014, du 17 avril 2015 et du 27 janvier 2016 et la clause n°3.2 des Conditions d’utilisation de X du 30 septembre 2016, illicites au regard de l’article 6.I.2 de la « Loi pour la Confiance dans l’Economie Numérique » du 21 juin 2004, est abusive au sens de l’article R. 132-1 6°), devenu l’article R. 212-1, 5°) et 6°) du code de la consommation et, comme telle doit être réputée non écrite.

11. Clause n° 5 des Conditions d’utilisation devenue n°3.1, 3.4, 3.5 et 3.6 :

Page 38

Décision du 07 août 2018 1/4 social N° RG 14/07300

Clause n°5 des Conditions d’utilisation de X du 25 juin 2012 :

« Vos droits : Vous conservez vos droits sur tous les Contenus que vous soumettez, postez ou publiez sur ou par l’intermédiaire des Services. En soumettant, postant ou publiant des Contenus sur ou par le biais des Services, vous nous accordez une licence mondiale, non-exclusive, gratuite, incluant le droit d’accorder une sous-licence, d’utiliser, de copier, de reproduire, de traiter, d’adapter, de modifier, de publier, de transmettre, d’afficher et de distribuer ces Contenus sur tout support par toute méthode de distribution connu ou amené à exister. Astuce Cette licence signifie que vous nous autorisez à mettre vos Tweets à la disposition du reste du monde et que vous permettez aux autres d’en faire de même. Vous consentez à ce que cette licence comprenne le droit pour X de fournir, de promouvoir et d’améliorer les Services et de mettre les Contenus publiés ou transmis au travers des Services à disposition d’autres sociétés, organisations ou individus en partenariat avec X pour l’agrégation, la diffusion, la distribution ou la publication de ces Contenus sur d’autres supports, médias et services, dans la limite des termes de ces Conditions pour l’utilisation de ces Contenus. Astuce X applique un ensemble évolutif de règles sur la manière dont les partenaires de l’écosystème peuvent interagir avec vos Contenus. Ces règles ont été conçues pour mettre en place un écosystème ouvert, tenant compte de vos droits. Mais ce qui vous appartient vous appartient – vous restez propriétaire de vos Contenus (et vos photos font partie de ces Contenus). Ces usages supplémentaires par X, ou d’autres sociétés, organisations ou individus en partenariat avec X, peuvent être faits sans compensation à votre égard en ce qui concerne les Contenus que vous soumettez, postez, transmettez ou rendez disponible au travers des Services. Nous pouvons modifier ou adapter vos Contenus afin de les transmettre, afficher ou distribuer sur des réseaux informatiques et sur différents médias et / ou apporter des changements nécessaires à vos Contenus afin de les rendre conformes aux exigences ou limitations de tous réseaux, équipements, services ou médias. Vous êtes responsable de l’utilisation que vous faites des Services, des Contenus que vous communiquez, et de toutes leurs conséquences, y compris de l’utilisation de vos Contenus par d’autres utilisateurs et par nos partenaires tiers. Vous comprenez que vos Contenus peuvent faire l’objet d’une agrégation, d’une diffusion, d’une distribution ou d’une publication par nos partenaires. Si vous ne disposez pas des droits nécessaires à la communication de ces Contenus pour une telle utilisation, vous engagez votre responsabilité. X ne saurait être tenue responsable des dommages résultant de l’utilisation de vos Contenus par X faite en conformité avec les présentes Conditions.

Page 39

Décision du 07 août 2018 1/4 social N° RG 14/07300

Clause n°5 des Conditions d’utilisation du 8 septembre 2014 : Vos droits : Vous conservez vos droits sur tous les Contenus que vous soumettez, postez ou publiez sur ou par l’intermédiaire des Services. En soumettant, publiant ou affichant des Contenus sur ou par le biais des Services, vous nous accordez une licence mondiale, non exclusive, gratuite, incluant le droit d’accorder une sous-licence, d’utiliser, de copier, de reproduire, de traiter, d’adapter, de modifier, de publier, de transmettre, d’afficher et de distribuer ces Contenus sur tout support par toute méthode de distribution connue ou amenée à exister. Tip Cette licence signifie que vous nous autorisez à mettre vos Tweets à la disposition du reste du monde et que vous permettez aux autres d’en faire de même. Vous consentez à ce que cette licence comprenne le droit pour X de fournir, de promouvoir et d’améliorer les Services et de mettre les Contenus publiés ou transmis au travers des Services à disposition d’autres sociétés, organisations ou individus en partenariat avec X pour l’agrégation, la diffusion, la distribution ou la publication de ces Contenus sur d’autres supports, médias et services, dans la limite de nos conditions pour l’utilisation de ces Contenus. Tip X applique un ensemble évolutif de règles sur la manière dont les partenaires de l’écosystème peuvent interagir avec vos Contenus. Ces règles ont été conçues pour mettre en place un écosystème ouvert, tenant compte de vos droits. Mais ce qui vous appartient vous appartient – vous restez propriétaire de vos Contenus (et vos photos font partie de ces Contenus). Ces usages supplémentaires par X, ou d’autres sociétés, organisations ou individus en partenariat avec X, peuvent être faits sans compensation à votre égard en ce qui concerne les Contenus que vous soumettez, publiez, transmettez ou rendez disponibles au travers des Services. Nous pouvons modifier ou adapter vos Contenus afin de les transmettre, de les afficher ou de les distribuer sur des réseaux informatiques et sur différents médias et/ou d’apporter des changements nécessaires à vos Contenus afin de les rendre conformes aux exigences ou limitations de tous réseaux, équipements, services ou médias. Vous êtes responsable de l’utilisation que vous faites des Services, des Contenus que vous communiquez, et de toutes leurs conséquences, y compris de l’utilisation de vos Contenus par d’autres utilisateurs et par nos partenaires tiers. Vous comprenez que vos Contenus peuvent faire l’objet d’une agrégation, d’une diffusion, d’une distribution ou d’une publication par nos partenaires. Si vous ne disposez pas des droits nécessaires à la communication de ces Contenus pour une telle utilisation, vous engagez votre responsabilité. X ne saurait être tenue pour responsable de l’utilisation de vos Contenus par X faite en conformité avec les présentes Conditions. Vous déclarez et garantissez que vous disposez des droits, des pouvoirs et des autorisations nécessaires pour concéder les droits accordés en vertu des présentes sur les Contenus que vous soumettez.

Page 40

Décision du 07 août 2018 1/4 social N° RG 14/07300

Clause 5 des Conditions d’utilisation de X du 18 mai 2015 et du 27 janvier 2016 : « Vos droits : Vous conservez vos droits sur tous les Contenus que vous soumettez, postez ou publiez sur ou par l’intermédiaire des Services. En soumettant, publiant ou affichant des Contenus sur ou par le biais des Services, vous nous accordez une licence mondiale, non exclusive, gratuite, incluant le droit d’accorder une sous-licence, d’utiliser, de copier, de reproduire, de traiter, d’adapter, de modifier, de publier, de transmettre, d’afficher et de distribuer ces Contenus sur tout support par toute méthode de distribution connue ou amenée à exister. Attention : Cette licence signifie que vous nous autorisez à mettre vos Tweets sur les Services X à la disposition du reste du monde et que vous permettez aux autres d’en faire de même. Vous consentez à ce que cette licence comprenne le droit pour X de fournir, de promouvoir et d’améliorer les Services et de mettre les Contenus publiés ou transmis au travers des Services à disposition d’autres sociétés, organisations ou individus en partenariat avec X pour l’agrégation, la diffusion, la distribution ou la publication de ces Contenus sur d’autres supports, médias et services, dans la limite de nos conditions pour l’utilisation de ces Contenus. Attention : X applique un ensemble évolutif de règles sur la manière dont les partenaires de l’écosystème peuvent interagir avec vos Contenus sur les Services X. Ces règles ont été conçues pour mettre en place un écosystème ouvert, tenant compte de vos droits. Mais ce qui vous appartient vous appartient, vous restez propriétaire de vos Contenus (et vos photos font partie de ces Contenus). Ces usages supplémentaires par X, ou d’autres sociétés, organisations ou individus en partenariat avec X, peuvent être faits sans compensation à votre égard en ce qui concerne les Contenus que vous soumettez, publiez, transmettez ou rendez disponibles au travers des Services. Nous pouvons modifier ou adapter vos Contenus afin de les transmettre, de les afficher ou de les distribuer sur des réseaux informatiques et sur différents médias et/ou d’apporter des changements nécessaires à vos Contenus afin de les rendre conformes aux exigences ou limitations de tous réseaux, équipements, services ou médias. Vous êtes responsable de l’utilisation que vous faites des Services, des Contenus que vous communiquez, et de toutes leurs conséquences, y compris de l’utilisation de vos Contenus par d’autres utilisateurs et par nos partenaires tiers. Vous comprenez que vos Contenus peuvent faire l’objet d’une agrégation, d’une diffusion, d’une distribution ou d’une publication par nos partenaires. Si vous ne disposez pas des droits nécessaires à la communication de ces Contenus pour une telle utilisation, vous engagez votre responsabilité. X ne saurait être tenue responsable de l’utilisation de vos Contenus par X faite en conformité avec les présentes Conditions.

Page 41

Décision du 07 août 2018 1/4 social N° RG 14/07300

Vous déclarez et garantissez que vous disposez des droits, des pouvoirs et des autorisations nécessaires pour concéder les droits accordés en vertu des présentes sur les Contenus que vous soumettez.

Clauses 3.1, 3.4, 3.5 et 3.6 des Conditions d’utilisation de X du 30 septembre 2016 : « Vous êtes responsable de l’utilisation que vous faites des Services et de tout Contenu que vous fournissez, y compris de la conformité aux lois, règles et réglementations en vigueur. Vous ne devez fournir un Contenu que dans la mesure où cela ne vous gêne pas de le partager avec d’autres. » Vos droits Vous conservez vos droits sur tout Contenu que vous soumettez, publiez ou affichez sur ou via les Services. Ce qui est à vous vous appartient. Vous êtes le propriétaire de votre Contenu (ce qui inclut vos photos et vos vidéos). En soumettant, en publiant ou en affichant un Contenu sur ou via les Services, vous nous accordez une licence mondiale, non exclusive et libre de redevances (incluant le droit de sous-licencier), nous autorisant à utiliser, copier, reproduire, traiter, adapter, modifier, publier, transmettre, afficher et distribuer ce Contenu sur tout support et selon toute méthode de distribution (actuellement connus ou développés dans le futur). Cette licence nous autorise à mettre votre Contenu à disposition du reste du monde et autorise les autres à en faire de même. Vous convenez que cette licence comprend le droit pour X de fournir, promouvoir et améliorer les Services et de mettre le Contenu soumis sur ou via les Services à disposition d’autres sociétés, organisations ou personnes privées, aux fins de syndication, diffusion, distribution, promotion ou publication de ce Contenu sur d’autres supports et services, sous réserve de respecter nos conditions régissant l’utilisation de ce Contenu. X, ou ces autres sociétés, organisations ou personnes privées, pourront utiliser ainsi le Contenu que vous aurez soumis, publié, transmis ou de quelque autre façon mis à disposition via les Services sans que vous puissiez prétendre à une quelconque rémunération au titre de ce Contenu. X a un ensemble évolutif de règles régissant la façon dont les partenaires de l’écosystème peuvent interagir avec votre Contenu sur les Services. Ces règles existent afin de permettre un écosystème ouvert tenant compte de vos droits. Vous comprenez que nous sommes susceptibles de modifier ou d’adapter votre Contenu lorsque nous ou nos partenaires le distribuons, le syndiquons, le publions ou le diffusons, et/ou d’apporter des modifications à votre Contenu afin de l’adapter à différents supports. Vous déclarez et garantissez que vous avez tous les droits, le pouvoir et l’autorité nécessaires pour accorder les droits concédés aux termes des présentes sur tout Contenu que vous soumettez.

Page 42

Décision du 07 août 2018 1/4 social N° RG 14/07300

L’association UFC-QUE CHOISIR considère que ces clauses, dont la rédaction est quasi-identique, sont tout à la fois illicites et abusives. Ces clauses subordonnent l’utilisation des services de X à la concession par l’utilisateur d’une licence « globale », mondiale non-exclusive et gratuite sur tous les contenus soumis, postés, publiés sur ou par l’intermédiaire des services de X. Les finalités de cette cession ne sont limitées ni dans l’espace ni dans le temps. Selon l’association UFC, ces clauses contreviennent aux dispositions articles L.131-1 et suivants du Code de la propriété intellectuelle régissant les licences d’exploitation. La société X entend réfuter l’argument d’UFC-QUE CHOISIR, selon lequel le modèle économique de X repose sur la « cession de données à caractère personnel » et sur une « cession globale d’œuvres futures », la société n’exigeant aucune « cession », mais une « licence d’autorisation », laquelle n’est pas « globale » puisqu’elle porte exclusivement sur des contenus que l’utilisateur poste librement et en connaissance de cause. Elle ajoute que l’autorisation donnée à la société dans le cadre de la licence ne concerne que l’usage des contenus « dans la limite des termes (des) Conditions pour l’utilisation de ces Contenus », cet usage s’effectuant dans le respect des autres dispositions prévues par les « Conditions d’utilisation » et la « Politique de confidentialité ». Elle précise que l’utilisateur a la possibilité d’effacer des données qui dès lors cessent d’être publiques, la préservation de sa confidentialité étant ainsi assurée En l’espèce, les clauses critiquées, prévoient qu’en publiant ou affichant des « contenus » sur le réseau social, l’utilisateur reste titulaire des droits sur le contenu qu’il publie (« Ce qui est à vous, vous appartient »). Elle accorde cependant à la société X – « sans que (l’utilisateur puisse) prétendre à une quelconque rémunération au titre (du) Contenu » – une licence mondiale pour « utiliser, copier, reproduire, traiter, adapter, modifier, publier, transmettre, afficher et distribuer ce Contenu sur tout support et selon toute méthode de distribution (actuellement connus ou développés dans le futur », sans limitation de durée, non-exclusive, transférable, et sous-licenciable (le cas où l’utilisateur cesse d’utiliser les services n’étant pas évoqué) pour mettre les dits contenus à la disposition d’autres sociétés, organisations ou individus travaillant en partenariat avec X pour leur diffusion ou leur distribution sur d’autres supports et services. Par ailleurs, la société X ou ses partenaires sont « susceptibles de modifier ou d’adapter (le) Contenu lorsque (X) ou (ses) partenaires le distribu(e), le syndiqu(e), le publi(e) ou le diffus(e), et/ou d’apporter des modifications (au) Contenu afin de l’adapter à différents supports. » a) Sur la définition de l’objet principal du contrat : La société X fait valoir que les clauses critiquées ne peuvent donc faire l’objet d’une appréciation par le juge du caractère abusif, car elles portent sur l’objet principal du contrat au sens de l’article L. 132-1 7°) du code de la consommation. L’article L. 132-1 7°) du code de la consommation prévoit que « l’appréciation du caractère abusif des clauses » ne peut pas porter « sur la définition de l’objet principal du contrat (…), le contrôle du caractère abusif d’une clause formulée dans un contrat liant un professionnel et

Page 43

Décision du 07 août 2018 1/4 social N° RG 14/07300

un consommateur étant exclu si cette clause définit les éléments essentiels de la prestation due par le professionnel. La clause portant sur « objet principal du contrat », au sens de l’article L. 132-1 du code de la consommation qui reproduit intégralement dans son alinéa 7 les dispositions de l’article 4, § 2, de la directive n° 93/13/CEE du 5 avril 1993 doit être entendu comme la clause qui fixe une prestation essentielle caractérisant ce contrat. Tel n’est pas le cas de la clause critiquée, qui traite principalement des modalités relatives à la concession par l’utilisateur du réseau social d’une licence donnée à la société X pour « utiliser, copier, reproduire, traiter, adapter, modifier, publier, transmettre, afficher et distribuer (le contenu publié par l’utilisateur) sur tout support et selon toute méthode de distribution (actuellement connus ou développés dans le futur »). Il est rappelé que l’objet principal du service est la fourniture d’un réseau social, l’utilisateur ayant créé un compte sur ce réseau social pour accéder à ses fonctionnalités, c’est-à-dire interagir avec ses relations, créer des groupes d’intérêt commun ou partager ses contenus. Dans cette acception principale, n’entrent pas dans l’objet du contrat l’utilisation, la copie, la reproduction, le traitement, l’adaptation, la modification ou la distribution par le réseau social « sur tout support et selon toute méthode de distribution (actuellement connus ou développés dans le futur », des contenus que l’utilisateur dépose. De sorte que, les stipulations portant sur des modalités accessoires à l’objet principal, la clause litigieuse ne relève pas de l’exemption figurant au rang des dispositions de l’alinéa 7 de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation. Elle peut en conséquence faire l’objet d’une appréciation de son caractère abusif par le juge. Au surplus la société X ne peut, sans se contredire, affirmer d’une part que son activité consiste en une activité de microblogging, laquelle serait limitée en un service d’hébergement, défini à l’article 6.I.2 de la Loi pour la Confiance en l’Economie Numérique (L.C.E.N.) et revendiquer au titre de « l’objet principal » du contrat la concession d’une licence d’exploitation des contenus déposés par l’utilisateur lors de sa navigation sur réseau à son profit et au bénéfice de sociétés tierces. b) Sur la cession globale d’œuvres futures :

L’article L. 131-1 du code de la propriété intellectuelle prévoient que « la cession globale des œuvres futures est nulle ». Aux termes des articles L. 131-2 et L. 131-3 du même code, les contrats par lesquels sont transmis des droits d’auteur doivent être constatés par écrit, la transmission étant subordonnée à la condition que chacun des droits cédés fasse l’objet d’une mention distincte dans l’acte de cession et que le domaine d’exploitation des droits cédés soit délimité quant à son étendue et à sa destination, quant au lieu et quant à la durée. Aux termes de l’article L. 133-2, devenu l’article L. 211-1 du code de la consommation, les clauses des contrats proposés par les

Page 44

Décision du 07 août 2018 1/4 social N° RG 14/07300

professionnels aux consommateurs doivent être présentées et rédigées de façon claire et compréhensible. En l’espèce, les « contenus » transmis à la plate-forme par l’utilisateur, susceptibles de comprendre des textes, photos et des vidéos, peuvent faire l’objet d’une protection par le droit d’auteur. Or, la clause précitée qui confère au fournisseur du service un droit d’utilisation à titre gratuit sur tous les contenus générés par l’utilisateur, y compris ceux d’entre eux qui seraient susceptibles d’être protégés par le droit d’auteur, sans préciser de manière suffisante les contenus visés, la nature des droits conférés et les exploitations autorisées, est contraire aux prescriptions de l’article L. 131-1, L. 131-2, L. 131-3 du code de la propriété intellectuelle, lesquelles imposent au bénéficiaire de la cession, de préciser le contenu visé, les droits conférés ainsi que les exploitations autorisées par l’auteur du contenu protégé. Cette clause, illicite au regard des dispositions précitées sera donc réputée non écrite au regard des dispositions précitées De plus, la généralité des termes utilisés dans la clause, présentée pour partie comme un « Tip », c’est-à-dire comme un « tuyau », un « renseignement » ou une « Astuce », ne permet pas à l’utilisateur d’appréhender correctement l’étendue de ses droits, X se réservant, au sein de la même clause, la possibilité de mettre les contenus soumis, publiés, transmis par l’utilisateur, à disposition d’autres sociétés, organisations ou personnes privées pour qu’elles les syndiquent (c’est-à-dire les agrègent), diffusent, distribuent, promeuvent ou publient (…) sur d’autres supports et services. De sorte que la clause critiquée, illicite au regard des dispositions l’article L. 131-1, L. 131-2 L. 131-3 du code de la propriété intellectuelle, de l’article L. 133-2, devenu l’article L. 211-1 du code de la consommation, est abusive au regard de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation, en ce qu’elle a pour objet ou pour effet de créer, au détriment du consommateur, un déséquilibre significatif entre les droits et obligations des parties au contrat. Elle sera donc réputée non écrite de ce chef. c) Sur le droit de modification, de suppression et d’agrégation des données à caractère personnel par X

Selon l’association UFC-QUE CHOISIR les clauses précitées permettent à X de modifier, notamment à des fins de communication, des contenus de l’utilisateur, lesquels sont susceptibles de contenir des données à caractère personnel, d’agréger ces données, de les utiliser, directement ou en les concédant à des tiers. En l’espèce, la licence, concédée à X par l’utilisateur, autorise la société à modifier ou d’adapter le « Contenu », lorsque X ou ses partenaires le distribue, le syndique (c’est-à-dire l’associe, l’agrège), le publie ou le diffuse, et/ou à apporter des modifications au Contenu de l’utilisateur afin de l’adapter à différents supports. Or, les « Contenus » transmis à la plate-forme par l’utilisateur étant susceptibles de comprendre des données personnelles, la clause qui confère au fournisseur du service un droit de modification, d’agrégation sur tous les contenus générés par l’utilisation du service, sans informer

Page 45

Décision du 07 août 2018 1/4 social N° RG 14/07300

précisément l’utilisateur la finalité des traitements, est illicite comme contraire aux dispositions de l’article 32-I de la Loi Informatique et Libertés précitée. Elle sera donc réputée non écrite de ce chef.

d) Sur la présomption de responsabilité et l’exonération de la responsabilité de la société X :

En l’espèce, la clause n°5, dans ses versions successives des 25 juin 2012, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016 prévoit que l’utilisateur est responsable de "l’utilisation (qu’il fait) des Services, des Contenus qu'(il) communiqu(e) et de toutes leurs conséquences, y compris de l’utilisation de (ses) Contenus par d’autres utilisateurs et par (les) partenaires tiers. (…). X ne saurait être tenue responsable de l’utilisation de(s) Contenus (de l’utilisateur) par X faite en conformité avec les présentes Conditions. De la même manière, les clauses n° 3.1, 3.4, 3.5 et 3.6 des Conditions d’utilisation de X du 30 septembre 2016, prévoient que l’utilisateur est responsable de l’utilisation qu’il fait des Services et de tout Contenu qu’il fournit, y compris de la conformité aux lois, règles et réglementations en vigueur, alors que ces « Contenus », aux termes de la même clause, peuvent être utilisés, copiés, modifiés (etc.) par X et par d’autres sociétés, organisations ou personnes privées. Ces clauses instituent donc une présomption de responsabilité de l’utilisateur lors de l’utilisation des services de X dans tous les cas, même lorsque les contenus sont utilisés par d’autres utilisateurs et par des prestataires de X et exclut dans les mêmes situations la responsabilité de X, y compris lorsque l’utilisation résulte de son propre fait. D’où il suit que la clause n° 5 des Conditions d’utilisation de X dans la rédaction des 25 juin 2012, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016 et les clauses n° 3.1, 3.4, 3.5 et 3.6 des Conditions d’utilisation de X du 30 septembre 2016, ayant pour effet de supprimer ou de réduire le droit à réparation du préjudice subi par le consommateur en cas de manquement par le professionnel à l’une de ses obligations est abusive au regard de l’article R. 132-1 6° du code de la consommation, devenu l’article R. 212-1, 5° et 6° du code de la consommation. En conséquence, la clause n° 5 des Conditions d’utilisation de X du 17 avril 2015 et du 27 janvier 2016, devenue les clauses n° 3.1, 3.4, 3.5 et 3.6 des Conditions d’utilisation du 30 septembre 2016, illicite au regard des articles L. 131-1, L. 131-2, L. 131-3 et L. 131-4 du code de la propriété intellectuelle, des articles L. 111-1, L. 111-2, devenu les articles L. 111-2 et L. 111-3 du code de la consommation, de l’article L. 121-17 devenu les articles L. 221-5, L. 221-6, L. 221-7 du code de la consommation, de l’article L. 121-19 devenu l’article L. 221-11 du code de la consommation, de l’article L.121-19-4 devenu l’article L. 221-15 du code de la consommation, de l’article L. 133-2 devenu l’article L. 221-11 du code de la consommation et R. 111-2, devenu les articles R. 111-2 et R. 111-3 du code de la consommation, des articles 6 2°), 32, 34 de

Page 46

Décision du 07 août 2018 1/4 social N° RG 14/07300

la Loi Informatique et Libertés, et abusive au regard des articles L. 132-1, devenu l’article L. 212-1, L. 212-3 et L. 241-1 du code de la consommation, R. 132-1 4°, 5° et 6°devenu l’article R. 212-1 4°), 5°) et 6°) du Code de la consommation, sera réputée non écrite. Les clauses n° 3.1, 3.4, 3.5 et 3.6 des Conditions d’utilisation du 30 septembre 2016, abusives au regard de l’article R. 132-1 6° du code de la consommation, devenu l’article R. 212-1, 5° et 6° du code de la consommation, seront réputées non écrite. 12. Clause n° 6 des Conditions d’utilisation devenue clause n°4.8§1

Clause 6 des Conditions d’utilisation de X du 25 juin 2012, du 8 septembre 2014, du 18 mai 2015 et du 27 janvier 2016 :

« X vous concède une licence mondiale personnelle, gratuite, incessible, et non exclusive d’utiliser le logiciel mis à votre disposition par X dans le cadre des Services. Cette licence a pour seul but de vous permettre d’utiliser et de bénéficier des Services fournis par X, en conformité avec les présentes Conditions ».

Clause 4.8 §1 Conditions d’utilisation de X du 30 septembre 2016 : « Votre licence d’utilisation des Services X vous accorde une licence personnelle, mondiale, libre de redevances, non cessible et non exclusive vous autorisant à utiliser le logiciel qui vous est fourni dans le cadre des Services. Cette licence a pour seul but de vous permettre d’utiliser et de jouir des Services fournis par X conformément aux présentes Conditions. »

L’association UFC-QUE CHOISIR fait valoir que la licence que s’octroie la société X à l’égard des contenus soumis par l’utilisateur est beaucoup plus large que celle qu’elle octroie par la clause critiquée à l’utilisateur pour bénéficier des services X. La société X réplique que la clause n° 6 est le pendant de la clause n° 5, laquelle a trait à l’objet du contrat, dont l’examen au regard du droit de clauses abusives est interdit par l’article L. 132-1 7°) du code de la consommation. En l’espèce, la clause n°6 affirme que X accorde à l’utilisateur une licence mondiale d’utilisation de son logiciel pour bénéficier des services gratuits (« services gratuits » ou « libre de redevances ») offerts par le réseau social. Or, en s’abstenant de rappeler qu’aucune contrepartie n’est fournie par l’utilisateur, alors que la contrepartie des services proposés par X est précisément constituée de la valeur marchande des données déposées consciemment ou inconsciemment par l’utilisateur à l’occasion de ses navigations sur le réseau social, que ces données à caractère personnel sont collectées, traitées puis cédées à des fins

Page 47

Décision du 07 août 2018 1/4 social N° RG 14/07300

commerciales par X à des entreprises tierces et que la société X s’attribue par ailleurs, par le biais de diverses clauses un droit d’utilisation de contenus pourtant susceptibles d’être protégés par le droit d’auteur – la clause critiquée est de nature à créer un déséquilibre significatif entre les droits et les obligations des parties au contrat au détriment du consommateur au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation. En conséquence, est abusive au regard de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation, la clause n° 6 des Conditions d’utilisation de X des 25 juin 2012, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016, devenue clause n°4.8 § 1 des Conditions d’utilisation de X du 30 septembre 2016.

13. Clause n° 7 des Conditions d’utilisation devenue clause n°4.8§2 :

Clause n°7 des Conditions d’utilisation du 25 juin 2012, du 8 septembre 2014 et du 18 mai 2015 : « Droits de X : Tout droit, titre et intérêt dans les Services (à l’exclusion des Contenus communiqués par les utilisateurs) sont et restent la propriété exclusive de X et de ses concédants. Les Services sont protégés au titre du droit d’auteur/Copyright, du droit des marques, et d’autres lois à la fois des États-Unis et des pays étrangers. Rien dans les présentes Conditions ne vous donne un droit d’utiliser le terme « X » ou aucun des marques ni aucun des logos, noms de domaine et autres signes distinctifs de X. Toute remarque, commentaire ou suggestion que vous pourriez soumettre concernant X ou les Services est faite de manière libre et spontanée et nous serons libres d’utiliser ces réactions, commentaires ou suggestions comme bon nous semble et sans aucune obligation à votre égard ». Clause n°7 des Conditions d’utilisation du 27 janvier 2016 : Tout droit, titre et intérêt dans les Services (à l’exclusion des Contenus communiqués par les utilisateurs) sont et restent la propriété exclusive de X et de ses concédants. Les Services sont protégés au titre du droit d’auteur, du droit des marques, et d’autres lois à la fois des États-Unis et des pays étrangers. Rien dans les présentes Conditions ne vous donne un droit d’utiliser le terme X ou aucune des marques ni aucun des logos, noms de domaine et autres signes distinctifs de X. Toute remarque, commentaire ou suggestion que vous pourriez soumettre concernant X ou les Services est fait de manière libre et spontanée et nous serons libres d’utiliser ces remarques, commentaires ou suggestions comme bon nous semble et sans aucune obligation à votre égard. Clause 4.8 §2 des Conditions d’utilisation du 30 septembre 2016 : Les Services sont protégés par des lois relatives aux droits d’auteur et aux marques commerciales, et par d’autres lois en vigueur aux États-Unis et dans les pays étrangers. Aucune disposition des présentes Conditions ne saurait vous donner le droit d’utiliser le nom de X, ni les marques commerciales, logos, noms de domaine et d’autres

Page 48

Décision du 07 août 2018 1/4 social N° RG 14/07300

attributs distinctifs de la marque X. Tout droit, titre et intérêt afférents aux Services (à l’exception du Contenu fourni par les utilisateurs) est et restera la propriété exclusive de X et de ses licenciés. Tout commentaire ou suggestion que vous pourriez faire au sujet de X ou des Services est entièrement volontaire, et nous serons libres d’utiliser ces commentaires ou suggestions comme bon nous semblera et sans être tenus à aucune obligation à votre égard Selon l’UFC QUE CHOISIR, les clauses critiquées exigent de l’utilisateur qu’il respecte les règles relatives au droit de la propriété intellectuelle, alors que d’autres clauses (clause n°5 supra) ne respectent pas les dispositions du code de la propriété intellectuelle. L’association fait valoir que la clause, selon laquelle X s’arroge un droit absolu et unilatéral d’utilisation sans limitation de toute remarque, suggestion ou tout commentaire de l’utilisateur concernant X, sans distinction ou précision quant au contenu concerné, est abusive au regard des articles L. 132-1 devenu les articles L. 212-1, L. 212-3 et L. 241-1 du code de la consommation. Pour la société X, la clause 4.8 §2 des Conditions d’utilisation du 30 septembre 2016 affirme, à l’exception des contenus publiés par l’utilisateur, qui demeurent la propriété de l’utilisateur, qu’elle demeure propriétaire du terme « X », des marques, logos, noms de domaines et autres signes distinctifs de la société X. Toutefois, en exigeant le respect par l’utilisateur des règles de droit applicables en matière de propriété intellectuelle, tout en s’affranchissant des mêmes règles au travers d’une autre clause (cf. clause n° 5), qui lui confère des droits susceptibles d’être protégées par les mêmes dispositions légales, la clause critiquée est abusive au sens des articles L. 132-1, devenu les articles L. 212-1 du code de la consommation et irréfragablement abusive au regard de l’article R. 132-1 5°) devenu l’article R. 212-1 5°) du code de la consommation. En conséquence la clause n°7 des Conditions d’utilisation de X du 25 juin 2012, du 8 septembre 2014, du 18 mai 2015, du 27 janvier 2016, devenue la clause n°4.8 §2 des Conditions d’utilisation du 30 septembre 2016, illicite au regard de L. 131-1 du code de la propriété intellectuelle est abusive est abusive au sens des articles L. 132-1, devenu les articles L. 212-1 du code de la consommation et irréfragablement abusive au regard de l’article R.132-1 5°) devenu l’article R. 212-1 5°) du code de la consommation, et, comme telle, réputée non écrite.

14. Clauses n° 8.1 et 8.2 des Conditions d’utilisation devenues n°4.1 et 4.3.3. Clauses n°8.1 et 8.2 des Conditions d’utilisation de X du 25 juin 2012 : « Veuillez prendre connaissance des Règles de X (qui font partie intégrante de ces Conditions d’Utilisation) afin de mieux comprendre ce qui est interdit dans le cadre de l’utilisation des Services. Nous nous réservons le droit à tout moment, (mais sans que cela constitue une obligation) de supprimer ou de refuser de distribuer des Contenus sur les Services, de suspendre ou de résilier des comptes utilisateurs, et de

Page 49

Décision du 07 août 2018 1/4 social N° RG 14/07300

récupérer des noms d’utilisateur, sans engager notre responsabilité à votre égard. Nous nous réservons également le droit d’accéder, de lire, de conserver et de divulguer toute information que nous estimons raisonnablement nécessaire pour : (i) satisfaire à toute loi ou tout règlement applicable, ou à toute procédure judiciaire ou demande administrative, (ii) faire respecter les présentes Conditions, y compris dans le cadre de la recherche d’éventuelles violations des présentes Conditions, (iii) détecter, prévenir ou traiter les problèmes de fraude, de sécurité ou les problèmes techniques, (iv) répondre aux demandes de d’assistance des utilisateurs, ou (v) protéger les intérêts, les biens ou la sécurité de X, de ses utilisateurs et du public ».

Clause n°8.1 et 8.2 des Conditions d’utilisation du 8 septembre 2014, du 18 mai 2015 et du 27 janvier 2016 : « Veuillez prendre connaissance du Règlement de X (qui fait partie intégrante de ces Conditions d’Utilisation) afin de mieux comprendre ce qui est interdit dans le cadre de l’utilisation des Services. Nous nous réservons le droit à tout moment, (mais sans que cela constitue une obligation) de supprimer ou de refuser de distribuer des Contenus sur les Services, de suspendre ou de résilier des comptes utilisateurs, et de récupérer des noms d’utilisateur, sans engager notre responsabilité à votre égard. Nous nous réservons également le droit d’accéder, de lire, de conserver et de divulguer toute information que nous estimons raisonnablement nécessaire pour : (i) satisfaire à toute loi ou tout règlement applicable, ou à toute procédure judiciaire ou demande administrative, (ii) faire respecter les présentes Conditions, y compris dans le cadre de la recherche d’éventuelles violations des présentes Conditions, (iii) détecter, prévenir ou traiter les problèmes de fraude, de sécurité ou les problèmes techniques, (iv) répondre aux demandes de d’assistance des utilisateurs, ou (v) protéger les intérêts, les biens ou la sécurité de X, de ses utilisateurs et du public ».

Clauses 4.1 et 4.3 3 des Conditions d’utilisation du 30 septembre 2016 : « Nous vous invitons à prendre connaissance des Règles X, qui font partie intégrante du Contrat d’utilisation et qui définissent ce qui est interdit dans le cadre des Services. Vous ne pouvez utiliser les Services qu’à la condition de respecter les présentes Conditions et toutes les lois, règles et réglementations en vigueur. Nous nous réservons également le droit de consulter, de lire, de conserver et de divulguer toute information dans la mesure où nous l’estimons nécessaire aux fins de : (i) satisfaire à toute obligation légale ou réglementaire, procédure juridique ou demande administrative applicable ; (ii) faire respecter les Conditions, y compris en facilitant les investigations sur les éventuelles violations des présentes ; (iii) détecter, prévenir ou de quelque autre façon traiter tout problème de nature frauduleuse, sécuritaire ou technique ; (iv) répondre aux demandes d’assistance des utilisateurs ; (v) protéger les droits, les biens et la sécurité de X, de ses utilisateurs et du public. »

Page 50

Décision du 07 août 2018 1/4 social N° RG 14/07300

L’association UFC-QUE CHOISIR précise que toutes les clauses précitées restent soumises à la critique, bien que les mentions concernant la mention concernant l’exonération de responsabilité de X ait toutefois été supprimée dans la version du 30 septembre 2016 des Conditions d’utilisation. La société X indique qu’elle ne saurait être tenu d’une obligation de résultat envers l’utilisateur que ne prévoit nullement l’article L. 121-20 3°) du code de la consommation. a) Sur le droit de suppression ou de suspension des contenus :

L’association UFC-QUE CHOISIR fait valoir qu’en attribuant à X le droit de supprimer des contenus et de suspendre ou de désactiver des comptes d’utilisateurs, sans prévoir l’éventualité du recours de la personne ayant publié le contenu ni les conditions dans lesquelles cette suspension ou désactivation des comptes pourraient s’opérer, les clauses précitées sont abusives au sens de l’article R. 212-1 du code de la consommation. Selon la société X la clause dans la version du 30 septembre 2016 expose les « raisons » pour lesquelles le service offert pourrait être suspendu et rappelle à l’utilisateur qu’il doit utiliser X conformément à la loi. Il est exact que la partie de la clause consacrée à la suppression/suspension des contenus n’énumère pas les raisons pour lesquelles le service initialement offert pourrait être supprimé ou suspendu, mais uniquement les finalités (« aux fins de ») poursuivies par X, lorsque la société entend mettre en œuvre son droit à consulter, lire, conserver et divulguer toute information, dans la mesure où la société X l’estime nécessaire au titre du le respect des « Conditions, y compris en facilitant les investigations sur les éventuelles violations des présentes » figurant au titre desdites finalités. Ce libellé de clause attribue ainsi à la société X, un pouvoir trop discrétionnaire quant à l’acceptation ou suppression d’un contenu généré par l’utilisateur, ce dispositif réservant à la société la faculté de déterminer si le contenu est conforme aux stipulations du contrat et par suite lui aménageant le droit de modifier unilatéralement les clauses relatives aux caractéristiques du service à rendre apparaissant en définitive trop général. En conséquence, ces clauses sont irréfragablement abusives au sens de l’article R.132-1, 4° devenu l’article R 212-1 3°) du code de la consommation.

b) Sur l’exonération de la responsabilité de X :

L’association UFC QUE CHOISIR soutient également – la mention concernant l’exonération de responsabilité de X ayant toutefois été supprimée dans la version du 30 septembre 2016 des Conditions d’utilisation – qu’en s’attribuant la faculté de cesser toute communication des contenus de l’utilisateur et de supprimer à tout

Page 51

Décision du 07 août 2018 1/4 social N° RG 14/07300

moment des contenus sur les Services, sans engager sa responsabilité à son égard, les clauses établissent au profit de X une exonération totale de sa responsabilité au regard de la fourniture des services. Selon la société X la clause affirme qu’à l’exception des Contenus publiés par l’utilisateur, la société X reste propriétaire de la marque X. En l’espèce, les clauses prévoyant qu’en cas suppression ou de refus de distribution de ses Contenus sur les Services, de suspension ou de résiliation de son compte utilisateur et de récupération de son nom d’utilisateur, ce dernier ne pourrait engager la responsabilité de la société X, sont abusives au sens de l’article R 212-1 6°), en ce qu’elle supprime le droit à réparation du préjudice, qu’il pourrait subir à la suite d’un manquement par la société à l’une quelconque de ses obligations.

c) Sur le droit d’utilisation des données à caractère personnel par X :

L’association UFC QUE CHOISIR affirme, qu’en autorisant X à récupérer des noms d’utilisateurs (pour les versions des 25 juin 2012, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016), et, pour l’ensemble des versions, à « consulter, lire, conserver et divulguer », lorsqu’elle l’estime nécessaire, notamment pour faire respecter ses Conditions d’utilisation, « toute information » de l’utilisateur – ces informations étant susceptibles de contenir des données à caractère personnel – les clauses précitées sont illicites au regard de la Loi Informatique et Libertés et abusives en ce qu’elle créent un déséquilibre significatif entre le professionnel et le consommateur, au détriment de ce dernier. En l’espèce, les clauses qui confèrent au fournisseur du service un droit de consultation, lecture conservation et de divulgation de « toute information », sans précision quant à la nature des informations concernées, lesquelles sont susceptibles de comprendre des données personnelles, sont illicites au regard de l’article 32-I de la Loi Informatique et Libertés, en l’absence d’information donnée à l’utilisateur sur la finalité des traitements et les destinataires ou catégories de destinataires des données. Ces stipulations ayant déjà fait l’objet d’une appréciation lors de l’examen par le Tribunal de la clause n°1.1 des Conditions d’utilisation, devenue clause 1.3, la clause n°2 des conditions d’utilisation de X, devenue les clauses n° 2 et 4.7§2, et de la clause n° 5 devenue les clauses n° 3.1, 3.4, 3.5 et 3.6 des Conditions d’utilisation de X du 30 septembre 2016, les clauses n° 8.1 et 8.2 des Conditions d’utilisation de X des 25 juin 2012, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016 et les clauses 4.1 et 4.3 3 des Conditions d’utilisation du 30 septembre 2016, seront réputées non écrites, comme contraires aux dispositions de l’article 32-I de la Loi Informatique et Libertés.

Page 52

Décision du 07 août 2018 1/4 social N° RG 14/07300

En conséquence, les clauses n° 8.1 et 8.2 des Conditions d’utilisation de X du 25 juin 2012, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016, devenues les clauses n° 4.1 et 4.3 3 des Conditions d’utilisation du 30 septembre 2016, illicites au regard des articles 32-I de la loi Informatique et Libertés, sont abusives au regard des articles L.132-1, devenu les articles L. 212-1, R. 132-1 4° et 6°), devenu l’article R. 212-1 4°) et 6°) du code de la consommation et, comme telles, seront réputées non écrites.

15. Clause n° 8.3 des Conditions d’utilisation devenue clause n°4.3.4 :

Clause n°8.3 des Conditions d’utilisation de X du 25 juin 2012 : « Astuce : X ne divulgue pas de données à caractère personnel à des tiers autrement qu’en conformité avec sa Politique de Vie Privée ».

Clause 8.3 des Conditions d’utilisation de X du 8 septembre 2014 : « Tip X ne divulgue pas de données à caractère personnel à des tiers autrement qu’en conformité avec sa politique de confidentialité. ». Clause n°8.3 des Conditions d’utilisation de X du 18 mai 2015 et du 27 janvier 2016 : « Attention : X ne divulgue pas de données à caractère personnel à des tiers autrement qu’en conformité avec sa politique de confidentialité. »

Clause n°4.3 4 des Conditions d’utilisation de X du 30 septembre 2016 : « X ne divulgue aucune donnée personnelle à des tierces parties, à moins que notre politique de confidentialité ne le permette. »

L’association UFC-QUE CHOISIR expose que les clauses précitées, dans les quatre rédactions successives, sont illicites et abusives, en ce qu’elles affirment que la Politique de vie privée / Politique de confidentialité de X seraient les seuls textes applicables aux communications de données à caractère personnel de l’utilisateur à des tiers. Elle ajoute que cette clause, en procédant au renvoi par lien hypertexte vers la « Politique de vie privée / confidentialité de X » présume la connaissance de ces dispositions, de sorte qu’elle est abusive pour les conditions d’utilisation antérieures au 27 janvier 2016, date à laquelle les conditions contractuelles de X, où figure notamment la Politique de confidentialité, ont été fournies aux utilisateurs dans un format répondant aux exigences du support durable. Elle précise que le grief de l’accès par lien hypertexte vaut pour les versions antérieures.

Page 53

Décision du 07 août 2018 1/4 social N° RG 14/07300

La société X répond que, lorsque l’utilisateur décide de s’inscrire sur X ou d’utiliser son compte, il lui est rappelé qu’il accepte en toute connaissance de cause les Conditions d’utilisation et la Politique de confidentialité, notamment l’utilisation de cookies. En l’espèce, les clauses n° 8.3 des Conditions d’utilisation des 25 juin 2012, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016 ainsi que la clause n° 4.3.4 du 30 septembre 2016 renvoient par lien hypertexte à la « Politique de vie privée / confidentialité de X », document constituant l’un des trois documents principaux du « socle contractuel » de X. Le fait que l’utilisateur est censé avoir implicitement accepté l’intégralité de ces dispositions en vertu de la clause n° 0.2 des « Conditions d’utilisation » a déjà examinée par le Tribunal et a été déclaré réputé abusif. L’inscription par l’utilisateur puis sa navigation sur le site ne peut donc valoir acceptation desdites « Conditions générales d’utilisation », à un moment où l’utilisateur n’avait pu avoir accès à celles-ci. Cette clause est donc présumée abusive de manière irréfragable par application de l’article R. 132-1 1°) devenu l’article R. 212-1 1°) du code de la consommation. En conséquence, il conviendra de déclarer la clause n° 8.3 des Conditions d’utilisation devenue clause n° 4.3.4, abusive sur le fondement de l’article R. 132-1 1° devenu l’article R. 212-1 du code de la consommation, et, comme telle, réputée non écrite.

16. Clause n°8.5 bis des Conditions d’utilisation devenue clause n°4.6 :

Clause n°8.5 bis des Conditions d’utilisation du 8 septembre 2014, du 18 mai 2015 et du 27 janvier 2016 :

« Si vous utilisez certaines des fonctionnalités des Services qui permettent de réaliser des transactions commerciales, nécessitant des informations concernant votre carte de crédit ou de débit, par exemple notre fonctionnalité Acheter Maintenant, vous devez accepter nos Conditions d’utilisation du service X Commerce ».

Clause n° 4.6 des Conditions d’utilisation du 30 septembre 2016 :

« Si vous utilisez les fonctions marchandes des Services qui requièrent de fournir des renseignements relatifs aux cartes de crédit et de débit, tels que notre fonctionnalité Buy Now, vous acceptez nos Conditions commerciales X(https://support.X.com/articles/20171943). »

L’association UFC-QUE CHOISIR affirme que la clause n° 8.5 bis des « Conditions d’utilisation » du 8 septembre 2014, 18 mai 2015 et 27 janvier 2016 et la clause n° 4.6 des Conditions d’utilisation du 30

Page 54

Décision du 07 août 2018 1/4 social N° RG 14/07300

septembre 2016 sont illicites, car elles renvoient par lien hypertexte à des conditions contractuelles qui n’ont pas été communiquées à l’utilisateur. La société X réplique que les services, auxquels il est fait référence dans les clauses critiquées sont des services de X « qui permettent de réaliser des transactions commerciales », dont l’option est facultative et qui n’est pas encore disponible en France. Elle précise qu’en créant un compte X, ou en se connectant sur son compte, il est à chaque fois rappelé à l’utilisateur, que ses relations avec X sont régies par les « Conditions d’utilisation ». En l’espèce, les clauses critiquées ont pour finalité d’accéder à une fonctionnalité « bouton » « acheter » (« Acheter Maintenant ») ou (« Buy now »), dont il n’est pas justifié par la société X que l’utilisateur français ne puisse y avoir accès, les deux clauses n° 8.5 bis et n° 4.6 étant libellées en français et renvoyant, pour la première clause par simple mention dans le corps de son texte à des « Conditions d’utilisation du service X commerce » et pour la seconde clause par lien hypertexte à des « Conditions commerciales » présentes (en anglais) sur le site internet de X. Aux termes des articles L. 121-16 du code de la consommation, devenu l’article L. 221-1 du même code, est réputé contrat à distance, tout contrat conclu entre un professionnel et un consommateur, dans le cadre d’un système organisé de vente ou de prestation de services à distance, sans la présence physique simultanée du professionnel et du consommateur, par le recours exclusif à une ou plusieurs techniques de communication à distance jusqu’à la conclusion du contrat, le professionnel étant tenu, préalablement à la conclusion d’un tel contrat, en application des dispositions de l’article L. 121-19 devenu l’article L. 221-11 du code de la consommation, de communiquer au consommateur, de manière lisible et compréhensible, les informations prévues aux articles L.121-17, devenu notamment l’article L.221-5 du code de la consommation. Ainsi, s’agissant d’un contrat conclu à distance en s’abstenant de respecter l’obligation mise à la charge du professionnel de fournir au consommateur ou de mettre à sa disposition – de manière lisible et compréhensible – les informations prévues à l’article L 221-5 du code de la consommation, en renvoyant à des « conditions commerciales », qui ne sont accessibles que sur le site internet de X, lequel ne constitue pas un support durable au sens de l’article 5 de la Directive 97/7/CE du Parlement européen et du Conseil du 20 mai 1997 – le renvoi textuel et par lien hypertexte, inséré au sein d’une clause, ne garantissant ni la remise effective desdites « Conditions », ni la permanence de son contenu dans le temp, les clauses n° 8.5 bis des Conditions d’utilisation du 8 septembre 2014, 18 mai 2015 et 27 janvier 2016 et n° 4.6 des Conditions d’utilisation du 30 septembre 2016, sont illicites au regard des dispositions précitées et abusives de manière irréfragable au regard de l’article R. 132-1 1°), devenu l’article R. 212 -1 1°) du code de la consommation, en ce qu’elles constatent l’adhésion du consommateur à des clauses reprises dans un document, auquel il n’est pas fait expressément référence lors de la conclusion du contrat et dont le consommateur n’a pas eu connaissance avant sa conclusion.

Page 55

Décision du 07 août 2018 1/4 social N° RG 14/07300

En conséquence, la clause n° 8.5 bis issue des versions des Conditions d’utilisation des 8 septembre 2014, 17 avril 2015 et 27 janvier 2016 et la clause 4.6 des Conditions d’utilisation du 30 septembre 2016, illicites au regard des articles L. 111-1 et L. 111-2 du code de la consommation, devenus les articles L. 111-2 et L. 111-3 du code de la consommation, de l’article L. 121-19 du code de la consommation devenu article L. 221-11, de l’article L. 121-17 devenu l’article L. 221-5, de l’article L. 133-2 du code de la consommation devenu l’article L. 211-1, de l’article R. 111-2 II devenu l’article R. 111-2 du code de la consommation, sont abusives au regard de l’article R.132-1 1°) devenu l’article R. 212-1 1°) du code de la consommation. Elles seront de ce fait réputées non-écrites.

17. Clause n° 8.6 des Conditions d’utilisation devenue clause n°4.3.2. :

Clause n°8.6 des Conditions d’utilisation de X du 25 juin 2012 :

« Vous n’êtes pas autorisé à effectuer les actions suivantes en accédant ou en utilisant les Services : (i) accéder à des zones non-publiques des Services, des systèmes informatiques appartenant à X ou à des systèmes techniques de fourniture des prestataires de X, ni à les utiliser ou les altérer, (ii) sonder, scanner ou tester la vulnérabilité de tout système ou réseau ou enfreindre ou contourner les mesures de sécurité ou d’authentification, (iii) accéder ou tenter d’accéder aux Services ou rechercher ou tenter de rechercher à travers les Services, par tout moyen (automatisé ou non), autrement que par l’interface publique fournie par X (et seulement dans les limites des présentes conditions), sauf si vous avez été expressément autorisé à le faire aux termes d’un accord séparé avec X (NOTE: indexer les Services est permis si cette opération est faite en conformité avec les dispositions comprises dans le fichier robots.txt. Néanmoins, aspirer les Services sans l’accord préalable de X est expressément interdit), (iv) falsifier une en-tête de paquet TCP / IP ou toute partie de l’information dans l’en-tête d’un courriel ou post, ou utiliser d’une quelconque manière les Services pour envoyer des informations altérées, trompeuses ou dont la source est faussement identifiée, ou (v) perturber ou interrompre (ou tenter de le faire) l’accès de tout utilisateur, hôte ou réseau, en ce compris notamment, l’envoi d’un virus, les opérations de type overloading, flooding, spamming, mail-bombing à l’encontre des Services, ou en scriptant la création des Contenus manière à interférer avec le Service ou créer une charge indue sur les Services ».

Page 56

Décision du 07 août 2018 1/4 social N° RG 14/07300

Clause n°8.6 des Conditions d’utilisation de X du 8 septembre 2014 : « En accédant aux Services ou en les utilisant, vous n’êtes pas autorisé à effectuer les actions suivantes : (i) accéder à des zones non publiques des Services, à des systèmes informatiques appartenant à X ou à des systèmes techniques de fourniture des prestataires de X, ni à les utiliser ou à les altérer, (ii) sonder, scanner ou tester la vulnérabilité de tout système ou réseau ou enfreindre ou contourner les mesures de sécurité ou d’authentification, (iii) accéder ou tenter d’accéder aux Services ou rechercher ou tenter de rechercher à travers les Services, par tout moyen (automatisé ou non), autrement que par l’interface publique fournie par X (et seulement dans les limites des présentes conditions), sauf si vous avez été expressément autorisé à le faire aux termes d’un accord séparé avec X (REMARQUE : indexer les Services est permis si cette opération est faite en conformité avec les dispositions comprises dans le fichier robots.txt. Néanmoins, aspirer les Services sans l’accord préalable de X est expressément interdit), (iv) falsifier un en-tête de paquet TCP/IP ou toute partie de l’information dans l’en-tête d’un email ou d’une publication, ou utiliser d’une quelconque manière les Services pour envoyer des informations altérées, trompeuses ou dont la source est faussement identifiée, ou (v) perturber ou interrompre (ou tenter de le faire) l’accès de tout utilisateur, hôte ou réseau, en ce compris notamment, l’envoi d’un virus, les opérations de type overloading, flooding, spamming, mail-bombing à l’encontre des Services, ou en scriptant la création des Contenus de manière à interférer avec les Services ou de créer une charge indue sur les Services.

Clause n°8.6 des Conditions d’utilisation du 18 mai 2015 et du 27 janvier 2016 :

« En accédant aux Services ou en les utilisant, vous n’êtes pas autorisé à effectuer les actions suivantes : (i) accéder à des zones non publiques des Services, à des systèmes informatiques appartenant à X ou à des systèmes techniques de fourniture des prestataires de X, ni à les utiliser ou à les altérer, (ii) sonder, scanner ou tester la vulnérabilité de tout système ou réseau ou enfreindre ou contourner les mesures de sécurité ou d’authentification, (iii) accéder ou tenter d’accéder aux Services ou rechercher ou tenter de rechercher à travers les Services, par tout moyen (automatisé ou non), autrement que par l’interface publique fournie par X (et seulement dans les limites des présentes conditions générales en vigueur), sauf si vous avez été expressément autorisé à le faire aux termes d’un accord séparé avec X (REMARQUE : indexer les Services est permis si cette opération est faite en conformité avec les dispositions comprises dans le fichier robots.txt.

Néanmoins, aspirer les Services sans l’accord préalable de X est expressément interdit), (iv) falsifier un en-tête de paquet TCP/IP ou toute partie de l’information dans l’en-tête d’un email ou d’une publication, ou utiliser d’une quelconque manière les Services pour envoyer des informations altérées, trompeuses ou dont la source est faussement identifiée, ou (v) perturber ou interrompre (ou tenter de le faire) l’accès

Page 57

Décision du 07 août 2018 1/4 social N° RG 14/07300

de tout utilisateur, hôte ou réseau, en ce compris notamment, l’envoi d’un virus, les opérations de type overloading, flooding, spamming, mail-bombing à l’encontre des Services, ou en scriptant la création des Contenus de manière à interférer avec les Services ou de créer une charge indue sur les Services.

Clause 4.3 2 des Conditions d’utilisation du 30 septembre 2016 : « Vous vous engagez également à ne pas faire un usage impropre de nos Services, par exemple à ne pas les perturber ni à essayer d’y accéder par le biais d’une méthode autre que l’interface et les instructions que nous fournissons. Lorsque vous accédez aux Services ou que vous les utilisez, vous vous interdisez de faire ce qui suit : (i) accéder à, trafiquer ou utiliser des zones non publiques des Services, des systèmes informatiques de X ou des systèmes techniques de distribution utilisés par les prestataires de X ; (ii) sonder, explorer ou tester la vulnérabilité d’un quelconque système ou réseau, ou violer ou contourner de quelconques mesures de sécurité ou d’authentification ; (iii) rechercher les Services, y accéder, ou tenter de les rechercher ou d’y accéder par tout moyen (automatisé ou non) autre que les interfaces actuellement disponibles, développées et fournies par X (sous réserve de respecter les conditions générales en vigueur), à moins que vous n’y ayez été expressément autorisé(e) aux termes d’un accord séparé avec X (NOTE : le crawling [indexation systématique] des Services est autorisé si cela est fait conformément aux dispositions du fichier robots.txt ; par contre, le scraping [extraction à des fins d’exploitation] des Services sans l’accord préalable de X est expressément interdit) ; (iv) falsifier un quelconque en-tête de paquet TCP/IP ou toute partie des informations de l’en-tête d’un quelconque e-mail ou post, ou, de quelque autre façon, utiliser les Services pour envoyer des identifiants de source altérés, trompeurs ou faux ; (v) entraver ou perturber (ou tenter de le faire) l’accès d’un quelconque utilisateur, hôte ou réseau, aux Services, notamment et entre autres, par envoi de virus, overloading [surcharge], flooding [engorgement], spamming [pollupostage], mailbombing [bombardement de courrier], ou par l’exécution de scripts de création de Contenu de manière à perturber ou à saturer les Services».

Selon l’association UFC-QUE CHOISIR les clauses critiquées font peser sur l’utilisateur un certain nombre d’obligations en matière de sécurité, tandis que X s’exonère de toute responsabilité, qu’elle provienne du manquement à ses obligations en qualité de prestataire de services notamment en sa qualité d’hébergeur ou de manquement en sa qualité de responsable de traitement. Pour la société X, le but de cette clause est d’empêcher les utilisateurs mal intentionnés de détourner les services de X, et de leur rappeler que le piratage est interdit. Elle ne crée aucune obligation à la charge de l’utilisateur si ce n’est d’agir loyalement sans détourner les services de X et sans intention de nuire. En l’espèce, la clause critiquée, qui proscrit le comportement déloyal ou fautif de l’utilisateur visant à perturber le fonctionnement des Services de la plate-forme X, ne crée aucune obligation à la charge de

Page 58

Décision du 07 août 2018 1/4 social N° RG 14/07300

l’utilisateur, qui soit de nature à créer un déséquilibre entre les droits et obligations des parties au contrat. La demande de l’UFC-QUE CHOISIR sera rejetée de ce chef. 18. Clause n° 9 des Conditions d’utilisation devenue clause n°3.3.

Clauses n°9 des Conditions d’utilisation de X du 25 juin 2012 :

« X respecte les droits de propriété intellectuelle d’autrui et s’attend à ce que les utilisateurs des Services en fassent de même. Nous répondons aux notifications relatives à une violation des droits d’auteur dès lors qu’elles sont conformes à la législation applicable et nous sont adressées correctement. Si vous pensez que vos Contenus ont été reproduits ou diffusés de manière contrefaisante, veuillez nous fournir les informations suivantes : (i) une signature physique ou électronique du titulaire de droits ou d’une personne autorisée à agir en son nom, (ii) l’identification de l’œuvre protégée qui selon vous a fait l’objet d’une utilisation contrefaisante, (iii) l’identification des contenus qui selon vous porte atteinte à ces droits ou fait l’objet d’activités contrefaisantes et qui doit être enlevé ou dont l’accès doit être désactivé, ainsi que des renseignements raisonnablement suffisants pour nous permettre de localiser ces contenus, (iv) vos coordonnées, notamment vos adresse, numéro de téléphone et une adresse e-mail, (v) une déclaration de votre part selon laquelle vous estimez de bonne foi que l’utilisation des contenus en cause n’est pas autorisée par le titulaire de droits, son mandataire ou la loi, et (vi) une déclaration selon laquelle les informations contenues dans la notification sont exactes et, sous peine de parjure, que vous êtes autorisé à agir pour le compte du titulaire de droits ».

Nous nous réservons le droit de supprimer les Contenus présumés contrefaisants sans préavis, à notre seule discrétion et sans engager notre responsabilité envers vous. Lorsque les circonstances le justifient, X sera également en droit résilier le compte d’un utilisateur si l’utilisateur est considéré à plusieurs reprises comme contrefacteur. Vous trouverez ci-dessous les coordonnées de notre mandataire désigné en matière d’atteinte au copyright à qui adresser les avis de violation du Copyright apparaissant sur les Services :

X, Inc Attn: Copyright Agent 1355 Market Street, […], […]: https://support.X.com/forms/dmca Courriel: copyright@X.com »

Page 59

Décision du 07 août 2018 1/4 social N° RG 14/07300

Clause n°9 des Conditions d’utilisation du 8 septembre 2014, du 18 mai 2015 et du 27 janvier 2016 : « X respecte les droits de propriété intellectuelle d’autrui et s’attend à ce que les utilisateurs des Services en fassent de même. Nous répondons aux notifications relatives à une violation des droits d’auteur dès lors qu’elles sont conformes à la législation applicable et nous sont adressées correctement. Si vous pensez que vos Contenus ont été reproduits ou diffusés de manière frauduleuse, veuillez nous fournir les informations suivantes : (i) une signature physique ou électronique du titulaire de droits ou d’une personne autorisée à agir en son nom, (ii) l’identification de l’œuvre protégée qui selon vous a fait l’objet d’une utilisation frauduleuse, (iii) l’identification des contenus qui selon vous portent atteinte à ces droits ou font l’objet d’activités frauduleuses et qui doivent être enlevés ou dont l’accès doit être désactivé, ainsi que des renseignements raisonnablement suffisants pour nous permettre de localiser ces contenus, (iv) vos coordonnées, notamment vos adresse, numéro de téléphone et une adresse email, (v) une déclaration de votre part selon laquelle vous estimez de bonne foi que l’utilisation des contenus en cause n’est pas autorisée par le titulaire de droits, son mandataire ou la loi, et (vi) une déclaration selon laquelle les informations contenues dans la notification sont exactes et, sous peine de parjure, que vous êtes autorisé à agir pour le compte du titulaire de droits ».

« Nous nous réservons le droit de supprimer les Contenus présumés frauduleux sans préavis, à notre seule discrétion et sans engager notre responsabilité envers vous. Lorsque les circonstances le justifient, X sera également en droit de résilier le compte d’un utilisateur si l’utilisateur est considéré à plusieurs reprises comme frauduleux. En vertu de la loi américaine sur la protection des droits d’auteur (DMCA, Digital Millennium Copyright Act), nous vous indiquons ci-dessous les coordonnées de notre mandataire désigné en matière d’atteinte au droit d’auteur à qui adresser les avis de violation du droit d’auteur apparaissant sur les Services :

X, Inc Attn: Copyright Agent 1355 Market Street, […], […]: https://support.X.com/forms/dmca Courriel: copyright@X.com »

Page 60

Décision du 07 août 2018 1/4 social N° RG 14/07300

Clause 3.3 des Conditions d’utilisation du 30 septembre 2016 :

« X respecte les droits de propriété intellectuelle d’autrui et attend des utilisateurs des Services qu’ils en fassent de même. Nous nous réservons le droit de supprimer tout Contenu susceptible de constituer une contrefaçon, et ce sans aucun préavis, à notre seule discrétion et sans encourir aucune responsabilité à votre égard. Nous répondrons aux notifications de cas présumés de contrefaçon de droits d’auteur, lorsqu’elles nous sont notifiées en bonne et due forme et conformément au droit en vigueur, dans les conditions décrites dans notre Politique relative aux droits d’auteur (https://support.X.com/articles/15795). Si vous pensez que votre Contenu a été copié d’une manière constituant une contrefaçon de droits d’auteur, veuillez le signaler en remplissant notre Formulaire de signalement d’une contrefaçon de droits d’auteur (https://support.X.com/forms/dmca) ou en contactant notre agent chargé des droits d’auteur à l’adresse suivante : X, Inc. Attn: Copyright Agent 1355 Market Street, […], CA 94103 Signalements: https://support.X.com/forms/dmca E-mail: copyright@X.com”

L’association UFC QUE-CHOISIR relève que la clause n° 9.1 contredit l’affirmation de la société X, selon laquelle la société ne serait qu’un simple hébergeur. Chaque utilisateur étant responsable du contenu qu’il fournit aux termes de clause n°1 du règlement, elle considère que la clause critiquée impose à l’utilisateur qui veut notifier à X une violation d’un droit d’auteur, de communiquer des informations, dont le nombre important rend malaisé l’exercice de ses droits, alors qu’aux termes de la même clause X peut supprimer de manière discrétionnaire tout contenu qu’elle jugerait contrefaisant, sans donner préavis à l’utilisateur et sans lui donner la possibilité de formuler d’opposition, de sorte que la clause crée un déséquilibre entre le professionnel et le consommateur au sens de l’article L. 132-1 du code de la consommation devenu l’article L. 211-1 du code de la consommation. L’association ajoute que la clause n° 3.3 des conditions d’utilisation du 30 septembre 2016 renvoie par lien hypertexte a une page (formulaire) proposé exclusivement en anglais. La société X répond que la clause vise à protéger les droits de propriété intellectuelle de l’ensemble des utilisateurs et non de X et qu’elle applique ainsi un principe de précaution en enjoignant aux utilisateurs d’établir la réalité des droits prétendument violés. Elle ajoute que l’application du droit de résiliation unilatérale immédiate du contrat en cas de faute grave n’est qu’une application du droit commun et que les engagements perpétuels sont par ailleurs prohibés par l’article 1210 du code civil , l’utilisateur ayant de toute

Page 61

Décision du 07 août 2018 1/4 social N° RG 14/07300

façon la possibilité de son côté de supprimer son compte X et en conséquence tous les contenus qu’il a postés.

1 Sur les modalités requises par la clause pour le signalement en matière de contrefaçon :

La clause n° 9 critiquée énumère les informations et éléments qu’un utilisateur, titulaire des droits ou son représentant, doit fournir lorsqu’il souhaite notifier à X un Contenu déposé sur le site et susceptible de constituer une violation de droits d’auteur, afin que ce Contenu soit supprimé ou dont son accès soit désactivé. Au rang des informations ou éléments requis à cet effet figurent, outre l’identification sous signature physique ou électronique de l’utilisateur titulaire des droits invoqués ou de la personne autorisée à agir en son nom, l’identification des contenus, auxquels l’utilisateur estime qu’il a été porté atteinte et sa localisation. Figurent également dans la liste des éléments l’exigence de l’établissement de deux déclarations l’une attestant « de bonne foi », que l’utilisation du Contenu en cause n’est pas autorisée par le titulaire des droits, l’autre attestant de l’exactitude de la notification faite à X, « sous peine de parjure », et de la réalité de l’autorisation donnée par le titulaire des droits. La nature et le nombre des informations requis par la clause pour la notification faite à X d’activités de contrefaçon recoupent pour partie le signalement de contenus illicites, prévu par l’article 6 I 5 de la loi du 21 juin 2004 pour la confiance numérique (L.C.E.N.) laquelle doit comporter l’ensemble des mentions prescrites par ce texte, en l’absence desquelles la responsabilité de l’hébergeur peut être mise en jeu. De sorte que, prise isolément, cette clause ne constitue pas une entrave à l’exercice des droits de l’utilisateur auprès de X.

2 Sur la faculté de suppression de contenu et de résiliation immédiate du compte par X :

Au regard de ce qui précède, la clause qui permet le rejet ou la suppression unilatérale du contenu illicite au sens de la L.C.E.N. n’est pas illicite ou abusive, lorsqu’une notification a été adressée à X dans les conditions prévues par les articles 6.I.2 et 6.I.5 de la même loi. Il en va autrement de la clause n° 9 et de la clause n° 3.3 qui reconnaissent à la société X la faculté d’exercer un pouvoir discrétionnaire sur la suppression du Contenu, en réservant « à (sa) seule discrétion » l’appréciation de l’opportunité de la décision de suppression du Contenu, de sorte que la clause est présumée abusive de manière irréfragable au sens de l’article R. 132-1 4°) devenu l’article R. 212-1 4°) du code de la consommation, parce qu’elle a pour effet d’accorder au seul professionnel le droit de déterminer si la chose livrée ou les services fournis sont conformes ou non aux stipulations du contrat.

Page 62

Décision du 07 août 2018 1/4 social N° RG 14/07300

Il en va de même de la disposition contenue dans la même clause n° 9, selon laquelle la résiliation des services pourra s’opérer à l’initiative du fournisseur de manière discrétionnaire, et ce, sans préavis, sans que soit respecté un délai de préavis raisonnable. Ces clauses sont donc abusives en ce qu’elles privent le consommateur du bénéfice de ce délai de préavis et créent ainsi au profit du professionnel et au détriment du consommateur ou du non professionnel un déséquilibre significatif au sens de l’article L. 132-1 devenu l’article L. 221-1 du code de la consommation.

3 Sur le renvoi par liens hypertextes à des pages rédigées en anglais :

La clause n° 3.3 renvoie, pour la formulation des notifications aux fins de suppression des contenus illicites, contrevenant au droit de la propriété intellectuelle, à une page rédigée en anglais. La société X ne justifie pas que la page soit désormais rédigée en français. L’article 2 de la loi du 4 août 1994 impose l’emploi de la langue française, « dans la désignation, l’offre, la présentation, le mode d’emploi ou d’utilisation, la description de l’étendue et des conditions de garanties d’un bien, d’un produit ou d’un service, ainsi que dans les factures et quittances. » Aux termes de l’article L. 133-2 du code de la consommation, le professionnel est tenu dans les contrats qu’ils proposent aux consommateurs de présenter et de rédiger des clauses de façon claire et compréhensible. Tel n’est pas le cas de la clause n° 3.3 qui renvoie à une page internet rédigée en anglais, laquelle n’est pas compréhensible pour l’utilisateur français empêché de ce fait à accéder effectivement au contenu du contrat et, en l’espèce, aux modalités d’exercice de son droit au signalement d’un contenu illicite. Cette clause, illicite au regard de l’article 2 de la loi du 4 août 1994, est abusive au sens de l’article par application R.132-1 6° du code de la consommation, devenu l’article R. 212-1, 5°) et 6°) en créant un déséquilibre significatif entre les droits et obligations des parties au contrat au détriment du consommateur. D’où il suit que la clause n° 9 des Conditions d’utilisation de X, du 25 juin 2012, 8 septembre 2014, du 18 mai 2015 et du 27 janvier 2016 est abusive au sens des articles R.132-1 6° du code de la consommation, devenu l’article R. 212-1, 5° et 6° et R. 132-1 4°) devenu l’article R. 212-1 4°) du code de la consommation, la clause n° 3.3 des Conditions d’utilisation du 30 septembre 2016 illicite au regard de l’article 2 de la loi du 4 août 1994est également abusive par application R.132-1 6° du code de la consommation, devenu l’article R. 212-1, 5° et 6° et la clause n° 3.3 des Conditions d’utilisation du 30 septembre 2016.

Page 63

Décision du 07 août 2018 1/4 social N° RG 14/07300

19. Clause n° 10 des Conditions d’utilisation devenue clause n°4.9.

Clause n° 10 des Conditions d’utilisation de X du 25 juin 2012 : « Les Conditions continueront à s’appliquer jusqu’à leur résiliation par vous ou par X selon les termes suivants. Vous pouvez mettre fin à votre accord avec X à tout moment pour quelque raison que ce soit par la désactivation de vos comptes et mettre fin à votre utilisation des Services. Il n’est pas nécessaire d’informer spécifiquement X lorsque vous cessez d’utiliser les Services. Si vous cessez d’utiliser les Services sans désactiver vos comptes, ceux-ci peuvent être désactivés pour cause d’inactivité prolongée en vertu de notre Politique de Compte Inactif. Nous pouvons suspendre ou résilier vos comptes ou cesser de vous fournir tout ou partie des Services à tout moment pour quelque raison que ce soit, notamment si nous avons des motifs raisonnables de croire que : (i) vous avez violé les présentes Conditions ou les Règles de X, (ii) vous créez un risque juridique à notre encontre, ou (iii) la mise à disposition des Services pour votre usage n’est plus économiquement viable. Nous mettrons en œuvre des moyens raisonnables pour vous en aviser, à l’adresse e-mail associée à votre compte ou lorsque vous tenterez d’accéder à votre compte. Dans tous les cas précités, les Conditions seront résiliées, ce qui inclue, sans limitation, la licence d’utilisation des Services dont vous bénéficiez, sauf pour les sections suivantes qui continuent de s’appliquer : 4, 5, 7, 8, 10, 11 et 12. Rien dans la présente section n’affecte le droit de X de modifier, limiter ou d’arrêter la mise à disposition des Services, sans préavis, tel que prévu ci-dessus dans la section 1 ».

Clause n° 10 des Conditions d’utilisation de X du 8 septembre 2014 : « Les Conditions continueront à s’appliquer jusqu’à leur résiliation par vous ou par X selon les termes suivants. Vous pouvez mettre fin à votre accord avec X à tout moment pour quelque raison que ce soit en désactivant vos comptes et en mettant fin à votre utilisation des Services. Il n’est pas nécessaire d’informer spécifiquement X lorsque vous cessez d’utiliser les Services. Si vous cessez d’utiliser les Services sans désactiver vos comptes, ceux-ci peuvent être désactivés pour cause d’inactivité prolongée en vertu de notre politique sur les comptes inactifs. Nous pouvons suspendre ou résilier vos comptes, ou cesser de vous fournir tout ou une partie des Services à tout moment et pour quelque raison que ce soit, y compris, sans s’y limiter, si nous estimons raisonnablement que : (i) vous avez violé les présentes Conditions ou le Règlement de X, (ii) vous créez un risque ou une exposition juridique potentielle pour nous, ou (iii) notre fourniture des Services

Page 64

Décision du 07 août 2018 1/4 social N° RG 14/07300

n’est plus commercialement viable. Nous mettrons en œuvre des moyens raisonnables pour vous en aviser, à l’adresse email associée à votre compte ou lorsque vous tenterez d’accéder à votre compte. Dans tous les cas précités, les Conditions seront résiliées, ce qui inclut, sans limitation, la licence d’utilisation des Services dont vous bénéficiez, sauf pour les sections suivantes qui continuent de s’appliquer : 4, 5, 7, 8, 10, 11 et 12 ». Rien dans la présente section n’affecte le droit de X de modifier, de limiter ou d’arrêter la mise à disposition des Services, sans préavis, comme prévu ci-dessus dans la section 1. »

Clause n° 10 des Conditions d’utilisation de X du 18 mai 2015 et du 27 janvier 2016 :

« Les Conditions continueront de s’appliquer jusqu’à leur résiliation par vous ou par X selon les termes suivants.

Vous pouvez mettre fin à votre accord avec X à tout moment, sans raison ou pour quelque raison que ce soit en désactivant vos comptes et en mettant fin à votre utilisation des Services. Il n’est pas nécessaire d’informer spécifiquement X lorsque vous cessez d’utiliser les Services. Si vous cessez d’utiliser les Services sans désactiver vos comptes, ceux-ci peuvent être désactivés pour cause d’inactivité prolongée en vertu de notre politique sur les comptes inactifs.

Nous pouvons suspendre ou résilier vos comptes, ou cesser de vous fournir tout ou une partie des Services à tout moment, sans raison et pour quelque raison que ce soit, y compris, sans s’y limiter, si nous estimons raisonnablement que : (i) vous avez violé les présentes Conditions ou le Règlement de X, (ii) vous créez un risque ou une exposition juridique potentielle pour nous, ou (iii) notre fourniture des Services n’est plus commercialement viable. Nous mettrons en œuvre des moyens raisonnables pour vous en aviser, à l’adresse email associée à votre compte ou lorsque vous tenterez d’accéder à votre compte. Dans tous les cas précités, les Conditions seront résiliées, ce qui inclut, sans limitation, la licence d’utilisation des Services dont vous bénéficiez, sauf pour les sections suivantes qui continuent de s’appliquer : 4, 5, 7, 8, 10, 11 et 12. Rien dans la présente section n’affecte le droit de X de modifier, de limiter ou d’arrêter la mise à disposition des Services, sans préavis, comme prévu ci-dessus dans la section 1. »

Clause n° 4.9 des Conditions d’utilisation de X du 30 septembre 2016 :

« Résiliation des présentes Conditions

Page 65

Décision du 07 août 2018 1/4 social N° RG 14/07300

Vous pourrez mettre fin à votre accord légal avec X à tout moment en désactivant vos comptes et en cessant d’utiliser ses Services. Pour désactiver votre compte, veuillez suivre les instructions figurant sur http://support.X.com/articles/15358-how-to-deactivate-your-acc ount. Si vous souhaitez savoir ce qu’il advient de vos informations, veuillez consulter notre Politique de confidentialité.

Nous serons susceptibles de suspendre ou de résilier votre compte, ou de cesser de vous fournir tout ou partie des Services, à quelque moment et pour quelque raison que ce soit, y compris, sans s’y limiter, si nous estimons raisonnablement : (i) que vous avez violé les présentes Conditions ou les Règles de X ; (ii) que vous créez un risque à notre encontre ou que vous nous exposez à des conséquences légales ; (iii) que votre compte doit être supprimé en raison d’une inactivité prolongée ; ou (iv) qu’il n’est plus commercialement viable pour nous de vous fournir les Services.

Nous nous efforcerons, dans la mesure du raisonnable et selon les circonstances, de vous le notifier à l’adresse e-mail associée à votre compte ou lors de votre prochaine tentative de connexion à votre compte. En tout état de cause, les présentes Conditions prendront fin, ainsi que, entre autres, votre licence d’utilisation des Services, à l’exception des dispositions suivantes qui continueront de s’appliquer : II, III, V et VI. »

L’association UFC-QUE CHOISIR considère que ces clauses sont illicites et abusives car elles prévoient la possibilité pour X de suspendre la fourniture des services et de supprimer le compte de l’utilisateur à sa seule discrétion, sans préavis, sans engager sa responsabilité à son égard. Elle ajoute que la clause pose également une présomption de responsabilité de l’utilisateur en cas de violation des Conditions ou du Règlement de X, alors que l’article L. 121-19-4 du code de la consommation devenu l’article L. 221-15 prévoit, dans le cadre d’un contrat conclu à distance, une responsabilité de plein droit du professionnel fournisseur des services. L’association ajoute que la clause prévoit que les contenus, qui peuvent contenir des données personnelles, sont conservés sans limitation de durée après la suppression du compte de l’utilisateur, contrevenant ainsi aux articles 6 et 36 de la loi Informatique et Libertés. La société X réplique que la clause rappelle que, s’agissant d’un contrat à durée indéterminée, chacune des parties peut à tout moment mettre fin au contrat pour quelque raison que ce soit et rappelle qu’aucun déséquilibre ne peut être constaté en l’espèce, les deux parties disposant du même droit discrétionnaire à résiliation. Elle ajoute que l’absence d’obligation de préavis s’applique aux deux parties et fait valoir que l’utilisateur, qui décide de cesser d’utiliser son service, n’est pas tenu d’en informer X, alors que X s’engage par cette clause à informer l’utilisateur par mail de toute éventuelle résiliation ou suspension de compte.

Page 66

Décision du 07 août 2018 1/4 social N° RG 14/07300

a Sur les modalités de résiliation du contrat :

Aux termes des articles L. 111-1, L.111-2, devenus les articles L. 111-1, L. 111-2 I, de l’article L. 121-17 devenu l’article L. 221-5, l’article L. 121-19 devenu l’article L. 221-11 du code de la consommation, préalablement à la conclusion d’un contrat de fourniture de services, le professionnel communique au consommateur, de manière lisible et compréhensible, les caractéristiques essentielles du service, compte tenu du support de communication utilisé et du service concerné. Lorsque le contrat est conclu à distance, le professionnel fournit au consommateur, de manière lisible et compréhensible, les informations prévues à l’article L. 221-5 ou les met à sa disposition par tout moyen adapté à la technique de communication à distance utilisée. L’article L. 121-19-4 devenu l’article L. 221-15 du code de la consommation prévoit que le professionnel est responsable de plein droit à l’égard du consommateur de la bonne exécution des obligations résultant du contrat conclu à distance, que ces obligations soient exécutées par le professionnel qui a conclu ce contrat ou par d’autres prestataires de services, sans préjudice de son droit de recours contre ceux-ci. En l’espèce, la clause n° 10 des Conditions d’utilisation de X des 25 juin 2012, 8 septembre 2014, 18 mai 2015 et du 27 janvier 2016, devenue la clause n° 4.9 des Conditions d’utilisation de X du 30 septembre 2016, évoquant l’exercice de la faculté de résiliation du compte de l’utilisateur à l’initiative de l’utilisateur ou de X, distingue l’initiateur de la résiliation : utilisateur ou prestataire du service. Lorsque l’utilisateur est à l’origine de la résiliation la clause identifie deux sources de résiliation, l’une provenant d’une démarche active de sa part de « désactivation » du compte, l’autre provenant au contraire d’une absence d’utilisation des services (« en cessant d’utiliser (les) services »), la résiliation intervenant dans ce cas « pour cause d’inactivité » (« sans désactiver le compte »). Dans cette dernière hypothèse la clause renvoie à « (la) Politique de Compte inactif » pour la clause n° 10, toutes versions confondues, ou à des « instructions » pour la clause n° 4.9 dans sa version du 30 septembre 2016, par renvoi via lien hypertexte à une page en anglais (« how-to-deactivate-your-account). S’agissant de la suspension, de la résiliation du compte de l’utilisateur ou de la cessation de fourniture de »tout ou partie des services« à l’initiative de X, la clause critiquée prévoit l’exercice de ces prérogatives sans préavis, »à tout moment et pour quelque raison que ce soit, la société X « s’efforç(ant) » de « notifier » à l’utilisateur par courriel les mesures prises à son encontre, sans que cette « notification » constitue, en dépit des allégations de X dans ses écritures, une obligation contractuelle prise à l’égard de l’utilisateur. Or, en prévoyant la faculté pour TWIITTER de suspendre, résilier le compte de l’utilisateur, ou cesser la fourniture à son égard de « tout ou partie des services » « pour quelque raison que ce soit », c’est-à-dire sans motifs, la clause confère à la société X, un pouvoir discrétionnaire de modifier ou de rompre unilatéralement le contrat qui le lie à l’utilisateur, alors que X s’est engagé contractuellement vis-à-vis de l’utilisateur à lui fournir a minima une prestation de stockage et de mise à disposition des contenus. La clause clause critiquée est donc

Page 67

Décision du 07 août 2018 1/4 social N° RG 14/07300

illicite au regard des articles L. 111-1, L.111-2, devenus les articles L. 111-1, L. 111-2 I du code de la consommation, de l’article L. 121-17 devenu l’article L. 221-5 du code de la consommation, de l’article L. 121-19 devenu l’article L. 221-11 du code de la consommation, de l’article L. 121-19-4 devenu l’article L. 221-15 du code de la consommation du code de la consommation. Au surplus, en renvoyant à des documents contractuels, qui n’ont pas été communiquées préalablement à l’utilisateur, la clause critiquée est abusive au regard de l’article R. 132-1 1°) devenu l’article R. 212-1 1°) du code de la consommation.

b Sur la conservation des données :

La clause n° 10 et la clause n° 4.9 prévoient qu’en cas de résiliation certaines clauses (clauses 4, 5, 7, 8, 10, 11 et 12) des Conditions continuent de s’appliquer, notamment la clause n° 5, devenue les clauses n° 3.1, 3.4, 3.5 et 3.6, lesquelles comportent une licence mondiale sur les contenus postés par l’utilisateur. L’article 36 de la loi Informatique et Libertés dispose que les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue à l’article 6/5°) de la loi Informatique et Libertés, à savoir une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. Aux termes des clauses n° 10 et n° 4.9, les Contenus – dont certains peuvent comprendre des données personnelles – sont conservés après la suppression du compte de l’utilisateur, sans limitation de durée, X se réservant ainsi le droit de les conserver sans motif légitime pour une période sans lien avec la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. De sorte qu’en prévoyant, en cas de résiliation du contrat, que X conserve les contenus mis en ligne par l’utilisateur, les clauses n° 10 et n°4.9 des Conditions reconnaissent au professionnel un pouvoir de décision unilatérale quant à la durée de conservation des contenus, illicites au regard des articles 6 5°) et 36 de la loi Informatique et Libertés. Ce dispositif est donc de nature à créer un déséquilibre significatif entre les droits et obligations des parties au contrat au détriment du consommateur au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation. En conséquence, la clause n° 10 des Conditions d’utilisation de X des 25 juin 2012, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016, devenue la clause n° 4.9 des Conditions d’utilisation de X du 30 septembre 2016, illicites au regard des articles 6 5°) et 36 de la loi Informatique et Liberté, des articles L. 111-1, L.111-2, devenus les articles L. 111-1, L. 111-2 I du code de la consommation, de l’article L. 121-17 devenu l’article L. 221-5 du code de la consommation, de l’article L. 121-19 devenu l’article L. 221-11 du code de la consommation, de l’article L. 121-19-4 devenu l’article L. 221-15 du code de la consommation et abusives au regard des articles L. 132-1 devenu l’article L. 212-1 du code de la consommation et R.132-1, 4°

Page 68

Décision du 07 août 2018 1/4 social N° RG 14/07300

devenu l’article R 212-1 3) ° du code de la consommation et comme telles réputées non écrites.

20. Clause n° 11 des Conditions d’utilisation devenue clauses n°5.1 et 5.2.

Clause n°11 des Conditions d’utilisation du 25 juin 2012 : « 11. Avertissements et limitations de responsabilité Veuillez lire attentivement cette section car elle a pour objet de limiter la responsabilité de X et de ses sociétés mère, sociétés affiliées, dirigeants, employés, mandataires, partenaires et concédants (collectivement, les « Entités X »). Chacune des sous-sections ci-dessous s’applique dans la limite la plus étendue autorisée par des dispositions légales applicables. Certaines lois nationales n’autorisent pas l’exclusion des garanties implicites ou les limitations de responsabilité dans les contrats, et en conséquence les dispositions de cette section peuvent ne pas s’appliquer à vous. Rien dans la présente section n’est destiné à limiter les droits que vous pourriez avoir qui ne peuvent être légalement limités.

A. Les Services sont fournis « EN L’ETAT ».

Vous utilisez et accédez aux Services et aux Contenus à vos entiers risques et périls. Vous comprenez et acceptez que les Services vous sont fournis « EN L’ETAT » et « TELS QUE DISPONIBLES ». Sans préjudice de ce qui précède, et dans les limites les plus étendues autorisées par la loi applicable, les ENTITÉS X EXCLUENT TOUTES GARANTIES, EXPRESSES OU IMPLICITES, DE QUALITE MARCHANDE, D’ADEQUATION A UN […]. Les Entités de X ne donnent aucune garantie et déclinent toute responsabilité s’agissant : (i) de l’exhaustivité, l’exactitude, la disponibilité, la ponctualité, la sécurité ou la fiabilité des Services ou des contenus, (ii) des dommages subis par votre système informatique, ou des pertes de données, ou autres dommages résultant de votre accès ou utilisation des Services ou des Contenus, (iii) de la suppression des Contenus et autres communications gérés par les Services ou de l’échec de leur conservation ou transmission, et (iv) de savoir si les Services répondent à vos besoins ou seront disponibles de manière ininterrompue, sécurisée ou exempte d’erreurs. Aucun conseil et aucune information, qu’ils soient oraux ou écrits, obtenus à partir des Entités X ou via les Services, ne créé une quelconque garantie dès lors qu’ils ne sont pas expressément mentionnés dans les Conditions.

Page 69

Décision du 07 août 2018 1/4 social N° RG 14/07300

B. Liens

Les Services peuvent contenir des liens vers des sites ou des ressources de tiers. Vous reconnaissez et acceptez que les Entités X ne sont pas responsables : (i) de la disponibilité ou de l’exactitude de ces sites ou ressources, ou (ii) du contenu, des produits ou des services disponibles sur ou à partir de ces sites ou ressources. Aucun lien vers ces sites ou ressources n’implique l’approbation par les Entités X de ces sites ou ressources ou de leur contenu, des produits ou des services offerts par ces sites ou ressources. L’utilisation de tels sites ou ressources se fait sous votre seule responsabilité et à vos entiers risques et périls.

C. Limitation de responsabilité DANS LA LIMITE LA PLUS ETENDUE AUTORISEE PAR LA LOI APPLICABLE, LES ENTITÉS X EXCLUENT TOUTE RESPONSABILITE POUR TOUS DOMMAGES INDIRECTS, […], […], QU'[…], AINSI QUE POUR TOUTE PERTE DE DONNÉES, D'[…], […], […], OU DE L’INCAPACITE D’ACCEDER AUX SERVICES OU DE LES UTILISER, (ii) DE TOUT COMPORTEMENT OU CONTENUS DE TIERS SUR LES SERVICES, Y COMPRIS, […], […], […], […], UTILISATION, ALTERATION DE VOS TRANSMISSIONS OU CONTENUS. EN AUCUN CAS LE MONTANT TOTAL DES DOMMAGES INTERETS AUXQUELS LES ENTITES X POURRAIENT ETRE CONDAMNEES AU TITRE DE LEUR RESPONSABILITE NE POURRA DEPASSER LE MONTANT LE PLUS ELEVE ENTRE CENT DOLLARS AMERICAINS (USD 100,00) ET LES SOMMES QUE VOUS AVEZ VERSEES A X, LE CAS ECHEANT, […] MOIS POUR LES SERVICES À L’ORIGINE DE LA DEMANDE. […], […], […], ET QUE LES ENTITÉS X AIENT ETE OU NON AVERTIES DE LA POSSIBILITE DE TELS DOMMAGES ET MÊME […].

Page 70

Décision du 07 août 2018 1/4 social N° RG 14/07300

Clause n°11 des Conditions d’utilisation du 8 septembre 2014 : – 11. Avertissements et limitations de responsabilité Veuillez lire attentivement cette section car elle a pour objet de limiter la responsabilité de X et de ses sociétés mère, sociétés affiliées, dirigeants, employés, mandataires, partenaires et concédants (collectivement, les « Entités X »). Chacune des sous-sections ci-dessous s’applique dans la limite la plus étendue autorisée par des dispositions légales applicables. Certaines lois nationales n’autorisent pas l’exclusion des garanties implicites ou les limitations de responsabilité dans les contrats, et en conséquence les dispositions de cette section peuvent ne pas s’appliquer à vous. Rien dans la présente section n’est destiné à limiter les droits que vous pourriez avoir qui ne peuvent être légalement limités. A. Les Services sont fournis « EN L’ÉTAT ». Vous utilisez et accédez aux Services et aux Contenus à vos entiers risques et périls. Vous comprenez et acceptez que les Services vous sont fournis « EN L’ÉTAT » et « TELS QUE DISPONIBLES ». Sans préjudice de ce qui précède, et dans les limites les plus étendues autorisées par la loi applicable, les ENTITÉS X EXCLUENT TOUTES GARANTIES ET CONDITIONS, EXPRESSES OU IMPLICITES, DE QUALITÉ MARCHANDE, D’ADÉQUATION À UN USAGE PARTICULIER OU DE NON-VIOLATION. Les Entités X ne donnent aucune garantie et déclinent toute responsabilité s’agissant : (i) de l’exhaustivité, l’exactitude, la disponibilité, la ponctualité, la sécurité ou la fiabilité des Services ou des Contenus, (ii) des dommages subis par votre système informatique, ou des pertes de données, ou autres dommages résultant de votre accès ou utilisation des Services ou des Contenus, (iii) de la suppression des Contenus et autres communications gérés par les Services ou de l’échec de leur conservation ou transmission, et (iv) de savoir si les Services répondront à vos besoins ou seront disponibles de manière ininterrompue, sécurisée ou exempte d’erreurs. Aucun conseil ni aucune information, qu’ils soient oraux ou écrits, obtenus à partir des Entités X ou via les Services, ne créent une quelconque garantie dès lors qu’ils ne sont pas expressément mentionnés dans les Conditions.

B. Liens

Les Services peuvent contenir des liens vers des sites ou des ressources de tiers. Vous reconnaissez et acceptez que les Entités X ne sont pas responsables : (i) de la disponibilité ou de l’exactitude de ces sites ou ressources, ou (ii) du contenu, des produits ou des services disponibles sur ou à partir de ces sites ou ressources. Aucun lien vers ces sites ou ressources n’implique l’approbation par les Entités X de ces sites ou ressources ou de leur contenu, des produits ou des services offerts par ces sites ou ressources. L’utilisation de tels sites ou ressources se fait sous votre seule responsabilité et à vos entiers risques et périls.

Page 71

Décision du 07 août 2018 1/4 social N° RG 14/07300

C. Limitation de responsabilité

DANS LA LIMITE LA PLUS ÉTENDUE AUTORISÉE PAR LA LOI APPLICABLE, LES ENTITÉS X EXCLUENT TOUTE RESPONSABILITÉ POUR TOUS DOMMAGES INDIRECTS, […], […], QU'[…], AINSI QUE POUR TOUTE PERTE DE DONNÉES, D’UTILISATION, DE CLIENTÈLE, […], […], OU DE L’INCAPACITÉ D’ACCÉDER AUX SERVICES OU DE LES UTILISER, (ii) DE TOUT COMPORTEMENT OU CONTENUS DE TIERS SUR LES SERVICES, Y COMPRIS, […], […], […], […] OU TOUTE UTILISATION OU ALTÉRATION NON AUTORISÉS DE VOS TRANSMISSIONS OU CONTENUS. EN AUCUN CAS LE MONTANT TOTAL DES DOMMAGES INTÉRÊTS AUXQUELS LES ENTITÉS X POURRAIENT ÊTRE CONDAMNÉES AU TITRE DE LEUR RESPONSABILITÉ NE POURRA DÉPASSER LE MONTANT LE PLUS ÉLEVÉ ENTRE CENT DOLLARS AMÉRICAINS (USD 100,00) ET LES SOMMES QUE VOUS AVEZ VERSÉES À X, LE CAS ÉCHÉANT, […] MOIS POUR LES SERVICES À L’ORIGINE DE LA DEMANDE. […], […], […], ET QUE LES ENTITÉS X AIENT ÉTÉ OU NON AVERTIES DE LA POSSIBILITÉ DE TELS DOMMAGES ET MÊME […].

Clause n°11 des Conditions d’utilisation du 18 mai 2015 et du 27 janvier 2016 : 11. Avertissements et limitations de responsabilité Veuillez lire attentivement cette section car elle a pour objet de limiter la responsabilité de X et de ses sociétés mère, sociétés affiliées, dirigeants, employés, mandataires, partenaires et concédants (collectivement, les « Entités X »). Chacune des sous sections ci-dessous s’applique dans la limite la plus étendue autorisée par des dispositions légales applicables. Certaines lois nationales n’autorisent pas l’exclusion des garanties implicites ou les limitations de responsabilité dans les contrats, et en conséquence les dispositions de cette section peuvent ne pas s’appliquer à vous. Rien dans la présente section n’est destiné à limiter les droits que vous pourriez avoir qui ne peuvent être légalement limités.

Page 72

Décision du 07 août 2018 1/4 social N° RG 14/07300

B. Les Services sont fournis « EN L’ÉTAT ». Vous utilisez et accédez aux Services et aux Contenus à vos entiers risques et périls. Vous comprenez et acceptez que les Services vous sont fournis « EN L’ÉTAT » et « TELS QUE DISPONIBLES ». Sans préjudice de ce qui précède, et dans les limites les plus étendues autorisées par la loi applicable, les ENTITÉS X EXCLUENT TOUTES GARANTIES ET CONDITIONS, EXPRESSES OU IMPLICITES, DE QUALITÉ MARCHANDE, D’ADÉQUATION À UN USAGE PARTICULIER OU DE NON-VIOLATION. Les Entités X ne donnent aucune garantie ou ne font aucune déclaration et déclinent toute responsabilité s’agissant : (i) de l’exhaustivité, l’exactitude, la disponibilité, la ponctualité, la sécurité ou la fiabilité des Services ou des Contenus, (ii) des dommages subis par votre système informatique, ou des pertes de données, ou autres dommages résultant de votre accès ou utilisation des Services ou des Contenus, (iii) de la suppression des Contenus et autres communications gérés par les Services ou de l’échec de leur conservation ou transmission, et (iv) de savoir si les Services répondront à vos besoins ou seront disponibles de manière ininterrompue, sécurisée ou exempte d’erreurs. Aucun conseil ni aucune information, qu’ils soient oraux ou écrits, obtenus à partir des Entités X ou via les Services, ne créent une quelconque garantie ou déclaration dès lors qu’ils ne sont pas expressément mentionnés dans les Conditions. C. Liens Les Services peuvent contenir des liens vers des sites ou des ressources de tiers. Vous reconnaissez et acceptez que les Entités X ne sont pas responsables : (i) de la disponibilité ou de l’exactitude de ces sites ou ressources, ou (ii) du contenu, des produits ou des services disponibles sur ou à partir de ces sites ou ressources. Aucun lien vers ces sites ou ressources n’implique l’approbation par les Entités X de ces sites ou ressources ou de leur contenu, des produits ou des services offerts par ces sites ou ressources. L’utilisation de tels sites ou ressources se fait sous votre seule responsabilité et à vos entiers risques et périls.

D. Limitation de responsabilité

DANS LA LIMITE LA PLUS ÉTENDUE AUTORISÉE PAR LA LOI APPLICABLE, LES ENTITÉS X EXCLUENT TOUTE RESPONSABILITÉ POUR TOUS DOMMAGES INDIRECTS, […], […], QU'[…], AINSI QUE POUR TOUTE PERTE DE DONNÉES, D’UTILISATION, DE CLIENTÈLE, […], […], OU DE L’INCAPACITÉ D’ACCÉDER AUX SERVICES OU DE LES UTILISER, (ii) DE TOUT COMPORTEMENT OU CONTENUS DE TIERS SUR LES SERVICES, Y COMPRIS, […], […]

Page 73

Décision du 07 août 2018 1/4 social N° RG 14/07300

[…], […] OU TOUTE UTILISATION OU ALTÉRATION NON AUTORISÉS DE VOS TRANSMISSIONS OU CONTENUS. EN AUCUN CAS LE MONTANT TOTAL DES DOMMAGES INTÉRÊTS AUXQUELS LES ENTITÉS X POURRAIENT ÊTRE CONDAMNÉES AU TITRE DE LEUR RESPONSABILITÉ NE POURRA DÉPASSER LE MONTANT LE PLUS ÉLEVÉ ENTRE CENT DOLLARS AMÉRICAINS (USD 100,00) ET LES SOMMES QUE VOUS AVEZ VERSÉES À X, LE CAS ÉCHÉANT, […] MOIS POUR LES SERVICES À L’ORIGINE DE LA DEMANDE. […], […], […], ET QUE LES ENTITÉS X AIENT ÉTÉ OU NON AVERTIES DE LA POSSIBILITÉ DE TELS DOMMAGES ET MÊME […].

Clauses 5.1 et 5.2 des Conditions d’utilisation de X du 30 septembre 2016 :

« 5. Non-responsabilité et limitation de responsabilité Les Services sont disponibles « EN L’ÉTAT ». L’accès aux Services et aux Contenus et leur utilisation seront à vos risques et périls. Vous comprenez et acceptez que les Services vous soient fournis « EN L’ÉTAT » et « SELON DISPONIBILITÉ ». Les « Entités X » s’entendent de X, de ses sociétés mères, sociétés affiliées, sociétés liées, dirigeants, administrateurs, employés, mandataires, représentants, partenaires et licenciés. Sans limiter ce qui précède et dans les limites autorisées par le droit en vigueur, LES ENTITÉS X DÉCLINENT TOUTE GARANTIE ET CONDITION, EXPRESSE OU IMPLICITE, DE QUALITÉ MARCHANDE, D’APTITUDE A UN USAGE PARTICULIER OU DE NON-CONTREFAÇON. Les Entités X ne donnent aucune garantie ni ne font aucune déclaration, et déclinent toute responsabilité : (i) quant à l’exhaustivité, l’exactitude, la disponibilité, la rapidité, la sécurité ou la fiabilité des Services ou de tout Contenu ; (ii) pour tout dommage causé à votre système informatique, perte de données ou autre dommage ou préjudice qui résulterait de votre accès ou de votre utilisation des Services, ou d’un quelconque Contenu ; (iii) en cas de suppression, de non-stockage ou de non-transmission d’un quelconque Contenu et autre communication gérée par les Services ; et (iv) quant au fait que les Services soient à même de répondre ou non à vos besoins et qu’ils soient disponibles d’une façon sûre, sans interruption et sans erreur. Aucun

Page 74

Décision du 07 août 2018 1/4 social N° RG 14/07300

conseil ou renseignement, obtenu de façon orale ou écrite auprès des Entités X ou par l’intermédiaire des Services, ne saurait créer aucune garantie ni ne constituer aucune déclaration autre que celles données ou faites aux termes des présentes. Limitation de responsabilité LES ENTITÉS X NE […], […], […] DU FONDS DE COMMERCE, NI D’AUCUNE AUTRE PERTE INTANGIBLE, QUI RÉSULTERAIENT (i) DU FAIT QUE VOUS AYEZ ACCÉDÉ OU N’AYEZ PAS PU ACCÉDER AUX SERVICES, OU QUE […] DU CONTENU D’UNE TIERCE PARTIE DANS LES SERVICES, Y COMPRIS, SANS S’Y LIMITER, D’UN COMPORTEMENT DIFFAMATOIRE, OFFENSANT OU ILLICITE DE LA PART D’AUTRES UTILISATEURS OU TIERCES » L’association UFC-QUE CHOISIR affirme que la société X en sa qualité de professionnel fournissant une prestation de services à distance est tenue d’une obligation de résultat à l’égard de l’utilisateur par application de l’article L. 121-19-4, devenu l’article L. 221-15 du code de la consommation ; il importe peu que le contrat soit conclu à titre onéreux ou à titre gratuit, la loi n’opérant aucune distinction quant à ce caractère. Elle ajoute qu’en sa qualité de responsable de traitement, la société X est tenue également d’une obligation de préservation des données ainsi que de prévention de leur déformation, de leur endommagement ou de leur accessibilité par des tiers. Or, la clause n° 11 nouvellement nommée clause n° 5.1 et 5.2 des conditions générales d’utilisation apparaît selon elle comme une clause d’exonération totale de responsabilité. La société X réplique que L. 121-19-4 du code de la consommation, devenu l’article L. 221-15 du code de la consommation, n’est pas applicable en l’espèce s’agissant d’un contrat gratuit, l’article du code de la consommation invoqué par UFC-QUE CHOISIR, prévoyant par ailleurs que le professionnel ne saurait être tenu responsable des inexécutions ou mauvaises exécutions imputables au consommateur, à un tiers ou à un cas de force majeure, ce qui serait le cas des exemples listés par la clause n° 11. Elle fait observer que les limitations de responsabilité prévues par la clause critiquée ne sont dès lors opposables à l’utilisateur, que dans la limite du droit applicable à la relation de l’utilisateur avec X.

Page 75

Décision du 07 août 2018 1/4 social N° RG 14/07300

1 Sur l’intelligibilité de la clause et son contenu informatif obligatoire :

L’article L. 133-1 devenu l’article L. 211-1 de code de la consommation impose au professionnel des contrats proposés aux consommateurs que les clauses desdits contrats soient présentées et rédigées de façon claire et compréhensible.

Aux termes des articles L. 111-1, L.111-2, devenus les articles L. 111-1, L. 111-2 I, de l’article L. 121-17 devenu l’article L. 221-5, l’article L. 121-19 devenu l’article L. 221-11 du code de la consommation, préalablement à la conclusion d’un contrat de fourniture de services, le professionnel communique au consommateur, de manière lisible et compréhensible, les caractéristiques essentielles du service, compte tenu du support de communication utilisé et du service concerné. Par ailleurs, lorsque le contrat est conclu à distance, le professionnel fournit au consommateur, de manière lisible et compréhensible, les informations prévues à l’article L. 221-5 ou les met à sa disposition par tout moyen adapté à la technique de communication à distance utilisée.

Tel n’est pas le cas de la clause n° 11 devenue la clause n° 5.1 et 5.2 des Conditions d’utilisation de X, qui déclare que l’accès aux Services et Contenus s’effectue aux « risques et périls » de l’utilisateur tout en indiquant que, sans limiter la responsabilité encourue par l’utilisateur du fait de son utilisation des Services et contenus et « dans les limites autorisées par le droit en vigueur », « les entités X déclinent toute garantie et condition, expresse ou implicite, de qualité marchande, d’aptitude à un usage particulier ou de non-contrefaçon ».

En dehors du fait que la formulation est difficilement compréhensible, cette clause contrevient aux articles L. 133-1 devenu l’article L. 211-1 de code de la consommation et aux dispositions des articles L. 111-1, L.111-2, devenus les articles L. 111-1, L. 111-2 I, L. 121-17 devenu l’article L. 221-5, L. 121-19 devenu l’article L. 221-11 du code de la consommation, en ce qu’elle n’informe pas l’utilisateur de ses droits. Cette clause, qui entre en contravention avec les articles du code de la consommation précités est donc illicite et est abusive, car maintenue dans un contrat conclu entre un professionnel et un consommateur.

2 Sur le caractère exonératoire de responsabilité encourue par X pris en sa qualité de professionnel prestataire de services à distance :

L’article L. 121-19-4 devenu l’article L. 221-15 du code de la consommation prévoit que le professionnel est responsable de plein droit à l’égard du consommateur de la bonne exécution des obligations résultant du contrat conclu à distance, que ces obligations soient exécutées par le

Page 76

Décision du 07 août 2018 1/4 social N° RG 14/07300

professionnel qui a conclu ce contrat ou par d’autres prestataires de services, sans préjudice de son droit de recours contre ceux-ci.

En l’espèce, la clause qui affirme, d’une part, sous la rubrique « Non-responsabilité et limitation de responsabilité », que "les Services sont disponibles (…) « EN L’ÉTAT » et « SELON DISPONIBILITÉ », et d’autre part que l’utilisateur y accède, ainsi qu'"aux Contenus et leur utilisation (…) à (ses) risques et périls", suggère à l’utilisateur que le professionnel pourrait fournir une prestation imparfaite sans engager sa responsabilité. Cette clause a en conséquence pour effet d’écarter la responsabilité du professionnel dans tous les cas de dysfonctionnement des prestations fournies au consommateur.

La clause est donc illicite au regard des articles L. 121-19-4 devenu l’article L. 221-15 du code de la consommation et irréfragablement présumée abusive au sens des dispositions de l’article R. 132-1 6°) devenu l’article R. 212-1 6°) du code de la consommation, en ce qu’elle supprime le droit à réparation du préjudice subi par le consommateur en cas de manquement par le professionnel à l’une quelconque de ses obligations.

3 Sur le caractère exonératoire de responsabilité de la responsabilité encourue par X pris en sa qualité d’hébergeur :

L’article 6.I.2 de la « Loi pour la Confiance dans l’Économie Numérique » (L.C.E.N.) du 21 juin 2004 pose le principe selon lequel l’hébergeur de données illicites n’est pas responsable, à condition toutefois qu’il réagisse promptement en suspendant ou en supprimant leur accessibilité, dès qu’il aura connaissance de l’illicéité, la responsabilité étant engagée dans le cas contraire. En l’espèce, la clause n°11 des Conditions d’utilisation, issue des versions du 25 juin 2012, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016 nouvellement dénommée clause n° 5.1 et 5.2 des Conditions d’utilisation du 30 septembre 2016, décline toute responsabilité " quant à l’exhaustivité, l’exactitude, (…) des Services ou de tout Contenu« , sans distinguer le cas où, en sa qualité d' »hébergeur" ayant eu connaissance du caractère illicite de l’activité ou de l’information, il tarde à retirer promptement les informations illicites ou en rendre l’accès impossible, endossant dans un tel cas tout ou partie de la responsabilité encourue. En contrevenant aux dispositions de l’article 6.I.2 de la loi précitée et en privant l’utilisateur de toute action en responsabilité à l’encontre du fournisseur du service, la clause sera par suite déclarée illicite.

La clause est également abusive en ce qu’elle a pour objet ou pour effet de supprimer ou réduire le droit à réparation du préjudice subi par le consommateur en cas de manquement par le professionnel à l’une quelconque de ses obligations au regard de l’article R. 132-1 6°) devenu l’article R. 212-1°) du code de la consommation.

Page 77

Décision du 07 août 2018 1/4 social N° RG 14/07300

4 Sur le caractère exonératoire de la responsabilité encourue par X pris en sa qualité de responsable de traitement :

Aux termes de l’article 34 de la Loi Informatique et Libertés relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès, le responsable du traitement devant garantir un niveau de sécurité adapté au risque du traitement.

a Sur la sécurité des données de l’utilisateur :

En l’espèce la clause n° 11 des Conditions d’utilisation, issue des versions du 25 juin 2012, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016 et la clause n° 5.1 et 5.2 des Conditions d’utilisation du 30 septembre 2016, qui « déclin(ent) toute responsabilité » quant à la « la sécurité ou la fiabilité des Services ou de tout Contenu, de dommages causés aux perte de données ou autre dommage ou préjudice qui résulterait de (l')accès (de l’utilisateur) ou de (son) utilisation des Services, ou d’un quelconque Contenu », est illicite au regard de l’article 34 de la Loi Informatique et Libertés. Elle est également irréfragablement abusive au regard de l’article R. 212-1, 6°) du code de la consommation en ce qu’elle a pour effet d’exonérer le professionnel de son éventuelle responsabilité.

b Sur la sécurité du matériel de l’utilisateur :

La clause n° 11 des Conditions d’utilisation, issue des versions du 25 juin 2012, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016 devenue la clause n° 5.1 et 5.2 des Conditions d’utilisation du 30 septembre 2016, prévoit que le professionnel n’est pas responsable en cas de détérioration du matériel de l’utilisateur due à la fourniture du service, dans les termes suivants : "Les Entités X ne donnent aucune garantie ni ne font aucune déclaration, et déclinent toute responsabilité : (…) pour tout dommage causé à votre système informatique, perte de données ou autre dommage ou préjudice qui résulterait de votre accès ou de votre utilisation des Services, ou d’un quelconque Contenu". Cette clause a donc pour effet d’écarter la responsabilité du professionnel en cas d’atteinte à la sécurité ou à l’intégrité du matériel de l’utilisateur, sans se limiter aux seuls faits constitutifs d’un événement de force majeure, de sorte qu’en raison de sa généralité, la clause est de manière irréfragable présumée abusive au sens de l’article R. 212-1, 6°) du code de la consommation.

Page 78

Décision du 07 août 2018 1/4 social N° RG 14/07300

En conséquence la clause n°11 des Conditions d’utilisation de X du 25 juin 2012 et du 8 septembre 2014 est illicite au regard des articles L. 111-2, L. 121-19 et L. 121-20-3 (anciens) du code de la consommation, des articles L. 111-1, L. 111-2, devenus les articles L. 111-2 et L. 111-3, L. 121-17, devenus les articles L. 221-5, L. 221-6 et, L. 221-7, L. 121-19-4 devenu article L. 221-15, R. 111-1 et R. 111-2 devenus articles R. 111-2 et R. 111-3 de l’article L. 133-2 devenu article L. 211-1 du code de la consommation, de l’article 34 de la loi Informatique et Libertés, de l’article 6 I 2 de la LCEN et abusive au regard des articles R.132-1 2°, 5° et 6° devenus les articles R. 212-1, 2°), 5°) et 6°) du code de la consommation et par suite réputée non-écrite.

21. Clause n° 12 A des Conditions d’utilisation devenue clause n°6.2.

Clause 12 A des Conditions d’utilisation de X du 25 juin 2012, du 8 septembre 2014, du 17 mai 2015 et du 27 janvier 2016 :

« A. Renonciation et divisibilité Le fait que X ne cherche pas à se prévaloir d’un droit ou d’une disposition des présentes Conditions ne doit pas être considéré comme une renonciation à ce droit ou à cette disposition. Dans le cas où une disposition de ces Conditions serait jugée invalide ou inapplicable, cette disposition sera limitée ou supprimée dans la stricte mesure nécessaire, et les dispositions restantes de ces Conditions resteront pleinement vigueur ».

Clause 6.2 des Conditions d’utilisation du 30 septembre 2016 :

« Dans l’éventualité où une quelconque disposition des présentes Conditions serait considérée comme non valide ou inapplicable, cette disposition sera limitée ou supprimée dans la mesure minimale nécessaire, et les autres dispositions des présentes Conditions resteront en vigueur et de plein effet. Le fait que X ne demande pas l’exécution d’une quelconque disposition ou d’un quelconque droit au titre des présentes Conditions ne saurait être interprété comme une renonciation à cette disposition ou à ce droit. »

Pour l’association UFC-QUE CHOISIR, par cette clause, la société X écarte l’anéantissement du contrat dans l’hypothèse où une clause viendrait à être déclarée illicite ou abusive, sans distinguer si la clause incriminée est ou n’est pas une clause essentielle du contrat. La société X répond que l’argumentaire développé par UFC QUE CHOISIR ne vaut que pour les contrats payants, ce qui n’est pas le cas de la relation qui unit X à l’utilisateur, qui n’est pas

Page 79

Décision du 07 août 2018 1/4 social N° RG 14/07300

« emprisonné » dans une relation payante avec X, puisqu’il peut y mettre fin à tout moment.

La clause qui prévoit qu’en cas de nullité de l’une des stipulations des « Conditions », le consommateur ou le non professionnel reste tenu par les autres stipulations, sans exclure l’hypothèse de la nullité d’une clause essentielle du contrat, de nature à entrainer l’annulation de tout ou partie du contrat, est abusive au sens de l’article L.132-1 devenu l’article L. 212-1 du code de la consommation, car elle crée un déséquilibre significatif entre les droits et obligations des parties au contrat au détriment du consommateur.

En conséquence la clause n° 12 A des Conditions d’utilisation de X du 25 juin 2012, du 8 septembre 2014, du 17 mai 2015 et du 27 janvier 2016 devenue la clause n° 6.2 des Conditions d’utilisation du 30 septembre 2016 sera déclarée abusive au sens de l’article L.132-1 devenu l’article L. 212-1 du code de la consommation.

22. Clause n° 12 B des Conditions d’utilisation :

Clause n°12 B des Conditions d’utilisation de X du 25 juin 2012:

« B. Loi applicable et compétence Ces Conditions et toute action judiciaire engagée en relation avec ces Conditions sont régies par les lois de l’État de Californie des Etats-Unis d’Amérique sans considération et sans faire application des dispositions légales de votre État ou de votre pays de résidence relatives aux conflits de lois. Toutes les réclamations, poursuites judiciaires ou litiges en relation avec les Services seront portés exclusivement devant les tribunaux fédéraux ou d’Etat situés dans le county de […] en Californie, États-Unis. Vous acceptez la compétence matérielle et territoriale de ces tribunaux et renoncez à toute objection à ce titre ».

Clause n°12 B des Conditions d’utilisation de X du 8 septembre 2014, du 18 mai 2015 et du 27 janvier 2016 : « B. Loi applicable et compétence Ces Conditions et toute action judiciaire engagée en relation avec ces Conditions sont régies par les lois de l’État de Californie des États-Unis d’Amérique sans considération et sans faire application des dispositions légales de votre État ou de votre pays de résidence relatives aux conflits de lois. L’ensemble des réclamations, poursuites judiciaires ou litiges en relation avec les Services seront portés exclusivement devant les tribunaux fédéraux ou d’État situés dans le comté de […] en Californie, États-Unis. Vous acceptez la compétence matérielle et territoriale de ces tribunaux et renoncez à toute objection à ce titre ».

Page 80

Décision du 07 août 2018 1/4 social N° RG 14/07300

L’UFC-QUE CHOISIR affirme que la clause n°12 B des Conditions d’utilisation de X dans les versions des 25 juin 2012, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016 est illicite au regard des articles 46 et 48 du code de procédure civile et de l’article L.141-5 du code de la consommation et abusive au sens de l’article R.132-1 6° du Code de la consommation et doit être réputée non écrite. L’association précise que la clause attributive de compétence et de loi applicable a été supprimée dans la version du 30 septembre 2016, mais qu’elle n’a pas été remplacée par la mention des juridictions compétente contrevenant aux dispositions de l’article R. 111-2 du code de la consommation. Pour la société X, la relation entre l’utilisateur français du service et X se situant dans un cadre international, la clause attributive de compétence est licite, dès lors qu’elle est invoquée dans un litige à caractère international.

5 Sur la clause attributive de juridiction :

L’article 48 du code de procédure civile répute non écrite la clause qui déroge directement ou indirectement aux règles de compétence territoriale édictées par l’article 46 du même code, sauf si elle a été convenue entre commerçants. Toutefois, l’article 48 du code de procédure civile ne fait pas obstacle à la licéité d’une clause attribuant compétence à des juridictions étrangères, lorsqu’il s’agit d’un litige international et que la clause ne fait pas échec à la compétence territoriale impérative d’une juridiction française. Or, il a été précédemment jugé par le tribunal, que le contrat de fourniture de services de réseau social, qui lie l’utilisateur consommateur à la société X, professionnel, est un contrat, soumis aux dispositions du code de la consommation, notamment à la législation sur les clauses abusives, laquelle est d’ordre public. A ce titre, l’article L. 135-1 devenu l’article 232-1 du code de la consommation prévoit, excluant toute convention contraire, que le consommateur ne peut être privé de la protection assurée par les dispositions prises par un Etat membre de l’Union européenne en application de la directive 93/13/CEE du Conseil, du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs, lorsque le contrat litigieux présente avec le territoire d’un Etat membre un lien étroit. Le lien étroit est réputé établi, au sens de l’article L. 231-1 du code de la consommation, dès lors que le contrat a été conclu dans l’Etat membre du lieu de résidence habituelle du consommateur, alors que le professionnel dirige son activité vers le territoire de l’Etat membre où réside le consommateur. Tel est le cas de X, qui propose un contrat de service de réseau social en langue française, destiné aux membres ou futurs membres français du réseau social et manifeste ainsi sa volonté d’entrer en relations contractuelles avec ces derniers. Aux termes de l’article R. 132-2, 10°) devenu l’article R. 212-2 10°) du code de la consommation, dans les contrats conclus entre des professionnels et des consommateurs, sont de manière irréfragable

Page 81

Décision du 07 août 2018 1/4 social N° RG 14/07300

présumées abusives, au sens des dispositions des premier et quatrième alinéas de l’article L.212-1 du code de la consommation et dès lors interdites, les clauses ayant pour objet ou pour effet de supprimer ou entraver l’exercice d’actions en justice ou des voies de recours par le consommateur. En l’espèce, la clause n° l2 B des Conditions d’utilisation de X attribue compétence, dans l’éventualité d’un litige opposant l’utilisateur à la société X, aux juridictions californiennes, dont l’éloignement est de nature à dissuader l’utilisateur, en raison des difficultés pratiques et du coût relatifs à leur accès, d’exercer toute action et de le priver de fait de tout recours de nature judiciaire à l’encontre du fournisseur de réseau social. D’où il suit que la clause n° l2 B des Conditions stipulée dans les Conditions d’utilisation de la société X, est illicite en ce qu’elle prive l’utilisateur de la protection assurées par les dispositions prises par un Etat membre de l’Union européenne en application de la directive 93/13/CEE du Conseil du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs et abusive au sens des articles l’article R. 132-2, 10°) devenu l’article R. 212-2 10°) du code de la consommation. Cette clause sera donc réputée non écrite.

6 Sur la loi applicable :

La clause n° l2 B des Conditions d’utilisation de X prévoit, pour toute action judiciaire engagée par l’utilisateur « en relation avec ces Conditions » l’application impérative des lois de « l’État de Californie des États-Unis d’Amérique sans considération et sans faire application des dispositions légales de (l') État (de l’utilisateur) ou de (son) pays de résidence relatives aux conflits de lois. » Il résulte de l’article L. 135-1 devenu l’article L. 232-1 du code de la consommation précité, malgré la présence au sein du contrat d’une clause de choix de loi, que la loi française est applicable, dès lors que le site est accessible en langue française. De sorte qu’en conduisant l’utilisateur à se méprendre sur l’étendue de la protection qu’il peut revendiquer et en lui donnant l’impression que seule la loi désignée par la clause s’applique au contrat, alors qu’il peut bénéficier des règles le cas échéant impératives et plus protectrices de la loi de sa résidence habituelle, la clause litigieuse est abusive. Cette abus s’apprécie, d’une part au regard de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation car il créé un déséquilibre significatif entre les droits et obligations des parties au contrat au détriment du consommateur. Il s’apprécie d’autre part au regard de l’article R. 132-2/10°) devenu l’article R. 212-2/10°) du code de la consommation, l’imposition au consommateur de l’application d’une loi étrangère constituant une entrave à l’exercice par un utilisateur français d’actions en justice ou de voies de recours contre le réseau social. En conséquence la clause n°12 B des Conditions d’utilisation de X du 25 juin 2012 et du 8 septembre 2014 du 18 mai 2015 et du 27 janvier 2016 est illicite au regard l’article L. 135-1 devenu l’article 232-1 du code de la consommation et abusive au regard des

Page 82

Décision du 07 août 2018 1/4 social N° RG 14/07300

articles L. 132-1 devenu l’article L. 212-1, de l’article R. 132-2, 10°) devenu l’article R. 212-2 10°) du code de la consommation et, comme telle, réputée non écrite.

23. Clause n° 12 C 1 des Conditions d’utilisation

Clause n°12 C 1 des Conditions d’utilisation de X du 25 juin 2012 :

Ces Conditions, les Règles de X et notre Politique de Vie Privée constituent l’intégralité de l’accord conclu entre X et vous concernant les Services (à l’exclusion des services pour lesquels vous avez conclu un accord distinct avec X incluant ou excluant expressément les présentes Conditions). Les présentes conditions annulent et remplacent tous les accords antérieurs entre X et vous concernant les Services. A l’exception des sociétés du groupe dont X est la société-mère, aucune personne ou société ne sera considéré comme un tiers bénéficiaire des présentes Conditions.

Clause n°12 C 1 des Conditions d’utilisation de X du 8 septembre 2014 :

Ces Conditions, le Règlement de X et notre politique de confidentialité constituent l’intégralité de l’accord conclu entre X et vous concernant les Services (à l’exclusion des services pour lesquels vous avez conclu un accord distinct avec X incluant ou excluant expressément les présentes Conditions). Les présentes Conditions annulent et remplacent tous les accords antérieurs entre X et vous concernant les Services. A l’exception des sociétés du groupe dont X est la société-mère, aucune personne ou société ne sera considérée comme un tiers bénéficiaire des présentes Conditions.

Clause n°12 C 1 des Conditions d’utilisation de X du 18 mai 2015 et du 27 janvier 2016 :

Ces Conditions, y compris le Règlement de X pour les Services X et notre politique de confidentialité constituent l’intégralité de l’accord conclu entre X et vous concernant les Services (à l’exclusion des services pour lesquels vous avez conclu un accord distinct avec X incluant ou excluant expressément les présentes Conditions). Les présentes Conditions annulent et remplacent tous les accords antérieurs entre X et vous concernant les Services. A l’exception des sociétés du groupe dont X est la société-mère, aucune personne ou société ne sera considérée comme un tiers bénéficiaire des présentes Conditions.

Page 83

Décision du 07 août 2018 1/4 social N° RG 14/07300

Selon l’UFC-QUE CHOISIR la clause n° 12 C 1 affirme que les Conditions d’utilisation, la Politique de confidentialité et les Règles ou le Règlement de X constituent l’intégralité de l’accord entre X et l’utilisateur, alors que la politique d’utilisation des cookies n’est pas mentionnée ainsi que d’autres documents qui s’appliquent aux utilisateurs. Cette clause dérogerait donc à l’obligation pour le professionnel de procéder à une présentation claire et compréhensible des clauses du contrat en application des dispositions des articles L.133-2 devenu l’article L. 111-2 et L. 111-3 du code de la consommation. La société X fait valoir qu’avant même la création d’un compte X, au moment où un éventuel futur utilisateur décide de se renseigner sur les modalités de création d’un compte (en d’autres termes de s’inscrire) une page apparaît sur laquelle figure en deux endroits différents une information parfaitement visible, relative aux cookies. L’article L. 133-2 devenu l’article L. 211-1 du code de la consommation impose au professionnel dans les contrats proposés aux consommateurs de présenter et de rédiger les clauses du contrat de façon claire et compréhensible. En l’espèce il résulte des documents produits au débat que la société X informe l’utilisateur – avant son inscription sur le site – de l’utilisation de « cookies » à l’occasion de sa navigation sur le site, ces « cookies » permettant de personnaliser le contenu X, de créer des publicités X sur mesure, d’évaluer leurs performances et d'(assurer) (à l’utilisateur) une meilleure expérience sur X, à la fois plus rapide et plus sécurisée, mais omet dans la clause n° 12 C 1, énumérant les différents documents composant du socle contractuel liant l’utilisateur à la société, de rappeler l’existence d’une « politique d’utilisation de cookies » censée précisément régir l’utilisation de ces application. Cette absence de référence à un document contractuel important, prive en effet le consommateur d’une information claire quant à l’existence et la portée de ses engagements (« En utilisant nos services, vous acceptez notre Utilisation des cookies »). Cette omission créant un déséquilibre significatif au détriment du consommateur, la clause est abusive au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation. En conséquence la clause n°12 C 1 des Conditions d’utilisation de X du 25 juin 2012 et du 8 septembre 2014 du 18 mai 2015 et du 27 janvier 2016, illicite au regard de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation et abusive au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation et sera de ce fait réputée non écrite.

24. Clause n° 12 C 2 des Conditions d’utilisation devenue clause n°6.1

Clause n°12 C 2 des Conditions d’utilisation de X du 25 juin 2012 :

Ces Conditions peuvent faire l’objet de modifications à tout moment, la version la plus récente étant toujours disponible à l’adresse X.com/tos. Si nous jugeons que ces modifications sont substantielles,

Page 84

Décision du 07 août 2018 1/4 social N° RG 14/07300

nous les porterons à votre connaissance via une mise à jour @X ou par e-mail à l’adresse e-mail associée à votre compte. En continuant d’accéder ou d’utiliser les Services après l’entrée en vigueur de ces modifications, vous acceptez d’être contractuellement liés par ces nouvelles Conditions d’utilisations.

Clause n°12 C 2 des Conditions d’utilisation de X du 8 septembre 2014 :

Ces Conditions peuvent faire l’objet de modifications ponctuelles, la version la plus récente étant toujours disponible à l’adresse X.com/tos. Si nous jugeons que ces modifications sont substantielles, nous les porterons à votre connaissance via une mise à jour @X ou par email à l’adresse email associée à votre compte. En continuant d’accéder aux Services ou de les utiliser après l’entrée en vigueur de ces modifications, vous acceptez d’être contractuellement liés par ces nouvelles Conditions.

Clause n°12 C 2 des Conditions d’utilisation de X du 18 mai 2015 et du 27 janvier 2016 :

Ces Conditions peuvent faire l’objet de modifications ponctuelles, la version la plus récente étant toujours disponible à l’adresse X.com/tos. Si nous jugeons que ces modifications sont substantielles, nous les porterons à votre connaissance via une mise à jour @X ou par email à l’adresse email associée à votre compte. En continuant d’accéder aux Services ou de les utiliser après l’entrée en vigueur de ces modifications, vous acceptez d’être contractuellement liés par ces nouvelles Conditions d’utilisation.

Clause 6.1 des Conditions d’utilisation de X du 30 septembre 2016 :

« Nous serons susceptibles de modifier les présentes Conditions à tout moment. Ces modifications ne seront pas rétroactives et notre relation mutuelle sera en tout état de cause régie par la version la plus récente des présentes Conditions que vous pourrez consulter à tout moment sur X.com/tos. Nous nous efforcerons de vous avertir des modifications substantielles, par exemple via une notification de service ou un e-mail à l’adresse électronique associée à votre compte. En continuant d’accéder aux Services ou en les utilisant après l’entrée en vigueur de ces modifications, vous acceptez d’être lié(e) par les présentes Conditions. »

L’association UFC-QUE CHOISIR reproche aux clauses n°12 C 2, dans les versions du 25 juin 2012, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016 et 6.1 dans la version du 30 septembre 2016, d’être illicites et

Page 85

Décision du 07 août 2018 1/4 social N° RG 14/07300

abusives, car elles confèrent au professionnel une prérogative en matière de modification unilatérale des conditions du contrat, sans que le consommateur soit informé – alors que la loi l’y oblige – le professionnel restant l’unique juge du caractère substantiel ou non de ces modifications. De plus, les clauses seraint abusives en ce qu’elles constatent l’adhésion de l’utilisateur aux modifications des Conditions, dès lors que l’utilisateur continue d’utiliser le service. La société X réplique que le droit des clauses abusives ne s’applique pas en l’espèce et que l’article L. 121-19 du code de la consommation est inapplicable au service de « microblogging » offert gratuitement par X à ses utilisateurs ; que les dispositions concernant le droit de rétractation ou les modalités de résiliation ne trouvent pas non plus application dans un tel contrat, dans la mesure où l’utilisateur décide d’utiliser ou non X ; qu’il est libre de consulter l’ensemble des informations (Conditions générales, Politique de vie privée (ou de Confidentialité) et Règlement (Règles)) avant chaque Tweet et que si une modification ne lui convient pas, l’utilisateur peut se déconnecter et ne plus jamais utiliser le service.

7 Sur la modification unilatérale des Conditions par X :

L’article R. 132-1 3°) devenu l’article R. 212-1 3°) du code de la consommation présume de manière irréfragable abusives, au sens des dispositions de l’article L. 212-1 1°) et 4°), les clauses ayant pour objet ou pour effet de réserver au professionnel le droit de modifier unilatéralement les clauses du contrat relatives à sa durée et aux caractéristiques du service à rendre. En conférant au professionnel le droit de modifier unilatéralement les conditions générales d’utilisation sans information préalable de l’utilisateur, consommateur ou non professionnel, la clause n°12 C 2 dans ses versions successives et la clause 6.1 des Conditions du 30 septembre 2016, ont pour objet de réserver au professionnel le droit de modifier unilatéralement les clauses du contrat. Ces clauses sont donc irréfragablement abusives au sens des articles précités.

8 Sur la présomption de consentement aux modifications :

Aux termes de l’article R. 132-1 3°) devenu l’article R. 212-1 3°) du code de la consommation précités, sont abusives, de manière irréfragable, les clauses ayant pour objet ou pour effet de modifier unilatéralement les clauses du contrat relatives à sa durée et aux caractéristiques du service à rendre. En présumant le consentement de l’utilisateur aux modifications unilatérales apportées par le fournisseur de service, la clause n°12 C 2 et la clause 6.1 ont pour effet de permettre la modification unilatérale par le professionnel des conditions générales d’utilisation et sont donc irréfragablement abusives au sens de l’article R. 132-1 3°) devenu l’article

Page 86

Décision du 07 août 2018 1/4 social N° RG 14/07300

R. 212-1 3°) du code de la consommation. Ces clauses seront donc réputées non écrites.

9 Sur l’obligation d’information :

La société X affirme qu’il revient au consommateur de s’informer régulièrement des conditions générales d’utilisation afin de prendre connaissance des modifications et de s’y conformer. Cette clause, qui a pour objet de reporter sur l’utilisateur l’exécution de l’obligation légale d’information qui pèse sur le professionnel du code de la consommation, est abusive, car en renversant la charge de l’obligation d’information, elle crée un déséquilibre significatif entre les droits et obligations des parties au contrat au détriment de l’utilisateur ou consommateur au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation. D’où il suit que la clause n°12 C 2, dans les versions des 25 juin 2012, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016 et la clause 6.1 du 30 septembre 2016, sont abusives au regard des article R. 132-1 3°) devenu l’article R. 212-1 3°) du code de la consommation. Elles seront réputées non écrites.

B. SUR LA POLITIQUE DE CONFIDENTIALITE DE X.

Il sera observé qu’à la différence du document intitulé « Conditions d’utilisation », aucune clause de la Politique de confidentialité de X n’est numérotée, ce document se présentant sous une forme particulièrement compacte. En conséquence, le Tribunal suivra la nomenclature sur laquelle les parties se sont entendues.

1. Clause n° 1 de la Politique de confidentialité de X :

Clause n°1 de la Politique de confidentialité de X du 21 octobre 2013 : « X relie instantanément les gens à ce qui compte le plus pour eux, où qu’ils soient. X permet de se connecter instantanément à ses passions. Tout utilisateur enregistré peut envoyer un Tweet, qui est un message de 140 caractères maximum ; public par défaut, un Tweet peut inclure du contenu supplémentaire comme des photos, des vidéos et des liens vers d’autres sites ».

Page 87

Décision du 07 août 2018 1/4 social N° RG 14/07300

Clause n°1 de la Politique de confidentialité de X du 8 septembre 2014 : « X relie instantanément les gens, où qu’ils soient, à ce qui compte le plus pour eux. Tout utilisateur enregistré peut envoyer un Tweet, qui est un message de 140 caractères maximum. Public par défaut, un Tweet peut inclure du contenu supplémentaire comme des photos, des vidéos et des liens vers d’autres sites ».

Clause n°1 de la Politique de confidentialité de X du 18 mai 2015 et du 27 janvier 2016 : Nos Services relient instantanément les gens, où qu’ils soient, à ce qui compte le plus pour eux. Tout utilisateur enregistré auprès des Services X peut envoyer un Tweet, qui est un message de 140 caractères maximum. Public par défaut, un Tweet peut inclure du contenu supplémentaire tel que des photos, des vidéos et des liens vers d’autres sites.

Clause 1 de la Politique de confidentialité de X du 30 septembre 2016 : « Nos Services relient instantanément les gens, où qu’ils soient, à ce qui compte le plus pour eux. Par exemple, tout utilisateur enregistré de X peut envoyer un Tweet, qui est public par défaut, et qui peut contenir un message de 140 caractères ou moins, ainsi que des contenus tels que photos, vidéos et liens vers d’autres sites. »

L’association UFC-QUE CHOISIR expose qu’en utilisant les termes « tweets », « contenus », alors qu’il s’agit de données à caractère personnel, la clause critiquée contrevient aux dispositions du code de la consommation, qui imposent au professionnel une obligation de communication des caractéristiques essentielles du service. Elle précise que la clause ne respecte pas non plus l’article 6 de la Loi Informatique et Libertés qui impose la collecte et le traitement loyal et licite des données collectées et ajoute que cette clause créée un déséquilibre significatif entre le professionnel et l’utilisateur, ce dernier n’étant pas en mesure de connaître les données à caractère personnel qui vont être utilisées par X. Pour la société X la clause n°1 constitue une simple introduction dont l’objet est de définir ce qu’est un « tweet », de rappeler la caractéristique essentielle des services de X et d’énoncer l’objet principal du contrat. Elle fait valoir que la Politique de Confidentialité concerne sans ambiguïté l’utilisation de données à caractère personnel, au sens de la Directive 95-46, et qu’elle a pour objet de décrire les conditions de protection de la vie privée des utilisateurs. Elle ajoute que la référence à la notion juridique de « donnée à caractère personnel » n’est pas obligatoire, aucun texte n’interdisant l’usage de formulations approchantes ou similaires, de sorte que l’emploi de termes équivalents tels que “informations personnelles” rendrait inutile la reprise exacte des définitions des textes.

Page 88

Décision du 07 août 2018 1/4 social N° RG 14/07300

L’examen de la clause n° 1 de la « Politique de confidentialité » doit être associé à l’examen des clauses n° 6, 6 bis, 7, 8, 12 devenue la clause n° 13 et de la clause n° 20 devenue clause n° 24 de la Politique de confidentialité. Toutes ces clauses concernent la collecte de l’utilisation de données, qualifiées d'« informations » ou de « coordonnées » par X, ce que conteste l’UFC-QUE CHOISIR, qui prétend qu’il s’agit de données à caractère personnel.

L’obligation d’information précontractuelle prévue dans les articles L.111-1, L.111-2, et, s’agissant de contrat conclu à distance, dans les articles L.121-17, L.121-19, L.121-19-2 et R.111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, impose au professionnel, avant la conclusion du contrat, de fournir au consommateur ou non-professionnel les caractéristiques essentielles du service à rendre.

Aux termes de l’article 2 de la Loi Informatique et Libertés (LIL) sont réputées « données à caractère personnel », « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».

De sorte que le « post » d’un « tweet », contenant un texte, des photos ou vidéos, inclut nécessairement des « traces » (adresse IP de l’ordinateur, identifiant de connexion informatique, numéro de téléphone de l’utilisateur, etc.), que l’utilisateur laisse au cours de sa navigation. Ces messages et ces « traces » constituent, au sens de la loi précitée, des données à caractère personnel, c’est-à-dire des informations permettant directement ou indirectement l’identification d’une personne physique, par référence à plusieurs éléments qui lui sont propres, en considération de l’ensemble des moyens dont dispose X en sa qualité de responsable du traitement pour identifier la personne concernée par le traitement.

Les articles 6 et 7 de la Loi Informatique et Libertés prévoient que le traitement des données personnelles permettant directement ou indirectement l’identification d’une personne physique n’est licite qu’à condition que ces données soient collectées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes ; qu’elles ne soient pas traitées ultérieurement de manière incompatible avec ces finalités et que son consentement informé et indubitable ait été recueilli préalablement au traitement.

En l’espèce, cette clause n° 1 se contente d’une description succincte du message envoyé (ou « tweet ») et de son contenu ostensible, sans informer l’utilisateur de la nature réelle des informations collectées.

Page 89

Décision du 07 août 2018 1/4 social N° RG 14/07300

En s’abstenant d’informer l’utilisateur de la présence, au sein des messages qu’il envoie, de la présence de données à caractère personnel, dont il ignore l’existence et à la collecte de laquelle il n’a pas expressément consenti, la clause litigieuse place ainsi l’utilisateur dans l’impossibilité de connaitre les données à caractère personnel que X collecte et utilise.

Cette clause, illicite au regard des articles précités, est abusive au sens de l’article L. 132-1 devenu l’article L. 221-1 du code de la consommation la clause en ce qu’elle créé un déséquilibre significatif entre les droits et obligations des parties au détriment de l’utilisateur, consommateur.

En conséquence, la clause n° 1 de la Politique de confidentialité de X du 21 octobre 2013, 8 septembre 2014, 17 avril 2015, 27 janvier 2016 et 30 septembre 2016 est illicite au regard des articles L.111-2 et L.121-19 (anciens) du code de la consommation, des articles L.111-1, L.111-2, devenus les articles L. 111-2 et L. 111-3, de l’article L.121-17, devenus les articles L. 221-5, L. 221-6 et L. 221-7 du code de la consommation, de l’article L. 121-19, devenu l’article L. 221-11 du code de la consommation, de l’article L.121-19-2, devenu l’article L. 221-13 et de l’article R.111-2, devenu les articles R11-2 et R 111-3 du code de la consommation, ainsi que de l’article 2 et 6 et 7 de la Loi Informatique et Libertés, et abusive au regard de l’article L.132-1, devenu les articles L. 222-1, L. 212-3 et L. 241-1 du code de la consommation, doit être réputée non écrite.

2. Clause n° 2 de la Politique de confidentialité de X :

Clause n°2 de la Politique de confidentialité de X du 21 octobre 2013 : « Astuce Ce que vous dites sur X est visible partout dans le monde, instantanément ».

Clause n°2 de la Politique de confidentialité de X du 8 septembre 2014 : « Tip Ce que vous dites sur X est visible partout dans le monde instantanément ». Clause n°2 de la Politique de Confidentialité de X du 18 mai 2015 et du 27 janvier 2016 : « Tip Ce que vous dites sur les Services X est visible partout dans le monde instantanément. Vous êtes ce que vous tweetez ! »

Page 90

Décision du 07 août 2018 1/4 social N° RG 14/07300

Clause n°2 de la Politique de Confidentialité de X du 30 septembre 2016 : « Ce que vous partagez sur X peut être visible partout dans le monde instantanément. Vous êtes ce que vous tweetez! »

L’association UFC QUE CHOISIR considère que, par cette clause, TWTTER s’arroge le droit d’utiliser et de transmettre, des données à caractère personnel des utilisateurs dans le monde entier.

La société X réplique que l’objet de cette clause est d’attirer l’attention de l’utilisateur sur le fait que les publications d’un utilisateur sont publiques, et donc visibles sur l’ensemble du service X accessible dans le monde entier.

Or, s’agissant d’un réseau social, destiné à mettre en relation les utilisateurs du réseau entre eux, la clause n° 2, prise isolément, n’est ni illicite ni abusive, lorsqu’elle prévoit que le « tweet » (également nommé « Contenu »), est « visible dans le monde entier », X exécutant les termes du contrat de réseautage social en diffusant ce « tweet ».

Toutefois, la clause n° 2, mise en relation avec la clause 1.1 des Conditions d’utilisation (C.U.), prévoit que les « Contenus » (ou « tweets »), soumis, publiés ou affichés par l’utilisateur via les « Services » « sont rendus publiques par défaut et sont susceptibles d’être vus par d’autres utilisateurs et sur des services et sites Web fournis par des tiers » . La société X, ayant précisé dans ses écritures à l’occasion de l’examen de la clause n°1.1 des C.U, qu’elle « traitera nécessairement les données à caractère personnel figurant dans ces contenus dans le but de les rendre accessibles au plus large public dans le monde », contrevient aux articles 6, 32 et 68 de la loi Informatique et Libertés.

En s’abstenant d’informer l’utilisateur que les contenus qu’il dépose à l’occasion de sa navigation sur le site contiennent des données personnelles, que ces contenus sont "susceptibles d’être vus (…) sur des services et sites Web fournis par des tiers", en lui laissant croire qu’il n’a pas à donner a priori son consentement à leur communication à des tiers non désignés ou à s’y opposer a posteriori, la clause n° 2 de la Politique de confidentialité est illicite au regard des articles 6, 32 et 68 de la loi Informatique et Libertés, et abusive au regard de l’article L.132-1, devenu les articles L. 222-1 du code de la consommation, en ce qu’elle a pour objet ou pour effet de créer un déséquilibre significatif entre les droits et obligations des parties au détriment de l’utilisateur, consommateur.

Page 91

Décision du 07 août 2018 1/4 social N° RG 14/07300

D’où il suit que la clause n° 2 de la Politique de confidentialité dans ses versions du 21 octobre 2013, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016, 30 septembre 2016, illicite au regard des 6, 32 et 68 de la Loi Informatique et Libertés, est abusive au regard de l’article L. 132-1, devenu l’article L. 222-1 du code de la consommation, et doit comme telle doit être réputée non écrite.

3. Clause n° 3 et 3bis et 3ter de la Politique de confidentialité de X :

Clause n°3 de la Politique de confidentialité de X du 21 octobre 2013 : « Cette Politique de confidentialité décrit les conditions dans lesquelles X collecte, utilise et partage vos informations quand vous utilisez nos Services. X reçoit vos informations à travers nos différents sites Web, SMS, API, notification par email, applications, boutons, widgets, publicités (les « Services » ou « X ») ou par l’intermédiaire de nos partenaires et autres tierces parties. Par exemple, vous nous adressez des informations quand vous utilisez X depuis notre site Web, envoyez ou recevez des Tweets via SMS ou accédez à X à partir d’une application telle que X pour Mac, X pour Android ou TweetDeck. Quand vous utilisez un de nos Services, vous consentez à ce que nous collections, transférions, manipulions, conservions, divulguions vos informations et que nous les utilisions aux fins prévues dans les dispositions de la présente Politique de confidentialité. Quel que soit votre pays de résidence ou le lieu depuis lequel vous fournissez des informations, vous autorisez X à utiliser celles-ci aux États-Unis et dans tout autre pays où la société est active ».

Clause n°3 de la Politique de confidentialité de X du 8 septembre 2014 : « Cette Politique de confidentialité décrit les conditions dans lesquelles X collecte, utilise et partage vos informations quand vous utilisez nos Services. X reçoit vos informations à travers nos différents sites Web, SMS, API, notifications par email, applications, boutons, widgets, publicités, services de transaction commerciale (les « Services » ou « X ») ou par l’intermédiaire de nos partenaires et autres tierces parties. Par exemple, vous nous adressez des informations quand vous utilisez X depuis notre site Web, envoyez ou recevez des Tweets via SMS ou accédez à X à partir d’une application telle que X pour Mac, X pour Android ou TweetDeck.

Quand vous utilisez un de nos Services, vous consentez à ce que nous collections, transférions, manipulions, conservions, divulguions vos informations et que nous les utilisions aux fins prévues par la présente Politique de confidentialité. Quel que soit votre pays de résidence ou le lieu depuis lequel vous fournissez des informations, vous autorisez X à utiliser celles-ci aux États-Unis ainsi que dans tout autre pays où la société est active ».

Page 92

Décision du 07 août 2018 1/4 social N° RG 14/07300

Clauses n°3 et n°3 bis de la Politique de confidentialité de X du 18 mai 2015 : « Cette Politique de confidentialité (« Politique ») décrit les conditions dans lesquelles X collecte, utilise et partage vos informations quand vous utilisez nos Services. X reçoit vos informations à travers nos différents sites Web, SMS, API, notifications par e-mail, applications, boutons, widgets, publicités, services de transactions commerciales (les « Services X ») ainsi qu’à travers nos autres services qui sont couverts par, et renvoient vers cette Politique (collectivement, les « Services ») ou par l’intermédiaire de nos partenaires et autres tierces parties. Par exemple, vous nous adressez des informations quand vous utilisez nos Services sur le Web, via SMS ou à partir d’une application telle que X pour Mac, X pour Android ou TweetDeck.

Quand vous utilisez un de nos services, vous consentez à ce que nous collections, transférions, conservions, divulguions et utilisions vos informations aux fins prévues par la présente Politique de confidentialité.

« Si vous résidez aux Etats-Unis, vos informations sont contrôlées par X,Inc., 1355 Market Street, Suite 900, […], CA 94103 Etats-Unis d’Amérique. Si vous résidez en dehors des Etats-Unis, le responsable de traitement (« data controller ») de vos informations est X International Company, une société irlandaise dont le siège social se situe à The Academy, […], […], Irlande. Quel que soit votre pays de résidence ou le lieu depuis lequel vous fournissez des informations, vous autorisez X à les utiliser aux Etats-Unis, en Irlande, ainsi que dans tout autre pays où X est actif. »

Clauses n°3 et n°3 bis de la Politique de confidentialité de X du 27 janvier 2016 : « Cette politique de confidentialité (« Politique ») décrit les conditions dans lesquelles X collecte, utilise et partage vos informations quand vous utilisez nos Services. X reçoit vos informations à travers nos différents sites Web, SMS, API, notifications par e-mail, applications, boutons, widgets, publicités, services de transactions commerciales (les « Services X »), ainsi qu’à travers nos autres services qui sont couverts par, et renvoient vers cette Politique (collectivement, les « Services ») ou par l’intermédiaire de nos partenaires et autres tierces parties. Par exemple, vous nous adressez des informations quand vous utilisez nos Services sur le Web, via SMS, ou à partir d’une application telle que X pour Mac, X pour Android ou TweetDeck. Quand vous utilisez un de nos services, vous consentez à ce que nous collections, transférions, conservions, divulguions et utilisions vos informations aux fins prévues par la présente politique de confidentialité.

Si vous résidez aux États-Unis, vos informations sont contrôlées par X, Inc., 1355 Market Street, Suite 900, […], CA 94103 États-Unis d’Amérique. Si vous résidez en dehors des États-Unis, le responsable du traitement (« data controller ») de vos informations est

Page 93

Décision du 07 août 2018 1/4 social N° RG 14/07300

X International Company, une société irlandaise dont le siège social se situe à The Academy, […], […], Irlande. Vous seul contrôlez et êtes responsable des Tweets et autres contenus que vous envoyez via ces Services, comme indiqué dans les Conditions de services et les Règles X.

Quel que soit votre pays de résidence, vous nous autorisez à utiliser vos informations aux États-Unis, en Irlande, ainsi que dans tout autre pays où X est actif, mais aussi, par voie de conséquence, à les transférer vers ou à les stocker dans ces pays. Les lois relatives à la confidentialité et à la protection des données en vigueur dans certains de ces pays sont susceptibles de différer de celles appliquées dans votre pays de résidence. »

Clauses n°3 et n°3 bis et n° 3 ter de la Politique de confidentialité de X du 30 septembre 2016 : « La présente Politique de confidentialité décrit comment et quand nous collectons, utilisons et partageons vos informations à travers nos différents sites Web, SMS, API, notifications par e-mail, applications, boutons, widgets, publicités, services de transactions commerciales, ainsi qu’à travers nos autres services couverts qui renvoient à cette Politique (collectivement, les « Services »), et par l’intermédiaire de nos partenaires et autres tierces parties. Par exemple, vous nous adressez des informations quand vous utilisez nos Services sur le Web, via SMS, ou à partir d’une application telle que X pour Mac, X pour Android ou TweetDeck. Quand vous utilisez un de nos services, vous consentez à ce que nous collections, transférions, conservions, divulguions et utilisions vos informations aux fins prévues par la présente Politique de confidentialité. Cela inclut toute information que vous choisissez de fournir et qui serait réputée sensible au sens du droit applicable.

Toute référence, dans cette politique, au terme « nous » s’entend par référence aux contrôleurs de vos informations aux fins de cette politique. Si vous résidez aux États-Unis, vos informations sont contrôlées par X, Inc., 1355 Market Street, Suite 900, […], CA 94103 États-Unis d’Amérique. Si vous résidez en dehors des États-Unis, le responsable du traitement (« data controller ») de vos informations est X International Company, une société irlandaise dont le siège social se situe à The Academy, […], […], Irlande. Toutefois, vous seul contrôlez et êtes responsable des Tweets et autres contenus que vous envoyez via ces Services, comme indiqué dans les Conditions de services et les Règles X.

Quel que soit votre pays de résidence, vous nous autorisez à transférer, à stocker et à utiliser vos informations aux États-Unis, en Irlande et dans tout autre pays où X exerce des activités. Dans certains de ces pays, les lois et réglementations relatives au respect de la vie privée et à la protection des données et qui encadrent les conditions dans lesquelles les pouvoirs publics peuvent accéder aux données sont susceptibles d’être différentes de celles du pays dans lequel vous résidez. »

Page 94

Décision du 07 août 2018 1/4 social N° RG 14/07300

L’association UFC soutient qu’en autorisant la collecte et le traitement par X de données à caractère personnel déposées par l’utilisateur, sans qu’il en ait conscience et qu’il ait bénéficié d’une information sur cette collecte et sur les finalités du traitement et du partage de ses données, les clauses critiquées sont illicites au regard de l’article 32-I de la Loi Informatique et Libertés et abusives car elles laissent croire à l’utilisateur que ses données personnelles peuvent être collectées, traitées et communiquées à des tiers sans son consentement.

Pour s’opposer à cette prétention, la société X réplique que l’objet de cette clause n’est pas d’exposer les finalités et les destinataires des traitements, l’information sur ces points étant assurée par d’autres clauses, mais de désigner le champ d’application de la Politique de confidentialité, en rappelant les informations et les services qui lui sont soumis. Elle ajoute que les dispositions du code de la consommation, dont se prévaut l’UFC-QUE CHOISIR, ne sont pas applicables aux services gratuits et qu’aucune de ces dispositions n’exige que la description des caractéristiques essentielles d’un service figure dans le texte des conditions générales ou, a fortiori, d’une politique de confidentialité. Elle précise que l’article L. 121-83 du code de la consommation n’est pas applicable à X car elle ne s’applique qu’aux fournisseurs de services de communication électronique, c’est-à-dire aux opérateurs de réseaux, tel que les fournisseurs d’accès à Internet.

a) Sur l’absence d’information et de consentement de l’utilisateur à la collecte et au traitement de ses données à caractère personnel :

Aux termes de l’article 6 1°) et 6 2°) de la Loi Informatique et Libertés, les données à caractère personnel sont collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

En l’espèce les clauses n° 3 et 3bis et 3ter de la Politique de confidentialité indiquent que les données de l’utilisateur sont collectées et traitées au travers des "sites Web, SMS, API, notifications par e-mail, applications, boutons, widgets, publicités, services de transactions commerciales, ainsi qu’à travers (les) autres services couverts (de X) qui renvoient à cette Politique (collectivement, les « Services »), et par l’intermédiaire de nos partenaires et autres tierces parties".

Il résulte de la lecture des clauses critiquées que les données sont collectées et traitées sans que l’utilisateur en soit conscient a fortiori lorsqu’il consulte des sites, dont il ignore qu’ils sont partenaires de X (« nos partenaires et autres tierces parties »), aucune information, quant à la collecte des données et à la finalité du traitement qui sera ultérieurement opéré, ne lui étant fournie.

Page 95

Décision du 07 août 2018 1/4 social N° RG 14/07300

Aux termes de l’article 32-I 2°) et 5°) de la Loi Informatique et Libertés, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable par le responsable de traitement ou son représentant, de la finalité du traitement et des destinataires ou catégories de destinataires des données.

Tel n’est pas le cas de la clause n° 3 devenue les clauses 3, 3 bis et 3 ter, qui prévoient le consentement implicite donné par l’utilisateur du seul fait de l’utilisation des « Services » (Quand vous utilisez un de nos services, …) en ces termes (vous consentez à) la collecte ("… à ce que nous collections« ), au transfert ( » … à ce que nous transférions"), au stockage (… à ce que nous conservions), à l’utilisation, (" … à ce que nous utilisions), à la communication (… à ce que nous divulguions):, aux fins prévues par la présente Politique de confidentialité), des « informations » (… vos informations), quelle qu’en soit la nature, données personnelles comprises, voire des données sensibles (« (c)ela inclut toute information que vous choisissez de fournir et qui serait réputée sensible au sens du droit applicable. »), Pourtant, aucune information préalable n’a été fournie par le responsable de traitement sur la collecte et le traitement de ces données ni sur les finalités précises et déterminées de ce traitement.

Or, en l’espèce, le consentement, entendu comme l’autorisation donnée par une personne physique au traitement des données la concernant, doit, pour être valablement exprimé, d’une part « être informé », l’information devant précéder le consentement et être délivrée avant le début du traitement, et d’autre part résulter d’une manifestation de volonté indubitable de la part de l’utilisateur, l’absence d’action ou le comportement passif de l’utilisateur ne pouvant pas être considérés comme un consentement. En définitive, le responsable du traitement ne peut traiter les données personnelles de la personne concernée, tant qu’il n’a pas obtenu son consentement informé. La clause critiquée est donc illicite au regard des dispositions précitées.

b) Sur l’absence de consentement de l’utilisateur au transfert de ses données hors de l’U.E. :

L’article 68 de la Loi Informatique et Libertés pose le principe d’interdiction de transfert des données à caractère personnel depuis la France vers un pays, tiers à l’Union européenne ou à l’Espace économique européen, qui n’a pas été reconnu par la Commission européenne comme assurant un niveau de protection « adéquat » et précise que le responsable du traitement ne peut transférer les données à caractère personnel de la personne concernée vers un État n’appartenant pas à la Communauté européenne, qu’à la condition que cet État assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement, dont ces données font l’objet ou peuvent faire l’objet.

Page 96

Décision du 07 août 2018 1/4 social N° RG 14/07300

Tel n’est pas le cas de la clause critiquée qui présume acquis par acceptation implicite résultant de l’utilisation des services de X, le consentement de l’utilisateur au transfert de ses données à caractère personnel vers des pays tiers, dont certains ne sont pas identifiés (tout autre pays où X exerce des activités), ces pays étant susceptibles ne pas assurer un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes concernées.

Ces clauses, illicites au regard de l’article 32-I et 68 de la Loi Informatique et Libertés sont donc abusives au sens des articles L. 132-1 et R. 132-1 1°) du code de la consommation devenus les articles L. 212-1 et R. 212-1 du code de la consommation, et comme telles, réputées non écrites.

En conséquence, la clause n° 3 devenue la clause 3, 3bis et 3 ter de la Politique de confidentialité, dans les versions des 21 octobre 2013, 8 septembre 2014, 18 mai 2015, 27 janvier 2016 et 30 septembre 2016, illicite au regard des articles 6, 32-I et 68 de la Loi Informatique et Libertés, est abusive par application des articles L.132-1 et R.132-1 1 devenus les articles L. 212-1 et R. 212-1 du code de la consommation, et, comme telles, doivent être réputées non écrites.

4. Clause n° 5 de la Politique de confidentialité de X :

Clause n°5 de la Politique de confidentialité de X du 21 octobre 2013 et du 8 septembre 2014 : « Astuce Nous collectons et utilisons vos informations pour fournir nos Services, ainsi que pour mesurer et améliorer nos Services au fil du temps».

Clause n°6 de la Politique de confidentialité de X du 18 mai 2015 : « Tip : nous collectons et utilisons vos informations afin de fournir nos Services et de les mesurer et améliorer au fil du temps ».

Clause n°5 de la Politique de confidentialité de X du 27 janvier 2016 : « Tip : nous collectons et utilisons vos informations afin de fournir nos Services et de les mesurer et améliorer au fil du temps ».

Clause n°5 de la Politique de confidentialité de X du 30 septembre 2016 : « Nous collectons et utilisons les informations suivantes vous concernant afin de fournir, d’analyser et d’améliorer nos Services. »

Page 97

Décision du 07 août 2018 1/4 social N° RG 14/07300

Pour l’association UFC-QUE CHOISIR, la clause dans ses quatre rédactions similaires est illicite et abusive. D’abord parce qu’elle induit le consommateur en erreur, le professionnel présentant la collecte des données à l’utilisateur comme une simple condition d’amélioration des services proposés, en s’abstenant de l’informer de l’existence d’autres utilisations de ces données. Ensuite parce qu’elle contrevient aux dispositions de l’article 32-I 2°) de la Loi Informatique et Libertés, qui impose au responsable du traitement d’informer au préalable la personne concernée de la finalité poursuivie par le traitement auquel les données collectées sont destinées. Enfin, la clause serait abusive en créant un déséquilibre significatif au détriment de l’utilisateur, qui n’est pas en mesure de connaitre l’utilisation qui sera faite de ses données personnelles, le privant ainsi de tout contrôle sur ces données.

Selon la société X, cette clause constitue une introduction à un ensemble de clauses, cohérentes entre elles, concernant les modalités de collecte et d’utilisation des données par X en attirant l’attention de l’utilisateur, dans un but pédagogique, sur les finalités des traitements. Elle n’a pas pour objet de décrire à elle seule et de manière exhaustive toutes les finalités des traitements de données réalisés par X, lesquelles sont expliquées dans d’autres clauses de la Politique de Confidentialité à l’aide de nombreux exemples didactiques. Les formulations employées pour mentionner les finalités seraient donc suffisamment intelligibles pour l'« internaute moyen ».

Aux termes de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation, les professionnels sont tenus de présenter et de rédiger de façon claire et compréhensible les clauses des contrats qu’ils proposent aux consommateurs.

L’article 6 de la Loi Informatique et Libertés prévoit qu’un traitement ne peut porter sur des données à caractère personnel que si elles sont collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et qu’elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités, qu’elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

L’article 32-I 2°) de la Loi Informatique et Libertés exige du responsable du traitement, qu’il informe la personne concernée de la finalité poursuivie par le traitement, auquel les données sont destinées et des destinataires ou catégories de destinataires des données.

En l’espèce, la clause incriminée, constituée d’une phrase unique placée sous un intitulé « Collecte et utilisation des informations » (Pièce X n° 49, version en cours au 8 septembre 2014) adopte la forme rédactionnelle « d’astuce » (ou de « Tip ») pour les versions des 21 octobre 2013, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016. Elle constitue un « chapeau » introduisant 10 sous-rubriques compactes d’une dizaine de

Page 98

Décision du 07 août 2018 1/4 social N° RG 14/07300

lignes chacune, intitulées : « Informations de base concernant votre compte », « Informations supplémentaires », « Tweets, abonnements, listes et autres informations publiques », « Informations de localisation », « Liens », « Cookies », « Données de journal », « Données de widget », « Services de transaction commerciales » « Tiers et sociétés affiliées », dont X affirme qu’elles constituent un « ensemble de clauses cohérentes entre elles » destinées à informer l’utilisateur de manière exhaustive des finalités poursuivies par la collecte de ses données à caractère personnel.

Or, la clause critiquée cantonne de manière pour le moins arbitraire la finalité des « informations » collectées auprès de l’utilisateur par X, à la fourniture, la mesure et l’amélioration des « Services » « au fil du temps » (cette dernière expression absente de la version du 30 septembre 2016), tout en renvoyant par sa position en tête de rubrique à la lecture intégrale aux 10 sous-rubriques subséquentes (numérotées dans le dossier n° 6 à 14), dont aucune n’informe l’utilisateur de manière explicite des finalités poursuivies par X en sa qualité de responsable de traitement de ses données collectées. Cette présentation réductrice place ainsi l’utilisateur dans une situation, où il lui est impossible d’appréhender la véritable nature des données collectées et l’utilisation qui pourrait être faite de cette collecte et ultérieurement. De sorte que cette clause est illicite, comme contrevenant aux dispositions des articles 6 et 32-I 2°) de la Loi Informatique et Libertés et de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation et abusive au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation.

Par conséquent, la clause n° 5 de la Politique de confidentialité de X du 21 octobre 2013, 8 septembre 2014, 18 mai 2015, 27 janvier 2016 et 30 septembre 2016, illicite au regard de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation, des articles 6 2° et 32-I 2°) de la Loi Informatique et Libertés, et abusive au regard de l’article L.132-1 devenu l’article devenu articles L. 212-1, L. 212-3 et L. 241-1 du Code de la consommation, sera réputée non écrite.

5. Clause n° 6 de la Politique de confidentialité de X :

Clause n°6 de la Politique de confidentialité de X du 21 octobre 2013 : « Informations collectées au moment de l’inscription : quand vous créez ou reconfigurez un compte X, vous nous fournissez des informations personnelles telles que votre nom, votre nom d’utilisateur, votre mot de passe et votre adresse email. Certaines de ces informations, par exemple votre nom et votre nom d’utilisateur, sont listées publiquement dans nos Services, notamment sur votre page de profil et dans les résultats de recherche. Certains Services, tels que les services de recherche, les listes d’affichage et les profils publics des utilisateurs, ne requièrent pas d’enregistrement préalable ».

Page 99

Décision du 07 août 2018 1/4 social N° RG 14/07300

Clause n°6 de la Politique de confidentialité de X du 8 septembre 2014 : « Informations de base concernant votre compte : quand vous créez ou reconfigurez un compte X, vous nous fournissez des informations personnelles telles que votre nom, votre nom d’utilisateur, votre mot de passe et votre adresse email. Dans certains cas, il peut vous être demandé de fournir votre numéro de téléphone, par exemple, afin d’utiliser X via SMS ou pour nous aider à prévenir les problèmes de spam, de fraude ou d’abus. Votre nom et votre nom d’utilisateur sont listés publiquement dans nos Services, notamment sur votre page de profil et dans les résultats de recherche. Certains Services, tels que les services de recherche et les profils publics des utilisateurs, ne requièrent pas d’enregistrement préalable».

Clause n°6 de la Politique de confidentialité de X du 18 mai 2015 et du 27 janvier 2016 : « Informations de base concernant votre compte : quand vous créez ou reconfigurez un compte, vous nous fournissez des informations personnelles telles que votre nom, votre nom d’utilisateur, votre mot de passe, votre adresse e-mail ou votre numéro de téléphone. Dans nos Services X, votre nom et votre nom d’utilisateur sont listés publiquement, notamment sur votre page de profil et dans les résultats de recherche, et vous pouvez utiliser soit votre nom soit un pseudonyme. Certains Services X, tels que les services de recherche et d’affichage des profils publics des utilisateurs, ne requièrent pas d’enregistrement préalable ».

Clause n°6 de la Politique de confidentialité de X du 30 septembre 2016 : « Informations de base concernant votre compte : Si vous choisissez de créer un compte X, vous devez nous fournir un certain nombre d’informations personnelles, telles que votre nom, votre nom d’utilisateur, votre mot de passe, votre adresse e-mail ou votre numéro de téléphone. Sur X, votre nom et votre nom d’utilisateur sont affichés publiquement, notamment sur votre page de profil et dans les résultats de recherche, et vous pouvez utiliser soit votre nom, soit un pseudonyme. Vous pouvez créer et gérer plusieurs comptes X. Si vous utilisez Digits par X, les coordonnées que vous fournissez pour vous connecter ne sont pas publiques. Certaines des fonctionnalités de nos produits, telles que la recherche et l’affichage des profils d’utilisateur X publics ou la visualisation d’une vidéo Periscope sur X, ne nécessitent pas que vous créiez un compte. »

L’association UFC QUE CHOISIR reproche à la Politique de confidentialité mise en place par X de ne pas permettre à l’utilisateur d’avoir une idée précise des données personnelles collectées par X, aucune définition précise des données personnelles ni de leur définition légale n’étant donnée par la plate-forme. Elle précise que, l’information sur les données personnelles constituant un préalable au consentement éclairé de l’utilisateur au traitement de ses données à

Page 100

Décision du 07 août 2018 1/4 social N° RG 14/07300

caractère personnel, l’absence de cette information empêche l’utilisateur d’agir en connaissance de cause pour protéger ses données.

La société X répond que la clause litigieuse fait partie d’un ensemble de clauses numérotées de 5 à 14, issues de la rubrique « Collecte et utilisation des informations », dont le but est d’informer l’utilisateur des catégories de données traitées dans le cadre des services et de décrire les modalités d’utilisation de ces données par X. Elle précise que la clause n° 6 concerne les informations « de compte » à savoir les données renseignées (l’utilisateur pouvant utiliser son nom ou un pseudonyme) lors de la création d’un compte X et observe que la finalité du traitement est indiquée, lorsque l’utilisateur renseigne son numéro de téléphone, alors que X n’est pas obligé de le faire. Elle ajoute qu’il n’appartient pas à X de décider si les informations relèvent ou non des données à caractère personnel mais à la loi, laquelle n’impose pas de qualifier juridiquement les informations susceptibles d’être traitées dans le cadre de l’exécution du contrat.

L’obligation d’information précontractuelle prévue dans les articles L.111-1, L.111-2, et, s’agissant de contrat conclu à distance, dans les articles L.121-17, L.121-19, L.121-19-2 et R.111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, impose au professionnel, avant la conclusion du contrat, de fournir au consommateur ou non professionnel les caractéristiques essentielles du service à rendre.

Au sens de l’article 2 de la Loi Informatique et Libertés, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Aux termes de l’article 6 de la Loi Informatique et Libertés, un traitement ne peut porter sur des données à caractère personnel que si ces données sont collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et qu’elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités initiales, qu’elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

L’article 32-I 2°) de la Loi Informatique et Libertés exige du responsable du traitement, qu’il informe la personne concernée de la finalité poursuivie par le traitement, auquel les données sont destinées et des destinataires ou catégories de destinataires des données.

Il résulte de ce qui précède que le nom, l’adresse électronique, le numéro de téléphone de l’utilisateur constituent des données personnelles au sens de l’article 2 de la loi précitée . En l’absence d’une information claire et

Page 101

Décision du 07 août 2018 1/4 social N° RG 14/07300

détaillée sur les données collectées par X lors de la création et de la gestion de son compte – l’utilisateur pensant accéder uniquement aux services de la plate-forme sans avoir conscience des données personnelles collectées – la collecte effectuée à cette occasion et le traitement ultérieur des données à caractère personnel ne satisfont pas aux exigences de loyauté et de licéité prévues par l’article 6 1°) de la Loi Informatique et Libertés. Les termes ou expressions employés (« telles que », « par exemple », « notamment ») pour évoquer les données collectées par la plate-forme à l’occasion de la création et de la gestion du compte X par l’utilisateur conduisent à créer une incertitude quant au volume des données collectées, incompatible avec la notion de finalité déterminée et explicite contenue dans l’article 6 de la Loi Informatique et Libertés.

Ainsi, en s’abstenant d’informer l’utilisateur de la collecte de données à caractère personnel lors de la création et de la gestion de son compte, collecte dont il ignore l’existence et à laquelle il n’a pas expressément consenti, la clause litigieuse place l’utilisateur dans l’impossibilité d’appréhender et de contrôler l’usage qui sera fait de ses données, la « pseudonymisation » ne pouvant légitimer un traitement qui ne l’est pas.

Cette clause, illicite au regard des articles précités de la Loi Informatique et Libertés, des articles L.111-1, L.111-2, des articles L.121-17, L.121-19, L.121-19-2 et R.111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation et est abusive au sens de l’article L. 132-1 devenu l’article L. 221-1 du code de la consommation, en ce qu’elle créé un déséquilibre significatif entre les droits et obligations des parties au détriment de l’utilisateur consommateur.

En conséquence, la clause n° 6 de la Politique de confidentialité de X du 21 octobre 2013, 8 septembre 2014, 17 avril 2015, 27 janvier 2016 et 30 septembre 2016 est illicite au regard des articles L.111-2 et L.121-19 (anciens) du code de la consommation, des articles L.111-1, L.111-2, devenus les articles L. 111-2 et L. 111-3, de l’article L.121-17, devenus les articles L. 221-5, L. 221-6 et L. 221-7 du code de la consommation, de l’article L. 121-19, devenu l’article L. 221-11 du code de la consommation, de l’article L.121-19-2, devenu l’article L. 221-13 et de l’article R.111-2, devenu les articles R11-2 et R 111-3 du code de la consommation, ainsi que de l’article 2 et 6 de la Loi Informatique et Libertés, et abusive au regard de l’article L.132-1, devenu les articles L. 222-1, L. 212-3 et L. 241-1 du code de la consommation, doit être réputée non écrite.

Page 102

Décision du 07 août 2018 1/4 social N° RG 14/07300

6. Clause n° 6 bis de la Politique de confidentialité de X :

Clause n°6 bis de la Politique de confidentialité de X du 18 mai 2015 et du 27 janvier 2016 : Coordonnées : vous pouvez utiliser vos coordonnées, telles que votre adresse e-mail ou votre numéro de téléphone, pour personnaliser votre compte ou activer des Services, par exemple, la Vérification de connexion, X par SMS ou Digits par X. Si vous fournissez votre numéro de téléphone à X, vous acceptez de recevoir des SMS sur ce numéro de la part de X. Lorsque vous utilisez Digits par X pour vous inscrire ou vous connecter à une application tierce, vous demandez à X de partager vos coordonnées, telles que votre numéro de téléphone, avec cette application. Nous pouvons utiliser vos coordonnées afin de vous envoyer des informations sur nos Services, vous proposer des offres, aider à prévenir les spams, la fraude ou les abus et aider d’autres personnes à trouver votre compte, notamment via des services tiers et des applications client. Vous pouvez utiliser vos paramètres de notification par e-mail et mobile pour contrôler les notifications que vous recevez des Services X. Vous pouvez également vous désinscrire d’une notification en suivant les instructions fournies dans la notification ou sur notre site Web. Vos paramètres de respect de la vie privée déterminent si des tiers peuvent vous trouver dans les services X à l’aide de votre adresse e-mail ou de votre numéro de téléphone.

Clause n°6 bis de la Politique de confidentialité de X du 30 septembre 2016 : Coordonnées : Vous pouvez utiliser vos coordonnées, telles que votre adresse e-mail ou votre numéro de téléphone, pour personnaliser votre compte ou activer certaines fonctionnalités du compte, par exemple pour la vérification de connexion ou X via SMS. Si vous nous fournissez votre numéro de téléphone, vous acceptez de recevoir des SMS sur ce numéro de notre part. Nous pouvons utiliser vos coordonnées afin de vous envoyer des informations sur nos Services, vous proposer des offres commerciales, aider à prévenir les spams, la fraude ou les abus, et aider d’autres personnes à trouver votre compte, notamment via des services tiers et des applications client. Vous pouvez personnaliser les paramètres de notification par e-mail et mobile pour contrôler les notifications que vous recevez de X. Vous pouvez également vous désinscrire d’une notification en suivant les instructions fournies dans la notification ou sur notre site Web. Vos paramètres de confidentialité Détectabilité déterminent si des tiers peuvent vous trouver dans les services X à l’aide de votre adresse e-mail ou de votre numéro de téléphone.

Selon l’association UFC QUE CHOISIR, la clause critiquée, dans ses versions de 2015 et de janvier 2016, contient un lien hypertexte « Digits par X » qui renvoie à une page en anglais. Cette clause contrevient donc aux dispositions de la loi du 4 août 1994 et à l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation. En effet, proposer

Page 103

Décision du 07 août 2018 1/4 social N° RG 14/07300

au consommateur français des clauses qu’il ne comprend pas, ne permet pas de répondre à ces exigences légales.

L’association ajoute que, dans cette clause, X ne se réfère pas expressément à la notion de données personnelles en employant le terme de « coordonnées à caractère personnel », alors que les adresse e-mail, numéro de téléphone, etc. sont des données à caractère personnel.

Elle affirme que cette clause est illicite au regard de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation qui impose au professionnel de présenter et rédiger des clauses de façon claire et compréhensible, ce qui n’est pas le cas d’une clause qui présente la collecte des données comme un vecteur d’information sur les services, de prévention de spams ou d’abus, ou encore d’aide fournie à d’autres personnes pour trouver son compte « notamment via des services tiers et des applications client », soit des finalités réalisées à son seul avantage. La référence à l’aide « d’autres personnes à trouver (son) compte » est par ailleurs trop générale pour permettre à l’utilisateur de savoir ce qu’elle recouvre. La clause contrevient donc aux dispositions des articles 2, 6 2°) et 32-I 2°) et 5°) de la Loi Informatique et Libertés.

L’association UFC QUE CHOISIR soutient également que la clause est illicite au regard des dispositions de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation et de l’article 6 de la Loi Informatique et Libertés, en qu’elle fait croire à l’utilisateur qu’il peut restreindre l’accès à ses données à caractère personnel et maitriser cet accès auprès des tiers grâce au paramétrage, alors que certaines de ses données restent publiques et que la clause se réfère à une liste non limitative des données accessibles à toute personne, empêchant de ce fait l’utilisateur de connaitre l’étendue de la divulgation de ses données personnelles à des tiers.

Pour la société X, la clause litigieuse fait partie de l’ensemble de clauses numérotées de 5 à 14 de la rubrique « Collecte et utilisation des informations ». Elle informe l’utilisateur des catégories de données et décrit les utilisations possibles des « coordonnées » de l’utilisateur (adresse postale, adresse e-mail, numéro de téléphone), lorsque celui-ci décide de les transmettre à X. Elle précise que le renvoi vers une page en anglais résulte d’un dispositif optionnel permettant la signature électronique et l’identification de l’utilisateur auprès de professionnels adhérant à ce protocole en rentrant un numéro de téléphone et un code et ajoute qu’aucun article du code de la consommation n’impose l’utilisation de la langue française, la loi « TOUBON », à laquelle UFC QUE CHOISIR fait référence, ne faisant pas l’unanimité au niveau communautaire. L’utilisation de l’anglais pour des services annexes et facultatifs ne serait donc pas de nature à créer un déséquilibre, « Digits » étant un service « avancé » qui s’adresse à des utilisateurs d’internet comprenant généralement l’anglais.

Page 104

Décision du 07 août 2018 1/4 social N° RG 14/07300

La société X observe qu’UFC QUE CHOISIR n’apporte pas la preuve qu’un utilisateur qui tenterait de s’inscrire à ce service ne se verrait pas proposer en temps utile des documents d’information suffisants en langue française et affirme que la clause incriminée décrit parfaitement la façon dont X peut utiliser les coordonnées d’un utilisateur, toutes les utilisations s’intégrant dans les finalités principales poursuivies par X : la fourniture l’amélioration des services et sa sécurité.

Elle précise également que X peut utiliser l’adresse e-mail ou le téléphone de l’utilisateur pour lui adresser des « notifications », la notion d'« offres » étant nécessairement comprise par l’utilisateur comme susceptible d’inclure des communications de nature commerciale. Ainsi, de nombreuses clauses de la Politique de confidentialité et des Conditions d’utilisation rappelle la possibilité de recevoir des annonces publicitaires, sachant que l’utilisateur a la possibilité de paramétrer son compte pour ne pas recevoir de communications de la part de X, en dehors des notifications administratives concernant les aspects importants de la vie du contrat. La société affirme que la référence aux « services tiers et les applications client » signifie que des tiers peuvent rechercher l’utilisateur en utilisant X mais également via des applications ou services qui interagissent avec X. Le fait pour l’utilisateur d’être alerté du fait que des tiers peuvent le retrouver grâce à son numéro de téléphone ou son e-mail serait amplement suffisant, d’autant que X indique clairement à l’utilisateur qu’il pourra utiliser ses paramètres pour autoriser les tiers à utiliser cette recherche.

Elle ajoute qu’une fois inscrit, l’utilisateur accède à tous les paramètres et options nécessaires pour « dépêcher » (sic) (empêcher ?) les tiers de le retrouver sur X via son numéro de téléphone ou son adresse e-mail.

a) Sur le renvoi par lien hypertexte à une page rédigée en anglais :

UFC QUE CHOISIR affirme que la version du 27 janvier 2016 de la clause n° 6 bis contient un lien hypertexte « Digits par X » qui renvoie à une page en anglais.

La société X précise qu’il s’agit d’un service optionnel destiné à des utilisateurs d’internet comprenant l’anglais.

Aux termes de l’article 2 de la loi du 4 août 1994, « dans la désignation, l’offre, la présentation, le mode d’emploi ou d’utilisation, la description de l’étendue et des conditions de garanties d’un bien, d’un produit ou d’un service, ainsi que dans les factures et quittances, l’emploi de la langue française est obligatoire ».

Page 105

Décision du 07 août 2018 1/4 social N° RG 14/07300

En l’espèce, la clause n° 6 bis est illicite, en ce qu’elle permet pas l’accès effectif au contrat par l’utilisateur français, qui se voit appliquer un texte qui n’est pas écrit dans sa langue et qu’il ne peut, de ce fait, pas appréhender.

La clause n° 6 bis de la Politique de confidentialité sera donc déclarée réputée non écrite à ce titre.

b) Sur l’absence de qualification des données :

L’examen de la clause de la clause n° 6 bis de la « Politique de confidentialité » doit être associé à celui mené à propos des clauses n° 1, 6, 7, 8, 12 devenue la clause n° 13 et de la clause n° 20 devenue clause n° 24 de la Politique de confidentialité.

Toutes ces clauses concernent la collecte de l’utilisation auprès de l’utilisateur de données, qualifiées d'« informations » ou de « coordonnées » par X, ce que conteste l’UFC-QUE CHOISIR qui prétend qu’il s’agit de données à caractère personnel bénéficiant de la protection de la Loi Informatique et Libertés.

L’obligation d’information précontractuelle prévue dans les articles L.111-1, L.111-2, et, s’agissant de contrat conclu à distance, dans les articles L.121-17, L.121-19, L.121-19-2 et R.111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, impose au professionnel, avant la conclusion du contrat, de fournir au consommateur ou non professionnel les caractéristiques essentielles du service à rendre.

Aux termes des articles L. 133-1 et L. 133-2 devenus l’article L. 211-1 du code de la consommation imposent au professionnel une présentation et une rédaction claire et compréhensible des clauses des contrats qu’ils proposent au consommateur.

Au sens de l’article 2 de la Loi Informatique et Libertés, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Aux termes du 2°) de l’article 6 de la Loi Informatique et Libertés, les données à caractère personnel sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

Page 106

Décision du 07 août 2018 1/4 social N° RG 14/07300

L’article 6 de la Loi Informatique et Libertés prévoit qu’un traitement ne peut porter sur des données à caractère personnel que si elles sont collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et qu’elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités, qu’elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

En l’espèce, le nom, l’adresse électronique, le numéro de téléphone de l’utilisateur constituent des données personnelles au sens de l’article 2 de la loi précitée. Or, la clause prévoit l’utilisation par la société X des données personnelles de l’utilisateur, données personnelles que la société X nomme « coordonnées », pour proposer des « offres », dont l’utilisateur comprend « nécessairement » – selon l’expression utilisée par la société X dans ses écritures – qu’elles sont « susceptible(s) d’inclure des communications de nature commerciale ».

De sorte qu’à suivre le raisonnement de la société, l’information de l’utilisateur est inutile puisque ce dernier comprend inévitablement que ses données personnelles sont susceptibles d’être collectées à des fins publicitaires ou commerciales.

Par ailleurs, s’il n’existe stricto sensu pas d’obligation légale de qualifier juridiquement les données à caractère personnel, la Loi Informatique et Libertés oblige le « responsable du traitement » au sens de l’article 3 1°) de la loi précitée, à recueillir le consentement explicite et éclairé de la personne concernée par la collecte et le traitement de ses données personnelles (en l’espèce l’utilisateur), ce dernier devant être en mesure de comprendre l’usage réel qui est fait des données le concernant, que ces données soient fournies de sa propre initiative, à l’occasion de l’établissement de son profil par exemple, ou collectées sans intervention de sa part (cookies (traceurs), etc.).

Or, la société X s’abstient ici d’informer l’utilisateur de l’existence d’une collecte de données à caractère personnel, notamment à l’occasion de son inscription sur le site, tout en présumant son acceptation de cette collecte et de l’utilisation des données collectées. Le consentement de l’utilisateur à la collecte et à l’utilisation de ces données n’ayant été ni informé ni recueilli, la clause contrevient aux dispositions des articles L. 111-1, L. 111-2, L. 121-17, L. 121-19, L. 121-19-2 et R. 111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, des articles L. 133-1 et L. 133-2 devenus l’article L. 211-1 du code de la consommation et aux dispositions contenues dans l’article 6 de la Loi Informatique et Libertés. Elle est donc illicite au regard des dispositions des articles précités et doit être réputée non écrite.

Page 107

Décision du 07 août 2018 1/4 social N° RG 14/07300

De plus, en laissant croire que le professionnel est dispensé de toute obligation à l’égard du consommateur/utilisateur, lorsqu’il collecte, traite, utilise ou partage des informations qui peuvent être qualifiées de données à caractère personnel, la clause est de nature à créer un déséquilibre significatif entre les droits et obligations des parties au contrat. La clause est donc abusive au regard des dispositions de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation.

c) Sur l’information sur les finalités du traitement des données de l’utilisateur et du transfert de ces données à des tiers :

L’article 32-I 2°) et 5°) de la Loi Informatique et Libertés exige du responsable du traitement, qu’il informe la personne concernée de la finalité poursuivie par le traitement, auquel les données sont destinées et des destinataires ou catégories de destinataires des données.

L’article 32-III de la Loi Informatique et Libertés impose au responsable du traitement ou son représentant, lorsque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, de fournir à cette dernière les informations énumérées à l’article 32-I, dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.

L’article R. 132-1 4°) devenu l’article R. 212-1 du code de la consommation présume irréfragablement abusive la clause qui a pour objet ou pour effet de conférer au seul professionnel le droit exclusif d’interpréter une quelconque clause du contrat.

Selon X la collecte des données personnelles s’effectue dans le seul intérêt de l’utilisateur, afin de nourrir et d’améliorer les services mis à sa disposition (clause n° 6).

Or, la société X, prévoie qu’elle peut utiliser les coordonnées de l’utilisateur pour lui « proposer des offres commerciales », alors que la clause n° 6 bis révèle l’existence d’autres finalités que celles destinées à l’amélioration des services. C’est d’ailleurs ce que confirme la clause n° 16 de la politique de confidentialité du 30 septembre 2016, également critiquée par l’UFC, qui précise que les « services (de X) sont financés par la publicité », la société X admettant par ailleurs dans ses écritures que l’utilisation des données personnelles collectées auprès de l’utilisateur permet de lui proposer des offres commerciales et que l’utilisation des données personnelles constitue « une aide » (pour) « d’autres personnes » à trouver le compte de l’utilisateur, sans toutefois identifier clairement les « personnes », à qui les données sont transmises.

Page 108

Décision du 07 août 2018 1/4 social N° RG 14/07300

En s’abstenant ainsi d’informer l’utilisateur d’une part sur les exactes finalités déterminées et explicites pour lesquelles la collecte de ses données personnelles est effectuée et d’autre part sur l’identification des bénéficiaires du transfert de ses données, la clause n° 6 bis est illicite au regard des articles 2, 6, 32-I 5° et 32-III de la Loi Informatique et Libertés.

De la même manière, la clause n° 6 bis de la Politique de confidentialité, en usant d’expressions inadéquates et ambiguës, est illicite au regard des articles L. 133-1 et L. 133-2 devenus l’article L. 211-1 du code de la consommation.

Enfin, la clause critiquée a pour effet de conférer au professionnel un droit exclusif d’interpréter une clause ambiguë dans le sens qui lui serait le plus favorable. Elle crée de ce fait un déséquilibre significatif entre les droits et obligations des parties au contrat ; elle est donc irréfragablement abusive au sens de l’article R. 132-1 devenu l’article R. 212-1 du code de la consommation et doit être réputée non écrite.

d) Sur l’information concernant le paramétrage permettant de restreindre la publicité de ses données personnelles :

Les articles L. 133-1 et L. 133-2 devenus l’article L. 211-1 du code de la consommation imposent au professionnel une présentation et une rédaction claire et compréhensible des clauses des contrats qu’ils proposent au consommateur.

L’imprécision des termes et expressions contenus dans la clause n° 6 bis (« vos coordonnées », « telles que », « par exemple ») renvoie à une liste non limitative de données personnelles susceptibles d’aider « d’autres personnes » (non désignées) à trouver le compte de l’utilisateur notamment via « des services tiers et des applications client », l’utilisateur se trouvant dès lors dans l’impossibilité d’apprécier la nature et le volume des données collectées à l’occasion de son inscription et d’identifier les « personnes » (utilisateurs du réseau social ou entreprises partenaires de la société X), susceptibles d’accéder à son compte et par suite à ses données personnelles.

Par ailleurs, cette clause présente à l’utilisateur des « paramètres de notification par e-mail et mobile » pour contrôler « les notifications » qu’il reçoit des Services de X.

Toutefois, il apparait à la lecture de la clause que les paramètres de notifications ne concernent que les services de X et non les « services tiers », pour lesquels d’autres paramètres sont prévus, paramètres dits « de respect de la vie privée » (ou « de confidentialité Détectabilité » dans la version du 30 septembre 2016). Ces paramètres "déterminent si des tiers

Page 109

Décision du 07 août 2018 1/4 social N° RG 14/07300

peuvent trouver (l’utilisateur) dans les services X à l’aide de (son) adresse e-mail ou de (son) numéro de téléphone.

De sorte que les données personnelles de l’utilisateur, déposées au moment de l’inscription et publiques par défaut à ce stade, resteront publiques, faute pour l’utilisateur de disposer – préalablement à son inscription – d’une information lui indiquant qu’il peut, s’il le souhaite, contrôler par paramétrage l’accès des tiers à ses données personnelles via les « paramètres de confidentialité ». La société X se borne en effet à rappeler dans ses écritures, qu’elle informe l’utilisateur que son inscription est conditionnée à l’acceptation des « Conditions d’utilisation et (de) la Politique de confidentialité, notamment l’utilisation de cookies » et que "d’autres utilisateurs pourront (le) trouver grâce à (son) email ou (son) numéro de téléphone s’ils sont renseignés”, tout en estimant (p.145) qu’il est amplement suffisant, au regard de son dispositif de confidentialité, que l’utilisateur soit alerté du fait que des tiers peuvent le retrouver via son numéro de téléphone ou son adresse e-mail, lorsqu’ils effectuent ce type de recherche par X ou par une utilisation tierce. En sa qualité de responsable du traitement au sens de l’article 3 de la Loi Informatique et Libertés, la société X est pourtant responsable de la protection des données personnelles de l’utilisateur.

Ainsi, la clause n° 6 bis, qui évoque de manière confuse et à contretemps, la collecte des données personnelles de l’utilisateur et leur diffusion, ne répond pas aux exigences de collecte et de traitement loyal et licite prévues par l’article 6 de la Loi Informatique et Libertés.

Par ailleurs, en laissant croire que le professionnel n’est tenu d’aucune obligation à l’égard du consommateur/utilisateur, lorsqu’il collecte ou diffuse des informations qui peuvent être qualifiées de données à caractère personnel, la clause est abusive en ce qu’elle est de nature à créer un déséquilibre significatif entre les droits et obligations des parties au contrat.

En conséquence, la clause n° 6 bis de la Politique de confidentialité de X du 18 mai 2015, 27 janvier 2016 et 30 septembre 2016, illicite au regard des articles L. 111-1, L. 111-2 devenus les articles L. 111-2 et L. 111-3 du code de la consommation, de l’article L. 121-17, devenu les articles L. 221-5, L. 221-6 et L. 221-7 du code de la consommation, de l’article L. 121-19, devenu l’article L. 221-11, de l’article L.133-2, devenu l’article L. 211-1 du code de la consommation, des articles 2, 6 et 32-I et III de la Loi Informatique et Libertés, de l’article 2 de la loi du 4 août 1994, est abusive au regard des articles L. 132-1, devenu l’article L. 212-1, L. 212-3 et L. 214-1 du code de la consommation et de l’article R. 132-1 4°) devenu l’article R. 212-1 4°) du code de la consommation et, comme telle, réputée non écrite.

Page 110

Décision du 07 août 2018 1/4 social N° RG 14/07300

7. Clause n° 7 de la Politique de confidentialité de X :

Clause n°7 de la Politique de confidentialité de X du 21 octobre 2013 : « Informations supplémentaires : vous pouvez nous fournir des informations de profil que nous rendrons publiques, par exemple une courte biographie, votre localisation, votre site Web ou une photo. Vous pouvez fournir des informations dédiées à la personnalisation de votre compte, comme votre numéro de téléphone mobile pour la diffusion de SMS. Nous pourrons utiliser vos coordonnées afin de vous faire parvenir des informations sur nos Services ou vous proposer des offres. Vous pouvez utiliser vos paramètres de compte pour ne plus recevoir de notifications de X. Vous pouvez également vous désinscrire en suivant les instructions fournies dans les notifications ou sur notre site Web. Nous pourrons utiliser vos informations de contact pour permettre à d’autres personnes de trouver votre compte X, notamment via des services tiers et des applications clientes. Vos paramètres de compte déterminent si des tiers peuvent vous trouver à l’aide de votre adresse email ou votre numéro de téléphone mobile. Vous pouvez télécharger votre carnet d’adresses afin que nous soyons en mesure de vous aider à trouver des connaissances sur X. Nous pourrons alors vous suggérer de suivre certaines personnes sur X à partir des contacts importés de votre carnet d’adresses ; à tout moment, vous pouvez supprimer ces contacts de X. Lorsque vous nous envoyez un email, nous utilisons l’email, l’adresse email et les informations associées pour répondre à votre sollicitation. Si vous connectez votre compte X à un compte d’un autre service afin de faire des envois croisés, ledit service pourra nous communiquer vos informations de profil, de connexion, ainsi que toute autre information dont vous avez autorisé la divulgation. Ces informations nous permettent de réaliser des envois croisés, nous aident à améliorer nos Services et sont effacées de X quelques semaines après votre déconnexion du compte X du service tiers. En savoir plus à ce sujet ici. La communication des informations supplémentaires répertoriées dans cette section est entièrement facultative ».

Clause n°7 de la Politique de Confidentialité de X du 8 septembre 2014 : « Informations supplémentaires : vous pouvez nous fournir des informations de profil que nous rendrons publiques, par exemple une courte biographie, votre localisation, votre site Web ou une photo. Vous pouvez fournir des informations dédiées à la personnalisation de votre compte, comme votre numéro de téléphone mobile pour la diffusion de SMS. Nous pourrons utiliser vos coordonnées afin de vous faire parvenir des informations sur nos Services ou vous proposer des offres. Vous pouvez utiliser vos paramètres de compte pour ne plus recevoir de notifications de X. Vous pouvez également vous désinscrire en suivant les instructions fournies dans les notifications ou sur notre site Web. Nous pourrons utiliser vos informations de contact pour permettre à d’autres personnes de trouver votre compte X, notamment via des services tiers et des applications clientes. Vos paramètres de confidentialité déterminent si des tiers peuvent vous trouver à l’aide de

Page 111

Décision du 07 août 2018 1/4 social N° RG 14/07300

votre adresse email ou de votre numéro de téléphone mobile. Vous pouvez télécharger votre carnet d’adresses afin que nous soyons en mesure de vous aider à trouver des connaissances sur X ou pour permettre à d’autres utilisateurs de X de vous trouver. Nous pourrons vous proposer des suggestions à vous et à d’autres utilisateurs sur X à partir des contacts importés de votre carnet d’adresses. Vous pouvez supprimer de X les contacts importés à partir de votre carnet d’adresses à tout moment. Lorsque vous nous envoyez un email, nous utilisons l’email, l’adresse email et les informations associées pour répondre à votre sollicitation. Si vous connectez votre compte X à un compte d’un autre service afin de faire des envois croisés, ledit service pourra nous communiquer vos informations de profil, de connexion, ainsi que toute autre information dont vous avez autorisé la divulgation. Ces informations nous permettent de réaliser des envois croisés, nous aident à améliorer nos Services et sont effacées de X quelques semaines après votre déconnexion du compte X du service tiers. Plus d’informations à ce sujet ici. La communication des informations supplémentaires répertoriées dans cette section est entièrement facultative».

Clause n°7 de la Politique de Confidentialité de X du 18 mai 2015 : « Informations supplémentaires : vous pouvez nous fournir des informations de profil que nous rendrons publiques sur les Services X, par exemple une courte biographie, votre localisation, votre site Web ou une photo. Vous pouvez télécharger votre carnet d’adresses afin que nous soyons en mesure de vous aider à trouver des connaissances sur X ou pour permettre à d’autres utilisateurs de vous trouver. Nous pourrons vous proposer des suggestions à vous et à d’autres utilisateurs à partir des contacts importés de votre carnet d’adresses. Vous pouvez supprimer les contacts importés à partir de votre carnet d’adresses à tout moment. Plus d’informations à ce sujet ici. Lorsque vous nous envoyez un e-mail, nous utilisons l’email, l’adresse email et les informations associées pour répondre à votre sollicitation. Si vous connectez votre compte dans nos Services à un compte d’un autre service afin de faire des envois croisés entre nos Services et ce service, ledit service pourra nous communiquer vos informations de profil, de connexion, ainsi que toute autre information dont vous avez autorisé la divulgation. Ces informations nous permettent de réaliser des envois croisés, nous aident à améliorer nos Services et sont effacées de nos Services quelques semaines après votre déconnexion de nos Services depuis le service tiers. Plus d’informations à ce sujet ici. La communication des informations supplémentaires répertoriées dans cette section est entièrement facultative ».

Clause n°7 de la Politique de Confidentialité de X du 27 janvier 2016 : « Informations supplémentaires : vous pouvez nous fournir des informations de profil que nous rendrons publiques sur les services X, par exemple une courte biographie, votre localisation, votre site Web, votre date de naissance ou une photo. Pour certains champs d’informations sur le profil, nous vous proposons des paramètres de

Page 112

Décision du 07 août 2018 1/4 social N° RG 14/07300

visibilité qui vous permettent de sélectionner les personnes autorisées à consulter ces informations dans votre profil. Si, après avoir fourni des informations dans votre profil, vous ne voyez apparaître aucun paramètre de visibilité, cela signifie que ces informations sont publiques. Vous pouvez télécharger et synchroniser votre carnet d’adresses afin que nous soyons en mesure de vous aider à trouver des connaissances sur X et à vous y connecter, ou pour permettre à d’autres utilisateurs de vous trouver et de prendre contact avec vous. Nous pourrons vous proposer de personnaliser vos contenus, en vous donnant la possibilité d’ajouter des suggestions ou encore d’afficher des comptes utilisateurs et des Tweets pour vous et d’autres utilisateurs, à partir des contacts importés de votre carnet d’adresses. Vous pouvez supprimer les contacts importés à partir de votre carnet d’adresses à tout moment. Plus d’informations à ce sujet ici. Lorsque vous nous envoyez un e-mail, nous utilisons l’e-mail, l’adresse e-mail et les informations associées pour répondre à votre sollicitation. Si vous connectez votre compte dans nos Services à un compte d’un autre service afin de faire des envois croisés entre nos Services et ce service, ledit service pourra nous communiquer vos informations de profil, de connexion, ainsi que toute autre information dont vous aurez autorisé la divulgation. Ces informations nous permettent de réaliser des envois croisés, nous aident à améliorer nos Services et sont effacées de nos Services quelques semaines après votre déconnexion de nos Services depuis le service tiers. Plus d’informations à ce sujet ici. La communication des informations supplémentaires répertoriées dans cette section est entièrement facultative. »

Clause n°7 de la Politique de Confidentialité de X du 30 septembre 2016 : « Informations supplémentaires : Vous pouvez choisir de nous fournir des informations supplémentaires afin d’aider à améliorer et à personnaliser votre expérience sur l’ensemble de nos Services. Par exemple, vous pouvez télécharger et synchroniser votre carnet d’adresses afin que nous puissions vous aider à trouver et à contacter des utilisateurs X que vous connaissez, ou pour permettre à d’autres utilisateurs de vous trouver et de prendre contact avec vous. Nous pourrons vous proposer de personnaliser vos contenus, en vous donnant la possibilité d’ajouter des suggestions ou encore d’afficher des comptes utilisateurs et des Tweets pour vous et d’autres utilisateurs, à partir des contacts importés de votre carnet d’adresses. Vous pouvez supprimer les contacts importés à partir de votre carnet d’adresses à tout moment en vous rendant sur votre Tableau de bord contacts (« Contacts Dashboard ») dans vos paramètres de confidentialité. Lorsque vous nous envoyez un e-mail, il se peut que nous gardions le message, l’adresse e-mail et vos coordonnées pour répondre à votre sollicitation. Si vous connectez votre compte dans nos Services à un compte d’un autre service afin de réaliser des publications croisées entre nos Services et ce service, ledit service pourra nous communiquer vos informations de profil, de connexion, ainsi que toute autre information dont vous aurez autorisé la divulgation. Ces informations nous permettent de réaliser des publications croisées, nous aident à améliorer nos Services et sont effacées de nos Services quelques semaines après votre déconnexion de nos Services depuis le service tiers. »

Page 113

Décision du 07 août 2018 1/4 social N° RG 14/07300

L’association UFC-QUE CHOISIR reproche à la clause n° 7 de la Politique de Confidentialité de X de ne pas qualifier juridiquement les données personnelles. Elle critique également l’absence de maitrise de l’utilisateur sur la publicité de ses données à caractère personnel de l’utilisateur, l’imprécision des traitements desdites données, le manque de clarté sur la notion d’envoi croisé du service X avec un autre service, l’absence de consentement éclairé à la collecte des données, le caractère illicite et déloyal de la collecte et la durée potentiellement illimitée de conservation des données.

La société X réplique que cette clause n° 7, qui, comme les précédentes clauses, fait partie de la rubrique “Collecte et utilisation des informations”, décrit les utilisations possibles de certaines informations supplémentaires, que l’utilisateur peut confier à X pour compléter son profil public ou personnaliser son compte, ces informations ayant pour caractéristique commune d’être fournies à X de façon facultative.

La société maintient qu’il n’existe aucune obligation légale l’obligeant à qualifier juridiquement de « données à caractère personnel » les données en cause. Elle soutient que l’utilisateur décide lui-même des informations qu’il soumet à X afin de les rendre publiques et qu’il peut modifier à tout moment son nom d’utilisateur, paramétrer son compte, afin de rendre ses Tweets « privés ». Elle ajoute qu’il peut supprimer des informations en utilisant certaines des options de visibilité mentionnées dans la clause n°7.

S’agissant des finalités de traitement, la société affirme que les données qui ont vocation à être rendues publiques ont une finalité « auto explicite » en ce sens que les informations de profil fournies sont rendues publiques sur les services X, les destinataires étant potentiellement tous les membres du public mondial disposant d’une connexion à Internet. Elle précise qu’un manquement à l’article 32 de la Loi Informatique et Libertés ne saurait découler du libellé d’une simple clause, l’utilisateur recevant de nombreuses informations sur l’utilisation de ses données par d’autres moyens et notamment dans les différents formulaires de saisie.

S’agissant des envois croisés, la société explique dans ses écritures qu’ils concernent l’ouverture de ses données à un autre service, à la suite d’une décision de l’utilisateur, qui peut utiliser les paramètres avancés de son compte, par exemple pour diffuser ses Tweets sur un blog indépendant ou sur une page Facebook etc.

La société X ajoute que ces options accessoires et facultatives n’entrant pas dans les « caractéristiques essentielles du service » elles ne sont pas soumises à l’obligation pour X de les expliciter davantage dans sa Politique de confidentialité.

Page 114

Décision du 07 août 2018 1/4 social N° RG 14/07300

a) Sur l’absence de qualification des données :

L’examen de la clause n° 7 de la « Politique de confidentialité » doit être associé à celui mené à propos des clauses n° 1, 6 bis, 8, 12 devenue la clause n° 13 et de la clause n° 20 devenue la clause n° 24 de la Politique de confidentialité. Toutes ces clauses concernent la collecte de l’utilisation auprès de l’utilisateur de données, qualifiées d'« informations » ou de « coordonnées » par X, ce que conteste l’UFC-QUE CHOISIR qui prétend qu’il s’agit de données à caractère personnel bénéficiant de la protection de la Loi Informatique et Libertés.

En l’espèce la clause critiquée porte sur la proposition faite à l’utilisateur de « compléter ses informations de profil » par des « informations supplémentaires » comme « par exemple » une courte biographie, sa localisation, son site web, une photo, voire son numéro de téléphone mobile.

La clause offre également à ce dernier la possibilité de télécharger son carnet d’adresses.

La société X estime ne pas être astreint à une obligation d’information d’origine légale s’agissant en l’espèce de services optionnels ou facultatifs et non de « caractéristiques essentielles » du service.

Les articles L. 111-1 et l’article L. 111-2 devenus l’article L. 111-1 du code de la consommation imposent au professionnel de communiquer au consommateur, avant qu’il ne soit lié par un contrat de vente de biens ou de fourniture de services, de manière lisible et compréhensible, les caractéristiques essentielles du bien ou du service, compte tenu du support de communication utilisé et du bien ou service concerné.

Aux termes des articles précités, l’obligation précontractuelle d’information mise à la charge du professionnel permet au consommateur d’émettre un consentement éclairé sur l’ensemble des éléments susceptibles de le déterminer, au rang desquels figure la présence d’options, qui dès lors font partie des caractéristiques essentielles du service au sens de l’article L. 111-1 du code de la consommation.

Les informations communiquées par l’utilisateur, constituant des données personnelles au sens de l’article 2 de la Loi Informatique et Libertés, leur collecte et leur traitement ne sont licites qu’à la condition d’avoir recueilli le consentement informé de la personne concernée et pour des finalités déterminées et explicites.

Tel n’est pas le cas en l’espèce dans la clause critiquée.

Page 115

Décision du 07 août 2018 1/4 social N° RG 14/07300

De surcroît, en laissant croire à l’utilisateur, que la société X est dispensée de toute obligation à son égard, lorsqu’il dépose de sa propre initiative des informations qui peuvent être qualifiées de données à caractère personnel, lesdites informations étant par la suite collectées, traitées, utilisées ou partagées par le réseau social, la clause est de nature à créer un déséquilibre significatif entre les droits et obligations des parties au contrat au sens de l’article L. 132-1, devenu l’article L. 221-1 du code de la consommation.

Il conviendra donc de déclarer cette clause illicite et abusive.

b) Sur l’absence de maitrise de l’utilisateur sur la publicité de ses données à caractère personnel :

La clause critiquée indique que l’utilisateur peut paramétrer son compte pour ne plus recevoir de notifications de X ; qu’il peut à ce titre se désinscrire en suivant les instructions fournies dans les notifications ou sur le site web ; qu’il peut également paramétrer son compte afin de contrôler l’accès des tiers à son compte grâce à son adresse e-mail ou son numéro de téléphone et qu’il pourra supprimer les contacts importés depuis son carnet d’adresses.

Toutefois, en l’absence d’information préalable de l’utilisateur sur la nature et le volume des données à caractère personnel collectées à l’occasion de la fourniture par ses soins « d’informations supplémentaires », la clause méconnait les dispositions des articles 2 et 6 de la Loi Informatique et Libertés qui conditionnent cette collecte et ce traitement au consentement éclairé de l’utilisateur. La clause est donc illicite au regard des dispositions précitées.

c) Sur l’imprécision des finalités des traitements des données à caractère personnel de l’utilisateur :

En l’espèce, la clause n° 7 prévoit, dans l’hypothèse où l’utilisateur fournit des « informations supplémentaires » pour compléter ses « informations de profil », l’utilisation par X des « coordonnées » de l’utilisateur pour faire parvenir à l’utilisateur des informations sur les services ou des « offres ».

La clause prévoit également l’utilisation par X des « informations de contact » de l’utilisateur permettant à des tiers (« d’autres personnes ») d’accéder à son compte par l’intermédiaire de « services tiers » et d'« applications clientes » ainsi que l’utilisation des contacts importés de son carnet d’adresse pour suggérer de suivre d’autres personnes sur X.

Page 116

Décision du 07 août 2018 1/4 social N° RG 14/07300

Elle envisage également l’utilisation par X de l’e-mail, l’adresse e-mail et des « informations associées » de l’utilisateur, lorsque celui-ci lui envoie un courriel.

S’agissant des informations collectées par X à l’occasion des « envois croisés » (cf. infra) la clause précise que ces informations permettent d’améliorer les services de X.

Aux termes des articles 6 et 7 de la Loi Informatique et Libertés un traitement de données à caractère personnel n’est licite qu’à la condition d’avoir reçu au préalable le consentement de la personne concernée, pour des finalités déterminées, explicites et légitimes, les données ne devant pas être traitées ultérieurement de manière incompatible avec ces finalités.

Or, la clause qui prévoit la faculté pour le professionnel de communiquer les données à caractère personnel des utilisateurs à des tiers non désignés ou des catégories de tiers non désignées, pour des utilisations non précisées, dont les finalités ne sont pas spécifiquement envisagées, ne respecte pas les dispositions des articles 6 et 7 de la Loi Informatique et libertés.

Elle est donc illicite au regard des dispositions précitées.

d) Sur la notion d’envois croisés (ou publications croisées) :

Aux termes de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation, les clauses des contrats proposés par les professionnels aux consommateurs doivent être présentées et rédigées de façon claire et compréhensible.

En l’espèce, la clause critiquée prévoit que des données à caractère personnel de l’utilisateur sont collectées par X, lorsque l’utilisateur connecte son compte à un autre compte d’un autre service, ledit service communiquant « les informations de profil », les « informations de connexion » de l’utilisateur sur ce site, ainsi que toute autre information pour lesquelles l’utilisateur a donné une autorisation de divulgation. Dans ses écritures X informe le Tribunal (la clause restant muette à ce sujet) que les services faisant l’objet d’envois croisés sont constitués de blogs indépendants ou de site comme Facebook. De sorte que la clause critiquée ne fournit à l’utilisateur aucune information explicite sur le fait que des informations (de profil ou de connexion) ainsi que des informations pour lesquelles l’utilisateur a donné l’autorisation de divulgation sur d’autres sites consultés, sont automatiquement transférés à X. Elle n’informe pas non plus l’utilisateur que X peut également transférer aux sites concernés les informations concernant l’utilisateur (dont ses données personnelles).

Page 117

Décision du 07 août 2018 1/4 social N° RG 14/07300

En ne permettant pas à l’utilisateur de se forger une opinion sur l’étendue des données à caractères personnel communiquées entre X et sites tiers, la clause contrevient aux dispositions de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation et des articles 2, 6 1°) de la Loi Informatique et Liberté, la collecte de ces données n’étant pas loyale et licite.

Elle devra donc être réputée non écrite.

e) Sur la durée de conservation des données :

L’article 6 5°) de la Loi Informatique et Libertés impose que les données permettant l’identification des personnes concernées par un traitement ne peuvent être conservées sous une forme permettant leur identification que pour une durée qui ne peut excéder la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

En l’espèce, la clause soumise à la critique prévoit que les données personnelles de l’utilisateur, recueillies auprès des sites tiers, seront conservées quelques semaines après la déconnexion par l’utilisateur du compte X du site tiers, de sorte que tant que l’utilisateur reste connecté à X depuis un service tiers, les données sont conservées par X.

La clause n° 7 qui prévoit une conservation des données à caractère personnel de l’utilisateur pour une durée qui n’est pas déterminée, contrevient aux dispositions de l’article 6 5°) de la Loi Informatique et Libertés ; elle est donc illicite à cet égard.

En conséquence, la clause n°7 de la Politique de confidentialité de X du 21 octobre 2013, du 8 septembre 2014, du 17 avril 2015, du 27 janvier 2016 et du 30 septembre 2016, illicite au regard des articles L.111-1, L. 111-2, devenus les articles L. 111-2 et L. 111-3 du code de la consommation, de l’article L.133-2 devenu l’article L. 211-1 du Code de la consommation et des articles 2, 6 5°) de la Loi Informatique et Libertés, et abusive au regard des articles L. 132-1, devenu l’article L. 221-1 du code de la consommation et doit être réputée non écrite.

8. Clause n° 8 de la Politique de confidentialité de X :

Page 118

Décision du 07 août 2018 1/4 social N° RG 14/07300

Clause n°8 de la Politique de confidentialité de X du 21 octobre 2013 : « Tweets, abonnements, listes et autres informations publiques : nos Services sont avant tout conçus pour vous aider à partager des informations avec le monde entier. La plupart des informations que vous nous fournissez sont des informations que vous souhaitez rendre publiques. Il peut s’agir non seulement des messages que vous Tweetez et des métadonnées fournies avec les Tweets mais également des listes créées, des personnes que vous suivez, des Tweets que vous marquez comme favoris ou que vous Retweetez ainsi que des autres informations associées à votre utilisation des Services. Par défaut, les informations que vous fournissez restent presque tout le temps publiques tant que vous ne les effacez pas de X, mais nous fournissons habituellement des possibilités de paramétrage qui vous permettent de conserver la confidentialité des données de votre choix. Vos informations publiques sont instantanément et largement diffusées. Par exemple, les informations publiques de votre profil et vos Tweets publics sont interrogeables par des moteurs de recherche et sont adressés via SMS et via nos API à un large éventail d’utilisateurs et de services, dont notamment la Librairie du Congrès des États-Unis d’Amérique qui archive les Tweets à des fins historiques. Quand vous partagez des informations ou des contenus tels que des photos, des vidéos et des liens via les Services, vous devez réfléchir sérieusement à ce que vous rendez public ».

Clause n°8 de la Politique de confidentialité de X du 8 septembre 2014 : « Tweets, abonnements, listes et autres informations publiques : nos Services sont avant tout conçus pour vous aider à partager des informations avec le monde entier. La plupart des informations que vous nous fournissez sont des informations que vous souhaitez rendre publiques. Il peut s’agir non seulement des messages que vous Tweetez et des métadonnées fournies avec les Tweets (telles que la date de vos Tweets) mais également des listes créées, des personnes que vous suivez, des Tweets que vous marquez comme favoris ou que vous Retweetez ainsi que des autres informations associées à votre utilisation des Services. Nous pouvons être amenés à utiliser ces informations afin de personnaliser le contenu que nous vous proposons, y compris les publicités. Par défaut, les informations que vous fournissez restent presque tout le temps publiques tant que vous ne les effacez pas de X, mais nous fournissons habituellement des possibilités de paramétrage qui vous permettent de conserver la confidentialité des informations si vous le souhaitez. Nos services diffusent instantanément et largement vos informations publiques auprès d’un large éventail d’utilisateurs, de clients et de services. Par exemple, les informations publiques de votre profil et vos Tweets publics sont immédiatement adressés via SMS et via nos API à nos partenaires et autres tierces parties, y compris les moteurs de recherche, développeurs et éditeurs intégrant du contenu X dans leurs services, ainsi qu’aux institutions telles les universités et organismes de santé publique qui analysent ces informations afin de dégager des tendances et de fournir des rapports. Quand vous partagez des informations ou des contenus tels que des photos, des vidéos et des liens via les Services, vous devez réfléchir sérieusement à ce que vous rendez public. »

Page 119

Décision du 07 août 2018 1/4 social N° RG 14/07300

Clause n°8 de la Politique d’utilisation des données du 18 mai 2015 : « Tweets, abonnements, listes et autres informations publiques : nos Services sont avant tout conçus pour vous aider à partager des informations avec le monde entier. La plupart des informations que vous fournissez par le biais des Services X sont des informations que vous souhaitez rendre publiques. Vos informations publiques comprennent les messages que vous tweetez, les métadonnées fournies avec les Tweets, telles que la date de vos Tweets et l’application client utilisée pour vos Tweets ; la langue, le pays et le fuseau horaire associés à votre compte ; ainsi que les listes créées, les personnes que vous suivez, les Tweets que vous marquez comme favoris ou que vous retweetez, ainsi que d’autres informations associées à votre utilisation des Services X. Nous pouvons être amenés à utiliser ces informations pour effectuer des déductions, telles que les sujets qui peuvent vous intéresser, et pour personnaliser le contenu que nous vous proposons, y compris les publicités. Par défaut, les informations que vous fournissez par le biais des Services X restent presque tout le temps publiques tant que vous ne les effacez pas, mais nous fournissons habituellement des possibilités de paramétrage ou des fonctionnalités, telles que la messagerie directe, qui vous permettent de conserver la confidentialité des informations si vous le souhaitez. Les Services X diffusent instantanément et largement vos informations publiques de votre profil et vos Tweets publics sont immédiatement adressés via SMS et via nos API à nos partenaires et autres tierces parties, y compris les moteurs de recherche, développeurs et éditeurs intégrant du contenu X dans leurs services, ainsi qu’aux institutions telles que les universités et organismes de santé publique qui analysent ces informations afin de dégager des tendances et de fournir des rapports. Quand vous partagez des informations ou des contenus tels que des photos, des vidéos et des liens via les Services, vous devez réfléchir sérieusement à ce que vous rendez public. »

Clause n°8 de la Politique d’utilisation des données du 27 janvier 2016 : « Tweets, abonnements, listes et autres informations publiques :nos Services sont avant tout conçus pour vous aider à partager des informations avec le monde entier. La plupart des informations que vous fournissez par le biais des Services X sont des informations que vous souhaitez rendre publiques. Vos informations publiques comprennent les messages que vous tweetez ; les métadonnées fournies avec les Tweets, telles que la date de vos Tweets et l’application client utilisée pour vos Tweets ; la langue, le pays et le fuseau horaire associés à votre compte ; ainsi que les listes créées, les personnes que vous suivez, les Tweets que vous marquez comme J’aime ou que vous retweetez, ainsi que d’autres informations associées à votre utilisation des Services X. Nous pouvons être amenés à utiliser ces informations pour effectuer des déductions, telles que les sujets qui peuvent vous intéresser, et pour personnaliser le contenu que nous vous proposons, y compris les publicités. Par défaut, les informations que vous fournissez par le biais des Services X restent presque tout le temps publiques tant que vous ne les effacez pas, mais nous fournissons habituellement des possibilités de paramétrage ou des fonctionnalités, telles que la messagerie directe, qui vous permettent de conserver la confidentialité des informations si vous le

Page 120

Décision du 07 août 2018 1/4 social N° RG 14/07300

souhaitez. Vous pouvez à tout moment modifier la langue et le fuseau horaire associés à votre compte à l’aide des paramètres de compte. » Les Services X diffusent instantanément et largement vos informations publiques auprès d’un large éventail d’utilisateurs, de clients et de services. Par exemple, les informations publiques de votre profil et vos Tweets publics sont immédiatement adressés via SMS et via nos API à nos partenaires et autres tierces parties, y compris les moteurs de recherche, développeurs et éditeurs intégrant du contenu X dans leurs services, ainsi qu’aux institutions telles que les universités et organismes de santé publique qui analysent ces informations afin de dégager des tendances et de fournir des rapports. Quand vous partagez des informations ou des contenus tels que des photos, des vidéos et des liens via les Services, vous devez réfléchir sérieusement à ce que vous rendez public. »

Clause n°8 de la Politique d’utilisation des données du 30 septembre 2016 : Tweets, abonnements, listes, profil et autres informations publiques : X est avant tout conçu pour vous aider à partager des informations avec le monde entier. La plupart des informations que vous nous fournissez par le biais de X sont des informations que vous souhaitez rendre publiques. Vous pouvez nous fournir des informations de profil à rendre publiques sur X, par exemple une courte biographie, votre localisation, votre site Web, votre date de naissance ou une photo. En outre, vos informations publiques comprennent les messages que vous tweetez, les métadonnées fournies avec les Tweets, telles que la date de vos Tweets et l’application client utilisée pour vos Tweets, des informations à propos de votre compte telles que la date de création, la langue, le pays et le fuseau horaire, ainsi que les listes que vous créez, les personnes que vous suivez et les Tweets que vous marquez comme « J’aime » ou que vous retweetez. X diffuse instantanément et largement vos informations publiques à un large éventail d’utilisateurs, de clients et de services, y compris les moteurs de recherche, les développeurs et les éditeurs qui intègrent les contenus X dans leurs services, ainsi que des entités telles que des universités, des organismes de santé publique et des entreprises d’études de marché qui analysent les informations pour en tirer des tendances et des comportements. Quand vous partagez des informations ou des contenus tels que des photos, des vidéos et des liens via les Services, vous devez réfléchir sérieusement à ce que vous rendez public. Nous pouvons être amenés à utiliser ces informations pour en tirer des enseignements vous concernant, tels que les sujets susceptibles de vous intéresser. Par défaut, les informations que vous fournissez par le biais des Services restent publiques aussi longtemps que vous ne les effacez pas, mais nous vous proposons généralement des paramétrages ou des fonctionnalités, telles que la protection des Tweets, qui vous permettent de rendre les informations plus confidentielles si vous le souhaitez. Pour certains champs d’informations sur le profil, nous vous proposons des paramètres de visibilité qui vous permettent de sélectionner les personnes autorisées à consulter ces informations dans votre profil. Si, après avoir fourni des informations dans votre profil, vous ne voyez apparaître aucun paramètre de visibilité, cela signifie que ces informations sont publiques. Vous pouvez à tout moment modifier la langue et le fuseau horaire

Page 121

Décision du 07 août 2018 1/4 social N° RG 14/07300

associés à votre compte, à l’aide des paramètres de compte disponibles sur https://X.com/settings/account. »

a) Sur l’absence de qualification des données :

Selon l’association UFC QUE CHOISIR, la clause ne fait pas expressément référence à la notion de données à caractère personnel, X préférant employer le terme « information » alors qu’il s’agit de données à caractère personnel.

Pour la société X la clause n° 8 énumère la liste des contenus et informations qui ont vocation à être rendues publiques par X, tout en précisant que l’utilisateur peut les effacer et qu’il dispose de possibilités de paramétrage permettant d’en conserver la confidentialité. La société rappelle qu’aucune obligation n’impose à X d’utiliser le terme juridique « données à caractère personnel » dans une telle clause, notion juridique complexe, constamment soumise à réinterprétation. Elle précise qu’une fois inscrit, l’utilisateur a immédiatement la possibilité d’accéder à ses options de paramétrage en temps utile, c’est-à-dire avant-même d’envoyer son premier tweet.

L’examen de la clause n° 8 de la « Politique de confidentialité » (et non Politique d’utilisation des données, comme indiqué dans les termes de l’assignation reproduisant les versions des 18 mai 2015, 27 janvier 2016 et 30 septembre 2016 de la clause critiquée) doit être associé à l’examen des clauses n° 6, 6 bis, 7, 12 devenue la clause n° 13 et de la clause n° 20, devenue la clause n° 24 de la Politique de confidentialité.

En effet, toutes ces clauses concernent la collecte auprès de l’utilisateur de données et de leur utilisation, ces données étant qualifiées d'« informations » ou de « coordonnées » par la société X, ce que conteste l’UFC-QUE CHOISIR, s’agissant, selon elle, de données à caractère personnel bénéficiant de la protection instituée par les dispositions de la Loi Informatique et Libertés.

L’obligation d’information précontractuelle prévue dans les articles L.111-1, L.111-2, et, s’agissant de contrat conclu à distance, dans les articles L.121-17, L.121-19, L.121-19-2 et R.111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, impose au professionnel, avant la conclusion du contrat, de fournir au consommateur ou non professionnel les caractéristiques essentielles du service à rendre.

Aux termes des articles L. 133-1 et L. 133-2 devenus l’article L. 211-1 du code de la consommation imposent au professionnel une présentation et une rédaction claire et compréhensible des clauses des contrats qu’ils proposent au consommateur.

Page 122

Décision du 07 août 2018 1/4 social N° RG 14/07300

Au sens de l’article 2 de la Loi Informatique et Libertés, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

L’article 6 de la Loi Informatique et Libertés prévoit qu’un traitement ne peut porter sur des données à caractère personnel que si elles sont collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et qu’elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités, qu’elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

En l’espèce, la clause n° 8 de la Politique de confidentialité prévoit que les informations fournies par le biais des services de X sont publiques aussi longtemps que l’utilisateur ne les efface pas, affirmation déjà exprimée dans la clause n° 1 de la Politique de confidentialité, précédemment examinée par le Tribunal.

Or, il ressort des clauses précitées qu’au titre des informations fournies par l’utilisateur, sont susceptibles de figurer dans la liste des informations rendues publiques par défaut : la localisation de l’utilisateur, sa date de naissance, une photo, les tweets, les métadonnées fournies (entendues comme la date, l’application client utilisée), les informations relatives au compte (date de création, langue, pays, fuseau horaire, listes crées, personnes suivies, les tweets notés « J’aime » (Like) ou les tweets retweetés), X diffusant « instantanément ces informations publiques à un large éventail d’utilisateurs comprenant des clients et des services, y compris les moteurs de recherche, les développeurs et éditeurs qui intègrent les contenus X dans leurs services, ainsi que des entités telles que des universités, des organismes de santé publique et des entreprises d’études de marché qui analysent les informations pour en tirer des tendances et des comportements ».

S’agissant d’informations de données à caractère personnel au sens de l’article 2 de la Loi Informatique et Libertés la collecte et le traitement de telles données à caractère personnel ne sont licites qu’à condition d’avoir recueilli au préalable le consentement informé de la personne concernée – ce implique que tous les éclaircissements nécessaires lui aient été fournis – et pour des finalités déterminées et explicites au sens de l’article 6 de la Loi Informatique et Libertés.

Tel n’est pas le cas en l’espèce de la clause n° 8 qui se dispense d’informer l’utilisateur de la nature des données personnelles collectées, l’absence de cette information ne permettant pas de recueillir le consentement de la personne concernée. Cette clause se contente de conseiller à l’utilisateur de « réfléchir sérieusement à ce qu'(il) (rend) public ».

Page 123

Décision du 07 août 2018 1/4 social N° RG 14/07300

De plus, en laissant croire à l’utilisateur, que la société X est dispensée de toute obligation à l’égard de l’utilisateur, lorsqu’il dépose, consciemment ou non, des informations qui peuvent être qualifiées de données à caractère personnel, lesdites données étant par la suite collectées, traitées, utilisées et/ou partagées par le réseau social, la clause est de nature à créer un déséquilibre significatif entre les droits et obligations des parties au contrat au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation.

Il conviendra de déclarer cette clause illicite au regard des dispositions précitées et abusive au regard de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation.

b) Sur la maitrise de l’utilisateur sur la publicité de ses données à caractère personnel :

Selon l’association UFC QUE CHOISIR Les clauses précitées laissent croire à l’utilisateur qu’il peut déterminer la publication et la diffusion de ses données à caractère personnel présentes sur le réseau X, alors qu’il ressort de la lecture de ces clauses, que les possibilités de paramétrage de l’utilisateur sont limitées. Certaines données restant toujours publiques, la diffusion des données à caractère personnel de l’utilisateur qui s’impose indirectement à lui, ne saurait ainsi répondre à une collecte et à un traitement loyal et licite au sens de l’article 6 de la Loi Informatique et Libertés.

Pour l’association UFC QUE CHOISIR ces clauses sont également abusives au regard de l’article R. 132-1/4°) du code de la consommation, la contradiction de leurs termes ayant pour effet d’accorder le droit à la société X d’interpréter de manière exclusive une clause du contrat.

La société X réplique que la clause ne trompe pas l’utilisateur en affirmant que les options de paramétrage permettant le contrôle de la confidentialité sont offertes « habituellement » et non « systématiquement », les données en cause restant publiques à moins que les options de confidentialité soient activées.

En l’espèce, la clause critiquée, qui affirme que le site fournit « habituellement » à l’utilisateur des « possibilités de paramétrage », permettant de rendre « les informations plus confidentielles » et des « possibilités de visibilité » attribuant à l’utilisateur la faculté de sélectionner les personnes autorisées à consulter les informations de son profil, méconnaît les dispositions des articles 2 et 6 de la Loi Informatique et Libertés, qui conditionne la collecte et le traitement des données à caractère personnel de l’utilisateur à l’expression de son consentement éclairé.

Page 124

Décision du 07 août 2018 1/4 social N° RG 14/07300

La clause est donc illicite au regard des dispositions précitées.

c) Sur les finalités du traitement et des destinataires des données :

L’association UFC-QUE CHOISIR expose que la clause n° 8 prévoit la communication immédiate et globale de l’intégralité des contenus, dont les données à caractère personnel des utilisateurs qu’ils contiennent – les informations publiques n’étant pas limitées – aucune disposition de la clause n’expliquant de manière déterminée, explicite et légitime les finalités du traitement de données à caractère personnel opéré par X. Cette clause renverrait au contraire au moyen de formules imprécises (« nous pouvons ») et de manière non limitative à des finalités vagues comme « personnaliser le contenu » ou « effectuer des déductions ». Les versions du 18 mai 2015 et du 27 janvier 2016 n’informeraient pas sur la finalité de la collecte et de l’utilisation de ces données à caractère personnel. L’association ajoute que la clause critiquée n’identifie pas clairement les destinataires des données.

Selon la société X, l’utilisateur comprend nécessairement que les destinataires sont potentiellement tous les membres du public mondial disposant d’une connexion à Internet, ce qui inclut les autres « utilisateurs », les « clients » des utilisateurs professionnels, et les « services », tels ceux connectés par l’utilisateur à son compte pour faire des envois croisés ou ceux développés à partir de l’API X.

Aux termes de l’article 6/2°) de la Loi Informatique et Libertés, le traitement de données à caractère personnel d’une personne physique ne peut être effectué que pour des finalités déterminées, explicites et légitimes.

L’article 32-I/2°) de la Loi Informatique et Libertés prévoit que le traitement de données à caractère personnel n’est licite qu’à condition que ces données aient fait l’objet d’une collecte loyale et licite. La personne auprès de laquelle des données à caractère personnel la concernant sont recueillies doit être informée d’une part de la finalité déterminée et explicite poursuivie par l’opérateur du traitement et d’autre part des destinataires ou catégories de destinataires des données, leurs traitements ultérieurs devant être compatibles avec ces finalités. Ces données doivent par ailleurs être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.

Tel n’est pas le cas de la clause n° 8 qui envisage le traitement (qualifié d'« utilisation ») de données à caractère personnel (qualifiées d'« informations ») collectées auprès de l’utilisateur avec pour finalité d’en « tirer des enseignements (le) concernant, tels que les sujets susceptibles de (l')intéresser ». La clause apprend également à l’utilisateur la diffusion par X des informations collectées, lesquelles sont réputées publiques par défaut, instantanément et largement à un large éventail

Page 125

Décision du 07 août 2018 1/4 social N° RG 14/07300

d’utilisateurs, de clients et de services, « y compris les moteurs de recherche, les développeurs et les éditeurs qui intègrent les contenus X dans leurs services, ainsi que des entités telles que des universités, des organismes de santé publique et des entreprises d’études de marché qui analysent les informations pour en tirer des tendances et des comportements ». Tout cela intervientet sans informer précisément l’utilisateur des finalités déterminées et explicites poursuivies par le traitement de ces données personnelles collectées et des destinataires auquel elles sont destinées.

La clause est donc illicite au regard des dispositions précitées.

d) Sur le droit discrétionnaire d’utilisation, de suppression et d’agrégation des données à caractère personnel :

Pour UFC QUE CHOISIR, il ressort de la clause critiquée que X collecte les messages (tweets) avec des métadonnées, c’est-à-dire une donnée élaborée à partir du croisement d’autres données à caractère personnel ou non, qui associée à un numéro de série de terminal mobile ou à un nom d’utilisateur de certains services disponibles sur internet ou à une adresse IP permet d’identifier de manière très précise l’internaute dans la masse des utilisateurs.

Selon la société X, l’UFC-QUE CHOISIR propose une définition des métadonnées, qui ne ressort d’aucun dictionnaire. Les métadonnées sont des données associées aux Tweets, autres que leur contenu éditorial, telles que leur date où l’application utilisée pour les poster et non des informations extérieures obtenues par « recoupement » ou « croisement ». L’obligation d’information précontractuelle prévue dans les articles L.111-1, L.111-2, et, s’agissant de contrat conclu à distance, dans les articles L.121-17, L.121-19, L.121-19-2 et R.111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, impose au professionnel, avant la conclusion du contrat, de fournir au consommateur ou non professionnel les caractéristiques essentielles du service à rendre.

Aux termes de l’article 2 de la Loi Informatique et Libertés, constituent des données personnelles toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Aux termes du 2°) de l’article 6 de la Loi Informatique et Libertés, les données à caractère personnel sont collectées pour des finalités déterminées, explicites et légitimes et ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités.

Page 126

Décision du 07 août 2018 1/4 social N° RG 14/07300

En l’espèce, la clause critiquée ne donne aucune définition précise sur ce que l’utilisateur doit entendre par les termes et expressions « métadonnées » associées aux tweets et « application client » collectées par X, la clause se limitant à citer la date du tweet et l’application client" comme figurant au rang des métadonnées associées aux tweets. La société X indique dans ses conclusions à propos de cette clause que les métadonnées concernent les données qui ne font pas partie du contenu éditorial, entendu comme le corps du message.

Or, la clause n° 12 de la Politique de confidentialité précise, qu’à l’occasion des connexions de l’utilisateur avec des « applications tierces » (application clientes), les identifiants communs aux deux sites (nom de l’utilisateur, l’adresse IP complète ou l’adresse email), sont collectés. Ces données sont qualifiées dans cette même clause de « Données de journal », c’est-à-dire associées à des données « techniques » concernant le terminal de l’internaute, son adresse IP, le système d’exploitation utilisé, le type d’équipement de l’utilisateur, le logiciel de navigation internet, la localisation, mais également, la page Web d’où vient l’utilisateur, les pages visitées, son opérateur téléphonique, les informations relatives à son appareil (notamment les identifiants de l’appareil et de l’application utilisée), les termes de recherches ou les informations de cookies. Ces données sont collectées par X non seulement lorsque l’utilisateur se connecte à X via des applications tierces, mais plus généralement, lorsque l’utilisateur se connecte aux services de X (clause n° 12 devenue clause n° 13 de la Politique de confidentialité). La société X produit au débat la pièce n° 85 « Dictionnaire de l’e-reputation n° 198 : »Log« , et explique dans ses écritures, la clause n° 8 restant muette à ce sujet, que les »Données de journal« renvoient à la notion de »log« technique, terme utilisé en informatique pour nommer le journal d’évènements recensant toutes les activités qui se produisent sur un système, le log procurant des informations relatives à la façon dont un utilisateur interagit avec le système telles que l’historique des connexions, les liens cliqués, l’adresse IP, le type de navigateur utilisé. La définition produite par X précise que les »logs« , initialement utilisés pour assurer la sécurité des systèmes informatiques, sont désormais utilisés pour des »opérations marketings", car ils fournissent de précieuses informations sur le profil des internautes : origine géographique, navigateur, heure de connexion, etc.

Il résulte de l’analyse de la clause critiquée, associée à celle relative aux clauses n° 12 et 16 de la Politique de confidentialité, que sont collectées des données à caractère personnel auquel n’a pas accès l’utilisateur, lequel n’a donc pas pu exprimer au préalable son consentement éclairé au traitement. L’informateur n’a ainsi disposé ou bénéficié ni de l’information de l’existence ni de la conscience d’une telle collecte, de sorte qu’elle est effectuée d’une manière qui n’est ni loyale ni licite et pour des finalités qui ne sont ni déterminées, ni suffisamment explicites au regard des dispositions de l’article 6 de la Loi Informatique et Libertés.

En outre, la clause, en utilisant des termes et expressions non définies, est abusive de manière irréfragable au regard de l’article R. 132-4°) devenu l’article R. 212-1 4°) du code de la consommation, en ce qu’elle a pour

Page 127

Décision du 07 août 2018 1/4 social N° RG 14/07300

objet ou pour effet de conférer au professionnel un droit exclusif d’interpréter une quelconque clause du contrat.

e) Sur l’exonération de responsabilité de X en cas de violation de sécurité :

Aux termes de l’article 3 de la Loi Informatique et Libertés, le responsable du traitement est la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens du traitement des données à caractère personnel, l’article 34 de la même loi imposant à ce responsable du traitement de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Il ressort de la clause critiquée que la société X conseille à l’utilisateur de « réfléchir sérieusement à ce qu'(il) (rend) public », laissant entendre à celui-ci qu’il serait le seul responsable des contenus qu’il publie, alors qu’il résulte de la même clause et des clauses n° 12 et 16 de la Politique de confidentialité, qu’à l’occasion de ses publications, sont collectées des données à caractère personnel, auquel l’utilisateur n’a pas accès, données pour lesquelles il n’a donc pu donner son consentement. L’utilisateur n’a ainsi ni l’information de l’existence ni la conscience d’une telle collecte, de sorte que, dans une telle situation, il n’est pas véritablement concevable qu’il puisse « réfléchir sérieusement » aux contenus qu’il publie. La société X reste tenue, en sa qualité de responsable du traitement, de prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

En conséquence, la clause n° 8 de la Politique de confidentialité du 21 octobre 2013, 8 septembre 2014, 18 mai 2015, 27 janvier 2016 et 30 septembre 2016, illicite au regard des articles L. 111-1, L. 111-2, devenus les articles L. 111-1, L. 111-2, L. 111-3 du code de la consommation et des articles 2, 3, 6, 32-I 2°) et 34 de la Loi Informatique et Libertés et abusive au regard de l’article R. 132-1 4°) devenu l’article R. 212-1 4°) du code de la consommation, sera donc réputée non écrite.

9. Clause n°9 de la Politique de confidentialité de X devenue clause n°10 :

9. Messages directs et Communications non publiques : Nous proposons un certain nombre de fonctionnalités qui vous permettent de communiquer de façon plus confidentielle. Par exemple, vous pouvez utiliser les Messages directs pour avoir des conversations privées avec d’autres utilisateurs X. Lorsque vous communiquez de façon privée avec d’autres utilisateurs via nos Services, par exemple en envoyant et en

Page 128

Décision du 07 août 2018 1/4 social N° RG 14/07300

recevant des Messages directs, nous stockerons et traiterons vos communications et les informations y afférentes. Veuillez noter que si vous interagissez sur un contenu public X partagé via un Message direct, par exemple si marquez comme « J’aime » un Tweet partagé via un Message direct, ces interactions pourront être publiques. Bien que des fonctionnalités telles que les Messages directs soient destinées à être privées, n’oubliez pas que les destinataires peuvent copier, stocker et repartager le contenu de vos communications.

L’association UFC-QUE CHOISIR considère que la clause est illicite au regard des dispositions de la Loi Informatique et Libertés et est également abusive, car elle n’informe pas l’utilisateur sur la qualification de données personnelles collectées et sur les finalités de traitement.

La société X répond que cette clause est relative au système de messagerie privée ; qu’elle précise les modalités de traitement de ces communications non-publiques. Elle informe également que certaines fonctionnalités, comme le clic « J’aime » (la fonction « like »), consistant à déclarer son intérêt pour un thème ou une page, est rendu publique, même lorsque le clic est effectué dans le cadre d’une conversation privée.

a) Sur la qualification des données

L’article 2 de la Loi Informatique et Libertés dispose que constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

En l’espèce, le bouton « J’aime », dont la société X observe qu’il est largement utilisé dans les réseaux sociaux, est une donnée personnelle au sens de l’article 2 de la Loi Informatique et Libertés. Cela apparaît le cas lorsqu’est pris en considération l’ensemble des moyens dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne, permettant l’identification de la personne concernée. Le réseau social X dispose de nombreux moyens d’identification de l’utilisateur fournissant consciemment ou non, comme des données personnelles à l’occasion de son inscription sur le site (clause n° 6), les données résultant de son activité sur le site (clause n° 8 de la Politique de confidentialité), les données provenant des appareils utilisés (système d’exploitation, coordonnées GPS, type de navigateur, numéro de téléphone mobile etc. ; clause n° 9 de la Politique de confidentialité), les données résultant de sa navigation sur des sites tiers (clause n° 7 et 8 de la Politique de confidentialité), les données provenant de l’utilisation d’applications (clause n° 3 de la politique de confidentialité) ou les données émanant de

Page 129

Décision du 07 août 2018 1/4 social N° RG 14/07300

sociétés partenaires tiers ou de société du groupe X (clause n° 5 de la Politique de confidentialité).

Les articles 6 et 7 de la Loi Informatique et Libertés disposent que les données personnelles doivent être collectées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités initiales. Un traitement de données à caractère personnel doit avoir ainsi reçu le consentement de la personne concernée

Tel n’est pas le cas de la clause critiquée qui n’informe pas l’utilisateur de manière suffisamment claire et précise sur le caractère de données personnelles des données collectées et qui de ce fait ne peut recueillir le contentement éclairé spécifique et non équivoque de l’utilisateur.

b) Sur l’absence d’information sur les finalités de traitement :

Aux termes de l’article 32-I 2°) et 5°) de la Loi Informatique et Libertés, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable par le responsable de traitement ou son représentant, de la finalité du traitement et des destinataires ou catégories de destinataires des données.

Tel n’est pas le cas de la clause critiquée qui n’informe pas l’utilisateur de manière suffisamment claire et précise sur la nature des données collectées, des finalités et des destinataires de la collecte des données à caractère personnel précitées.

En conséquence, la clause n° 9 de la Politique de confidentialité du 30 septembre 2016 illicite au regard des article 2, 6, 7, et 32-I de la Loi Informatique et Libertés, des articles L. 111-1, devenu les articles L. 111-1, L. 111-2 et L. 111-3 du code de la consommation, des articles L. 133-2 devenu les articles L. 221-5, L. 221-6, L. 221-7 du code de la consommation, et est abusive au sens de l’article L. 132-1, devenu les articles L. 212-1, L. 212-3 et L. 241-1 du code de la consommation et comme telle doit être réputée non-écrite.

10. Clause n°9 de la Politique de confidentialité de X devenue clause n°10.

Clause n°9 de la Politique de confidentialité de X du 21 octobre 2013 : « Informations de localisation : vous pouvez choisir de publier votre localisation dans vos Tweets et sur votre profil X. Vous pouvez aussi nous communiquer votre localisation actuelle en la renseignant sur

Page 130

Décision du 07 août 2018 1/4 social N° RG 14/07300

X.com ou en autorisant votre ordinateur (ou votre équipement mobile) à nous transmettre des données de localisation. Vous pouvez paramétrez vos préférences de localisation X dans vos paramètres de compte et en savoir plus sur cette fonction ici. Apprenez comment configurer les préférences de localisation de votre équipement mobile ici. Nous pouvons utiliser et conserver vos informations de localisation pour vous fournir certaines fonctions de nos Services, comme Tweeter avec votre localisation mais également améliorer et personnaliser les Services, avec, par exemple, des contenus plus pertinents comme des tendances locales, des histoires, des publicités et des suggestions de personnes à suivre ».

Clause n°9 de la Politique de Confidentialité de X du 8 septembre 2014 : Informations de localisation : vous pouvez choisir de publier votre localisation dans vos Tweets et sur votre profil X. Vous pouvez aussi nous communiquer votre localisation actuelle en la renseignant sur X.com ou en autorisant votre ordinateur (ou votre appareil mobile) à nous envoyer des données de localisation. Par ailleurs, nous pouvons être amenés à utiliser d’autres données fournies par votre appareil pour déterminer votre localisation, par exemple, des informations concernant les réseaux sans fil ou les antennes-relais à proximité de votre appareil mobile ou votre adresse IP. Nous pouvons être amenés à utiliser et conserver vos informations de localisation pour vous fournir certaines fonctions de nos Services avec, par exemple, des contenus plus pertinents comme des tendances locales, des histoires, des publicités et des suggestions de personne à suivre. Pour en savoir plus sur l’utilisation de la localisation par X, cliquez ici. Pour découvrir comment définir vos préférences de localisation, cliquez ici.

Clause n°9 de la Politique de Confidentialité de X du 18 mai 2015 et du 27 janvier 2016 : Informations de localisation : X peut recevoir des informations sur votre localisation. Par exemple, vous pouvez choisir de publier votre localisation dans vos Tweets et sur votre profil X. Vous pouvez aussi nous communiquer votre localisation actuelle en la renseignant sur X.com. Nous pouvons également déterminer votre localisation en utilisant les autres données de votre appareil, telles que les informations de localisation précises de votre GPS, les informations concernant les réseaux sans fil ou les antennes-relais à proximité de votre appareil mobile ou votre adresse IP. Nous pouvons être amenés à utiliser et conserver vos informations de localisation pour vous fournir certaines fonctions de nos Services, comme tweeter avec votre localisation, mais également améliorer et personnaliser les Services avec, par exemple, des contenus plus pertinents comme des tendances locales, des témoignages, des publicités et des suggestions de personnes à suivre. Pour en savoir plus sur l’utilisation que nous faisons de la localisation, cliquez ici ; pour découvrir comment définir vos préférences de localisation, cliquez ici

Page 131

Décision du 07 août 2018 1/4 social N° RG 14/07300

Clause n°10 de la Politique de Confidentialité de X du 30 septembre 2016 : « Informations de localisation : Nous pouvons recevoir des informations sur votre localisation. Par exemple, vous pouvez choisir de publier votre localisation dans vos Tweets et sur votre profil X. Vous pouvez aussi nous communiquer votre localisation actuelle en la renseignant sur X.com. Nous pouvons également déterminer votre localisation en utilisant les autres données de votre appareil, telles que les informations de localisation précises de votre GPS, les informations concernant les réseaux sans fil ou les antennes-relais à proximité de votre appareil mobile, ou votre adresse IP. Nous pouvons être amenés à utiliser et conserver vos informations de localisation pour vous fournir certaines fonctionnalités de nos Services, comme tweeter avec votre localisation, mais également améliorer et personnaliser les Services avec, par exemple, des contenus plus pertinents comme des tendances, des témoignages, des publicités et des suggestions de personnes à suivre à proximité. Pour en savoir plus sur l’utilisation que nous faisons de la localisation, cliquez ici, et pour découvrir comment définir vos préférences de localisation, cliquez ici ». »

a) Sur la collecte de données présentes sur l’appareil de l’utilisateur :

L’association UFC-QUE CHOISIR reproche à la clause n° 9 de la Politique de confidentialité de permettre à X de collecter des données à caractère personnel de l’utilisateur sans l’informer clairement de l’existence de cette collecte et de ses finalités ainsi que de la possibilité de s’y opposer.

Pour la société X, la clause énonce la manière dont X peut collecter des données relatives à la localisation géographique des utilisateurs (informations fournies par les appareils terminaux ou le réseau de l’utilisateur, telles que les données GPS), et les finalités des traitements qu’elle peut en faire. S’agissant de données « permettant la localisation précise », la société X estime que l’internaute est suffisamment éclairée sur la catégorie de données visées. La clause ne serait donc pas contraire à l’article L.133-2 du code de la consommation. En outre, la société X précise que la clause renvoie, grâce à des liens hypertextes, à une page du Centre d’assistance permettant d’en savoir plus sur l’ajout d’une localisation, de préciser les informations concernées et de contrôler les paramètres de localisation.

L’article 6 de la Loi Informatique et Libertés impose que les données soient collectées et traitées de manière loyale et licite (article 6/1°), pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités (article 6/2°)). Ces traitements doivent être adéquats, pertinents et non excessifs au regard des finalités pour lesquelles les données ont été collectées (article 6/3°).

Aux termes de l’article 32-I de la Loi Informatique et Libertés, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable

Page 132

Décision du 07 août 2018 1/4 social N° RG 14/07300

du traitement ou son représentant, de l''identité du responsable du traitement et, le cas échéant, de celle de son représentant (article 32-I 1°), de la finalité poursuivie par le traitement auquel les données sont destinées (article 32-I 2°), des destinataires ou catégories de destinataires des données (article 32-I 5°), de la durée de conservation des catégories de données traitées(article 32-I 8°).

En l’espèce la clause n° 9 de la Politique de confidentialité n’informe pas clairement l’utilisateur de la collecte d’informations stockées sur les appareils dont il se sert pour se connecter au réseau et présume son consentement à la collecte de données à caractère personnel, telles les informations de localisation contenant notamment l’adresse IP de l’ordinateur utilisé. La clause se borne à renvoyer par lien hypertexte vers une page du « Centre d’assistance », intitulée « Utiliser le service de localisation sur les appareils mobiles », laquelle ne donne aucune information sur les données collectées, tout en délivrant à l’utilisateur un mode opératoire pour activer ou désactiver le service de localisation concernant l’application X d’abord pour le système IOS (IPhone Operating System) puis pour le système « Android ». Ce dernier ne dispose, selon la page consultée, d’aucune d’option spécifique pour désactiver le service de localisation de X sur son appareil mobile, de sorte que l’option de localisation étant activé pour d’autres services ou d’autres applications, le service de localisation de X se trouve activé et les données automatiquement collectées. La même page prévoit le cas où l’utilisateur dispose d’un point d’accès sans fil, X utilisant systématiquement dans cette hypothèse – que le service de localisation ait été ou non activé par l’utilisateur – des informations « comme son nom/identifiant SSID, son adresse MAC, sa fréquence et la force de son signal pour optimiser son service de localisation » . Deux options sont alors prévues, permettant à l’utilisateur « d’empêcher le réseau sans fil de diffuser publiquement son identifiant SSID » par la mise en œuvre de modalités constituées d’instructions informatiques, particulièrement malaisées et difficilement accessibles pour un utilisateur peu expérimenté. L’utilisateur ne dispose par ailleurs d’aucun moyen de supprimer définitivement toute donnée de localisation stockée antérieurement par X.

Par conséquent, en s’abstenant d’informer précisément l’utilisateur de la collecte d’informations stockées sur les appareils dont il se sert pour se connecter au réseau social, en présumant son consentement à la collecte de données à caractère personnel, – un seul clic sur un lien hypertexte permettant d'« en savoir plus sur l’utilisation de la localisation par X » et sur « sur l’utilisation de la localisation par X » ne pouvant suffire à lui seul valoir consentement de l’utilisateur qui s’est clairement limité à demander un complément d’informations, – en omettant d’informer l’utilisateur des finalités de traitement. Cette clause se borne à évoquer une finalité censée améliorer et personnaliser les services ainsi que l’envoi de publicités ciblés figurant au nombre de « l’amélioration et la personnalisation » desdits services. La clause n° 9 apparaît donc illicite au regard des articles 2, 6 et 32-I de la Loi Informatique et Libertés, des articles L.111-1, L.111-2, L.121-17, L.121-19, L.121-19-2 et R.111-2, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, sera réputée non écrite.

Page 133

Décision du 07 août 2018 1/4 social N° RG 14/07300

b) Sur les données de géolocalisation :

La clause critiquée prévoit, en dehors des hypothèses d’activation par l’utilisateur d’une option de localisation sur son appareil (ordinateur ou appareil mobile) ou de l’option du service de localisation de son application X, que X utilise d’autres données fournies par son appareil pour déterminer sa localisation comme des informations concernant les réseaux sans fil ou les antennes-relais à proximité de son appareil mobile ou son adresse IP.

L’article 32-II de la Loi Informatique et Libertés prévoit que tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant, de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques. Il doit être également informé de toute action tendant à inscrire des informations dans cet équipement. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord, lequel peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. Toutefois, ces dispositions ne sont applicables que si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou sont strictement nécessaire à la fourniture d’un service de communication en ligne et ce à la demande expresse de l’utilisateur.

Ainsi, l’utilisateur doit donner son accord préalablement à l’accès à des informations dans l’appareil qu’il utilise, après avoir reçu une information claire et complète sur les finalités d’un tel accès et des moyens dont il dispose pour s’y opposer.

Aux termes de l’article 32-I 8°) de la Loi Informatique et Libertés, le responsable du traitement ou son représentant, doit informer la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant de la durée de conservation des catégories de données traitées.

Tel n’est pas le cas de la clause n° 9 de la Politique de confidentialité, qui prévoit la collecte de données permettant d’identifier au moyen de données de géolocalisation, d’un point d’accès Wi-Fi ou de l’adresse IP de l’ordinateur de l’utilisateur, c’est-à-dire des données qui sont de nature à permettre directement ou indirectement l’identification d’une personne physique, sans l’avoir informée préalablement à la collecte et avoir recueilli son consentement notamment sur les finalités de traitement et la durée de conservation des données le concernant. Le consentement doit être spécifique pour chacune des finalités, pour lesquelles les données sont traitées.

Page 134

Décision du 07 août 2018 1/4 social N° RG 14/07300

La clause est donc illicite au regard des dispositions de l’article 32-I 8°) et 32-II de la Loi Informatique et Libertés et devra donc à ce titre et être réputée non écrite.

c) Sur l’atteinte au droit de propriété :

L’UFC QUE CHOISIR ne démontre pas en quoi la clause porterait atteinte au droit de propriété de l’utilisateur sur le fondement de l’article 544 du code civil. Ce moyen sera donc rejeté. En conséquence, la clause n° 9 de la Politique de confidentialité, illicite au regard des articles au regard des articles 2, 6, 32-I 8°) et 32-II de la Loi Informatique et Libertés ainsi que des articles L.111-1, L.111-2, L.121-17, L.121-19, L.121-19-2 et R.111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, sera réputée non écrite.

11. Clause n° 10 de la Politique de confidentialité de X devenue clause n°11 :

Clause n°10 de la Politique de confidentialité de X du 21 octobre 2013, du 8 septembre 2014 et du 18 mai 2015 : « X pourra conserver un historique de la façon dont vous interagissez avec les liens dans nos Services, notamment nos notifications par e-mail, les services tiers et les applications clientes, en redirigeant les clics ou par d’autres moyens. Ceci est effectué dans un objectif d’amélioration de nos Services, de ciblage efficace des publicités et de partage des statistiques agrégées sur les clics, par exemple pour déterminer le nombre de clics sur un lien. »

Clause n°10 de la Politique de confidentialité de X du 27 janvier 2016 : Liens : X pourra conserver un historique de la façon dont vous interagissez avec les liens dans nos Services, notamment nos notifications par e-mail, les services tiers et les applications client, en redirigeant les clics ou par d’autres moyens. Ceci est effectué dans un objectif d’amélioration de nos Services, de ciblage efficace des publicités et de partage des statistiques agrégées sur les clics, par exemple pour déterminer le nombre de clics sur un lien. Les liens, les Tweets et les messages directs partagés sur les Services seront traités, et les liens raccourcis au format http://t.co. Pour en savoir plus sur les avantages de la réduction de la longueur des liens, cliquez ici.

Page 135

Décision du 07 août 2018 1/4 social N° RG 14/07300

Clause n°11 de la Politique de confidentialité de X du 30 septembre 2016 : « Liens : Nous pourrons conserver un historique de la façon dont vous interagissez avec les liens dans nos Services, notamment nos notifications par e-mail, les services tiers et les applications client, en redirigeant les clics ou par d’autres moyens. Ceci est réalisé dans un objectif d’amélioration de nos Services, de ciblage efficace des publicités et de partage des statistiques agrégées sur les clics, par exemple pour déterminer le nombre de clics sur un lien. Les liens, les Tweets et les communications non publiques telles que les Messages directs partagés sur les Services seront traités, et les liens raccourcis au format http://t.co »

Pour l’association UFC QUE CHOISIR la clause critiquée indique à l’utilisateur qu’est conservé un historique de la « façon dont l’utilisateur interagit avec les Services de X via les notifications par e-mail, les services tiers et les applications clientes », la conservation de ces données supposant la présence de traceurs déposés et lus lors de la consultation d’un site internet, la lecture d’un courrier électronique ou de l’utilisation d’une application par l’utilisateur. L’association reproche également à la clause de contrevenir aux dispositions de l’article 32-II de la Loi Informatique et Libertés, qui imposent, dans l’hypothèse d’une action tendant à accéder par voie de transmission électronique à des informations déjà stockées dans les équipements informatiques ou à inscrire des informations dans cet équipement, que l’utilisateur soit informé de la finalité de cette action et des moyens dont il dispose pour s’y opposer, les finalités évoquées dans la clause étant, selon elle, particulièrement floues.

Selon la société X la clause énonce la manière dont X conserve des données relatives à l’historique de navigation du site à travers l’enregistrement des clics sur les liens pour des finalités explicites et déterminées comme la personnalisation et l’amélioration du service. Citant à ce propos l’expérience observée du maniement par l’utilisateur d’un lien qu’il ne clique jamais, X en déduit qu’il concerne un sujet dépourvu de pertinence pour l’utilisateur. Dans le même ordre d’idée, la société affirme que la conservation des données relatives à l’historique de navigation est légitime car elle permet le ciblage efficace de la publicité et l’établissement des statistiques de navigation, ce qui ne requiert aucune autorisation des personnes concernées.

L’article L. 133-2 devenu l’article L. 211-1 du code de la consommation, impose aux professionnels dans les contrats qu’ils proposent aux consommateurs que les clauses desdits contrats soient présentées et rédigées de façon claire et compréhensible.

Au sens de l’article 2 de la Loi Informatique et Libertés, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Page 136

Décision du 07 août 2018 1/4 social N° RG 14/07300

L’article 6 de la Loi Informatique et Libertés impose que les données soient collectées et traitées de manière loyale et licite (article 6 1°)), pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités (article 6 2°)). Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs (article 6 3°)).

Aux termes de l’article 32-II de la Loi Informatique et libertés tout utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, par le responsable du traitement ou son représentant de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement et des moyens dont il dispose pour s’y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord.

En l’espèce, la clause n° 10 de la Politique de confidentialité évoque la conservation par X d’un historique sur "la façon dont l’utilisateur interagit avec les liens dans (les) Services (de X) (…)« , c’est-à-dire de la conservation de l’historique de navigation de l’utilisateur, qui ne peut être réalisé que grâce à l’installation préalable et l’utilisation de cookies (traceurs), dont la clause n° 11 de la Politique de confidentialité précise qu’il s’agit des »petits fichiers de données transférés" par X sur le disque dur de l’ordinateur de l’utilisateur.

Il résulte des textes et de la clause précités, que l’historique de navigation d’un utilisateur contenant nécessairement des indications sur les centres d’intérêts, constitue une donnée personnelle au sens de l’article 2 de la Loi Informatique et Libertés, X disposant de moyens nécessaires pour identifier la personne concernée par la collecte et le traitement de ses données personnelles à l’instar de son adresse IP (cf. clauses n° 8, 9, 16 devenu clause 19 de la Politique de confidentialité).

D’où il suit que la clause n° 10 de la Politique de confidentialité est illicite comme contrevenant aux dispositions des articles 2 et 6 ainsi que 32-II de la Loi Informatique et Libertés, en raison d’une collecte des données ne présentant pas les caractères de loyauté et de licéité exigés par la loi précitée, la personne auprès de laquelle des données à caractère personnel sont collectées n’ayant pas été informée de manière claire et complète sur les finalités de ces cookies, ainsi que sur les moyens dont il dispose pour s’y opposer. Il s’en déduit que l’utilisateur n’a pas pu consentir expressément à la collecte et au traitement de ses données.

Page 137

Décision du 07 août 2018 1/4 social N° RG 14/07300

Par conséquent la clause n° 10 de la Politique de confidentialité du 21 octobre 2013, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016, illicite au regard des articles 6 et 32-II de la Loi Informatique et Libertés et de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation, sera réputée non écrite.

12. Clause n° 11 de la Politique de confidentialité de X devenue clause n°12 :

Clause n°11 de la Politique de confidentialité du 21 octobre 2013 : Cookies : comme beaucoup d’autres sites Web, nous utilisons les « cookies » et autres technologies similaires pour collecter des données supplémentaires sur l’utilisation du site Web et pour améliorer nos Services. Malgré tout, les cookies sont absents de nombreux éléments de nos Services (comme la recherche et l’affichage des profils utilisateurs publics et des listes). Un cookie est un petit fichier de données qui est transféré sur le disque dur de votre ordinateur. X pourra utiliser à la fois des Cookies de session et des cookies persistants pour mieux comprendre votre interaction avec nos Services, pour surveiller l’utilisation agrégée de nos utilisateurs, ainsi que le routage du trafic Web sur nos Services, ou encore pour personnaliser et améliorer nos Services. La plupart des navigateurs Internet acceptent automatiquement les cookies. En modifiant les paramètres de votre navigateur, vous pouvez interdire les cookies ou configurer l’apparition des fenêtres d’acceptation des cookies des sites Web que vous consultez. Néanmoins, certains Services pourront ne pas fonctionner correctement si vous désactivez/refusez les cookies. En savoir plus sur l’utilisation des cookies et des technologies similaires ici ».

Clause n°11 de la Politique de confidentialité de X du 8 septembre 2014 : Cookies : comme beaucoup d’autres sites Web, nous utilisons les cookies et autres technologies similaires pour collecter des données supplémentaires sur l’utilisation du site Web et pour améliorer nos Services. Nous n’utilisons toutefois pas de cookies dans de nombreux éléments de nos services (comme la recherche et l’affichage des profils utilisateurs publics). Un cookie est un petit fichier de données qui est transféré sur le disque dur de votre ordinateur. X pourra utiliser à la fois des Cookies de session et des cookies persistants pour mieux comprendre votre interaction avec nos Services, pour surveiller l’utilisation agrégée de nos utilisateurs, ainsi que le routage du trafic Web sur nos Services, ou encore pour personnaliser et améliorer nos Services. La plupart des navigateurs Internet acceptent automatiquement les cookies. En modifiant les paramètres de votre navigateur, vous pouvez interdire les cookies ou configurer l’apparition des fenêtres d’acceptation des cookies des sites Web que vous consultez. Néanmoins, certains Services pourront ne pas fonctionner correctement si vous désactivez/refusez les cookies. En savoir plus sur l’utilisation des cookies et des technologies similaires ici ».

Page 138

Décision du 07 août 2018 1/4 social N° RG 14/07300

Clause 11 de la Politique de confidentialité de X du 18 mai 2015 : Cookies : comme beaucoup d’autres sites Web, nous utilisons les cookies et autres technologies similaires pour collecter des données supplémentaires sur l’utilisation du site Web et pour améliorer nos Services. Nous n’utilisons toutefois pas de cookies dans de nombreux éléments de nos services (comme la recherche et l’affichage des profils utilisateurs publics). Un cookie est un petit fichier de données qui est transféré sur votre ordinateur ou votre appareil mobile. X pourra utiliser à la fois des cookies de session et des cookies persistants pour mieux comprendre votre interaction avec nos services, pour surveiller l’utilisation agrégée de nos utilisateurs, ainsi que le routage du trafic Web sur nos Services, ou encore pour personnaliser et améliorer nos Services. La plupart des navigateurs Internet acceptent automatiquement les cookies. En modifiant les paramètres de votre navigateur, vous pouvez interdire les cookies ou configurer l’apparition des fenêtres d’acceptation des cookies des sites Web que vous consultez. Néanmoins, certains Services pourront ne pas fonctionner correctement si vous désactivez/refusez les cookies. Pour en savoir plus sur l’utilisation des cookies et des technologies similaires ici ». «

Clause n°11 de la Politique de confidentialité de X du 27 janvier 2016 : Cookies : comme beaucoup d’autres sites Web, nous utilisons les cookies et autres technologies similaires pour collecter des données supplémentaires sur l’utilisation du site Web et pour améliorer nos Services. Nous n’utilisons toutefois pas de cookies dans de nombreux éléments de nos Services (comme la recherche et l’affichage des profils utilisateurs publics). Un cookie est un petit fichier de données qui est transféré sur votre ordinateur ou votre appareil mobile. X pourra utiliser à la fois des cookies de session et des cookies persistants pour mieux comprendre votre interaction avec nos services, pour surveiller l’utilisation agrégée de nos utilisateurs, ainsi que le routage du trafic Web sur nos Services, ou encore pour personnaliser et améliorer nos Services. Bien que la plupart des navigateurs Internet acceptent automatiquement les cookies, il est possible de modifier les paramètres de certains d’entre eux afin d’interdire les cookies ou de vous avertir lorsqu’un site tente d’enregistrer un cookie sur votre ordinateur. Nous prenons en charge l’option de navigateur Do Not Track pour vous permettre de paramétrer la façon dont vos visites de sites Web sont utilisées pour personnaliser votre utilisation de X et les annonces publicitaires. Pour en savoir plus sur notre prise en charge de la fonction Do Not Track, cliquez ici. Pour obtenir plus de détails sur l’utilisation des cookies et des technologies similaires, rendez-vous ici.

Selon l’association UFC QUE CHOISIR la clause n° 11 de la Politique de confidentialité n’informe pas l’utilisateur de manière précise de la collecte des données et de leurs finalités effectuées par le dépôt sur son ordinateur de cookies et d’autres « technologies similaires ». De plus, la clause renvoie par liens hypertextes à un document, dont l’utilisateur ignore la valeur contractuelle, ce document prévoyant la mise à disposition à des tiers prestataires des données ainsi collectées, sans procéder au préalable à une information complète de l’utilisateur sur le traitement de ces données. Cette

Page 139

Décision du 07 août 2018 1/4 social N° RG 14/07300

clause serait donc illicite au regard de l’article L.133-2 du code de la consommation, 2, 6, 32-II et 32-III de la Loi Informatique et Libertés.

La société X répond que cette clause résume les pratiques de X en matière de cookies. Elle affirme attirer l’attention de l’utilisateur sur le fait que certaines données, comme les données de navigation peuvent être collectées au moyen de cookies. La clause informerait précisément l’utilisateur sur les modalités de fonctionnement de cookies, les finalités liées à leur utilisation, les options et paramétrage mis à la disposition de l’utilisateur pour en contrôler l’usage et la possibilité d’accéder à des informations supplémentaires relatives aux cookies. La clause respecterait donc parfaitement les dispositions de l’article 32-II de la Loi Informatique et Libertés.

a) Sur l’utilisation de cookies et autres technologies similaires :

L’article L. 133-2 devenu l’article L. 211-1 du code de la consommation impose aux professionnels dans les contrats qu’ils proposent aux consommateurs que les clauses desdits contrats soient présentées et rédigées de façon claire et compréhensible. L’article 6 de la Loi Informatique et Libertés impose que les données soient collectées et traitées de manière loyale et licite (article 6 1°)), pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités (article 6 2°)). Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs (article 6 3°)). Aux termes de l’article 32-I de la Loi Informatique et Libertés le responsable du traitement est tenu d’informer la personne, auprès de laquelle sont recueillies des données à caractère personnel la concernant, de la finalité poursuivie par le traitement auquel les données sont destinées et des destinataires ou catégories de destinataires des données. Aux termes de l’article 32-II de la Loi Informatique et Libertés tout utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, par le responsable du traitement ou son représentant de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement et des moyens dont il dispose pour s’y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. Ainsi, les cookies nécessitent le recueil du consentement de la personne concernée. Ils ne peuvent être déposés ou lus sur son terminal, tant que l’utilisateur n’a pas donné son consentement, lequel doit résulter d’une manifestation de volonté libre, spécifique et informée, notamment sur les conséquences négatives qui pourraient lui être opposées en cas de son refus

Page 140

Décision du 07 août 2018 1/4 social N° RG 14/07300

de donner son consentement, comme l’impossibilité pour elle d’accès au service. En l’espèce, comme relevé lors de l’examen de la clause n° 10 de la Politique de confidentialité, la clause n° 11 de la Politique de confidentialité définit les cookies comme de petits fichiers de données transférés sur le disque dur de l’ordinateur de l’utilisateur ou sur son appareil mobile (par X). Il existe des cookies dits « de session » (effacés à la fermeture du navigateur) et des cookies dits « persistants » (enregistrés sur le disque dur de l’ordinateur de l’utilisateur), lesquels, mémorisant les préférences de l’utilisateur et cernant ses habitudes (à partir d’un lien cliqué ou non, par exemple) permettent à X de « mieux comprendre l’interaction de l’utilisateur avec les Services » de X, de surveiller l’utilisation agrégée des utilisateurs (sur plusieurs sessions du navigateur) et le routage du trafic web sur les services de X ou de « personnaliser ou améliorer » les services. Il ressort de la rédaction de la clause critiquée, qu’elle ne contient aucune information claire, spécifique et complète concernant le dépôt de « cookies » sur le disque dur de l’ordinateur de l’utilisateur et de la finalité exacte de cette action. Un lien hypertexte renvoie au bandeau d’information de l’accueil du site annonçant qu'« (e)n utilisant les services de X, vous acceptez notre utilisation des cookies et le transfert de données hors de l’U.E. Nous et nos partenaires opérons mondialement et utilisons des cookies, y compris pour des statistiques, de la personnalisation et des publicités ». La clause ne propose donc pas à l’utilisateur, après qu’il a reçu l’information, de recueillir son consentement de manière indubitable, qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle, et, dans tous les cas, d’une manifestation active de la volonté de l’utilisateur. Une telle manifestation de volonté ne peut résulter de la simple information présente dans la bannière d’accueil ou de la consultation d’une page à laquelle est renvoyée l’utilisateur, de sorte que la clause critiquée contrevient aux dispositions de l’article 32-II de la Loi Informatique et Libertés. Par ailleurs, l’expression « y compris » ne permet pas à l’utilisateur d’appréhender l’ensemble des finalités pour lesquelles les cookies sont utilisés. L’utilisateur n’est donc pas informé de manière claire et complète au sens de l’article 32-II de la Loi Informatique et Libertés de la finalité recherchée au sujet de cette politique de dépôt de cookies. La clause prévoie également la possibilité de désactiver les publicités personnalisées. Mais elle impose à l’utilisateur le renvoi par deux liens hypertextes successifs à une page (« Paramètres de sécurité-confidentialité ») sur laquelle figurent une série de titres de rubriques, dont l’un est libellé de manière particulièrement obscure : « ajuster les pubs suivant les infos partenaires ». Cela contraint l’utilisateur à consulter une autre page (« Centre d’aide ») via un autre lien hypertexte (« en savoir plus »), fournissant des informations, qui, une fois lues, permettent à l’utilisateur de comprendre qu’il doit revenir à la rubrique « ajuster les pubs suivant les infos partenaires » pour décocher la case, pré cochée par défaut (initialement). Cette case s’avère être celle relative à l’envoi de publicités ciblées, l’utilisateur devant alors enregistrer cette opération. Toutefois, une « Remarque » au bas du document mentionne que cette « désactivation » ne concerne que les publicités personnalisées sur X. La mise en œuvre d’une telle opération de désactivation – particulièrement complexe

Page 141

Décision du 07 août 2018 1/4 social N° RG 14/07300

comparée à l’absence de consentement originaire de l’utilisateur à la collecte des données, issue notamment du dépôt préalable de cookies – n’est évoquée que dans les versions antérieures au 30 septembre 2016. Cette possibilité n’est plus évoquée ultérieurement. En revanche la clause ne prévoit pas que l’utilisateur puisse s’opposer à la collecte initiale des données. D’où il suit qu’en s’abstenant d’informer l’utilisateur de la collecte de ses données personnelles ni des finalités déterminées,explicites et légitimes du traitement pour lequel elles ont été collectées et des destinataires ou des catégories de destinataires des données – la clause permettant à des tiers, annonceurs ou partenaires, de publier des publicités à partir des cookies qui sont installés par X ou par un de ses partenaires sur l’ordinateur de l’utilisateur -, en ne recueillant pas son consentement préalable, la collecte de données ainsi réalisée ne répond pas aux exigences des articles 6 et 32-I de la Loi Informatique et Libertés. Elle est donc illicite. Est également illicite au regard des dispositions de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation, la clause n° 11 (dans les versions antérieures à la version du 27 janvier 2016 et dans la version de septembre 2016) qui fait état dans une formulation imprécise de difficultés de fonctionnement qui pourraient affecter certains Services du réseau social en cas de désactivation des cookies, formulation ne permettant pas à l’utilisateur d’appréhender les conséquences d’une telle désactivation.

b) Sur le renvoi par des liens hypertextes à des pages rédigées en anglais :

L’association UFC QUE-CHOISIR ne justifie pas, hormis le titre de la page de renvoi (« DO NOT TRACK »), que la page en question soit rédigée en anglais. Ce moyen sera en conséquence rejeté. En conséquence, la clause n°11 de la Politique de confidentialité de X du 21 octobre 2013, 8 septembre 2014, 17 avril 2015, 27 janvier 2016, nouvellement clause 12 de la version du 30 septembre 2016, illicite au regard des articles 6, 32-I et 32-II de la Loi Informatique et Libertés, de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation, est abusive au sens des articles L. 132-1 et R. 132-1 devenus les articles L. 212-1, L. 212-3 et R. 212-1 1°) du code de la consommation et comme telle est réputée non écrite.

13. Clause n° 12 de la Politique de confidentialité de X devenue clause n°13 :

Clause n°12 de la Politique de confidentialité de X du 21 octobre 2013 : « Données de journal : nos serveurs enregistrent automatiquement les informations (« Données de journal ») liées à votre utilisation des Services. Les données de journal peuvent contenir des informations telles que votre

Page 142

Décision du 07 août 2018 1/4 social N° RG 14/07300

adresse IP, le type de votre navigateur, votre système d’exploitation, la page Web dont vous venez, les pages visitées, votre localisation, votre opérateur téléphonique, votre équipement et identification de l’application, les conditions de vos recherches et des informations sur les cookies. Nous recevons des données de journal quand vous interagissez avec nos Services, par exemple quand vous visitez nos sites Web, quand vous vous authentifiez sur nos Services, interagissez avec nos notifications par email, utilisez votre compte X pour vous authentifier sur une application ou un site tiers ou visitez un site Web tiers comprenant un bouton ou un widget X. X utilise les données de journal pour fournir les Services et les mesurer, les personnaliser et les améliorer. Si cela n’est pas déjà fait (voir ci-dessous les données de widget), nous supprimons les données de journal ou retirons l’ensemble des identifiants communs comme le nom d’utilisateur, l’adresse IP complète ou l’adresse email après 18 mois ».

Clause n°12 de la Politique de confidentialité du 8 septembre 2014 :

« Données de journal : lorsque vous utilisez nos Services, nous pouvons recevoir des informations (« Données de journal ») telles que votre adresse IP, le type de votre cnavigateur, votre système d’exploitation, la page Web d’où vous venez, les pages visitées, votre localisation, votre opérateur téléphonique, des informations relatives à votre appareil (notamment les identifiants de l’appareil et de l’application), des termes de vos recherches et des informations de cookies. Nous recevons des Données de journal quand vous interagissez avec nos Services, par exemple quand vous visitez nos sites Web, quand vous vous authentifiez sur nos Services, interagissez avec nos notifications par email, utilisez votre compte X pour vous authentifier sur une application ou un site tiers ou visitez un site Web tiers comprenant un bouton ou un widget X. Nous pouvons également recevoir des Données de journal lorsque vous cliquez sur, visualisez ou interagissez avec un lien sur nos Services vers une application tierce, par exemple lorsque vous choisissez d’installer une autre application via X. X utilise les Données de journal pour fournir, comprendre et améliorer les Services. Nous supprimons les Données de journal ou retirons l’ensemble des identifiants communs comme le nom d’utilisateur, l’adresse IP complète ou l’adresse email après 18 mois, sauf dans le cas où cela aurait été effectué préalablement (voir ci-dessous les Données de widget) ».

Clause n°12 de la Politique de confidentialité du 18 mai 2015 et du 27 janvier 2016 :$

« Données de journal : lorsque vous utilisez nos Services, nous pouvons recevoir des informations (« Données de journal ») telles que votre adresse IP, le type de votre navigateur, votre système d’exploitation, la page Web d’où vous venez, les pages visitées, votre localisation, votre opérateur téléphonique, des informations relatives à votre appareil (notamment les identifiants de l’appareil et de l’application), des termes de vos recherches et des informations de cookies. Nous recevons des Données de journal

Page 143

Décision du 07 août 2018 1/4 social N° RG 14/07300

quand vous interagissez avec nos Services, par exemple quand vous visitez nos sites Web, quand vous vous authentifiez sur nos Services, interagissez avec nos notifications par email, utilisez votre compte pour vous authentifier sur une application ou un site tiers ou visitez un site Web tiers comprenant un bouton ou un widget X. Nous pouvons également recevoir des Données de journal lorsque vous cliquez sur, visualisez ou interagissez avec des liens sur nos Services, y compris des liens vers des applications tierces, par exemple lorsque vous choisissez d’installer une autre application via X. X utilise les Données de journal pour fournir, comprendre et améliorer nos Services, pour effectuer des déductions, telles que les sujets qui peuvent vous intéresser, et pour personnaliser le contenu que nous vous proposons, y compris les publicités. Nous supprimons les Données de journal ou retirons l’ensemble des identifiants communs comme le nom d’utilisateur, l’adresse IP complète ou l’adresse email dans un délai maximum de 18 mois, sauf si cela a été effectué préalablement (voir ci-dessous les Données de widget) ».

Clause n°13 de la Politique de confidentialité du 30 septembre 2016 :

Utilisation de nos Services : Nous recevons des informations lorsque vous interagissez avec nos Services, même si vous n’avez pas créé de compte (« Données de journal »). Par exemple, lorsque vous visitez nos sites Web, que vous vous authentifiez sur nos Services, que vous interagissez avec nos notifications par e-mail, que vous utilisez votre compte pour vous authentifier sur un site, une application ou un service d’une tierce partie, ou que vous visitez un site, une application ou un service d’une tierce partie comprenant un bouton ou un widget X, nous sommes susceptibles de recevoir des informations à votre propos. Ces Données de journal sont par exemple votre adresse IP, le type de votre navigateur, votre système d’exploitation, la page Web d’où vous venez, les pages visitées, votre localisation, votre opérateur téléphonique, des informations relatives à votre appareil (notamment les identifiants de l’appareil et de l’application), des termes de recherches ou des informations de cookies. Nous recevons également des Données de journal lorsque vous cliquez, visualisez ou interagissez avec des liens sur nos Services, y compris des liens vers des applications tierces, par exemple lorsque vous choisissez d’installer une autre application via X. Nous utilisons ces informations pour en tirer des enseignements vous concernant, telles que les sujets susceptibles de vous intéresser, et pour personnaliser le contenu que nous vous proposons, y compris les publicités. Nous conservons les Données de journal aussi longtemps que nécessaire pour les besoins décrits dans la présente Politique de confidentialité. Nous supprimerons les Données de journal ou retirerons l’ensemble des identifiants communs comme le nom d’utilisateur, l’adresse IP complète, l’adresse e-mail ou le numéro de téléphone dans un délai maximum de 18 mois ou plus tôt, tel que stipulé ci-dessous pour les Données de widget.

Page 144

Décision du 07 août 2018 1/4 social N° RG 14/07300

a) Sur l’absence de qualification des données personnelles :

L’association UFC QUE CHOISIR reproche à la clause critiquée de ne pas informer l’utilisateur sur la nature des données collectées, lesquelles sont des données à caractère personnel. La société X rétorque que la clause énonce la manière dont X peut collecter des « Données de journal », X n’ayant aucune obligation de qualifier juridiquement ces données. L’examen de la clause n° 12 devenue la clause n° 13 de la « Politique de confidentialité » doit être associé à l’examen des clauses n° 1, 6, 6 bis, 7, 8 et de la clause n° 20, devenue la clause n° 24 de la Politique de confidentialité. Toutes ces clauses concernent la collecte auprès de l’utilisateur de données et de leur utilisation, ces données étant qualifiées d'« informations » ou de « coordonnées » par X, ce que conteste l’UFC-QUE CHOISIR, s’agissant selon elle de données à caractère personnel bénéficiant de la protection instituée par les dispositions de la Loi Informatique et Libertés. Aux termes de l’article 2 de la Loi Informatique et Libertés, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres, la détermination la possibilité d’identification d’une personne doit être appréciée en considération de l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. Il ressort de la rédaction de la clause n° 12 que sont citées au nombre des informations enregistrées dans les « Données de journal » collectées auprès de l’utilisateur : l’adresse IP, le type de navigateur de l’utilisateur, son système d’exploitation, la page Web qu’il vient de quitter, les pages visitées, la localisation de l’utilisateur, son opérateur téléphonique, les informations relatives à son appareil (notamment les identifiants de l’appareil et de l’application), les termes de ses recherches et les informations en provenance des cookies, déposés par X sur l’ordinateur de l’utilisateur, l’ensemble de ces « informations » constituant des données personnelles au sens de l’article 2 de la Loi Informatique et Libertés, en ce qu’elles permettent l’identification de la personne concernée par la collecte et le traitement de ces données et en considération des moyens dont dispose (ou auxquels peut avoir accès) le responsable du traitement ou toute autre personne. D’où il suit que s’agissant de données à caractère personnel, leur protection étant assurée conformément à la Loi Informatique et Libertés, la clause est illicite au regard de l’article précité.

b) Sur l’absence de consentement éclairé à la collecte des données et le caractère illicite et déloyal de la collecte :

Selon l’UFC QUE CHOISIR la clause critiquée expose que X traite les données d’utilisateurs passifs, qui se rendent sur des sites internet

Page 145

Décision du 07 août 2018 1/4 social N° RG 14/07300

tiers sans avoir d’information concernant le traitement réalisé à cette occasion par X. L’utilisateur devrait conscience ni de cette collecte et ni du traitement réalisé, les sites consultés n’appartenant pas à « l’environnement X ». La clause contreviendrait ainsi aux articles 6/1°) et 2°) de la Loi Informatique et Libertés, qui imposent une collecte loyale et licite des données à caractère personnel pour des finalités déterminées, explicites et légitimes. Ce ne serait pas le cas pour cette clause qui présenterait un nombre important de finalités obscures. Pour la société X la clause fait référence au recueil d’informations qualifiées de « Données de journal », qui concerne, selon l’acception commune de cette expression, des « logs » techniques relatifs à la façon dont un utilisateur interagit avec le système : historique des connexions, des liens cliqués, adresse IP, type de navigateur etc. La clause fournirait une liste très complète du type de données en cause et décrit de façon explicite et suffisante les finalités poursuivies, de sorte qu’il serait faux de prétendre que l’utilisateur ne consentirait pas en connaissance de cause au recueil de ses données de journal L’obligation d’information précontractuelle prévue dans les articles L.111-1, L.111-2, et, s’agissant de contrat conclu à distance, dans les articles L.121-17, L.121-19, L.121-19-2 et R.111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, impose au professionnel, avant la conclusion du contrat, de fournir au consommateur ou non professionnel les caractéristiques essentielles du service à rendre. Aux termes des articles 6 et 7 de la Loi Informatique et Libertés, la collecte et le traitement de données à caractère personnel, au sens de l’article 2 de la Loi Informatique et Libertés, ne sont licites qu’à la condition qu’elles aient été collectées de manière loyale et licite, pour des finalités déterminées explicites et légitimes, qu’elles aient fait l’objet d’un consentement informé de la personne concernée, ce implique que tous les éclaircissements nécessaires lui ont été donnés et qu’elles ne soient pas traitées ultérieurement de manière incompatible avec ces finalités initiales. L’article 32-II de la Loi Informatique et Libertés prévoit que tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant, de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement et des moyens dont il dispose pour s’y opposer. En l’espèce la clause n° 12 de la Politique de confidentialité qualifie d'« informations », des données à caractère personnel telles que : l’adresse IP, le type de navigateur, le système d’exploitation, les pages visitées, la localisation, l’opérateur téléphonique, les identifiants, l’application concernant son appareil, les termes des recherches, les informations de cookies. Certaines de ces données, présentes dans les appareils de l’utilisateur, sont collectées auprès de l’utilisateur lors sa navigation sur le site ou à l’occasion de son authentification sur une application ou un site tiers comportant un « bouton » ou un « widget » X ou lorsque l’utilisateur clique, visualise, interagit avec des liens vers des applications tierces ou installe une autre application via X.

Page 146

Décision du 07 août 2018 1/4 social N° RG 14/07300

Il résulte de ce qui précède que la clause critiquée, en n’informant pas l’utilisateur que des données à caractère personnel sont collectées lors de sa navigation sur le site ou sur des sites ou des applications tierces, en s’abstenant de recueillir auprès de l’utilisateur son consentement, qui doit résulter d’une action positive de sa part, et en ne proposant pas à l’utilisateur de moyens pour s’opposer à cette collecte, la clause contrevient aux dispositions des articles 6 et 7 de la Loi Informatique et Libertés. Elle est donc illicite à leur égard. La clause est également illicite au regard de l’article L. 111-1, L. 111-2 du code de la consommation, L.121-17, L.121-19, L.121-19-2 et R.111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation et est abusive au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation, en ce qu’en s’abstenant d’informer l’utilisateur la clause ne lui permet pas d’appréhender l’étendue des données à caractère personnel qui pourront être utilisées par X et de ses droits à s’opposer au traitement de ces données personnelles.

c) Sur les finalités du traitement et des catégories de destinataires des données :

Aux termes du 2°) de l’article 6 de la Loi Informatique et Libertés les données à caractère personnel sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. L’article 32-I de la LIL impose au responsable de traitement d’informer la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant de la finalité poursuivie par le traitement auquel les données sont destinées. Il ressort également de la clause critiquée que les données personnelles ainsi collectées sont utilisées pour « fournir, mesurer, personnaliser et améliorer nos services » (version du 21 octobre2013), « fournir, comprendre et améliorer nos services » (version du 8 septembre 2014) « fournir, comprendre et améliorer nos services, pour effectuer des déductions » (version des 18 mai 2015 et 27 janvier 2016) pour tirer des « enseignements concernant (l’utilisateur), telles que les sujets susceptibles de (l)'intéresser, et pour personnaliser le contenu que (X) (lui) propos(e), y compris les publicités », (version du 30 septembre 2016), c’est-à-dire pour des messages et des publicités ciblées en fonction des données personnelles ainsi collectées. D’où il suit que les finalités évoquées par la clause, telles les « enseignements » relatifs à l’utilisateur, permettant la personnalisation de « contenus » susceptibles d’être proposés par X, au nombre desquels figurent des publicités, sont insuffisamment déterminées et explicites au regard des dispositions des articles 6 et 32-II de Loi Informatique et Libertés, car elles ne permettent pas à l’utilisateur d’appréhender concrètement l’utilisation qui pourrait être faite de ses données. La clause est donc illicite au regard de ces dispositions.

Page 147

Décision du 07 août 2018 1/4 social N° RG 14/07300

d) Sur la durée de conservation des données

L’association UFC QUE CHOISIR reproche à X de se réserver le droit de conserver les données pendant un délai maximum de 18 mois. La société X répond qu’elle supprime les données de journal ou les « anonymise » au bout de 18 mois. L’article 32-I/5°) prévoit que le responsable du traitement ou son représentant personne doit informer la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant, de la durée de conservation des catégories de données traitées ou, en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée. L’article 6/5°) de la Loi Informatique et Libertés dispose que les données sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. En l’espèce, la clause critiquée prévoit que X conserve les « Données de journal » « aussi longtemps que nécessaire » et l’ensemble des identifiants communs des « Données de journal » comme le nom d’utilisateur, adresse IP complète, adresse e-mail ou numéro de téléphone dans un délai maximum de 18 mois ou plus tôt, de sorte qu’en prévoyant la conservation des « Données de journal » pour une durée indéterminée à l’exception de celles qui permettent l’identification des personnes concernées qui seraient supprimées au bout de 18 mois ou plus tôt, l’utilisateur n’est pas informé de la durée exacte de conservation des catégories de données traitées ni des critères utilisés permettant de déterminer cette durée, laquelle peut excéder la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées La clause est donc illicite au regard des dispositions précitées. En conséquence, la clause n° 12 de la Politique de confidentialité, illicite au regard des dispositions des articles 2,6,7, 32-I, 32-II de la Loi Informatique et Libertés, des articles L.111-1, L.111-2, et, s’agissant de contrat conclu à distance, dans les articles L.121-17, L.121-19, L.121-19-2 et R.111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, est abusive au regard de l’article L. 132-1 devenu les articles L. 222-1, L. 212-3 et L. 241-1 du code de la consommation et doit être réputée non écrite.

14. Clause n° 13 de la Politique de confidentialité de X devenue clause n°14 :

Clause 13 de la Politique de Confidentialité de X du 21 octobre 2013 : « Données de widget : nous pouvons adapter le contenu qui vous est destiné en fonction des visites de sites Web tiers intégrant des boutons ou des widgets X. Quand ces sites Web chargent pour la première fois l’affichage des boutons ou des widgets, nous recevons des données de

Page 148

Décision du 07 août 2018 1/4 social N° RG 14/07300

journal comportant la page Web que vous avez visitée et un cookie identifiant votre navigateur (« Données de Widget »). Après une période maximale de 10 jours, nous commençons le processus d’effacement ou d’agrégation des données de widget, qui est en général instantané mais peut dans certains cas prendre jusqu’à une semaine. Les données de widget nous permettent d’adapter le contenu qui vous est destiné. Par exemple, nous vous communiquons des suggestions de personnes à suivre sur X. Le contenu adapté est conservé uniquement avec le cookie identifiant votre navigateur. Il est séparé des autres données de widget comme les informations sur les pages visitées. Cette fonction est optionnelle et n’est pas disponible à l’ensemble des utilisateurs. Si vous le souhaitez, vous pouvez suspendre ou désactiver cette fonction, ce qui retire de votre navigateur le cookie d’identification activant cette fonction. Pour en savoir plus sur cette fonction, rendez-vous ici. Pour les Tweets, les données de journal et les autres informations que nous recevons au sujet de vos interactions avec les boutons et widgets X, merci de vous reporter aux autres sections de cette Politique de confidentialité ».

Clause n°13 de la Politique de confidentialité de X du 8 septembre 2014 : « Données de widget : nous pouvons adapter les Services qui vous sont destinés en fonction des visites de sites Web tiers intégrant des boutons ou des widgets X. Quand ces sites Web chargent pour la première fois les boutons ou les widgets pour leur affichage, nous recevons des données de journal qui incluent la page Web que vous avez visitée et un cookie qui identifie votre navigateur (« Données de Widget »). Après une période maximale de 10 jours, nous commençons le processus d’effacement, de suppression ou d’agrégation des données de widget, qui est en général instantané, mais peut dans certains cas prendre jusqu’à une semaine. Nous pouvons utiliser les données de widget pour adapter le contenu qui vous est destiné ; par exemple, nous vous communiquons des suggestions de personnes à suivre sur X et des contenus susceptibles de vous intéresser. Le contenu adapté est conservé uniquement avec le cookie identifiant votre navigateur ou avec les identifiants des appareils. Il est séparé des autres données de widget comme les informations sur les pages visitées. Pour en savoir plus sur cette fonctionnalité, notamment pour découvrir comment la suspendre ou la désactiver, rendez-vous ici. Pour les Tweets, les données de journal et les autres informations que nous recevons au sujet de vos interactions avec les boutons et widgets X, merci de vous reporter aux autres sections de cette politique de confidentialité ».

Clause n°13 de la Politique de confidentialité de X du 18 mai 2015 et du 27 janvier 2016 : « Données de widget : nous pouvons adapter les Services qui vous sont destinés en fonction des visites de sites Web tiers intégrant des boutons ou des widgets X. Quand ces sites Web chargent pour la première fois les boutons ou les widgets pour leur affichage, nous recevons des données de journal qui incluent la page Web que vous avez visitée et un cookie qui identifie votre navigateur (« Données de Widget »). Après une période maximale de 10 jours, nous commençons le processus d’effacement, de suppression de l’identification ou d’agrégation des données de widget, qui est en général instantané mais peut dans certains cas prendre jusqu’à une

Page 149

Décision du 07 août 2018 1/4 social N° RG 14/07300

semaine. Nous pouvons utiliser les données de widget pour adapter le contenu qui vous est destiné ; par exemple, nous vous communiquons des suggestions de personnes à suivre et des contenus susceptibles de vous intéresser. Le contenu adapté est conservé uniquement avec les cookies identifiant votre navigateur ou avec les identifiants des appareils. Il est séparé des autres données de widget comme les informations sur les pages visitées. Pour en savoir plus sur cette fonctionnalité, notamment pour découvrir comment la suspendre ou la désactiver, rendez-vous ici. Pour les Tweets, les Données de journal et les autres informations que nous recevons au sujet de vos interactions avec les boutons et widgets X, merci de vous reporter aux autres sections de cette politique de confidentialité ».

Clause n°14 de la Politique de confidentialité de X du 30 septembre 2016 : Données de widget : Nous pouvons adapter les Services qui vous sont destinés en fonction des visites de sites Web tiers intégrant des boutons ou des widgets X. Quand ces sites Web chargent et affichent pour la première fois ces boutons ou ces widgets, nous recevons des données de journal qui incluent la page Web que vous avez visitée et un cookie qui identifie votre navigateur (« Données de widget »). Après une période maximale de 10 jours, nous commençons le processus d’effacement, de suppression de l’identification ou d’agrégation des données de widget, qui est en général instantané, mais peut dans certains cas prendre jusqu’à une semaine. Nous pouvons utiliser les Données de widget pour adapter le contenu qui vous est destiné ; par exemple, nous vous communiquons des suggestions de personnes à suivre et des contenus susceptibles de vous intéresser. Le contenu adapté est conservé séparément des autres Données de widget, comme les informations sur les pages visitées. Vous pouvez contrôler cette fonctionnalité à partir du Paramètre de personnalisation, dans les Paramètres de sécurité et de confidentialité disponibles sur https://X.com/settings/security .

a) Sur le manque de clarté sur la notion de sites web tiers intégrant des boutons ou des widgets X :

L’UFC QUE CHOISIR reproche à la rédaction de la clause d’être particulièrement floue en ce qui concerne les notions de « boutons X » ou de « widgets X » et sur les sites tiers intégrant ces « boutons ou widgets ». L’utilisateur ne serait donc pas informé sur la nature des données collectées et ne pourrait dès lors se faire une opinion éclairée sur le type de données collectées.Il ne serait pas non plus informé des données personnelles colletées par X lorsqu’il se rend sur des sites tiers, ces derniers n’appartement pas à l’environnement X La société X rétorque que la clause a pour objet de donner à l’utilisateur des informations complémentaires sur les catégories de données collectées par X dans le cadre des services, ainsi que sur leurs modalités d’utilisation et leurs finalités. La société X affirme qu’elle tente d’éclairer les internautes sur le détail de processus techniques liés aux traitements de données, l’essentiel n’étant pas qu’ils deviennent

Page 150

Décision du 07 août 2018 1/4 social N° RG 14/07300

experts en matière de technologies de traitement de données, mais qu’ils saisissent les clés de compréhension du traitement pour exercer leurs choix. Aux termes de l’article L. 133-2 devenu l’article L. 211-2 du code de la consommation prévoit que les clauses des contrats proposés par les professionnels aux consommateurs doivent être présentées et rédigées de façon claire et compréhensible. Tel n’est pas le cas de la rédaction de la clause précitée qui adopte les termes ou expressions « bouton », « widgets » « Données de widget », qui ne permettent pas à l’utilisateur de saisir la signification exacte et par suite de leurs fonctions lorsqu’ils visitent des sites tiers, la société X ne justifiant pas avoir fourni à l’utilisateur dans les documents contractuels présentés au débat des explications lexicologiques sur les termes et expressions employés. Ces explications sont toutefois apportées de manière détaillée dans ses conclusions, informant le Tribunal que les exploitants de sites internet tiers peuvent intégrer sur leurs propres sites des fonctionnalités X au moyen de boutons ou de Widgets (Windows Gadget), lesquels permettent à l’utilisateur de s’abonner à un flux de Tweets sur un sujet précis ou d’un utilisateur précis, une barre de saisie permettant de publier un Tweet directement depuis ce module. Eu égard en définitive au caractère équivoque de sa rédaction, la clause critiquée ne présente pas les caractères de clarté et de compréhensibilité exigées par l’article L. 133-2 devenu l’article L. 211-2 du code de la consommation. Elle est par suite illicite au regard des dispositions précitées. Elle est également abusive de manière irréfragable, en ce qu’elle a pour objet ou pour effet de conférer au seul professionnel le droit exclusif d’interpréter une quelconque clause du contrat.

b) Sur l’absence de consentement éclairé à la collecte et le caractère illicite et déloyal de cette collecte.

Selon l’association UFC QUE CHOISIR, la clause ne donne aucune information précise sur le type de données collectées, ni sur les modes et les « sites » de la collecte de données à caractère personnel effectuée en dehors des services du réseau social et à l’insu de l’utilisateur. Pour la société X, cette clause a pour objet de donner à l’utilisateur des informations sur ces modules permettent de collecter des données sur l’utilisateur (notamment sur la page qu’il vient de visiter), X pouvant de ce fait suggérer plus tard à cet utilisateur de s’abonner au flux consulté quelques temps auparavant. Aux termes de l’article 6 de la Loi Informatique et Libertés, le traitement de données à caractère personnel d’une personne physique ne peut être effectué qu’à condition que la collecte soit loyale et licite (article 6 1°) et pour des finalités déterminées, explicites et légitimes (article 6 2°). L’article 7 de la Loi Informatique et Libertés exige qu’un traitement de données à caractère personnel ait reçu le consentement de la personne concernée. En l’espèce, la clause soumise à critiques prévoit qu’à l’occasion de visites de l’utilisateur sur des sites tiers disposant de boutons et de widgets, la

Page 151

Décision du 07 août 2018 1/4 social N° RG 14/07300

société X reçoit des « Données de journal » incluant la page Web visité par l’utilisateur et un cookie identifiant le navigateur utilisé par l’utilisateur. Ces « Données de widget » sont utilisées pour « adapter » le contenu qui leur est destiné, de sorte que la seule présence d’un « bouton X » ou d’une « fonctionnalité X » sur une page Internet permet à la société X de collecter des informations sur la personne concernée (adresse IP et site Internet visité), sans qu’aucune information ne soit fournie à l’utilisateur sur la nature des données ainsi collectées. Il n’apparaît pas non plus que le consentement libre et informé de l’utilisateur ait été recueilli préalablement au traitement de données à caractère personnel, les finalités décrites (adaptation du contenu qui lui est destiné, suggestions de personnes à suivre et des « contenus » susceptibles d’intéresser l’utilisateur) étant par ailleurs insuffisamment déterminées et explicites. De sorte que la clause ne répond pas aux exigences de collecte loyale et licite imposées par l’article 6/1°) de la Loi Informatique et Libertés, les finalités des traitements étant par ailleurs insuffisamment déterminées et explicites au sens de l’article 6/2°) de la Loi Informatique et Libertés alors que le consentement de la personne concernée n’a pas été recueilli conformément aux dispositions de l’article 7 de la même loi. La clause est donc illicite au regard de dispositions précitées La clause est également abusive en ce qu’elle ne permet pas à l’utilisateur d’apprécier la nature et les finalités du traitement de ses données personnelles collectées hors des services de X, créant ainsi un déséquilibre significatif entre l’utilisateur consommateur ou non professionnel et le professionnel.

c) Sur la durée de conservation et l’agrégation des données à caractère personnel de l’utilisateur :

Pour l’association UFC QUE CHOISIR, la clause critiquée est particulièrement opaque concernant la conservation des « Données de widgets », alors qu’il s’agit de données à caractère personnel. Elle n’assurerait pas une information complète de l’utilisateur sur la durée de conservation des données, en prévoyant non pas une suppression des données mais un point de départ à partir duquel le processus d’effacement de certaines données pourrait être amorcé, en méconnaissance de l’article 6 de la Loi Informatique et Libertés. Pour la société X, ces données sont soumises aux mêmes conditions générales d’utilisation que l’ensemble des données mentionnées dans la Politique de confidentialité. Ces données seraient utilisées pour les mêmes finalités que celles décrites dans la clause n° 5 (fourniture et amélioration des services, affichage des contenus et publicités personnalisées) et pourraient être adressées aux catégories de destinataires visés aux termes des clauses n° 15 et suivantes. L’article R. 132-1/4°) devenu l’article R. 212-1 du code de la consommation présume irréfragablement abusive la clause ayant pour objet ou pour effet de conférer au seul professionnel le droit exclusif d’interpréter une quelconque clause du contrat.

Page 152

Décision du 07 août 2018 1/4 social N° RG 14/07300

L’article 6/5°) de la Loi Informatique et Libertés impose que les données permettant l’identification des personnes concernées par un traitement ne peuvent être conservées sous une forme permettant leur identification que pour une durée qui ne peut excéder la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. Tel n’est pas le cas de la clause soumise à la critique qui prévoit une conservation des données à caractère personnel de l’utilisateur, recueillies par X via des sites tiers, pour une durée d’au plus 10 jours. Cette durée n’est pas justifiée, s’agissant d’une collecte effectuée en dehors des services de X, sans information préalable de l’utilisateur et sans son consentement explicite. De sorte que la clause n° 13 de la Politique de confidentialité est illicite au regard des articles L. 133-2 devenu l’article L. 211-1 du code de la consommation et des articles 6 5°) et 7 de la Loi Informatique et Libertés précitées. De plus, en utilisant dans sa rédaction une terminologie se référant à des termes expressions techniques dont les définitions ne sont pas accessibles dans les documents fournis à l’utilisateur, la clause a pour effet de conférer au professionnel un droit exclusif d’interpréter ces dispositions, créant ainsi un déséquilibre significatif entre les droits et obligations des parties au contrat. Elle est donc irréfragablement abusive au sens de l’article R. 132-1 devenu l’article R. 212-1 du code de la consommation.

En conséquence, la clause n° 13 de la Politique de confidentialité des 21 octobre 2013, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016, illicite au regard des articles 6, 7 de la Loi Informatique et Libertés et de l’article L.133-2, devenu l’article L. 211-1 du code de la consommation, est irréfragablement abusive au sens de l’article R. 132-1, devenu l’article R. 212-1 du code de la consommation et sera réputée non écrite.

15. Clause n° 13 bis de la Politique de confidentialité de X devenue clause n°15 :

Clause n°13 bis de la Politique de confidentialité de X du 8 septembre 2014 et du 18 mai 2015 :

« Services de transaction commerciale : vous pouvez indiquer vos informations de carte bancaire, notamment le numéro de votre carte, la date d’expiration, le code de sécurité et l’adresse de facturation (collectivement, les « Informations de carte bancaire »), ainsi que votre adresse d’expédition afin d’effectuer une transaction commerciale sur X. Vous pouvez également fournir le numéro de votre carte pour souscrire à des services associés à l’utilisation d’une carte, tels que les offres. Afin de simplifier vos futurs achats sur X, nous conservons vos Informations de carte bancaire, à l’exception du code de sécurité, et de l’adresse d’expédition, que vous pouvez supprimer de votre compte à tout

Page 153

Décision du 07 août 2018 1/4 social N° RG 14/07300

moment via vos paramètres de compte. Nous considérons que vos Informations de carte bancaire et votre adresse d’expédition sont des informations privées que nous ne rendons pas publiques. Nous collectons et conservons les informations générées par vos achats effectués sur X (« Données de transaction »). Si vous avez enregistré votre carte bancaire sur X pour les services associés à l’utilisation d’une carte, nous recevons des informations concernant les transactions effectuées par cette carte de la part d’un fournisseur de services de paiement tiers (« Données de carte enregistrée »). Les Données de transaction et Données de carte enregistrée peuvent inclure le nom du commerçant, ainsi que la date, l’heure et le montant de la transaction. X utilise les Données de carte enregistrée afin de vérifier votre éligibilité aux services associés à l’utilisation d’une carte et peut également utiliser ces Données afin de limiter le nombre d’offres qui vous sont proposées, ainsi que d’effectuer un suivi de ces offres ». Clause n°13 bis de la Politique de confidentialité de X du 27 janvier 2016 :

« Services de transaction commerciale : vous pouvez indiquer vos informations de carte bancaire, notamment le numéro de votre carte, la date d’expiration, le code de sécurité et l’adresse de facturation (collectivement, « Informations de carte bancaire »), ainsi que votre adresse d’expédition afin d’effectuer une transaction commerciale via nos Services. Vous pouvez également fournir le numéro de votre carte pour souscrire à des services associés à l’utilisation d’une carte, tels que les offres. Afin de simplifier vos futurs achats, nous conservons vos Informations de carte bancaire (à l’exception du code de sécurité) et de l’adresse d’expédition, que vous pouvez supprimer de votre compte à tout moment via vos paramètres de compte. Nous considérons que vos Informations de carte bancaire et votre adresse d’expédition sont des informations privées que nous ne rendons pas publiques. Nous collectons et conservons les informations générées par vos achats effectués via nos Services (« Données de transaction »). Les Données de transaction et Données de carte enregistrée peuvent inclure le nom du commerçant, ainsi que la date, l’heure et le montant de la transaction. »

Clause n°15 de la Politique de confidentialité de X du 30 septembre 2016 : « Services de transaction commerciale : Vous pouvez indiquer vos informations de paiement, notamment le numéro de votre carte de débit ou de crédit, la date d’expiration, le code de sécurité et l’adresse de facturation (collectivement, « Informations de paiement »), ainsi que votre adresse d’expédition afin d’effectuer une transaction commerciale via nos Services. Afin de simplifier vos futurs achats, nous conservons vos Informations de paiement (à l’exception du code de sécurité) et de l’adresse d’expédition, que vous pouvez supprimer de votre compte à tout moment via vos paramètres de compte. Nous considérons que vos Informations de paiement et votre adresse d’expédition sont des informations privées que nous ne rendons pas publiques. Pour faciliter la bonne exécution de la commande, nous collectons et conservons les informations générées par vos achats effectués via nos Services (« Données de transaction »). Les

Page 154

Décision du 07 août 2018 1/4 social N° RG 14/07300

Données de transaction peuvent inclure le nom du commerçant, ainsi que la date, l’heure et le montant de la transaction. »

L’association UFC QUE CHOISIR relève à titre liminaire dans les écritures de la société X que la clause porte sur une « fonctionnalité » qui n’est pas disponible en France. Toutefois, l’utilisateur n’a aucun moyen de s’apercevoir à la lecture de la clause, que ce service n’est pas disponible pour les utilisateurs français. Elle fait valoir que la clause 13 bis devenue clause n° 15 de la Politique de confidentialité de X recense la collecte et l’utilisation de données à caractère personnel notamment bancaires (numéro de carte bancaire, date d’expiration, code de sécurité), d’informations générées par les achats effectués sur X et d’informations sur les transactions réalisées auprès d’un tiers via le fournisseur de services de paiement tiers. Elle fait observer que la société X amploierait à leur propos le terme d'« information », alors qu’il s’agirait de données à caractère personnel. La société X répond que la clause concernée n’affecte pas les utilisateurs situés sur le territoire français. Cette clause prévoit que l’utilisateur peut procéder à des achats sur X et être amené à cette fin à fournir des informations destinées à permettre le traitement de sa commande (moyens de paiement, adresse de livraison) comme tout site de commerce électronique. L’utilisateur disposerait de cette option qu’il peut supprimer ou mettre à jour à tout moment à partir de ses paramètres de compte. Dans le cas ou l’utilisateur opterait pour cette fonctionnalité, X peut conserver de manière sécurisée les informations de carte bancaire, afin de faciliter les achats ultérieurs : l’utilisateur n’aura pas à saisir une nouvelle fois son numéro de carte bancaire lors d’un prochain achat. X jouerait un simple rôle d’intermédiaire entre l’utilisateur et l’e-commerçant et transmettrait au commerçant, à la demande de l’utilisateur exclusivement, les informations nécessaires pour traiter la commande passée par l’internaute (nom, adresse de livraison, moyen de paiement etc.), comme exposé plus en détail dans le « Centre d’Assistance ». Un lien « En Savoir Plus » permettrait d’accéder à d’autres explications sur les achats sur X notamment le cryptage des informations sur les moyens de paiement, aucune information liée à des achats n’étant publiée sur le profil de l’utilisateur. La société X soutient que le responsable de traitement n’a aucune obligation de dresser une liste exhaustive des données à caractère personnel susceptibles d’être collectées, le législateur ayant estimé que les mentions d’informations figurant dans l’article 32-I de la Loi Informatique et Libertés sont à elles-seules de nature à informer utilement les utilisateurs sur les traitements de données et à préserver leurs droits. Elle ajoute que les finalités liées aux traitements de données sont constamment rappelées dans la Politique de Confidentialité, à la fois de manière générale mais également catégorie de données par catégories de données dans la rubrique “Collecte et utilisation des informations”, la clause n°5 et suivantes allant ainsi au-delà de ce qui est strictement prévu par la loi. En l’espèce, il ressort de l’analyse de la clause n° 13 bis que trois catégories de données sont produites à l’occasion d’achats de l’utilisateur sur X. -Dans la première catégorie, nommée « Informations de carte bancaire », (ou « Informations de paiement » dans la version du 30 septembre 2016), figurent les informations que l’utilisateur fournit spontanément à l’occasion de ses achats via les Services de la

Page 155

Décision du 07 août 2018 1/4 social N° RG 14/07300

plate-forme : numéro de carte, date d’expiration de la carte, code de sécurité, adresse de facturation, adresse d’expédition. Ces informations sont collectées et conservées par X, à l’exception du code de sécurité et de l’adresse d’expédition. -Dans la seconde catégorie, apparaissent sous le vocable « Données de transaction » les informations « générées » par les achats de l’utilisateur sur X. Ces données sont également collectées et conservées par X. -Dans la troisième catégorie (« Données de carte enregistrées ») sont concernées les informations reçues des « fournisseurs de services de paiement tiers ». Ces données incluent notamment le nom du commerçant, la date, l’heure et le montant de transaction. Ces données, qui font également l’objet d’une collecte car elles sont « utilisées » par X pour « limiter le nombre d’offres » proposées à l’utilisateur, dont on sait qu’elles concernent des offres commerciales, et en assurer « un suivi ». En d’autres termes ces données permettent un suivi dans le temps des achats de l’utilisateur et un meilleur ciblage des offres commerciales, qui lui sont proposées. Les informations de la première catégorie peuvent être supprimées de votre compte par l’utilisateur à tout moment via ses paramètres de compte. En revanche, les informations générées par les achats et les informations reçues des « fournisseurs de services de paiement tiers » ne font l’objet d’aucune possibilité de paramétrage, puisqu’elles sont initialement collectées ou reçues à l’insu de l’utilisateur. La collecte, la conservation des données et l’utilisation (le traitement) des données sont justifiées par des finalités qui ressortent d’une part de l’objectif de simplifier les futurs achats de l’utilisateur, de faciliter la bonne exécution de la commande et d’autre part de vérifier l’éligibilité de l’utilisateur aux « services associés » à l’utilisation de la carte, services non définis par la clause précitée ni par aucune autre clause de la Politique de confidentialité. L’article L. 133-2 devenu l’article L. 211-1 du code de la consommation, impose aux professionnels dans les contrats qu’ils proposent aux consommateurs que les clauses desdits contrats soient présentées et rédigées de façon claire et compréhensible. Au sens de l’article 2 de la Loi Informatique et Libertés, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Aux termes de l’article 6 de la Loi Informatique et Libertés, le traitement de données à caractère personnel d’une personne physique ne peut être effectué qu’à condition que la collecte soit loyale et licite (article 6 1°) et pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités (article 6 2°). Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs (article 6 3°), ces données ne devant pas être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas

Page 156

Décision du 07 août 2018 1/4 social N° RG 14/07300

la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées (article 6 5°). L’article 7 de la Loi Informatique et Libertés exige qu’un traitement de données à caractère personnel ait reçu le consentement de la personne concernée. L’article 32-I 2°) de la Loi Informatique et Libertés exige du responsable du traitement, qu’il informe la personne concernée de la finalité poursuivie par le traitement, auquel les données sont destinées et des destinataires ou catégories de destinataires des données. Il ressort de la clause critiquée que l’ensemble des données précitées constituent des données personnelles au sens de l’article 2 de la Loi Informatique et Libertés. De sorte que la personne, auprès de laquelle sont recueillies des données à caractère personnel, doit être informée de la durée de conservation des catégories de données traitées, l’effacement de ces données à caractère personnel étant imposé au responsable du traitement lorsqu’elles ne sont plus nécessaires à la réalisation de la finalité pour laquelle elles ont été collectées. En s’abstenant d’informer l’utilisateur du caractère personnel des données collectées à l’occasion de la transaction commerciale qu’il opère via X, en ne prévoyant pas de recueillir son consentement spécifique, informé et indubitable, en présumant son accord implicite, en permettant de collecter, d’utiliser et de conserver des données qui ne sont ni adéquates ni pertinentes au regard de finalités, par ailleurs insuffisamment explicites et déterminées et pour une durée sans lien direct avec les finalités d’un traitement que pourrait légitimement attendre l’utilisateur du réseau social, en n’informant pas l’utilisateur des destinataires ou catégories de destinataires des données, la clause ne répond ni à l’obligation de collecte loyale et licite prévue par l’article 6/1°) de la Loi Informatique et Libertés, ni à l’exigence de consentement recueilli auprès de la personne concernée préalablement au traitement requis par l’article 7 de la loi précitée. Cette clause contrevient également aux dispositions de l’article 32-I/2°) de la même loi. La clause est donc illicite au regard des dispositions précitées. En présumant le consentement implicite de l’utilisateur à la collecte et au traitement de ses données à caractère personnel, la clause est également abusive au sens de l’article L. 132-1 devenu l’article L. 221-1 du code de la consommation, comme créant un déséquilibre significatif entre les droits et obligations des parties au détriment de l’utilisateur consommateur. En permettant à X de collecter et de conserver les informations générées par les achats effectués sur X, en usant de termes vagues ou expressions générales telles que « notamment », « tels que », « peut » « peuvent inclure », la clause est irréfragablement abusive au sens de l’article R. 132-1 4°) devenu l’article R. 212-1 4°) du code de la consommation, en ce qu’elle a pour objet ou pour effet de conférer au professionnel un droit exclusif d’interpréter une clause ambiguë dans le sens qui lui serait le plus favorable.

En conséquence, la clause n° 13 bis des 8 septembre 2014, du 18 mai 2015, 27 janvier 2016, devenu la clause n° 15 du 30 septembre 2016 de la Politique de confidentialité de X, illicite au regard des articles

Page 157

Décision du 07 août 2018 1/4 social N° RG 14/07300

L.111-1, L.111-2, et, s’agissant de contrat conclu à distance, dans les articles L.121-17, L.121-19, L.121-19-2 et R.111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, L. 133-2 devenu l’article L. 211-1 du code de la consommation, 6, 7, 32-I 2°) de la Loi Informatique et Libertés, est abusive au sens des articles L. 132-1 devenu l’article L. 221-1 du code de la consommation et R. 132-1 4°) devenu l’article R. 212-1 4°) du code de la consommation. Elle sera donc réputée non écrite.

16. Clause n° 14 de la Politique de confidentialité de X devenue clause n°17 :

Clause n°14 de la Politique de confidentialité de X du 21 octobre 2013 :

« Tiers : X utilise les services de prestataires tiers variés pour l’aider à fournir les Services, comme l’hébergement des différents blogs et wikis ou à comprendre l’utilisation qui est faite des Services, comme Google Analytics. Ces prestataires de service tiers collectent des informations envoyées par votre navigateur dans une requête de page Web, comme les cookies et votre adresse IP. Les partenaires annonceurs tiers nous communiquent des informations, comme les identifiants de cookie relatifs à un navigateur ou les identifiants de compte (tel qu’une adresse email) sous forme cryptée, afin de nous aider à mesurer la qualité des publicités et à les personnaliser. Cela nous permet par exemple d’afficher des publicités relatives à des domaines auxquels vous avez déjà manifesté de l’intérêt. Si vous le souhaitez, vous pouvez également désactiver les publicités personnalisées dans les paramètres de compte pour éviter la communication sur votre compte de données de publicité partagées par des partenaires annonceurs. Pour en savoir plus sur ce paramètre et sur l’option de navigateur dédiée à la désactivation du suivi, cliquez ici ».

Clause n°14 de la Politique de confidentialité de X du 8 septembre 2014 :

« Tiers et sociétés affiliées : X utilise les services de prestataires tiers variés pour l’aider à fournir les Services, comme l’hébergement des différents blogs et wikis ou à comprendre l’utilisation qui est faite des Services, comme Google Analytics. Ces prestataires de service tiers collectent des informations envoyées par votre navigateur dans une requête de page Web, comme les cookies et votre adresse IP. Les partenaires annonceurs tiers nous communiquent des informations, comme les identifiants de cookie relatifs à un navigateur, les URL des sites Web visités, les identifiants d’appareil mobile ou de compte (tel qu’une adresse email) sous forme cryptée, afin de nous aider à mesurer et à personnaliser les publicités. Cela nous permet par exemple d’afficher des publicités relatives à des domaines auxquels vous avez déjà manifesté de l’intérêt. Si vous le souhaitez, vous pouvez également désactiver les annonces

Page 158

Décision du 07 août 2018 1/4 social N° RG 14/07300

personnalisées dans les paramètres de compte pour éviter la communication sur votre compte de données de publicité partagées par des partenaires annonceurs. Pour en savoir plus sur vos options de confidentialité, rendez-vous ici. Il est possible que nous recevions des informations vous concernant de nos sociétés affiliées afin de nous permettre de fournir, de comprendre et d’améliorer nos Services et les services de nos sociétés affiliées, notamment pour la diffusion de publicités ».

Clause 14 de la Politique de confidentialité de X du 18 mai 2015 et du 27 janvier 2016 :

« Tiers et sociétés affiliées : X utilise les services de différents prestataires tiers pour l’aider à fournir les Services, comme l’hébergement des différents blogs et wikis ou à comprendre l’utilisation qui est faite des Services, comme Google Analytics. Ces prestataires de service tiers collectent des informations envoyées par votre navigateur dans une requête de page Web, comme les cookies et votre adresse IP. Les partenaires annonceurs tiers nous communiquent des informations, comme les identifiants de cookie relatifs à un navigateur, les URL des sites Web visités, les identifiants d’appareil mobile ou de compte (tel qu’une adresse email) sous forme cryptée, afin de nous aider à mesurer et à personnaliser les publicités. Cela nous permet par exemple d’afficher des publicités relatives à des domaines auxquels vous avez déjà manifesté de l’intérêt en dehors de nos Services. Si vous le souhaitez, vous pouvez également désactiver les annonces personnalisées dans vos paramètres de confidentialité pour éviter la communication sur votre compte de données de publicité partagées par des partenaires annonceurs. Pour en savoir plus sur vos options de confidentialité, rendez-vous ici pour découvrir le fonctionnement des publicités dans nos Services, rendez-vous ici. . Il est possible que nous recevions des informations vous concernant de nos sociétés affiliées afin de nous permettre de fournir, de comprendre et d’améliorer nos Services et les services de nos sociétés affiliées, notamment pour la diffusion de publicités ».

Clause 17 de la Politique de confidentialité de X du 30 septembre 2016 :

Tierces parties et sociétés affiliées : Nous sommes susceptibles de recevoir des informations vous concernant de la part de tierces parties, par exemple d’autres utilisateurs X, des partenaires (y compris des partenaires publicitaires) ou nos sociétés affiliées. Par exemple, ces autres utilisateurs peuvent partager ou divulguer des informations vous concernant, notamment lorsque qu’ils vous mentionnent, partagent une photo de vous ou vous identifient sur une photo. Vos paramètres de confidentialité déterminent qui peut vous identifier sur une photo. Nos partenaires publicitaire et sociétés affiliées sont susceptibles de partager des informations avec nous, par exemple un identifiant de cookie relatif à un navigateur, un identifiant d’appareil mobile ou de compte (tel qu’une adresse e-mail) sous forme cryptée, ainsi que des données démographiques ou des informations sur vos centres d’intérêt et les contenus consultés ou

Page 159

Décision du 07 août 2018 1/4 social N° RG 14/07300

actions sur un site Web ou une application. Nos partenaires publicitaires, particulièrement nos annonceurs, peuvent nous permettre de recueillir des informations similaires directement à partir de leur site Web ou de leur application, en intégrant notre technologie publicitaire. »

L’association UFC QUE CHOISIR reproche à la clause critiquée d’être illicite au regard des articles 6, 7, 32-II et III de la Loi Informatique et Libertés. Cette clause prévoit que X peut traiter des données provenant d’utilisateurs passifs, données susceptibles d’être des données à caractère personnel, collectées via des filiales, des prestataires tiers ou des partenaires annonceurs de X. Le traitement de données à caractère personnel, ainsi effectué à leur insu et portant notamment sur les sites Internet visités renseignerait la société sur le comportement privé des personnes Selon la société X, cette clause a pour objet de donner à l’utilisateur des informations complémentaires sur la manière dont, en sa qualité de destinataire de données, elle reçoit des données traitées par des tiers partenaires, à l’origine de la collecte des données. Ces tiers responsables de traitement auraient l’obligation de recueillir le consentement de l’utilisateur sur leur propre site, conformément aux dispositions légales. La société X ajoute qu’elle offre à l’utilisateur la possibilité d’activer ou de désactiver l’ajustement des publicités en fonction des infos partenaires, à partir de l’interface de gestion des paramètres.

a) Sur la loyauté et la licéïté du traitement :

L’article 6 de la Loi Informatique et Libertés exige que les données soient collectées et traitées de manière loyale et licite et pour des finalités déterminées, explicites et légitimes. L’article 32-II de la Loi Informatique et Libertés prévoit que tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant, de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement (1°) des moyens dont il dispose pour s’y opposer (2°), ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui pouvant résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. Ces dispositions n’étant pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur, soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique, soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. L’article 32-III de la Loi Informatique et Libertés impose au responsable du traitement ou son représentant, lorsque les données à caractère personnel

Page 160

Décision du 07 août 2018 1/4 social N° RG 14/07300

n’ont pas été recueillies auprès de la personne concernée, de fournir à cette dernière les informations énumérées à l’article 32-I, dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données. Aux termes de l’article 38 de la Loi Informatique et Libertés, toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement. Elle a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur. En l’espèce, la clause prévoit qu’au cours de leur navigation sur internet les « prestataires de services tiers », les « partenaires annonceurs tiers », « les sociétés affiliées » de X (lesdites sociétés affiliées n’étant évoquées qu’à compter de la version du 21 octobre 2013), collectent auprès des utilisateurs du réseau, mais en dehors de ce dernier, des données à caractère personnel, comme l’identifiant de cookies relatif au navigateur, l’adresse IP (pour les prestataires de services tiers), l’URL des sites Web visités, les identifiants de compte (adresse e-mail), les identifiants d’appareil mobile pour les partenaires annonceurs tiers et les sociétés affiliées dans les versions des 21 octobre 2013, 8 septembre 2014, 18 mai 2015, 27 janvier 2016. La rédaction de la clause n° 17 dans la version du 30 septembre 2016 diffère des précédentes versions en ce sens qu’elle substitue aux termes « collectent et communiquent », le vocable « partage », entretenant ainsi la confusion entre le « partage » d’informations ou de photos entre utilisateurs du réseau social, pour lequel un paramétrage d’identification est prévu, et le « partage » entre X et ses partenaires publicitaires et annonceurs, de données à caractère personnel collectées auprès de l’utilisateur (comprenant : l’identifiant de cookie relatif à un navigateur, d’appareil mobile ou de compte (adresse e-mail), des données démographiques, des informations sur les centres d’intérêt de l’utilisateur, des contenus qu’il a consultés ou des actions qu’il a effectuées sur un site Web ou une application). En prévoyant la faculté pour la société X de communiquer les données à caractère personnel de l’utilisateur à des tiers ou des catégories de tiers non désignés pour des traitements dont les finalités ne sont ni déterminées ni explicites – les données ne devant pas être traitées ultérieurement de manière incompatible avec les finalités pour lesquelles elles ont été collectées -, tout en s’abstenant d’envisager le droit pour l’utilisateur de s’opposer au traitement de ses données à caractère personnel, la clause critiquée est illicite au regard des articles 6 et 7 et 38 de la Loi Informatique et Libertés. La clause est également abusive en ce qu’elle est de nature à créer un déséquilibre significatif entre les droits et obligations des parties au contrat au détriment de l’utilisateur consommateur ou non professionnel car elle laisse croire, que les traitements réalisés par la communication de données à caractère personnel à des tiers ne sont pas soumis aux conditions de licéité des traitements légalement prévues et que l’utilisateur ne dispose d’aucun droit d’opposition à ces traitements. Il résulte de ce qui précède que des données à caractère personnel sont collectées, lorsque des utilisateurs, authentifiés ou non (« utilisateurs passifs ») visitent des sites Internet, tiers au réseau, notamment via les

Page 161

Décision du 07 août 2018 1/4 social N° RG 14/07300

cookies initialement déposés sur l’ordinateur de l’utilisateur par X (cf. notamment clause n°11 de la Politique de confidentialité examinée précédemment). La seule présence de « bouton » ou de « widgets » sur une page Internet permet à la société de collecter des informations sur la personne concernée comme son adresse IP et le site Internet visité. Or, en se rendant sur ces sites, les utilisateurs, authentifiés ou non, ne bénéficient d’aucune information sur l’existence d’une telle collecte, du traitement réalisé et des finalités poursuivies par ce traitement, alors que les données à caractère personnel ainsi collectées permettent de révéler des informations sur le comportement privé des personnes. Celles-ci n’ont aucune conscience du traitement de données à caractère personnel effectué à leur insu, les sites consultés n’appartenant pas à l’environnement X. D’où il suit que la collecte de données effectuées via des sites internet tiers et applications tierces sans information spécifique à destination de l’utilisateur contrevient aux dispositions de l’article 6 de la Loi Informatique et Libertés exigeant préalablement au traitement une collecte loyale et licite des données personnelles de la personne concernée par le traitement.

b) Sur les obligations du responsable du traitement :

La société X explique qu’il appartient aux sociétés partenaires concernées de recueillir le consentement de l’utilisateur. Il apparait à la lecture de la clause que la société X est non seulement à l’origine du dépôt de cookies mais elle est également destinataire des données collectées par les sociétés tierces, données qu’elle utilise pour son propre compte et pour des finalités qu’elle a déterminées. La société X est donc le responsable du traitement de données à caractère personnel au sens de l’article 3 de la Loi Informatique et Libertés, c’est-à-dire l’entité qui détermine les finalités et les moyens du traitement de ces données. L’obligation d’information et de recueil de consentement préalables de l’utilisateur, prévue par les articles 6, 7 32-II et 32-III de la Loi Informatique et Libertés de la Loi Informatique et Libertés, repose donc intégralement sur X, en sa qualité de responsable du traitement et non sur ses entreprises partenaires. De sorte qu’en n’informant pas l’utilisateur que des données à caractère personnel sont collectées lors de sa navigation sur des sites ou des applications tierces, en s’abstenant de recueillir auprès de l’utilisateur son consentement préalable, qui doit résulter d’une action positive de sa part et en ne proposant pas à l’utilisateur de moyens pour s’opposer à cette collecte, la clause critiquée contrevient aux dispositions des articles 6 et 7 de la Loi Informatique et Libertés. Elle est donc illicite à leur égard.

Page 162

Décision du 07 août 2018 1/4 social N° RG 14/07300

En conséquence la clause n°14 de la Politique de confidentialité de X des 21 octobre 2013, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016, nouvellement clause n°17 dans la version du 30 septembre 2016, illicite au regard des articles 6, 7, 32-II, 32- III, et 38 de la Loi Informatique et Libertés, de l’article L. 132-1, devenu l’article L. 212-1 du code de la consommation, et abusive au regard de l’article R. 132- 1 4°) devenu l’article R. 212-1 4°) du Code de la consommation, sera donc réputée non écrite.

17. Clause n° 15 de la Politique de confidentialité de X devenue clause n°18 :

Clause n°15 de la Politique de confidentialité de X du 21 octobre 2013 : Astuce : Nous ne divulguons pas de données personnelles et privées en dehors des circonstances limitées qui sont énumérées ici. Clause n°15 de la Politique de confidentialité de X du 8 septembre 2014 : Tip : Nous ne divulguons pas d’informations personnelles et privées en dehors des circonstances limitées qui sont énumérées ici. Clause n°15 de la Politique de confidentialité de X du 18 mai 2015 et du 27 janvier 2016 : Tip : Nous ne divulguons pas d’informations personnelles et privées en dehors des situations décrites dans la présente Politique de confidentialité. Clause n°18 de la Politique de confidentialité de X du 30 septembre 2016 : « Nous ne divulguons pas vos informations personnelles et privées en dehors de certaines situations limitées décrites ici. » Pour l’association UFC-QUE CHOISIR, la clause n° 15 de la Politique de confidentialité, devenue clause n° 18 dans la version du 30 septembre 2016, laisse croire à l’utilisateur que ses données personnelles ne peuvent pas être utilisées en dehors des situations décrites dans la Politique de confidentialité, qui, par ailleurs, n’explique pas de manière explicite les finalités du traitement de données à caractère personnel collectées par X, en méconnaissance de l’article 6/2°) de la Loi Informatique et Libertés. La clause serait également illicite, car elle contreviendrait aux dispositions de l’article L. 111-2 du code de la consommation en raison du caractère obscur et difficilement compréhensible de sa rédaction, qui par ailleurs substitue dans les versions de 2014, 2015 et celles de janvier et septembre 2016 l’expression « informations personnelles » à celle de « données personnelles ». Selon X, la clause n°15 de la Politique de confidentialité n’est pas une stipulation contractuelle destinée à fixer les droits ou obligations des co-contractants, mais une simple mention d’information sous forme d'« astuce » destinée à « attirer l’œil » de l’internaute dans un but pédagogique et à faciliter la lecture de la Politique de confidentialité. Cette mention annoncerait la rubrique « Partage et divulgation de données » des clauses n°

Page 163

Décision du 07 août 2018 1/4 social N° RG 14/07300

15, 16, 17, 18, 19 20 et 21, qui énumèrent les catégories de destinataires, conformément à l’article 32 5° de la Loi Informatique et Libertés. Les articles L. 111-1 et l’article L. 111-2 devenus l’article L. 111-1 du code de la consommation imposent au professionnel de communiquer au consommateur, avant qu’il ne soit lié par un contrat de vente de biens ou de fourniture de services, de manière lisible et compréhensible, les caractéristiques essentielles du bien ou du service, compte tenu du support de communication utilisé et du bien ou service concerné. En l’espèce, la clause n° 15, selon la nomenclature adoptée par les parties (aucune clause n’étant numérotée dans la Politique de confidentialité), est constituée d’une seule phrase, qui reprend, à l’instar de la clause n° 8.3 des Conditions d’utilisation, la même forme rédactionnelle d'« astuce » (ou de « tip »). La société X prétend que la clause n°15 la Politique de confidentialité n’est pas une stipulation contractuelle, mais un « focus visuel » destiné à attirer l’attention sur le partage des données avec certains destinataires, dans les hypothèses décrites dans les paragraphes suivants. Eu égard à son caractère succinct à simple usage de rappel, cette clause ne peut effectivement être considérée que comme une simple mention de renvoi aux conditions d’utilisation quant à l’énumération des circonstances limitées de divulgation des données personnelles. La clause nn° 15 et 18 de la Politique de confidentialité ne sera donc pas déclarée réputée non écrite.

18. Clause n° 16 de la Politique de confidentialité de X :

10 Clause n° 16 de la Politique de confidentialité de X du 30 septembre 2016.

16. Publicité : Nos Services sont financés par la publicité. Nous sommes susceptibles d’utiliser les informations décrites dans cette Politique de confidentialité pour faire en sorte que nos publicités soient plus pertinentes pour vous, pour en mesurer l’efficacité et pour aider à reconnaître vos appareils afin de vous diffuser des annonces sur et hors X. Par exemple, lorsque vous interagissez avec un contenu dans l’application X pour Android, nous pouvons afficher un contenu (y compris publicitaire) concernant les mêmes thèmes que lorsque vous utilisez X sur le Web. Nous n’utilisons pas le contenu que vous partagez de façon privée via des Messages directs pour vous adresser des publicités. Notre Politique publicitaire X interdit également aux annonceurs de cibler des publicités en fonction de catégories que nous estimons sensibles, telles que la race, la religion, l’opinion politique, les préférences sexuelles ou la santé. Si vous le souhaitez, vous pouvez décocher le paramètre Contenu promotionnel dans vos Paramètres de sécurité et de confidentialité afin que votre compte ne soit pas associé aux informations que nos partenaires publicitaires recueillent, ou que nous recueillons directement sur les sites ou application de ces partenaires, afin d’adapter les publicités pour vous. Pour en savoir plus sur vos options de confidentialité relatives à la

Page 164

Décision du 07 août 2018 1/4 social N° RG 14/07300

personnalisation des annonces, cliquez ici, et pour découvrir le fonctionnement des publicités dans nos Services, cliquez ici.

Selon l’association UFC-QUE CHOISIR, la clause n°16 révèle le modèle économique de X qui s’appuie sur l’exploitation commerciale des données, notamment des données à caractère personnel, collectées auprès des utilisateurs par le biais de sa plate-forme. Cette clause autoriserait les services de X à collecter des données à caractère personnel, sans que l’utilisateur en ait pleinement conscience, la clause faisant référence à la notion d'« information » sans préciser clairement qu’il peut s’agir également de données à caractère personnel. Cette clause serait contraire à l’article 32-I de la Loi Informatique et Libertés en l’absence d’information suffisamment explicite de l’utilisateur sur les finalités de transmission des données à des destinataires tiers, par ailleurs insuffisamment définis selon elle. La clause permettrait l’envoi systématique de publicité ciblée (ou comportementale) sans qu’ait été obtenu de l’utilisateur un consentement distinct, réel et préalable. Elle serait donc illicite au regard des articles 7 et 32-I de la Loi Informatique et Libertés et contreviendrait aux articles L.111-1, L.111-2, L.121-17 et L.121-19 du code de la consommation, le professionnel étant tenu à une obligation d’information générale sur les caractéristiques essentielles du service. La société X ne formule aucune observation à propos de la critique de cette clause par l’association UFC-QUE CHOISIR. Les articles L. 111-1 et l’article L. 111-2 devenus l’article L. 111-1 du code de la consommation imposent au professionnel de communiquer au consommateur, avant qu’il ne soit lié par un contrat de vente de biens ou de fourniture de services, de manière lisible et compréhensible, les caractéristiques essentielles du bien ou du service, compte tenu du support de communication utilisé et du bien ou service concerné. L’article 7 de la Loi Informatique et Libertés prévoit qu’un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée. Aux termes de l’article 32-I la Loi Informatique et Libertés la personne, auprès de laquelle sont recueillies des données à caractère personnel la concernant, doit être informée par le responsable du traitement ou son représentant, sauf si elle l’a été au préalable, de la finalité poursuivie par le traitement auquel les données sont destinées et des destinataires ou catégories de destinataires des données ; En l’espèce, la clause n° 16 expose que les « Services » de X sont financés exclusivement par la publicité, cette publicité étant constituée d'« annonces » ou de « contenu(s) » « y compris publicitaire(s) » diffusée sur X et en dehors de X. Selon les termes de la clause précitée, les publicités concernées sont des publicités personnalisées (« plus pertinentes pour (l’utilisateur) »), « ciblées » en fonction d'« informations décrites dans (la) Politique de confidentialité ». Elles procèdent de données renseignées par l’utilisateur lui-même lors de son inscription sur le site (informations dites de profil : âge, sexe, localisation, cf. clauses n° 7, 8 et 22 de la Politique de confidentialité), de données permettant d'(« aider à reconnaître (les) appareils (de l’utilisateur) »), c’est-à-dire d’identifier l’équipement terminal de l’utilisateur (clause n°5 de la Politique de confidentialité), et des données

Page 165

Décision du 07 août 2018 1/4 social N° RG 14/07300

collectées lors de sa navigation sur le site X à l’occasion de son interaction « avec un contenu dans l’application X » et sur d’autres sites (clauses n° 10, 11, 12, 14 devenue clause n° 17 de la Politique de confidentialité). L’ensemble de ces données est également utilisé pour mesurer l’efficacité desdites publicités. Il ressort également de la clause que toutes les données sont concernées, celles qui sont « recueillies » par X directement sur les sites ou les applications de ces partenaires et celles qui sont collectées par ses partenaires publicitaires eux-mêmes, à l’exception toutefois des données qualifiées par X de « catégories » (race, religion, opinion politique, préférences sexuelles ou santé), dont la société « estime » qu’elles constituent des données sensibles. Elle affirme dans la clause critiquée en interdire la diffusion à ses annonceurs dans le cadre de sa « Politique publicitaire » (non produite au débat), étant rappelé que l’article 8-I de la Loi Informatique et Libertés interdit la collecte et le traitement de ces données sensibles. La clause prévoit également que l’utilisateur peut se rendre via un lien hypertexte dans les paramètres de sécurité et de confidentialité pour « décocher le paramètre Contenu promotionnel », c’est-à-dire pour s’opposer à la diffusion de ces publicités.

Ainsi, il ressort de ce qui précède et de l’ensemble des clauses de la Politique de confidentialité soumises à la critique, que la publicité finançant les « Services » de X est une publicité « ciblée » voire une publicité « comportementale », c’est-à-dire une publicité adaptée aux centres d’intérêts de l’utilisateur (cf. vidéo n° 9 : « Espace paramètres – Options relatives à la publicité, produite au débat, qui repose sur l’observation au fil du temps du comportement de navigation de l’utilisateur). Cette observation peut être réalisée grâce au dépôt de cookies sur son ordinateur, lequel permet la conservation de l’historique de navigation de l’utilisateur, de ses visites successives de sites, des pages spécifiques qu’il a consultées, des interactions qu’il a effectuées, des liens qu’il a ou non cliqués, de ses termes de recherche, de la production de contenu qu’il a mis en ligne, etc. Par voie de conséquence, cela concerne l’ensemble du suivi (ou traçage) de l’utilisateur lors de sa navigation sur internet (cf. les clauses déjà examinées par le Tribunal : clauses n° 5, 8, 10, 11, 12, 13, 14 devenue clause n° 17). L’ensemble des données collectées »aux fins d’un ciblage efficace de la publicité« (clause n° 10) servent, à compter d’éléments détaillés sur les centres d’intérêt de l’utilisateur, à élaborer des profils permettant l’envoi ultérieur de publicités adaptées. Or, la publicité ciblée, comme la publicité comportementale, repose sur la collecte et le traitement de »données à caractère personnel" des utilisateurs au sens de l’article 2 de la Loi Informatique et Libertés. L’utilisateur doit donc être informé de l’existence de ces opérations de collecte de données et des finalités de leur traitement, pour être en mesure de donner son consentement indubitable. De la même manière, il a été relevé lors de l’examen de la clause n° 11 de la Politique de confidentialité, illicite comme contrevenant aux dispositions de l’article 32-II de la Loi Informatique et Libertés, que le placement de cookies ou de dispositifs similaires dans l’équipement terminal de l’utilisateur permettant l’accès à des informations, dont des données à caractère personnel, n’est autorisé qu’avec le consentement informé de l’utilisateur, nécessitant de sa part une action positive indiquant son acceptation à la fois du placement de ces

Page 166

Décision du 07 août 2018 1/4 social N° RG 14/07300

dispositifs et du suivi de son comportement sur internet aux fins de l’envoi de publicités personnalisées. Tel n’est pas le cas de la clause critiquée, X se contentant de mettre à la disposition de l’utilisateur une option dite d'« opt-out », permettant à l’utilisateur de décocher, dans l'« Espace paramètres – Options relatives à la publicité », dans une rubrique appelée « Contenu sponsorisé », une case pré-cochée par défaut, autorisant l’envoi de publicités « adaptées », qualifiées de « comportementales » par X dans la vidéo précitée. La même opportunité était ouverte à l’utilisateur dans la clause n° 11 précédemment examinée par le Tribunal. Cette faculté d’opposition de l’utilisateur ne porte que sur la diffusion de publicité ciblée, l’opposition valant uniquement pour la publicité diffusée sur X et non pour celle qui pourrait être diffusée sur des applications ou sites tiers (vidéo n° 9). De sorte que l’utilisateur ne dispose d’aucune option dite d'« opt-in » portant sur l’opposition à la collecte des données, qui continue d’être opérée, malgré le paramétrage. En conséquence, la clause n°16 de la Politique de confidentialité du 30 septembre 2016, illicite au regard des articles L. 111-1, L. 111-2, devenus les article L. 111-1, L. 111-2 et L. 111-3 du code de la consommation, des articles L. 121-17, devenu l’article L. 221-5 du code de la consommation, de l’article L. 121-19, devenu l’article L. 221-11 du code de la consommation, de l’article 7 et 32-I de la Loi Informatique et Libertés, sera réputée non écrite.

19. Clause n° 16 de la Politique de confidentialité de X devenue clause n°19 :

Clause n°16 de la Politique de Confidentialité de X du 21 octobre 2013 et du 8 septembre 2014 : « Votre consentement : nous divulguons et partageons vos informations conformément à vos instructions, comme par exemple quand vous autorisez un site Web ou une application tierce à accéder à votre compte X ».

Clause n°16 de la Politique de confidentialité de X du 18 mai 2015 : « Votre consentement : nous divulguons et partageons vos informations conformément à vos instructions, comme par exemple quand vous autorisez un site Web ou une application tierce à accéder à votre compte X. D’autres utilisateurs peuvent partager ou divulguer des informations vous concernant, par exemple lorsqu’ils vous mentionnent, partagent une photo de vous ou vous identifient sur une photo. Vos paramètres de confidentialité déterminent qui peut vous identifier sur une photo dans les Services X. Si vous avez partagé des informations, telles que des messages directs ou des Tweets protégés, avec un autre utilisateur qui accède aux Services X par le biais d’un service tiers, gardez à l’esprit que ces informations peuvent être partagées avec le service tiers »

Page 167

Décision du 07 août 2018 1/4 social N° RG 14/07300

Clause n°16 de la Politique de confidentialité de X du 27 janvier 2016 : « Consentement et instructions de l’utilisateur : nous divulguons et partageons vos informations conformément à vos instructions, par exemple quand vous autorisez un site Web ou une application tierce à accéder à votre compte. D’autres utilisateurs peuvent partager ou divulguer des informations vous concernant, par exemple lorsque qu’ils vous mentionnent, partagent une photo de vous ou vous identifient sur une photo. Vos paramètres de confidentialité déterminent qui peut vous identifier sur une photo dans les Services X. Si vous avez partagé des informations, telles que des messages directs ou des Tweets protégés, avec un autre utilisateur qui accède aux Services X par le biais d’un service tiers, gardez à l’esprit que ces informations peuvent être partagées avec le service tiers. »

Clause n°19 de la Politique de confidentialité de X du 30 septembre 2016 : Consentement et instructions de l’utilisateur : Nous divulguons et partageons vos informations conformément à vos instructions, par exemple quand vous autorisez un site Web ou une application tierce à accéder à votre compte ou quand vous nous demandez de partager vos commentaires avec une entreprise. Lorsque vous utilisez Digits de X pour vous inscrire ou vous connecter à une application tierce, vous nous donnez l’instruction de partager vos coordonnées, telles que votre numéro de téléphone, avec cette application. Si vous avez partagé des informations, telles que des Messages directs ou des Tweets protégés, avec un autre utilisateur qui accède à X par le biais d’un service tiers, gardez à l’esprit que ces informations peuvent être partagées avec le service tiers

Pour l’association UFC-QUE CHOISIR les clauses précitées font croire à l’utilisateur qu’il a la maîtrise du partage de ses données et qu’elles ne sont communiquées que sur ses instructions, alors que la clause indiquerait qu’elles peuvent être communiquées à des sites, applications et services tiers, que certaines données sont publiques par défaut, que certaines données sont toujours publiques quel que soit le paramétrage déterminé par l’utilisateur, que c’est X qui détermine le caractère public des données, que les possibilités de paramétrage prévues échouent si un tiers peut accéder aux données à caractère personnel de l’utilisateur et qu’en se référant à une liste non délimitée de données accessibles à des tiers, l’utilisateur est dans l’impossibilité de connaître l’étendue de la divulgation de ses données personnelles. La clause contreviendrait donc aux dispositions des articles 6, 7, 32-III, 34 de la Loi Informatique et Libertés. La société X répond que la clause critiquée fait partie de la rubrique “Partage et divulgation des informations”. Elle expose les hypothèses dans lesquelles les données peuvent être transmises à certains tiers. Cette clause aurait pour objet d’attirer l’attention de l’utilisateur sur le fait que certaines de ces données peuvent être partagées selon les instructions de l’utilisateur avec des tiers ou utilisées par des tiers, dans des conditions qui lui permettent d’en garder à tout moment le contrôle. Elle ajoute que sa politique n’a pas pour unique objet de donner une information « précontractuelle » et constitue également un guide d’utilisation des services.

Page 168

Décision du 07 août 2018 1/4 social N° RG 14/07300

L’utilisateur pourrait ainsi associer certaines applications tierces à son compte X afin de bénéficier de fonctionnalités supplémentaires, comme associer l’application Facebook à son compte X à partir de son espace de gestion des paramètres, et ainsi poster ses Tweets depuis son profil Facebook. Aucune association ne se faisant automatiquement, l’utilisateur devrait exprimer son consentement exprès et paramétrer le partage des données entre applications.La société X considère que cette clause explique que certaines données peuvent être communiquées à des tiers pour les besoins de Digit (système de connexion à X passant par l’envoi d’un SMS par téléphone à l’utilisateur) et qu’il s’agit d’une option à la disposition de l’utilisateur qui doit donner son consentement à cette communication. La clause rappellerait également que lorsqu’un utilisateur publie un tweet à partir d’un service tiers (par exemple, à partir d’un site internet incluant un widget X), le service tiers peut accéder à ces informations, puisque celles-ci sont publiées sur son propre site.

Aux termes des articles 6 /1°), 6/2°) et 7 de la Loi Informatique et Libertés, les données à caractère personnel doivent être collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités, le traitement de ces données à caractère personnel devant par ailleurs avoir reçu le consentement de la personne concernée. L’article 32-I/2°) et 5°) de la Loi Informatique et Libertés exige du responsable du traitement, qu’il informe la personne concernée de la finalité poursuivie par le traitement, auquel les données sont destinées, et des destinataires ou catégories de destinataires des données. L’article 32-III de la Loi Informatique et Libertés impose au responsable du traitement ou son représentant, lorsque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, de fournir à cette dernière les informations énumérées à l’article 32-I, dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données. En l’espèce, la clause n° 16 devenue la clause n° 19 de la Politique de confidentialité expose que X divulgue et partage les « informations » de l’utilisateur« , conformément (à ses) »instructions« . Exemple est fourni dans la clause de l’hypothèse où l’utilisateur associe une application tierce à son compte X. Dans un tel cas, l’utilisateur est réputé autoriser l’accès à son compte de cette application tierce. Les informations de l’utilisateur seraient alors divulguées et partagées avec cette application. Les »instructions« de l’utilisateur se déduiraient de cette volonté d’association, puisqu’aucune association ne peut se faire automatiquement. Toutefois, selon la clause n° 12 devenue clause n° 13 de la Politique de confidentialité précédemment examinée par le Tribunal, à l’occasion des connexions de l’utilisateur avec des »applications tierces« , les identifiants communs aux deux sites (nom de l’utilisateur, adresse IP complète ou adresse email) sont au minimum transmis et par suite collectés par l’application tierce. Il en est de même de certaines données, présentes dans les appareils de l’utilisateur, qui sont collectées auprès de l’utilisateur à l’occasion de son authentification sur une application tierce, comportant un »bouton« ou un » widget" X ou lorsque l’utilisateur clique, visualise, interagit avec des liens vers des applications tierces ou installe une autre application via X. En définitive, ce que la clause n° 16 qualifie

Page 169

Décision du 07 août 2018 1/4 social N° RG 14/07300

d'« informations », constituent des données à caractère personnel au sens de l’article 2 de la Loi Informatique et Liberté. Or, aucune information permettant le consentement informé et indubitable de l’utilisateur sur la nature des données transmises à cette occasion n’est donnée à l’utilisateur, ni dans le cadre de la clause critiquée ni l’espace de « gestion de paramètres », comme l’indique la capture d’écran produite au débat (conclusions X page 165). De sorte qu’en s’abstenant d’informer l’utilisateur de la nature des données transmises la clause ne répond pas aux exigences de collecte loyale et licite imposé par l’article 6 1°) de la Loi Informatique et Libertés, les finalités des traitements étant par ailleurs insuffisamment déterminées et explicites au sens de l’article 6/2°) de la Loi Informatique et Libertés. Le consentement de la personne concernée n’a pas été recueilli d’une part sur les finalités déterminées et explicites, pour lesquelles la collecte de ses données personnelles est effectuée, et d’autre part sur l’identification des bénéficiaires du transfert de ses données, conformément aux dispositions de l’article 7 de la même loi. De même, en s’abstenant de fournir les informations énumérées à l’article 32-I de la Loi Informatique et Libertés, dès l’enregistrement des données ou lorsqu’une communication des données à des tiers est envisagée et au plus tard lors de la première communication des données, les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée. La clause est donc illicite au regard des articles 32-I/2°) et 5°) et 32-III de la Loi Informatique et Libertés. Par ailleurs en affirmant que le réseau social divulgue et partage les informations de l’utilisateur conformément à ses instructions, tout en prévoyant que ses données à caractère personnel sont automatiquement transmises à l’application tierce à laquelle il décide d’associer son compte, la clause est équivoque et de ce fait illicite au regard des dispositions de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation. Elle est également abusive au regard de l’article R. 132-1/4°), devenu l’article R. 212-1/4°) du code de la consommation, en ce que cette ambiguïté a pour objet ou pour effet de conférer au professionnel un droit exclusif d’interpréter une clause du contrat. En conséquence, la clause n° 16 de la Politique de confidentialité du 21 octobre 2013, 8 septembre 2014, 18 mai 2015, du 27 janvier 2016, nouvellement clause n° 19 dans la version du 30 septembre 2016, illicite au regard des articles 32-I 2°) et 5°) et 32-III de la Loi Informatique et Libertés, de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation, est abusive au regard de l’article R. 132-1 4°) devenu l’article R. 212-1 4°) du code de la consommation et sera donc réputée non écrite.

20. Clause n° 17 de la Politique de confidentialité de X devenue clause n°20 :

Clause n°17 de la Politique de confidentialité de X du 21 octobre 2013 :

Page 170

Décision du 07 août 2018 1/4 social N° RG 14/07300

« Prestataires de services : nous sollicitons des prestataires de services aux États-Unis d’Amérique et ailleurs pour la fourniture de services et l’exécution de certaines fonctions. Nous partageons vos données personnelles et privées avec ces prestataires de service dès lors qu’ils sont soumis à des obligations de confidentialité conformes à cette déclaration de confidentialité et sous réserve que ces tierces parties utilisent vos données personnelles et privées en notre nom et en suivant nos instructions».

Clause n°17 de la Politique de confidentialité du 8 septembre 2014 : « Prestataires de services : nous sollicitons des prestataires de services aux États-Unis et ailleurs pour la fourniture de services et l’exécution de certaines fonctions. Nous partageons vos informations personnelles et privées avec ces prestataires de service dès lors qu’ils sont soumis à des obligations de confidentialité conformes à cette déclaration de confidentialité et sous réserve que ces tierces parties utilisent vos données personnelles et privées en notre nom et en suivant nos instructions. Nous partageons vos Informations de carte bancaire avec les fournisseurs de services de paiement afin de traiter les paiements, de prévenir, de détecter et d’enquêter sur les fraudes ou autres activités interdites, de faciliter la résolution des litiges dans le cas de rétrofacturations ou de remboursements et à d’autres fins associées à l’acceptation des cartes bancaires. Nous pouvons également être amenés à partager votre numéro de carte bancaire avec des fournisseurs de services de paiement, ou tierces parties autorisées par ces derniers, afin de surveiller les transactions de carte chez les commerçants participants et de suivre l’activité de remboursement aux fins de fournir des services associés à l’utilisation d’une carte ».

Clause n°17 de la Politique de confidentialité du 18 mai 2015 : Prestataires de services : nous sollicitons des prestataires de services aux États-Unis, en Irlande et dans d’autres pays pour la fourniture de services et l’exécution de certaines fonctions. Nous partageons vos informations personnelles et privées avec ces prestataires de service dès lors qu’ils sont soumis à des obligations de confidentialité conformes à cette déclaration de confidentialité et à toutes autres mesures de confidentialité et de sécurité appropriées, sous réserve que ces tierces parties utilisent vos données personnelles et privées en notre nom et en suivant nos instructions. Nous partageons vos Informations de carte bancaire avec les fournisseurs de services de paiement afin de traiter les paiements, de prévenir, de détecter et d’enquêter sur les fraudes ou autres activités interdites, de faciliter la résolution des litiges dans le cas de rétrofacturations ou de remboursements et à d’autres fins associées à l’acceptation des cartes bancaires. Nous pouvons également être amenés à partager votre numéro de carte bancaire avec des fournisseurs de services de paiement, ou réseaux de cartes, afin de surveiller les transactions de carte chez les commerçants participants et de suivre l’activité de remboursement aux fins de fournir des services associés à l’utilisation d’une carte ».

Page 171

Décision du 07 août 2018 1/4 social N° RG 14/07300

Clause n°17 de la Politique de confidentialité de X du 27 janvier 2016 : « Prestataires de services : nous sollicitons des prestataires de services aux États-Unis, en Irlande et dans d’autres pays pour la fourniture de services et l’exécution de certaines fonctions. Nous partageons vos informations personnelles et privées avec ces prestataires de service dès lors qu’ils sont soumis à des obligations de confidentialité conformes à cette déclaration de confidentialité et à toutes autres mesures de confidentialité et de sécurité appropriées, sous réserve que ces tierces parties utilisent vos données personnelles et privées en notre nom et en suivant nos instructions. Nous partageons vos Informations de carte bancaire avec les fournisseurs de services de paiement afin de traiter les paiements, de prévenir, de détecter et d’enquêter sur les fraudes ou autres activités interdites, de faciliter la résolution des litiges dans le cas de rétro facturations ou de remboursements et à d’autres fins associées à l’acceptation des cartes bancaires. »

Clause n°20 de la Politique de confidentialité de X du 30 septembre 2016 : « Prestataires de services : Nous sollicitons des prestataires de services aux États-Unis, en Irlande et dans d’autres pays pour la fourniture de services et l’exécution de certaines fonctions. Par exemple, nous utilisons les services de différents services tiers pour faciliter la fourniture de nos Services, comme l’hébergement des différents blogs et wikis, ou nous aider à comprendre et améliorer l’utilisation qui est faite des Services, comme Google Analytics. Nous partageons vos informations personnelles et privées avec ces prestataires de service dès lors qu’ils sont soumis à des obligations de confidentialité conformes à cette Politique de confidentialité et à toute autre mesure de confidentialité et de sécurité appropriées, sous réserve que ces tierces parties utilisent vos données personnelles et privées en notre nom et en suivant nos instructions. Nous partageons vos Informations de paiement avec les fournisseurs de services de paiement afin de traiter les paiements, de prévenir, de détecter et d’enquêter sur les fraudes ou autres activités interdites, de faciliter la résolution des litiges dans le cas de rétro facturations ou de remboursements, et à d’autres fins associées à l’acceptation des cartes de débit ou de crédit.

Selon l’UFC-QUE CHOISIR ces clauses sont illicites au regard des articles 32-I/1°) et 5°) de la Loi Informatique et Libertés, car elles ne donnent aucune précision quant aux destinataires des données et aux finalités pour lesquelles ces données sont communiquées à des tiers. Elles se bornent à indiquer que les données personnelles des utilisateurs sont transmises à des « prestataires de services » et « fournisseur de service de paiement », mais ne donnent pas d’informations quant à l’identité de ces destinataires, prestataires et fournisseurs de services. La norme n° 48, qui permet au responsable de traitement de partager certaines données, pour certaines finalités avec ses « sous-traitants » et dont se prévaut la société X est par ailleurs inapplicable en l’espèce au regard des finalités par ailleurs imprécises énoncées par la clause. L’association fait valoir que les clauses sont également illicites au regard des dispositions de l’article 68 de la Loi Informatique et Libertés en ce

Page 172

Décision du 07 août 2018 1/4 social N° RG 14/07300

qu’elle autorise le transfert de données à caractère personnel des utilisateurs dans le monde entier, soit vers des Etats n’appartenant pas à la Communauté européenne. Elle ajoute que les clauses sont abusives au sens de l’article L. 132-1, devenu l’article R. 212-1 du code de la consommation, en ce qu’elles créent un déséquilibre significatif entre le professionnel et le consommateur, au détriment de celui-ci, le consommateur se voyant imposer le partage de ses données à des catégories de tiers non désignés. Pour la société X cette clause décrit les modalités et finalités des transferts de données pour l’hébergement des données collectées dans le cadre des services ou pour l’analyse statistique de l’utilisation des services (Google Analytics) et pour la gestion des transactions par carte bancaire, en cas d’achat par l’utilisateur de biens ou de services via X. Ces prestataires de service seraient des sous-traitants qui agissent selon les instructions de X, dans des conditions contractuelles de sécurité et de confidentialité permettant d’assurer une protection adéquate des données personnelles, conformément à l’article 34 de la LIL (Loi Informatique et Libertés). Elle prétend que ce partage de données est couvert par la norme simplifiée n°48, relative à la gestion des clients et à la prospection commerciale. L’article 32-I/2°) et 5°) de la Loi Informatique et Libertés exige du responsable du traitement, qu’il informe la personne concernée de la finalité poursuivie par le traitement, auquel les données sont destinées, et des destinataires ou catégories de destinataires des données. L’article 32-III de la Loi Informatique et Libertés impose au responsable du traitement ou son représentant, lorsque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, de fournir à cette dernière les informations énumérées à l’article 32-I, dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données. Aux termes de l’article 38 de la Loi Informatique et Libertés, toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement. Elle a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur. En l’espèce, l’examen de la clause n° 17 devenue la clause 20 de la Politique de confidentialité doit être combiné avec la clause n° 14 de la Politique de confidentialité précédemment examinée par le Tribunal. En effet, la clause n° 17 précitée énonce que la société X fait appel à des prestataires de service, pour la « fourniture de services et l’exécution de certaines fonctions » comme des « fonctions d’hébergement des blogs et de wikis » ou d’aide à la compréhension et à l’amélioration « de l’utilisation qui est faite des Services, comme Google Analytics (version du 30 septembre 2016) ». L’ensemble de ces prestataires a la qualité de sous-traitant (ces tierces parties utilisent vos données personnelles et privées en notre nom et en suivant nos instructions« ). Dans le cadre de cette »sous-traitance« , la société transfert à ses prestataires de service ( »partage« ) les données personnelles de l’utilisateur ( »les informations personnelles et privées").

Page 173

Décision du 07 août 2018 1/4 social N° RG 14/07300

Or, il ressort de la clause n° 14 de la Politique de confidentialité qu’une collecte de données à caractère personnel de l’utilisateur est effectuée par les « prestataires de services tiers » de X lors de sa navigation sur internet – mais en dehors du réseau – et qu’au rang des prestataires cités figure Google Analytics, dont le rôle est d’effectuer des analyses statistiques portant sur l’utilisation des services de X par l’utilisateur, d’en mesurer son efficacité et d’afficher des publicités c’est-à-dire des publicités ciblées ou comportementales (centrées sur (ses) pôles d’intérêt). La clause précise que X se réserve la faculté de communiquer ces données à caractère personnel à des tiers ou des catégories de tiers non désignés, pour des traitements, dont les finalités ne sont ni déterminées ni explicites. Le droit pour l’utilisateur de s’opposer à ce type de traitement de ses données à caractère personnel n’est par ailleurs pas envisagé. En prévoyant la faculté pour la société X de communiquer les données à caractère personnel de l’utilisateur à des tiers ou des catégories de tiers non désignés (hormis Google Analytics dans la version du 30 septembre), la référence à « des prestataires de services » n’estt pas suffisamment explicite. En s’abstenant d’informer précisément des finalités poursuivies par le traitement auquel les données sont destinées, l’expression « pour la fourniture de services et l’exécution de certaines fonctions » n’étant ni déterminée ni explicite, la Norme Simplifiée (NS 48 du 18 juin 2016) de la CNIL, produite au débat, est inapplicable de ce fait. En ne recueillant pas le consentement indubitable de l’utilisateur et en ne lui offrant pas le droit de s’opposer au traitement de ses données à caractère personnel, la clause critiquée est illicite au regard des articles 32-I 2°) et 5°) et 32-III et 38 de la Loi Informatique et Libertés. La clause est également abusive en ce qu’elle est de nature à créer un déséquilibre significatif entre les droits et obligations des parties au contrat au détriment de l’utilisateur consommateur ou non professionnel car elle laisse croire, que les traitements réalisés par la communication de données à caractère personnel à des tiers ne sont pas soumis aux conditions de licéité des traitements légalement prévues et que l’utilisateur ne dispose d’aucun droit d’opposition à ces traitements. L’association UFC QUE-CHOISIR conteste également la licéïté de la clause au regard des dispositions de l’article 68 de la Loi Informatique et Libertés, car elle autorise le transfert de données à caractère personnel des utilisateurs dans le monde entier, soit vers des Etats n’appartenant pas à la Communauté européenne. En l’espèce, la clause n° 17 prévoit le transfert des données vers les Etats-Unis, l’Irlande « et dans d’autres pays », les prestataires étant, selon la clause, soumis à « des obligations de confidentialité conformes à cette Politique de confidentialité et à toute autre mesure de confidentialité et de sécurité appropriées ». L’article 68 de la Loi Informatique et Libertés pose le principe d’interdiction de transfert des données à caractère personnel depuis la France vers un pays, tiers à l’Union européenne ou à l’Espace économique européen, qui n’a pas été reconnu par la Commission européenne comme assurant un niveau de protection « adéquat » et précise que le responsable du traitement ne peut transférer les données à caractère personnel de la personne concernée vers un État n’appartenant pas à la Communauté européenne, qu’à la condition que cet État assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement, dont ces données font l’objet ou peuvent faire l’objet.

Page 174

Décision du 07 août 2018 1/4 social N° RG 14/07300

L’article 69 prévoit que le responsable d’un traitement peut néanmoins transférer des données à caractère personnel vers un État ne répondant pas aux conditions prévues à l’article 68 si la personne à laquelle se rapportent les données a consenti expressément à leur transfert ou si le transfert est nécessaire à l’exécution d’un contrat entre le responsable du traitement et l’intéressé. Tel n’est pas le cas de la clause n° 17 de la Politique de confidentialité, lorsqu’elle est rapprochée à la fois des clauses nn°3 et 3 bis, présumant acquis le consentement de l’utilisateur au transfert de ses données à caractère personnel vers des pays tiers, par acceptation implicite résultant de l’utilisation des services de X et de la clause n° 11, renvoyant par lien hypertexte au bandeau d’accueil du site et informant l’utilisateur qu’en utilisant les services de X, il accepte l’utilisation de cookies pour (notamment) l’élaboration de statistiques et de publicités personnalisées. Concernant le transfert de données dans des pays hors de l’U.E., certains pays non identifiés (« et dans d’autres pays ») dans la clause n° 17 de la Politique de confidentialité, sont susceptibles ne pas assurer un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes concernées. Il est enfin observé que la l’objet du contrat de réseau social consiste en la mise en relation d’utilisateurs du réseau entre eux et non le traitement des données personnelles de l’utilisateur. Cette clause, illicite au regard de l’article 68 de la Loi Informatique et Libertés, sera donc réputée non écrite. En s’abstenant de recueillir un consentement spécifique de l’utilisateur au transfert de ses données à caractère personnel vers des états indéterminés n’appartenant pas nécessairement à l’Union européenne, en présumant son consentement implicite à ce transfert et en lui laissant croire qu’il ne peut s’y opposer, la clause est abusive au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation, en ce qu’elle a pour objet ou pour effet de créer un déséquilibre significatif entre les droits et obligations des parties au détriment de l’utilisateur consommateur. Elle sera réputée non écrite. En conséquence, la clause n° 17 dans ses versions du 21 octobre 2013, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016, devenue la clause n° 20 dans la version du 30 septembre 2016, illicite au regard des articles 32-I 2°) et 5°), 32-III, 38 et 68 de la Loi Informatique et Libertés, est abusive au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation. Elle sera donc réputée non écrite.

21. Clause n° 17 bis de la Politique de confidentialité de X devenue clause n°21 :

Clause n°17 bis de la Politique de confidentialité de X du 8 septembre 2014 : Vendeurs de biens et de services : si vous achetez des biens ou des services sur X, nous pouvons être amenés à fournir au vendeur ou commerce en ligne vos nom, adresse email, adresse d’expédition, Informations de carte bancaire et Données de transaction afin de faciliter le traitement des paiements, l’exécution des commandes et la résolution des

Page 175

Décision du 07 août 2018 1/4 social N° RG 14/07300

litiges (notamment les litiges liés aux paiements et aux expéditions) et d’aider à prévenir, détecter et enquêter sur les fraudes ou autres activités interdites. Veuillez-vous reporter aux politiques de confidentialité de ces tierces parties pour de plus amples informations sur leurs pratiques en la matière. Clause n°17 bis de la Politique de confidentialité de X du 18 mai 2015 : Vendeurs de biens et de services : si vous achetez des biens ou des services par le biais de nos Services, nous pouvons être amenés à fournir au vendeur ou commerce en ligne vos nom, adresse email, adresse d’expédition, Informations de carte bancaire et Données de transaction afin de faciliter le traitement des paiements, l’exécution des commandes et la résolution des litiges (notamment les litiges liés aux paiements et aux expéditions) et d’aider à prévenir, détecter et enquêter sur les fraudes ou autres activités interdites. Veuillez vous reporter aux politiques de confidentialité de ces tierces parties pour de plus amples informations sur leurs pratiques en la matière. Clause n°17 bis de la Politique de confidentialité de X du 27 janvier 2016 : « Vendeurs de biens et de services : si vous effectuez un paiement dans le cadre d’une transaction commerciale par le biais de nos Services, nous pouvons être amenés à fournir au vendeur, au commerce en ligne ou à l’organisme de bienfaisance vos nom, adresse email, adresse d’expédition, Informations de carte bancaire et Données de transaction afin de faciliter le traitement des paiements, l’exécution des commandes et la résolution des litiges (notamment les litiges liés aux paiements et aux expéditions) et d’aider à prévenir, détecter et enquêter sur les fraudes ou autres activités interdites. Veuillez vous reporter aux politiques de confidentialité de ces tierces parties pour de plus amples informations sur leurs pratiques en la matière. » Clause n°21 de la Politique de confidentialité de X du 30 septembre 2016 : « Transactions commerciales : Si vous effectuez un paiement dans le cadre d’une transaction commerciale par le biais de nos Services, nous pouvons être amenés à fournir au vendeur, au commerce en ligne, à la marketplace ou à l’organisation caritative vos nom, adresse e-mail, adresse d’expédition, Informations de paiement et Données de transaction afin de faciliter le traitement des paiements, l’exécution des commandes et la résolution des litiges (notamment les litiges liés aux paiements et aux expéditions), et d’aider à prévenir, détecter et enquêter sur les fraudes ou autres activités interdites. Veuillez vous reporter aux politiques de confidentialité de ces tierces parties pour de plus amples informations sur leurs pratiques en la matière.

L’association UFC-QUE CHOISIR observe à titre liminaire que la société défenderesse précise dans ses écritures « qu’à ce jour, cette fonctionnalité d’achat n’est disponible que pour les utilisateurs situés aux États-Unis et se connectant à partir d’un smartphone ainsi que X le précise dans son Centre d’aide ». L’utilisateur devrait donc se rendre sur une page ad hoc pour savoir que cette clause ne s’applique pas à lui, aucun lien hypertexte ne figurant dans la clause n° 17 bis.

Page 176

Décision du 07 août 2018 1/4 social N° RG 14/07300

L’association reproche également aux clauses précitées de ne pas faire expressément référence à la notion de données à caractère personnel, X préférant employer les termes « nom » et « Données de transaction », alors que ces dispositions sont relatives à l’utilisation de données à caractère personnel, contrevenant ainsi aux dispositions es article 6 de la loi Informatique et Libertés et des articles L. 111-1, L. 111-2, L. 121-17 et L. 121-19 du code de la consommation imposent une obligation de communication des caractéristiques essentielles du service, et de l’article L. 133-2 du code de la consommation, du fait de leur imprécision. Elles seraient également abusives en créant un déséquilibre significatif entre le professionnel et l’utilisateur au sens de l’article L. 132-1 du code de la consommation, l’utilisateur n’étant pas en mesure selon elle de connaître les données à caractère personnel qui vont être utilisées par X.

Par ailleurs, les clauses prévoient la communication par X de données personnelles à des tiers alors que l’emploi de termes généraux ne garantit pas selon elle à l’utilisateur que le destinataire des données est bien le vendeur auprès duquel la commande a été effectivement passée. Elle fait ainsi observer que tout vendeur de biens et de services a la possibilité d’avoir accès à de nombreuses données à caractère personnel de l’utilisateur. Ces clauses feraient ainsi échec aux possibilités de paramétrage de l’utilisateur, exposé notamment à la clause n° 13 bis de la Politique de confidentialité. Elles contreviendraient en conséquence aux dispositions des articles 6, 7, 32-III et 34 de la Loi Informatique et Libertés. Ces clauses seraient également abusives au titre de l’article R. 132-1 4°) du code de la consommation, car elles auraient pour effet ou pour objet d’accorder au seul professionnel le droit exclusif d’interpréter une quelconque clause du contrat. La société X réplique que cette clause fait partie de la rubrique « Partage et divulgation des informations » qui informe l’utilisateur des hypothèses dans lesquelles les données peuvent être transmises à certains tiers, en qualité de « destinataires des données » au sens de l’article 3, II (sic) de la LIL (Loi Informatique et Libertés) lorsque l’utilisateur commande des biens ou des services de tiers via X. La transmission ponctuelle des données à des vendeurs se faisant exclusivement sur la base d’une volonté clairement exprimée par l’utilisateur de passer une commande, au cas par cas, et à un commerçant déterminé, elles répondraient ainsi à une finalité légitime et explicite. Il s’agirait d’une activité d’intermédiation, impliquant un partage limité d’informations de facturations strictement nécessaires à la réalisation des transactions demandées par l’internaute. La clause n° 17 bis, devenue la clause n° 21 de la Politique de confidentialité dans sa version du 30 septembre 2016, prévoit qu’en sa qualité d’intermédiaire, X fournit des données (« nom, adresse e-mail, adresse d’expédition, Informations de carte bancaire (Informations de paiement dans la version du 30 septembre 2016) et Données de transaction) lors d’un paiement effectué par l’utilisateur à l’occasion d’une transaction, commerciale ou non commerciale effectué,par l’utilisateur. Or, l’analyse de la clause n° 13 bis a permis de classer, selon leur origine, trois catégories de données qui sont produites lors d’achats de l’utilisateur sur X : les informations fournies spontanément par l’utilisateur »Informations de carte bancaire« ou »Informations de paiement ", les

Page 177

Décision du 07 août 2018 1/4 social N° RG 14/07300

informations « générées » à cette occasion « Données de transaction » et les informations reçues des « fournisseurs de services de paiement tiers ». Ainsi, le rapprochement des clauses 13 bis et 17 bis de la Politique de confidentialité établit que la société X transmet à des destinataires, vendeurs commerçants en ligne, hébergeurs ou organisation caritative, à l’occasion d’achats ou de transactions effectués par l’utilisateur via son entremise, non seulement les nom, adresse e-mail et adresse d’expédition de l’utilisateur, mais également, au titre des « Informations de paiement » collectées au préalable et conservées par X, le numéro de carte, la date d’expiration, l’adresse de facturation, ainsi, qu’au titre des « Données de transaction », toutes les données générées par les achats de l’utilisateur précédemment effectués sur X, collectées et conservées par la société, dont le nom du commerçant, la date, l’heure et le montant des transactions (cf. clause n° 13 bis de la Politique de confidentialité). Aux termes de l’article 2 de la Loi Informatique et Libertés (LIL) sont réputées « données à caractère personnel », « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ». Aux termes de l’article 6 de la Loi Informatique et Libertés, le traitement de données à caractère personnel d’une personne physique ne peut être effectué qu’à condition que la collecte soit loyale et licite (article 6/1°) et pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités (article 6/2°). Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs (article 6/3°), ces données ne devant pas être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées (article 6/5°). Ainsi la personne auprès de laquelle sont recueillies des données à caractère personnel doit être informée de la durée de conservation des catégories de données traitées, l’effacement de ces données à caractère personnel étant imposé au responsable du traitement lorsqu’elles ne sont plus nécessaires à la réalisation de la finalité pour laquelle elles ont été collectées. L’article 32 de la Loi Informatique et Libertés prévoit que la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant, de la finalité poursuivie par le traitement auquel les données sont destinées et des destinataires ou catégories de destinataires des données. Tel n’est pas le cas de la clause critiquée qui prévoit, après collecte et conservation de données à caractère personnel, des éléments qui ne sont ni adéquats ni pertinents, car non limités à la réalisation d’une transaction ponctuelle (clause n° 13 bis) pour des finalités qui ne sont ni déterminées, ni explicites, ni légitimes, au demeurant avec transmission vers des destinataires ou des catégories de destinataires n’étant pas concernés par l’ensemble des informations transmises.

Page 178

Décision du 07 août 2018 1/4 social N° RG 14/07300

En conséquence, la clause n° 17 de la Politique de confidentialité des versions des 8 septembre 2014, 18 mai 2015, 27 janvier 2016, devenue la clause n° 21 dans la version du 30 septembre 2016 est illicite au regard des articles 2, 6, 32 de la Loi Informatique et Libertés. Elle sera don réputée non écrite.

22. Clause n° 18 de la Politique de confidentialité de X devenue clause n°22 :

Clause n°18 de la Politique de confidentialité de X du 21 octobre 2013 : Loi et préjudice : nonobstant toute disposition contraire dans la présente déclaration de confidentialité, nous conservons ou divulguons vos informations si nous estimons que cela est raisonnablement nécessaire pour se conformer à une loi, une réglementation ou à des demandes juridiques ; pour protéger la sécurité d’une personne, pour lutter contre la fraude ou des problèmes de sécurité ou techniques ; ou pour protéger les droits et la propriété de X. Toutefois, rien dans cette Politique de confidentialité n’a pour intention de limiter toute défense ou objection que vous pourriez avoir à l’encontre d’une tierce partie, y compris une requête gouvernementale de divulgation de vos informations ».

Clause n°18 de la Politique de confidentialité de X du 8 septembre 2014 : Loi et préjudice : nonobstant toute disposition contraire dans la présente déclaration de confidentialité, nous conservons ou divulguons vos informations si nous estimons que cela est raisonnablement nécessaire pour se conformer à une loi, une réglementation ou à des demandes judiciaires ; pour protéger la sécurité d’une personne, pour lutter contre la fraude ou des problèmes de sécurité ou techniques ; ou pour protéger les droits de X. Toutefois, rien dans cette politique de confidentialité n’a pour intention de limiter tout droit ou action que vous pourriez avoir à l’encontre d’une demande émanant d’une tierce partie (notamment des autorités publiques.

Clause n°18 de la Politique de confidentialité de X du 18 mai 2015 et du 27 janvier 2016 : Loi et préjudice : nonobstant toute disposition contraire dans la présente déclaration de confidentialité, nous conservons ou divulguons vos informations si nous estimons que cela est raisonnablement nécessaire pour se conformer à une loi, une réglementation, un acte judiciaire ou une demande gouvernementale pour protéger la sécurité d’une personne, pour lutter contre la fraude ou des problèmes de sécurité ou techniques ou pour protéger les droits ou la propriété de X. Toutefois, rien dans cette politique de confidentialité n’a pour intention de limiter tout droit ou action que vous pourriez avoir à l’encontre d’une demande émanant d’une tierce partie (notamment des autorités publiques) à lui fournir vos informations.

Page 179

Décision du 07 août 2018 1/4 social N° RG 14/07300

Clause n°22 de la Politique de confidentialité de X du 30 septembre 2016 : Loi et préjudice : Nonobstant toute disposition contraire de la présente Politique de confidentialité, nous conservons ou divulguons vos informations si nous estimons que cela est raisonnablement nécessaire pour satisfaire à toute obligation légale ou réglementaire, toute procédure juridique ou demande administrative, pour protéger la sécurité d’une personne, pour traiter tout problème de nature frauduleuse, sécuritaire ou technique, ou pour protéger les droits ou les biens de nos utilisateurs. Toutefois, rien dans la présente Politique de confidentialité n’a pour intention de limiter tout droit ou action que vous pourriez avoir à l’encontre d’une demande émanant d’une tierce partie (notamment des autorités publiques) à lui fournir vos informations. »

Selon l’association UFC-QUE CHOISIR, les clauses précitées énumèrent les raisons pour lesquelles la société X pourra conserver ou divulguer les informations de l’utilisateur dont des données à caractère personnel lorsqu’elle l’estime raisonnablement nécessaire. X n’indiquerait donc aucune durée de conservation des données de l’utilisateur à ces fins, échappant ainsi aux durées légales de conservation (articles 6 et 36 de la Loi Informatique et Libertés) sans que le consommateur n’en soit informé et donc sans son consentement. Selon la société X la clause évoque le devoir, en sa qualité d’hébergeur, de communiquer aux autorités les données de l’utilisateur, le stockage et la publication de contenus à leur demande, étant susceptibles d’engager leur responsabilité. X estime pouvoir, à ce titre, être tenue de tenir à disposition des autorités certaines données techniques, telle que l’adresse IP, permettant d’identifier l’auteur de ces contenus. C’est le cas lorsque X reçoit une ordonnance d’une juridiction française l’enjoignant à communiquer l’adresse IP d’un utilisateur, auteur d’un tweet. Le consentement de l’utilisateur aux transferts dans un tel cas n’est alors pas requis. La société X ajoute que la Loi Informatique et Libertés et en particulier l’article 32 (obligation d’information) n’impose pas au responsable de traitement de préciser publiquement la durée de conservation des données. Il lui appartiendrait uniquement de s’assurer que les données sont conservées « pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées », ce qui impliquerait de mettre en œuvre des mesures organisationnelles et techniques internes pour détruire les données au moment opportun, mesures qui sont susceptibles d’être contrôlées par la CNIL dans le cadre de sa mission. En l’espèce, la clause n° 18 de la Politique de confidentialité autorise la société X, lorsqu’elle l’estime raisonnablement nécessaire, à conserver et à divulguer des informations de l’utilisateur, sans prévoir de durée de conservation pour « pour se conformer à une loi, une réglementation, un acte judiciaire ou une demande gouvernementale » ou pour « satisfaire à toute obligation légale ou réglementaire » (version du 30 septembre 2016, pour protéger la sécurité d’une personne, pour traiter tout problème de nature frauduleuse, sécuritaire ou technique, ou pour protéger les droits ou les biens de nos utilisateurs". L’article R. 132-1/4°) devenu l’article R. 212-1 du code de la consommation présume irréfragablement abusive la clause qui a pour objet

Page 180

Décision du 07 août 2018 1/4 social N° RG 14/07300

ou pour effet de conférer au seul professionnel le droit exclusif d’interpréter une quelconque clause du contrat. L’article 32-I/5°) de la Loi Informatique et Libertés prévoit que le responsable du traitement ou son représentant personne doit informer la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant, de la durée de conservation des catégories de données traitées ou, en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée. L’article 6/5°) de la Loi Informatique et Libertés dispose que les données sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. Ainsi la personne auprès de laquelle sont recueillies des données à caractère personnel doit être informée de la durée de conservation des catégories de données traitées, l’effacement de ces données à caractère personnel étant imposé au responsable du traitement, lorsqu’elles ne sont plus nécessaires à la réalisation de la finalité pour laquelle elles ont été collectées. Tel n’est pas le cas de la clause n° 18 de la Politique de confidentialité qui autorise la société X, lorsqu’elle l’estime raisonnablement nécessaire, à conserver et à divulguer des informations de l’utilisateur – dont il a été précédemment constaté lors de l’examen de clauses précédentes (clauses 6 bis 7, 8, 9, 12 de la Politique de confidentialité) que cette expression servait à désigner des données à caractère personnel – sans prévoir de durée de conservation. Elle est donc illicite au regard des articles 6 5°), 32-I 5°) de la Loi Informatique et Libertés. En énumérant des situations pour lesquelles aucune durée de conservation des données à caractère personnel de l’utilisateur n’est précisée – X restant seul juge de l’opportunité et de la durée d’une telle rétention – la clause est irréfragablement abusive au sens de l’article R. 132-1 4°) devenu l’article R. 212-1 du code de la consommation, en ce qu’elle a pour objet ou pour effet de conférer au seul professionnel le droit exclusif d’interpréter une quelconque clause du contrat. En conséquence la clause n° 18 de la Politique de confidentialité dans les versions des 21 octobre 2013, 8 septembre 2014, 18 mai 2015, 27 janvier 2016, devenue la clause 22 de la Politique de confidentialité du 30 septembre 2016, illicite au regard des articles 6 5°) et 32-I 5°) est irréfragablement abusive au sens de l’article R. 132-1 4°) devenu l’article R. 212-1 du code de la consommation. Elle sera donc réputée non écrite.

23. Clause n° 19 de la Politique de confidentialité de X devenue clause n°23 :

Clause 19 de la Politique de confidentialité de X : « Transfert d’activités : Si X ferait l’objet d’une banqueroute ou est impliquée dans une fusion, une acquisition, une réorganisation ou vente de ses actifs, vos informations sont susceptibles d’être vendues ou transférées dans le cadre de cette opération. Les obligations prévues dans la présente

Page 181

Décision du 07 août 2018 1/4 social N° RG 14/07300

Politique de Confidentialité s’appliqueront aux données transférées à la nouvelle entité.

Clause n°19 de la Politique de confidentialité de X du 8 septembre 2014, du 18 mai 2015 et du 27 janvier 2016 : « Dans le cas où X fait l’objet d’une faillite ou est impliquée dans une fusion, une acquisition, une réorganisation ou une vente d’actifs, vos informations sont susceptibles d’être vendues ou transférées dans le cadre de cette opération. La présente politique de confidentialité s’appliquera à vos informations telles qu’elles ont été transférées à la nouvelle entité. Nous pouvons être amenés à divulguer des informations vous concernant à des sociétés affiliées afin de nous permettre de fournir, de comprendre et d’améliorer nos Services et les services de nos sociétés affiliées, notamment pour la diffusion de publicités. »

Clause n°23 de la Politique de confidentialité de X du 30 septembre 2016 : « Transferts d’activités et sociétés affiliées : Dans l’éventualité où nous serions impliqués dans une faillite, fusion, acquisition, réorganisation ou vente d’actifs, vos informations seront susceptibles d’être vendues ou transférées dans le cadre de cette opération. La présente politique de confidentialité s’appliquera à vos informations telles qu’elles ont été transférées à la nouvelle entité. Nous pouvons également être amenés à divulguer des informations vous concernant à nos sociétés affiliées afin de nous permettre de fournir, de comprendre et d’améliorer nos Services et les services de nos sociétés affiliées, notamment pour la diffusion de publicités.

Selon l’association UFC-QUE CHOISIR les clauses précitées sont abusives au sens de l’article R.132-2 5°) du code de la consommation car elles permettraient la cession du contrat de l’utilisateur sans son consentement, rien ne garantissant le maintien des droits du consommateur en cas de cession notamment ses droits à la protection de ses données à caractère personnel. La politique de confidentialité de X serait par ailleurs ainsi modifiée au fil du temps. Ces clauses, qui autorisent également X à communiquer les informations concernant l’utilisateur – dont nécessairement des données à caractère personnel – à ses « sociétés affiliées » et présument son consentement global à la communication de ses données auprès de tiers sont abusives, mais aussi illicites au regard des articles 32-I 2°) et 5°) et 32-III de la Loi Informatique et Libertés. Pour la société X cette clause a pour objet d’informer l’utilisateur des hypothèses dans lesquelles les données peuvent être transmises à certains tiers, en qualité de « destinataires des données ». Elle rappelle qu’en cas de vente du service X, les données collectées sont cédées à l’acquéreur, au titre d’une cession d’un fonds de commerce, emportant cession de clientèle et donc des éléments incorporels nécessaires à la gestion de cette clientèle, tels qu’un fichier client. Cette communication des données des utilisateurs serait donc légitime, d’autant que X s’engage à ce que la présente Politique de confidentialité reste applicable.

Page 182

Décision du 07 août 2018 1/4 social N° RG 14/07300

Par ailleurs la clause indique que les sociétés du Groupe X peuvent avoir accès à ces données pour les finalités rappelées dans la Politique de confidentialité dans le cadre des services. Cet accès est conforme à l’article 4 de la norme CNIL n° 48 portant sur la gestion de clients et de prospect, couvrant la gestion des utilisateurs d’un site internet, et de l’article 7, aux termes duquel les données collectées par le responsable du site peuvent être légitimement communiquées aux personnes suivantes : « les partenaires, les sociétés extérieures ou les filiales d’un même groupe de sociétés dans les conditions prévues par l’article 6 de la présente norme ». Aux termes de son article 2/1°), la Loi Informatique et Libertés s’applique aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l’article 5 de la même loi. Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. Constitue un traitement de données à caractère personnel, toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. Constitue un fichier de données à caractère personnel, tout ensemble structuré et stable de données à caractère personnel, accessibles selon des critères déterminés. La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement. Les articles 6 et 32 de la Loi Informatique et Libertés prévoient qu’un traitement peut porter sur des données à caractère personnel à condition que les données soient collectées et traitées de manière loyale et licite (article 6 1°), qu’elles soient collectées pour des finalités déterminées, explicites et légitimes, qu’elles ne soient pas traitées ultérieurement de manière incompatible avec ces finalités (article 6/2°), qu’elles soient conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées (article 6/5°) et que la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant soit informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant de la finalité poursuivie par le traitement auquel les données sont destinées (article 32-I 2°) et des destinataires ou catégories de destinataires des données (article 32-I 5°). En l’espèce la clause n° 19 prévoit, dans l’hypothèse d’une banqueroute (faillite), fusion, acquisition, réorganisation ou vente de ses actifs, que les « informations » de l’utilisateur, au rang desquels figurent des données à

Page 183

Décision du 07 août 2018 1/4 social N° RG 14/07300

caractère personnel, peuvent être « vendues ou transférées », dans le cadre de cette opération, « la présente politique de confidentialité s’appliquera à (ses) informations telles qu’elles ont été transférées à la nouvelle entité », . La société X fait valoir dans ses écritures que l’ensemble des données collectées auprès de l’utilisateur constitue un « fichier client » pouvant être cédé à l’acquéreur dans le cadre de la cession du fonds de commerce, au titre de la cession des éléments incorporels nécessaires à la gestion de cette clientèle. Or, le « fichier client », auquel il est fait référence, constitue un fichier de données à caractère personnel aux termes de l’article 2 de la Loi Informatique et Libertés. Sa communication par transmission, diffusion ou tout autre forme de mise à disposition constitue donc un « traitement automatisé » de données à caractère personnel au sens du même article. En conséquence, le consentement de l’utilisateur devant être donné avant toute utilisation ultérieure des données, l’utilisateur doit être informé et mis en mesure de consentir aux nouvelles finalités du traitement ainsi que des destinataires des éventuels transferts de ses données dans les hypothèses de vente ou de transfert de l’activité de la société X. La transmission, diffusion ou tout autre forme de mise à disposition du fichier de données à caractère personnel constituant un « traitement automatisé » de données à caractère personnel réalisé à des fins étrangères à celles pour lesquelles les données à caractère personnel ont été initialement collectées, aucun autre fondement juridique au traitement n’est applicable. Il en est de même des sociétés affiliées que la clause n° 14, devenue la clause n° 17 de la Politique de confidentialité intitulée Tiers et sociétés affiliées désigne comme des entités distinctes de la société X, auprès desquelles elle reçoit et avec qui partage des informations collectées auprès des utilisateurs, lesquelles permettent l’envoi de publicités ciblées. Par ailleurs, l’article 4 de la norme NS 48, telle qu’issue de la délibération de la CNIL du 18 juin 2016, dont se prévaut la société X dans ses écritures, ne constitue pas une dérogation aux principes énoncés par la Loi Informatique et Libertés.

En effet, la norme simplifiée NS 48 prévoit que peuvent être destinataires des données à caractère personnel, les partenaires, sociétés extérieures ou les filiales d’un même groupe de sociétés, sous réserve du respect des conditions prévues par l’article 6 de la présente norme, qui impose au moment de la collecte des données l’information de la personne concernée de l’identité du responsable du traitement, des finalités du traitement, du caractère obligatoire ou facultatif des réponses à apporter, des conséquences éventuelles, à leur égard, d’un défaut de réponse, des destinataires des données, de l’existence et des modalités d’exercice de ses droits d’accès, de rectification et d’opposition au traitement de ses données. Lorsque les données à caractère personnel n’ont pas été recueillies directement auprès des personnes concernées, les modalités d’information des personnes sont prévues par les dispositions de l’article 32-III de la Loi Informatique et Libertés. De sorte qu’en ne répondant aux exigences des dispositions précitées, la clause critiquée est illicite au regard des dispositions précitées. Elle est également abusive au sens de l’article R. 132-2/5°), devenue l’article R. 212-2/5°) en ce qu’elle prévoit la cession du contrat de

Page 184

Décision du 07 août 2018 1/4 social N° RG 14/07300

l’utilisateur sans son accord, alors qu’aucune garantie ne lui est fourni quant au maintien de ses droits dans le temps. En conséquence, la clause n° 19 la Politique de confidentialité, dans ses versions du 21 octobre 2013, 8 septembre 2014, 18 mai 2015, 27 janvier 2016, devenue la clause n° 23 dans la version du 30 septembre 2016, illicite au regard des articles 2, 6, 32-I et 32-III de la Loi Informatique et Libertés, est abusive au sens de l’article R. 132-2 5°), devenu l’article R. 212-2 5°) du code de la consommation et sera donc réputée non écrite.

24. Clause n° 20 de la Politique de confidentialité de X devenue clause n°24 :

Clause n°20 de la Politique de confidentialité de X du 21 octobre 2013 : « Données non privées ou non personnelles : nous partageons et divulguons vos données non privées, agrégées ou non personnelles, telles que les informations de votre profil public, vos Tweets publics, les personnes que vous suivez ou qui vous suivent et le nombre d’utilisateurs qui ont cliqué sur un lien particulier (même si une seule personne l’a fait) ».

Clause n°20 de la Politique de confidentialité de X du 8 septembre 2014, du 18 mai 2015 et du 27 janvier 2016 : « Informations autres que privées ou personnelles : nous pouvons être amenés à partager et divulguer vos informations agrégées, autres que privées ou personnelles, telles que les informations de votre profil public, vos Tweets publics, les personnes que vous suivez ou qui vous suivent et le nombre d’utilisateurs qui ont cliqué sur un lien particulier (même si une seule personne l’a fait), ainsi que dans les rapports fournis aux annonceurs concernant les utilisateurs uniques ayant vu leurs annonces ou cliqué sur celles-ci, et ce, après avoir supprimé toute information personnelle et privée (telle que votre nom ou vos coordonnées).

Clause n°24 de la Politique de confidentialité de X du 30 septembre 2016 : « Informations publiques et non personnelles : Nous pouvons être amenés à partager et divulguer vos informations publiques, agrégées ou à caractère non personnel, telles que les informations de votre profil public, vos Tweets publics, les personnes que vous suivez ou qui vous suivent et le nombre de fois où des personnes interagissent sur un Tweet (par exemple, le nombre d’utilisateurs qui ont cliqué sur un lien donné ou participé à un sondage sur un Tweet, même si une seule personne est concernée), ainsi qu’à fournir des rapports aux annonceurs concernant les utilisateurs uniques ayant vu leurs annonces ou cliqué sur celles-ci, et ce, après avoir supprimé toute information personnelle et privée (telle que votre nom ou vos coordonnées). N’oubliez pas : vos paramètres de confidentialité et de visibilité permettent de contrôler si vos Tweets et certaines informations de votre profil sont rendus publics. D’autres informations, telles que votre

Page 185

Décision du 07 août 2018 1/4 social N° RG 14/07300

nom et votre nom d’utilisateur, sont toujours publiques sur X, sauf si vous supprimez votre compte, tel que décrit ci-dessous. »

Pour l’association UFC-QUE CHOISIR, les clauses précitées ne font pas expressément référence à la notion de données à caractère personnel, X préférant employer le terme « informations » – alors qu’il s’agirait de données à caractère personnel. Les informations de profils publics comprennent notamment les « informations associées » au compte de l’utilisateur, qui peuvent contenir des données à caractère personnel, comme l’indique la clause n° 8 de la Politique de confidentialité. Elle considère par ailleurs qu’en laissant croire que l’utilisateur peut déterminer la publication et par là la diffusion de ses données personnelles sur le réseau X, alors que la clause n° 20 devenue la clause n° 24 prévoit que certaines données sont toujours publiques, la clause est illicite au sens de l’article L. 133-2 du code de la consommation, et abusive au regard de l’article R. 132-1 4°) du même code en ce qu’elle recèlerait une contradiction nuisant à sa clarté et à sa compréhension. En outre les clauses seraient illicites au regard de l’article 32-III de la Loi Informatique et Libertés, car elles ne préciseraient pas de manière exhaustive les finalités pour lesquelles les données à caractère personnel de l’utilisateur sont transmises à des tiers. La société X réplique que la clause a pour objet d’informer les utilisateurs sur les modalités de traitement des informations « publiques », susceptible de contenir ou non des données personnelles et que l’utilisateur a lui-même publiées ou rendues publiques, et que le traitement des informations « non-personnelles », qui ne peuvent être attachées à la personne d’un utilisateur déterminé ou qui ont été anonymisées (agrégées) échappe au champ d’application de la LIL.

a) Sur l’absence de qualification des données :

L’examen de la clause n° 19 devenue 24 de la Politique de confidentialité doit être associé à l’examen des clauses 6, 6 bis, 7, 8, 12 devenue clause n° 13 de la Politique de confidentialité, aucune clause de la Politique de confidentialité ne reprenant le terme de « données à caractère personnel », les clauses précitées contiennent des termes de termes usuels tels que « informations » ou « coordonnées » voire de termes plus techniques comme « Données de journal » (clauses n° 5 devenue clause n° 6, n° 8, n° 12 devenue clause n° 13, clause n° 13 devenue clause n° 14 de la Politique de confidentialité). L’obligation d’information précontractuelle prévue dans les articles L. 111-1, L. 111-2, et, s’agissant de contrat conclu à distance, dans les articles L. 121-17, L. 121-19, L. 121-19-2 et R. 111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R. 111-2 du code de la consommation, impose au professionnel, avant la conclusion du contrat, de fournir au consommateur ou non professionnel les caractéristiques essentielles du service à rendre. Aux termes des articles L. 133-1 et L. 133-2 devenus l’article L. 211-1 du code de la consommation imposent au professionnel une présentation et une

Page 186

Décision du 07 août 2018 1/4 social N° RG 14/07300

rédaction claire et compréhensible des clauses des contrats qu’ils proposent au consommateur. Au sens de l’article 2 de la Loi Informatique et Libertés, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Aux termes du 2°) de l’article 6 de la Loi Informatique et Libertés, les données à caractère personnel sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. L’article 6 de la Loi Informatique et Libertés prévoit qu’un traitement ne peut porter sur des données à caractère personnel que si elles sont collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et qu’elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités, qu’elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs. Ainsi, la Loi Informatique et Libertés oblige le « responsable du traitement » au sens de l’article 3/1°) de la loi précitée, à recueillir le consentement explicite et éclairé de la personne concernée (ici l’utilisateur) par la collecte et le traitement de ses données personnelles, ce dernier devant être en mesure de comprendre l’usage réel qui est fait des données le concernant, que ces données soient fournies de sa propre initiative ou collectées sans intervention de sa part, alors qu’il n’en a pas conscience. Il ressort de l’examen des clauses précédentes et de la clause critiquée qu’au titre des informations fournies par l’utilisateur, sont susceptibles de figurer dans la liste des informations rendues publiques par défaut, telles que la localisation de l’utilisateur, sa date de naissance, une photo, les tweets ainsi que les métadonnées fournies (entendues comme la date, l’application client utilisée), les informations relatives au compte (date de création, langue, pays, fuseau horaire, listes crées, personnes suivies, les tweets notés « J’aime » (like) ou les tweets retweetés), les informations publiques agrégées (à caractère personnel) ou à caractère non personnel, les tweets publics, les personnes suivies par l’utilisateur, le nombre de fois où des personnes interagissent sur un tweet. Les informations fournies par l’utilisateur restent « presque tout le temps publiques » tant que l’utilisateur ne les a pas effacées (clause n° 8). Or, en s’abstenant d’informer l’utilisateur de l’existence d’une collecte de données à caractère personnel, tout en présumant son acceptation à cette collecte et à son utilisation dans le cadre d’un consentement n’ayant été ni informé ni recueilli, la clause contrevient aux dispositions des articles L. 111-1, L. 111-2, L. 121-17, L. 121-19, L. 121-19-2 et R. 111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, des articles L. 133-1 et L. 133-2 devenus l’article L. 211-1 du code de la consommation et des dispositions de l’article 6 de la Loi Informatique et Libertés. Elle est donc illicite au regard des dispositions des articles précités. De plus, en laissant croire que le professionnel est dispensé de toute obligation à l’égard du consommateur/utilisateur, lorsqu’il collecte, traite, utilise ou partage des informations qui peuvent être qualifiées de données

Page 187

Décision du 07 août 2018 1/4 social N° RG 14/07300

à caractère personnel, la clause est de nature à créer un déséquilibre significatif entre les droits et obligations des parties au contrat. La clause est donc abusive au regard des dispositions de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation. b) Sur la possibilité de paramétrage du compte de l’utilisateur en matière de publicité des données à caractère personnel :

L’article R. 132-1/4°) devenu l’article R. 212-1 du code de la consommation présume irréfragablement abusive la clause qui a pour objet ou pour effet de conférer au seul professionnel le droit exclusif d’interpréter une quelconque clause du contrat. En l’espèce, la clause critiquée prévoit que l’utilisateur peut contrôler la publicité de ses tweets et de certaines informations de profil à partir des paramètres de confidentialité et de visibilité. Or, la clause n° 8 de la Politique de confidentialité prévoit au contraire que certaines informations restent publiques par défaut, tant qu’elles ne sont pas effacées de X. Aussi, faute pour l’utilisateur de disposer, préalablement à son inscription, d’une information lui permettant de contrôler la publication de ses données personnelles par paramétrage des « paramètres de confidentialité », les données personnelles de l’utilisateur, déposées au moment de l’inscription, resteront publiques par défaut. De sorte que la clause n° 24 de la Politique de confidentialité qui évoque en contradiction avec d’autres clauses de la Politique de confidentialité, notamment les clauses n° 6 bis et n° 8 du même document contractuel, la faculté pour l’utilisateur de paramétrer son compte pour contrôler la publication de ses données à caractère personnelle, est irréfragablement abusive au sens de l’article R. 132-1 devenu l’article R. 212-1 du code de la consommation abusive. Cette clause a en effet pour objet ou pour effet de conférer au professionnel un droit exclusif d’interpréter une clause contradictoire dans le sens qui lui serait le plus favorable. Elle sera donc réputée non écrite.

c) Sur la violation de l’article 32-III de la Loi Informatique et Libertés:

Aux termes de l’article 6 1°) et 6 2°) de la Loi Informatique et Libertés, les données à caractère personnel sont collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Aux termes de l’article 32-I 2°) et 5°) de la Loi Informatique et Libertés, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable par le responsable de traitement ou son représentant, de la finalité du traitement et des destinataires ou catégories de destinataires des données.

Page 188

Décision du 07 août 2018 1/4 social N° RG 14/07300

L’article 32-III de la Loi Informatique et Libertés impose au responsable du traitement ou son représentant, lorsque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, de fournir à cette dernière les informations énumérées à l’article 32-I, dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.

Il ressort de la clause critiquée et des clauses précédemment examinées, notamment de la clause n° 8 de la Politique de confidentialité, que les données (ou « informations ») collectées auprès de l’utilisateur sont « interrogeables » par des moteurs de recherche et qu’elles sont adressées à un « large éventail » d’utilisateurs, ce qui ne surprend pas s’agissant d’un réseau social, mais également à des « services », des « clients », des « partenaires » (de X) et « autres tierces parties ». La clause confond ainsi clause en un seul et même terme (« partage ») la diffusion auprès des utilisateurs des « Contenus » postés à dessein par les utilisateurs du réseau et la transmission de données à caractère personnel à des fins commerciales (« à des entreprises d’études de marché qui analysent les informations pour en tirer des tendances et des comportements »). X se contente d’une mise en garde de l’utilisateur de réfléchir sérieusement aux informations qu’il entend rendre publiques (clause n° 8) ou d’avoir à l’esprit (n'« oubliez pas ») que les informations qu’il publie sont toujours publiques, sauf s’il supprime son compte. Il résulte également de la clause, que X fournit, après avoir supprimé toutes informations personnelles et privées telles que le nom de l’utilisateur ou ses « coordonnées », des « rapports aux annonceurs » concernant les utilisateurs uniques « ayant vu leurs annonces ou cliqué sur celles-ci »,. Ainsi, la clause mentionne une finalité différente de la finalité usuellement avancée par X de « fourniture et d’amélioration des services », cette nouvelle finalité consistant à fournir des rapports concernant l’utilisateur à des annonceurs (publicitaires) par transmission de données anonymisées. Ce processus d’anonymisation permet selon la société X de sortir ces données agrégées du champ d’application de la Loi Informatique et Libertés sur la protection des données. Or, en l’espèce, la généralité des termes employés par la clause ne permet pas de garantir que suffisamment d’éléments aient été supprimées pour que l’utilisateur ne puisse définitivement plus être identifié. En effet, il ne suffit pas, pour garantir contre le caractère irréversible de toute identification de l’utilisateur, de supprimer des éléments en eux-mêmes « identifiants », comme le « nom » ou les « coordonnées » de l’utilisateur (renvoyant à l’adresse e-mail et le numéro de téléphone de l’utilisateur), ces données à caractère personnel étant spontanément fournies par l’utilisateur (clause 6 bis de la Politique de confidentialité). Des données à caractère personnel, collectées indépendamment de sa volonté (via notamment des cookies, cf. clause n° 11 de la Politique de confidentialité), permettent son identification alors qu’aucune suppression de ces données n’est prévue à l’occasion du processus d’anonymisation. De sorte que, tant l’utilisateur reste identifiable directement ou indirectement, ses données à caractère personnel restent soumises à la Loi Informatique et Libertés sur la protection des données à caractère personnel.

Page 189

Décision du 07 août 2018 1/4 social N° RG 14/07300

En conséquence la clause n° 20 devenue la clause n° 24 est illicite au regard des articles 6 et 32-III de la Loi Informatique et Libertés, en ce qu’elle n’informe pas de manière suffisamment explicite des finalités pour lesquelles les données à caractère personnel de l’utilisateur ont été collectées et des destinataires ou catégories de destinataires de ces données. En conséquence, la clause n° 20 dans ses versions des 21 octobre 2013, 8 septembre 2014, 18 mai 2015, 27 janvier 2016, devenue la clause n° 24 dans la version du 30 septembre 2016, illicite au regard des articles les articles L. 111-1, L. 111-2, et, s’agissant de contrat conclu à distance, dans les articles L. 121-17, L. 121-19, L. 121-19-2 et R. 111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R. 111-2 du code de la consommation, de l’article L. 133-1 et L. 133-2 devenus l’article L. 211-1 du code de la consommation, des articles 2, 6, 32-I et 32-III de la Loi informatique et Libertés, est abusive au regard des dispositions de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation. Elle sera donc réputée non écrite.

25. Clause n° 21 de la Politique de confidentialité de X devenue clause n°25 :

Clause n°21 de la Politique de confidentialité de X du 21 octobre 2013 : Modification de vos données personnelles : Si vous êtes enregistré en tant qu’utilisateur de nos Services, nous vous fournissons les outils et les paramétrages de compte pour accéder ou modifier les informations personnelles que vous nous avez fournies et qui sont associées à votre compte »

Clause n°21 de la Politique de confidentialité de X du 8 septembre 2014 : Modification de vos données personnelles : Si vous êtes enregistré en tant qu’utilisateur de nos Services, nous vous fournissons les outils et les paramétrages de compte pour accéder aux informations personnelles que vous nous avez fournies et qui sont associées à votre compte ou pour les modifier ».

Clause n°21 de la Politique de confidentialité de X du 18 mai 2015 et du 27 janvier 2016, nouvellement clause n°25 de la Politique de confidentialité de X du 30 septembre 2016 : Accès et modification de vos données personnelles : Si vous êtes enregistré en tant qu’utilisateur de nos Services, nous vous fournissons les outils et les paramètres de compte pour accéder, corriger, supprimer ou modifier les informations personnelles que vous nous avez fournies et qui sont associées à votre compte. Vous pouvez télécharger certaines informations de compte, notamment vos Tweets, en suivant les

Page 190

Décision du 07 août 2018 1/4 social N° RG 14/07300

instructions fournies ici et vous pouvez demander d’accéder aux informations supplémentaires en cliquant ici.

Pour l’association UFC-QUE CHOISIR, les clauses sont illicites au regard des dispositions de l’article 39 de la Loi Informatique et Libertés, qui prévoit un droit d’accès de l’utilisateur aux données faisant l’objet d’un traitement tout en limitant ce droit aux seuls utilisateurs enregistrés dans les services X et non aux utilisateurs « passifs » qui navigueraient sur le site sans s’inscrire. Elles seraient également illicites au regard de l’article L. 133-2 du code de la consommation, car elles sont de nature à induire en erreur le consommateur sur la nature réelle du service fourni et sur l’étendue de ses droits. De plus, en provoquant un déséquilibre significatif au détriment de l’utilisateur, la clause serait abusive au sens de l’article L.132-1 du code de la consommation. Pour la société X, la clause vise par hypothèse les personnes inscrites et non celles qui ne sont pas inscrites aux services X, les seules données que X peut recueillir sur ces visiteurs passifs étant celles pouvant être collectées à l’aide de cookies, après que l’utilisateur en ait été informé par le biais notamment d’un « bandeau » adapté et y ait consenti lorsque cela est requis. L’article 1^er de la Loi Informatique et Libertés affirme que l’informatique doit être au service de chaque citoyen, qu’elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi. Selon l’article 2 de la même loi, toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres constitue une donnée à caractère personnel. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne Aux termes de ce même article, toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction, constitue un traitement de données à caractère personnel, la personne concernée par un traitement de données à caractère personnel étant celle à laquelle se rapportent les données qui font l’objet du traitement. L’article 39 de la loi précitée prévoit que toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel en vue d’obtenir la confirmation que des données à caractère personnel la concernant font ou ne font pas l’objet de ce traitement, d’être informée sur les finalités de ce traitement, sur les catégories de données à caractère personnel traitées, sur les destinataires ou

Page 191

Décision du 07 août 2018 1/4 social N° RG 14/07300

aux catégories de destinataires auxquels les données sont communiquées ainsi que sur les informations relatives aux transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne. Elle peut également obtenir communication, sous une forme accessible, des données à caractère personnel la concernant ainsi que de toute information disponible quant à l’origine de celles-ci. Il résulte de ce qui précède que l’utilisateur « inscrit » comme l’utilisateur « non inscrit » (« passif ») bénéficient de la protection de leurs données personnelles instituée par la Loi Informatique et Libertés. À ce titre, l’un et l’autre disposent des mêmes droits qu’ils tiennent de leur qualité de « personne concernée par un traitement » au sens de l’article 2 de la loi précitée, laquelle n’opère aucune distinction en la matièrel. De sorte que les utilisateurs « passifs » disposent auprès du responsable du traitement d’un droit d’accès, de correction, de suppression, ou de modification des données personnelles collectées auprès de lui via des cookies, cette situation étant évoquée dans les clauses n° 12 et n° 13 devenues clauses n° 13 et n° 14 de la Politique de confidentialité, qui ne prévoient pas le recueil à cette occasion d’un consentement résultant d’une action positive de la part de l’utilisateur (inscrit ou non), ni le(s) moyen(s) pour s’opposer à cette collecte, contrairement à ce que la société X prétend. Les droits d’accès et de rectification des utilisateurs ne sont donc pas limités aux utilisateurs du service mais son étendus à toute personne physique dont les données sont traitées. En limitant le droit d’accès, de correction, de suppression, ou de modification des données à caractère personnel collectées aux seuls utilisateurs du site sans prévoir l’exercice de ces droits aux utilisateurs passifs, dont les données à caractère personnel ont cependant été collectées via des cookies, ce que la société X ne conteste matériellement pas, la clause critiquée contrevient aux dispositions des articles 1, 2 et 39 de la Loi Informatique et Libertés.

En conséquence, la clause n° 22 dans les versions des 21 octobre 2013, 8 septembre 2014, 18 mai 2015, 27 janvier 2016 devenue clause n° 25 dans la version du 30 septembre 2016 est illicite au regard des articles 1, 2, 39 de la Loi Informatique et Libertés. Elle sera donc réputée non écrite.

26. Clause n° 22 devenue clause n°26 de la Politique de confidentialité :

Clause n°22 de la Politique de confidentialité de X du 21 octobre 2013 et du 8 septembre 2014 : « Vous pouvez également supprimer de manière permanente votre compte X. Si vous suivez les instructions fournies ici, votre compte sera désactivé puis effacé. Après sa désactivation, votre compte n’est plus visible sur X.com. Pendant les 30 jours suivant la désactivation, il est toujours possible de restaurer votre compte s’il a été désactivé accidentellement ou par erreur. Après 30 jours, le processus d’effacement de votre compte sur nos systèmes sera amorcé ; il peut prendre jusqu’à une semaine ».

Page 192

Décision du 07 août 2018 1/4 social N° RG 14/07300

Clause n°22 de la Politique de confidentialité de X du 18 mai 2015 et du 27 janvier 2016 : « Vous pouvez également supprimer de manière permanente votre compte X. Si vous suivez les instructions fournies ici, votre compte sera désactivé, puis effacé. Après sa désactivation, votre compte n’est plus visible sur X.com. Pendant les 30 jours suivant la désactivation, il est toujours possible de restaurer votre compte s’il a été désactivé accidentellement ou par erreur. En l’absence d’un accord distinct entre vous et X en vue de prolonger votre période de désactivation, après 30 jours, le processus d’effacement de votre compte sur nos systèmes sera amorcé ; il peut prendre jusqu’à une semaine ».

Clause n°26 de la Politique de confidentialité de X du 30 septembre 2016 : « Vous pouvez également supprimer votre compte X de manière permanente. Si vous suivez les instructions fournies ici, votre compte sera désactivé, puis effacé. Dès lors qu’il sera désactivé, votre compte, notamment votre nom, votre nom d’utilisateur et votre profil public, ne sera plus visible sur X.com. Pendant les 30 jours suivant la désactivation, il est toujours possible de restaurer votre compte s’il a été désactivé accidentellement ou par erreur. En l’absence d’un accord séparé entre vous et nous en vue de prolonger votre période de désactivation, après 30 jours, le processus d’effacement de votre compte sur nos systèmes sera amorcé ; il pourra prendre jusqu’à une semaine. »

Pour l’association UFC-QUE CHOISIR, ces clauses prévoient la suppression du compte de l’utilisateur et non la suppression des données elles-mêmes. Une telle distinction entre suppression du compte et suppression des données à caractère personnel est cependant prévue, à l’instar de la clause n° 23 de la Politique de confidentialité concernant les mineurs. L’absence de mention de suppression des données de l’utilisateur corrélativement à la suppression de son compte n’est donc pas anodine, rien ne garantissant à l’utilisateur qu’après la suppression de son compte, ses données à caractère personnel seront également supprimées. Selon la société X, la conservation des données des utilisateurs pour leur permettre d’accéder aux services tant que le compte est actif est conforme à la loi. En cas de demande de suppression du compte, la durée de conservation des données est de 30 jours, cette durée de conservation permettant à l’utilisateur de changer d’avis et de demander le rétablissement de son compte. Selon elle, à l’issue de cette période, le processus de suppression des données peut prendre 7 jours de plus. Aux termes de l’article 40 de la Loi Informatique et Libertés, la personne concernée par un traitement peut exiger du responsable du traitement l’effacement des données à caractère personnel la concernant. Ce dernier doit réaliser cette opération dans les meilleurs délais et justifier à la demande de la personne concernée qu’il y a bien été procédé, la personne concernée ayant la possibilité de saisir la CNIL lorsque le responsable du traitement est resté silencieux pendant 30 jours à compter de sa demande.

Page 193

Décision du 07 août 2018 1/4 social N° RG 14/07300

En l’espèce, l’examen de la clause critiquée doit être rapproché de la clause suivante n° 23 portant sur la suppression du compte d’un mineur et l’effacement d’informations personnelles le concernant. La clause critiquée envisage les modalités de suppression du compte à la demande de l’utilisateur, en distinguant deux phases : une phase de désactivation comportant un délai de 30 jours à compter de la date de la demande, au cours duquel l’utilisateur peut réactiver son compte ou prolonger cette désactivation par accord express entre l’utilisateur et X, et une phase d’effacement du compte d’une semaine correspondant à l’accomplissement du « processus d’effacement ». Or, l’article 6 de la Loi Informatique et Libertés limite la durée de conservation des données à caractère personnel sous une forme permettant l’identification des personnes concernées à une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement. Tel n’est pas le cas du délai de plus de 30 jours à compter de la demande de suppression du compte, durant lequel les données à caractère personnel de l’utilisateur sont conservées par le responsable du traitement, sous une forme permettant son identification, alors que ses données à caractère personnel ne sont plus nécessaires à la réalisation de la finalité pour laquelle elles ont été collectées (l’utilisation de la plate-forme) et que le compte n’est plus visible par les autres utilisateurs durant la période de désactivation. Par ailleurs, la société ne justifie pas de la légitimité d’un traitement ultérieur de ces données au regard des conditions prévues à l’article 6/2°) de la Loi Informatique et Libertés (finalités statistiques, recherche scientifique ou historique), compatible avec les finalités initiales de la collecte des données. En conséquence la clause n° 22 dans les versions du 21 octobre 2013, 8 septembre 2014 18 mai 2015, 27 janvier 2016, devenue la clause n° 26 de la Politique de confidentialité du 30 septembre 2016, est illicite au regard des articles 6 et 40 de la Loi Informatique et Libertés. Elle sera donc réputée non écrite.

27. Clause n° 22 bis de la Politique de confidentialité de X devenue clause n°27.

Clause n°22 bis de la Politique de confidentialité de X du 18 mai 2015 et du 27 janvier 2016, nouvellement clause n°27 de la Politique de confidentialité de X du 30 septembre 2016 : Vous devez garder à l’esprit que les moteurs de recherche et autres tierces parties peuvent encore conserver des copies de vos informations publiques, telles que vos informations de profil utilisateur et vos Tweets publics, même après avoir supprimé les informations des Services X ou désactivé votre compte. Pour en savoir plus, cliquez ici.

L’association UFC-QUE CHOISIR considère que les clauses ne font pas expressément référence à la notion de données à caractère personnel. Leur rédaction étant de ce fait ambigüe, ces clauses seraient illicites au regard des articles L.111-1, L.111-2, L.121-17 et L.121-19 du code de la

Page 194

Décision du 07 août 2018 1/4 social N° RG 14/07300

consommation. Elles seraient également illicites au regard de l’article 6 de la loi Informatique et Libertés et également abusives au regard de ce dernier fondement, dans la mesure où elles sont maintenues dans un contrat conclu entre un consommateur et un professionnel. La société X réplique que la clause n°22 alerte l’utilisateur sur les conséquences des informations rendues publiques sur X, toute personne effectuant une publication sur le Web s’exposant nécessairement au risque que ses contenus soient copiés, republiés par les tiers, stockés par des tiers quelque part sur Internet ou encore soient référencés par les moteurs de recherche. Un lien hypertexte présent dans la clause oriente l’utilisateur vers une page du Centre d’aide. Elle ajoute que cette clause ne créant aucune obligation ni aucun droit au bénéfice ou au détriment des parties, elle ne saurait par conséquent créer le moindre déséquilibre dans la relation contractuelle. Elle précise que l’article 32 de la Loi Informatique et Libertés n’oblige pas le responsable de traitement à porter à la connaissance des personnes concernées la durée de conservation des données, l’article 6 de la Loi Informatique et Libertés exigeant simplement que le responsable minimise la durée de conservation des données à ce qui est nécessaire au traitement.

a) Sur l’absence de qualification des données personnelles

L’obligation d’information précontractuelle prévue dans les articles L.111-1, L.111-2, et, s’agissant de contrat conclu à distance, dans les articles L.121-17, L.121-19, L.121-19-2 et R.111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, impose au professionnel, avant la conclusion du contrat, de fournir au consommateur ou non professionnel les caractéristiques essentielles du service à rendre. Aux termes des articles L. 133-1 et L. 133-2 devenus l’article L. 211-1 du code de la consommation imposent au professionnel une présentation et une rédaction claire et compréhensible des clauses des contrats qu’ils proposent au consommateur. Au sens de l’article 2 de la Loi Informatique et Libertés, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. L’article 6 de la Loi Informatique et Libertés prévoit qu’un traitement ne peut porter sur des données à caractère personnel que si elles sont collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et qu’elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités, qu’elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs. En l’espèce, la clause n° 22 bis de la Politique de confidentialité met en garde l’utilisateur sur le fait que des « moteurs de recherche et autres tierces parties » peuvent conserver des copies des informations publiques de l’utilisateur même après la suppression du compte de l’utilisateur.

Page 195

Décision du 07 août 2018 1/4 social N° RG 14/07300

Effectivement, les informations publiques contenant des données personnelles de l’utilisateur diffusées sur internet par l’utilisateur antérieurement à la suppression de son compte X et à l’effacement de ses données à caractère personnel, peuvent postérieurement à sa suppression être conservées par des entreprises « tierces » ou répertoriées par des « moteurs de recherche » qui deviennent des « responsables du traitement » au sens de l’article 3 de la Loi Informatique et Libertés. Il n’est jamais inutile de rappeler ce genre d’évidence à l’utilisateur. Par conséquent, les demandes, concernant la clause n° 22 bis de la Politique de confidentialité, seront rejetées.

b) Clause n° 23 de la Politique de confidentialité.

Clause n°23 de la Politique de confidentialité de X du 21 octobre 2013 : Nos services s’adressent à des personnes âgées de plus de 13 ans. Si vous apprenez que votre enfant nous a fourni des informations personnelles sans votre consentement, merci de nous contacter à l’adresse privacy@X.com. Nous ne collectons pas sciemment d’informations personnelles sur des personnes âgées de moins de 13 ans. Si nous apprenons qu’un enfant de moins de 13 ans nous a fourni des informations personnelles, nous prenons des mesures pour supprimer ces informations et résilions le compte de cet enfant. Vous trouverez des informations supplémentaires destinées aux parents et aux enfants/adolescents ici.

Clause n°23 de la Politique de confidentialité de X du 8 septembre 2014 : Nos services ne s’adressent pas aux personnes âgées de moins de 13 ans. Si vous apprenez que votre enfant nous a fourni des informations personnelles sans votre consentement, merci de nous contacter à l’adresse privacy@X.com. Nous ne collectons pas sciemment d’informations personnelles provenant d’enfants de moins de 13 ans. Si nous apprenons qu’un enfant de moins de 13 ans nous a fourni des informations personnelles, nous prenons des mesures pour supprimer ces informations et résilions le compte de cet enfant. Vous trouverez des informations supplémentaires destinées aux parents et enfants / adolescents ici.

Clause n°23 de la Politique de confidentialité de X du 18 mai 2015 et du 27 janvier 2016 : Nos services ne s’adressent pas aux personnes âgées de moins de 13 ans. Si vous apprenez que votre enfant nous a fourni des informations personnelles sans votre consentement, merci de nous contacter en cliquant ici. Nous ne collectons pas sciemment d’informations personnelles provenant d’enfants de moins de 13 ans. Si nous apprenons qu’un enfant de moins de 13 ans nous a fourni des informations personnelles, nous prenons des mesures pour supprimer ces informations et résilions le compte

Page 196

Décision du 07 août 2018 1/4 social N° RG 14/07300

de cet enfant. Vous trouverez des informations supplémentaires destinées aux parents et aux enfants/adolescents ici.

L’association UFC QUE-CHOISIR expose que cette clause a été supprimée dans la version du 30 septembre 2016, les clauses des versions antérieures étant illicites au regard des articles 389-3, 408 et 1124 du code civil. Pour la société X, la clause rappelle que son service ne s’adresse pas aux enfants de moins de 13 ans et qu’elle dispose d’une politique permettant de supprimer immédiatement un compte relatif à un mineur de moins de 13 ans. Elle considère que le fait d’offrir la possibilité d’ouvrir un compte pour des mineurs de plus de 13 ans n’est pas illicite, rien dans la clause n°23 n’empêchant, selon elle, les parents d’un mineur ayant ouvert un compte sans leur autorisation d’invoquer l’incapacité juridique de leur enfant et d’obtenir ainsi la nullité du contrat et la fermeture du compte. En l’espèce, la clause n° 23 de la Politique de confidentialité, qui doit être examinée en combinaison avec la clause n° 1.3 des Conditions d’utilisation – laquelle prévoit que l’accès aux « Services » de X aux personnes qui ont « la capacité de conclure un contrat avec X » – évoque l’hypothèse où des représentants légaux d’enfants mineurs s’adressent à X afin que soient supprimées les informations personnelles déposées par leur enfant et que soit résilié son compte. L’article 389-3 du Code civil pose le principe de l’administration légale de l’enfant mineur dans tous les actes civils, à l’exception des cas ou la loi ou l’usage autorise les mineurs à agir eux-mêmes, les mineurs non émancipés étant incapables de contracter au sens de l’article 1124 devenu l’article 1146 du code civil.

En présumant le consentement implicite du représentant légal du mineur non émancipé, lorsque celui-ci est légalement requis, la clause a pour effet de ne pas prévoir le consentement exprès des représentants légaux des mineurs non émancipés pour le traitement des données à caractère personnel. La clause est donc illicite au regard des dispositions précitées. En conséquence, la clause n° 23 dans les versions du 21 octobre 2013, du 8 septembre 2014, 18 mai 2015 et du 27 janvier 2016, illicite au regard des articles 389-3, 1124 devenu l’article 1146 du code civil est abusive au regard de l’article L. 132_1 devenu l’article L. 212-1 du code de la consommation. Elle sera donc réputée non écrite.

28. Clause n° 24 de la Politique de confidentialité de X

Clause n°24 de la Politique de confidentialité de X du 21 octobre 2013 : « Sphère de sécurité de l’UE X se conforme aux principes de la Sphère de sécurité US-UE et de la Sphère de sécurité US-Suisse sur la notification, le choix, le transfert, la sécurité, l’intégrité des données, l’accès et l’application. Pour en savoir plus sur le programme Sphère de sécurité et avoir accès à notre certification, merci de consulter le site Web

Page 197

Décision du 07 août 2018 1/4 social N° RG 14/07300

de l’U.S. Department of Commerce (Département du Commerce des États-Unis) ».

Clause n°24 de la Politique de confidentialité du 8 septembre 2014 : « Programme de Safe Harbor dans l’Union Européenne X se conforme aux principes du Safe Harbor US-UE et US-Suisse sur la notification, le choix, le transfert, la sécurité, l’intégrité, l’accès et la protection des données. Pour en savoir plus sur le programme Sphère de sécurité et avoir accès à notre certification, merci de consulter le site Web de l’U.S. Department of Commerce (ministère du Commerce des États-Unis) ».

Clause n°24 de la Politique de confidentialité du 18 mai 2015 : « Programme de Safe Harbor dans l’Union Européenne X se conforme aux principes du Safe Harbor US-UE et US-Suisse sur la notification, le choix, le transfert, la sécurité, l’intégrité, l’accès et la protection des données. Pour en savoir plus sur le programme Safe Harbor et avoir accès à notre certification, merci de consulter le site Web de l’U.S. Department of Commerce (ministère du Commerce des États-Unis) ».

Clause n°24 de la Politique de confidentialité du 27 janvier 2016 et clause n° 28 de la Politique de confidentialité du 30 septembre 2016 : Nos activités dans le monde Pour vous proposer nos Services, nous sommes implantés dans le monde entier. X, Inc. respecte les principes du « EUU.S. Privacy Shield » (les « Principes ») relatif à la collecte, l’utilisation, le partage et la conservation des données à caractère personnel en provenance de l’Union européenne, tel que décrit dans notre certification « Privacy Shield ».

L’association UFC QUE-CHOISIR reproche aux clauses de la Politique de confidentialité de mentionner dans les versions de 2013, 2014 et 2015 la conformité des transferts des données effectués hors Union européenne aux principes de Safe Harbor alors que cette certification a été jugée non conforme par un arrêt de la Cour de justice de l’Union européenne (CJUE) du 6 octobre 2015. Elle ajoute que dans les versions de janvier et septembre 2016 les clauses affirment respecter le nouveau cadre du Privacy Shield, alors que le Privacy Shield permet le transfert de données à caractère personnel depuis l’Union européenne uniquement vers les Etats-Unis, si bien que les transferts de données à caractère personnel hors Union européenne à destination d’autres pays que les Etats-Unis ne feraient l’objet d’aucune garantie, alors même que les clauses telle que rédigées prévoit la possibilité pour X d’effectuer de tels transferts et que de nombreux pays n’offriraient pas un niveau de protection des données suffisant requis par l’article 68 de la loi Informatique et Libertés. Les clauses seraient également abusives au regard des articles L. 132-1 du code de la consommation en ce qu’elles créerairnt un déséquilibre significatif entre les droits et obligations des parties au détriment de l’utilisateur consommateur.

Page 198

Décision du 07 août 2018 1/4 social N° RG 14/07300

Par ailleurs un lien hypertexte contenu dans ces clauses, quelle que soit leur version, renvoie à une page internet rédigée en anglais, ce qui contrevient aux dispositions de la loi du 4 aout 1994. Les clauses seraient donc illicites à ce titre et abusives au regard de l’article R.132-1 1°) du code de la consommation. La société X répond que cette clause a été supprimée dans la dernière version de la Politique de confidentialité de X du 27 janvier 2016, de sorte que les griefs de l’UFC QUE CHOISIR à cet égard sont sans objet. Le Tribunal ayant répondu à cette argumentation dans le cadre de l’application dans le temps de la législation sur les clauses abusives aux diverses versions du contrat d’utilisation de X, il n’y a pas lieu d’examiner de nouveau cette exception.

a) Sur le Safe Harbor et le Privacy Shield

Aux termes de l’article 32-I 7°) le responsable du traitement est tenu d’informer la personne concernée par la collecte de ses données personnelles, le cas échéant, des transferts de ces données envisagés à destination d’un Etat non membre de la Communauté européenne. L’article 68 de la Loi Informatique et Libertés prévoit que « le responsable d’un traitement ne peut transférer des données à caractère personnel vers un Etat n’appartenant pas à la Communauté européenne que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font l’objet ou peuvent faire l’objet. » Lorsque le pays tiers n’assure pas un niveau de protection adéquat, l’article 69 de la même loi admet le transfert aux cas de consentement indubitable de la personne concernée, transfert nécessaire à l’exécution d’un contrat, à la sauvegarde d’un intérêt public important, à la défense d’un droit en justice ou à la sauvegarde de l’intérêt vital de la personne concernée. Ainsi, s’agissant du transfert de données hors Union européenne, l’article 68 de la Loi Informatique et Libertés interdit, pour des motifs tenant à la protection des droits fondamentaux des personnes physiques, les transferts de données des Européens vers des États tiers n’assurant pas un « niveau de protection adéquat ». Or, il ressort des clauses n° 2, 8, 17 et 24 de la Politique de confidentialité que, les activités de X se situant dans le monde entier, la certification Safe Harbor (Safe Harbour) dans les versions des 21 octobre 2013, 8 septembre 2014, 18 mai 2016 puis Privacy Shield dans la version du 27 janvier 2016 ne couvre pas l’intégralité des pays vers lesquels des données sont transférées. La protection est donc limitée aux transferts à destination des Etats-Unis, Ce qui rend la clause critiquée illicite au regard des dispositions précitées. En prévoyant le transfert des données à caractère personnel hors Union européenne vers des Etats qui ne sont pas précisés (dans le monde entier) sans exiger le consentement spécifique de l’utilisateur à ces transferts, lorsqu’un tel consentement est légalement requis, la clause est abusive au sens de l’article L.132-1, devenu les articles L. 222-1 du code de la

Page 199

Décision du 07 août 2018 1/4 social N° RG 14/07300

consommation, en ce qu’elle aurait pour objet ou pour effet de créer un déséquilibre significatif entre les droits et obligations des parties au détriment de l’utilisateur, consommateur. b) Sur le renvoi par un lien hypertexte à une page rédigée en anglais :

Aux termes de l’article 2 de la loi du 4 août 1994, « dans la désignation, l’offre, la présentation, le mode d’emploi ou d’utilisation, la description de l’étendue et des conditions de garanties d’un bien, d’un produit ou d’un service, ainsi que dans les factures et quittances, l’emploi de la langue française est obligatoire ». En l’espèce, la clause n° 24 est illicite, en ce qu’elle entrave l’accès effectif au contrat par l’utilisateur français, qui se voit appliquer un texte qui n’est pas écrit dans sa langue et qu’il ne peut, de ce fait, pas appréhender. La clause n° 24 de la Politique de confidentialité sera donc déclarée réputée non écrite à ce titre et abusive au regard de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation et de l’article R. 132-1 1°) devenu l’article R. 212-1 1°) du Code de la consommation En conséquence, la clause n° 24 de la Politique de confidentialité de X des 21 octobre 2013, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016, illicite au regard des articles L. 133-2 devenu l’article L. 211-1 du Code de la consommation, 2 de la loi du 4 août 1994, 32-I 7°) et 68 de la Loi Informatique et Libertés, est abusive au regard de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation et de l’article R. 132-1 1°) devenu l’article R. 212-1 1°) du code de la consommation. Elle sera donc réputée non écrite. La clause n° 24 de la Politique de confidentialité de X du 27 janvier 2016, nouvellement clause 28 de la Politique de confidentialité du 30 septembre 2016, illicite au regard de l’article 68 de la loi Informatique et Libertés, est abusive au regard des articles L.132-1 devenu l’article L. 212-1 du code de la consommation. Elle sera donc réputée non écrite.

29. Clause n° 25 de la Politique de confidentialité de X devenue clause n°33

Clause n°25 de la Politique de confidentialité de X du 21 octobre 2013 :

Nous nous réservons le droit de modifier cette Politique de confidentialité à tout moment. La version la plus actuelle de cette politique régit notre utilisation de vos informations et sera toujours disponible à l’adresse https://X.com:privacy. Si nous modifions cette politique d’une manière jugée, à notre seule discrétion, substantielle, nous vous le notifierons via une mise à jour @X ou l’envoi d’un mail à l’adresser associée à votre compte. En continuant d’accéder ou en utilisant les Services après l’entrée en vigueur de ces changements, vous acceptez être lié aux conditions énoncées dans la nouvelle Politique de confidentialité.

Page 200

Décision du 07 août 2018 1/4 social N° RG 14/07300

Clause n°25 de la Politique de confidentialité de X du 8 septembre 2014 et du 18 mai 2015 et du 27 janvier 2016, nouvellement clause 33 dans la version du 30 septembre 2016 :

Nous nous réservons le droit de modifier cette politique de confidentialité à tout moment. La version la plus actuelle de cette politique régit notre utilisation de vos informations et sera toujours disponible à l’adresse https://X.com/privacy. Si nous modifions cette politique d’une manière que nous considérons, à notre seule discrétion, comme substantielle, nous vous le notifierons via une communication émanant du compte @X ou l’envoi d’un email à l’adresse associée à votre compte. En continuant d’accéder aux Services ou en les utilisant après l’entrée en vigueur de ces changements, vous acceptez être lié aux conditions énoncées dans la nouvelle politique de confidentialité

L’association UFC-QUE CHOISIR reproche en substance à la clause n° 25 de la Politique de confidentialité d’attribuer à la société X la possibilité de modifier unilatéralement les clauses du contrat tout en présumant le consentement implicite de l’utilisateur à la nouvelle Politique de confidentialité du fait de sa navigation ultérieure sur le site. La société X repousse les critiques formulées par l’UFC QUE-CHOISIR à l’encontre de cette clause et fait valoir que ce sont les mêmes griefs que ceux formulés à l’encontre de la clause 12 C2 des Conditions d’utilisation. Aux termes de l’article R. 132-2 6°) devenu l’article R. 212-2 6°), sont présumées abusives les clauses ayant pour objet ou pour effet de réserver au professionnel le droit de modifier unilatéralement les clauses du contrat relatives aux droits et obligations des parties, autres que celles prévues au 3°) de l’article R. 212-1 du code de la consommation. En l’espèce, la clause n° 25 de la Politique de confidentialité fait écho à la clause n° 12 C 2 des Conditions d’utilisation – précédemment examinée par le Tribunal – qui confère à la société X le droit de modifier unilatéralement les Conditions d’utilisation, sans information préalable de l’utilisateur. A son tour, la clause n° 25 de la Politique de confidentialité confère à la société X cette même faculté de modification, appliquée cette fois à la Politique de confidentialité, en restant également seul juge de l’opportunité et du caractère substantiel ou non de ladite modification. C’est ainsi qu’elle prévoit, dans le cas d’une modification substantielle, la notification à l’utilisateur de la « mise à jour » de la Politique de confidentialité, l’utilisateur n’étant pas informé d’une modification jugé non substantielle par la société. En toute hypothèse, la clause présume acquis le consentement de l’utilisateur à la nouvelle Politique de confidentialité, du fait de son accès ou de son utilisation ultérieure des Services après l’entrée en vigueur des modifications. De sorte qu’en conférant à la société X le droit de modifier unilatéralement la Politique de confidentialité, sans information préalable de l’utilisateur, la clause critiquée a pour objet ou pour effet de réserver au professionnel le droit de modifier unilatéralement les clauses du contrat.

Page 201

Décision du 07 août 2018 1/4 social N° RG 14/07300

Elle est donc abusive au sens de l’article R. 132-2 6°) devenu l’article R. 212-2 6°). D’où il suit que la clause n° 25, dans les versions des 25 juin 2012, 8 septembre 2014, 18 mai 2015 et 27 janvier 2016, devenue la lause n° 33 du 30 septembre 2016, est abusive au regard des article R. 132-2 6°) devenu l’article R. 212-2 6°) du code de la consommation et comme telle sera réputée non écrite.

C. SUR LES REGLES DE X

1. Clause n° 1 des Règles de X : Clause n°1 du Règlement de X non daté mais en vigueur en février 2014 et clause n°1 des Règles de X non datées mais en vigueur en février 2015 :

« Notre objectif est d’offrir un service vous permettant de découvrir et de recevoir du contenu provenant de sources qui vous intéressent, mais aussi de partager votre contenu avec d’autres personnes. Nous respectons la propriété du contenu que les utilisateurs partagent, et chaque utilisateur est responsable du contenu qu’il fournit. En vertu de ces principes, nous ne surveillons pas activement le contenu des utilisateurs, et nous ne le censurerons pas, sauf dans les circonstances limitées mentionnées ci-dessous ». Clause n°1 des Règles de X non datées mais en vigueur en mai 2015 :

« Notre objectif est de fournir un service vous permettant de découvrir et de recevoir du contenu issu des sources qui vous intéressent et de partager votre propre contenu avec d’autres personnes. Nous respectons le droit de propriété applicable au contenu que les utilisateurs partagent, et chaque utilisateur est responsable du contenu qu’il fournit. En vertu de ces principes, nous ne surveillons pas activement le contenu des utilisateurs et nous ne le censurons pas, dans la limite des circonstances exposées ci-dessous. »

Clause n°1 des Règles de X non datées mais en vigueur en août 2016 :

« Nous pensons que tout le monde devrait avoir l’opportunité de créer et de partager instantanément des idées et des informations, sans aucun obstacle. Pour protéger l’expérience et la sécurité des utilisateurs de X, nous avons défini certaines restrictions qui s’appliquent au type de contenu et au comportement autorisés. Tous les utilisateurs doivent se conformer aux politiques énoncées dans les Règles de X. Tout non-respect pourra entraîner le blocage temporaire ou la suspension définitive des comptes concernés.

Page 202

Décision du 07 août 2018 1/4 social N° RG 14/07300

Veuillez noter que nous sommes susceptibles de devoir modifier ces règles de temps à autre, et que nous nous réservons le droit de le faire. La version la plus récente se trouvera toujours sur la page X.com/rules. »

L’association UFC QUE-CHOISIR expose à titre liminaire que le règlement de X (dénommé « Règles de X » depuis 2014 et 2015), présenté sur le site internet de X figure dans le socle contractuel des conditions générales d’utilisation de X. Aucune indication ne permettrait de connaître la date des dernières modifications du texte, aucune date d’entrée en vigueur n’étant affichée. Elle expose que la clause n° 1 des Règles de X prévoit l’entière responsabilité de l’utilisateur des contenus qu’il publie sur le réseau social X et limite voire supprime l’engagement de la responsabilité de X, en raison de l’inexécution de ses obligations en sa qualité de prestataire de service d’un réseau social, notamment en cas de contenu indésirable. La société X serait néanmoins tenue en sa qualité de professionnel prestataire de services à distance, d’une obligation de résultat au titre de l’article L.121-20-3 devenu l’article L.121-19-4 du code de la consommation. L’association soutient également que la société en tant que responsable de traitement est tenue à une obligation de préservation des données et de prévention de leur déformation, de leur endommagement ou leur accessibilité par les tiers, au titre de l’article 34 de la Loi Informatique et Libertés. En qualité d’hébergeur, elle serait responsable des contenus communiqués conformément aux dispositions de l’article 6.I.2 de la loi du 21 juin 2004 sur la confiance dans l’économie numérique (LCEN), lorsque l’hébergeur a eu connaissance du caractère illicite du contenu. Elle précise que la version de 2016 ne fait plus référence à la responsabilité de l’utilisateur mais permet à X de suspendre ou supprimer le compte d’un utilisateur en cas de manquement aux règles de X, sans prévoir que la méconnaissance des règles par l’utilisateur pourrait être la conséquence d’un piratage de son compte. L’association fait valoir que la clause est abusive regard de l’article R.132-1/5°) du code de la consommation en ce qu’elle a pour effet de contraindre le consommateur à exécuter ses obligations alors que, réciproquement, le professionnel n’exécuterait pas ses obligations de délivrance ou de garantie d’un bien ou son obligation de fourniture d’un service. Elle ajoute que la clause contrevient également à l’article R. 132-1 6°) du code de la consommation qui répute abusive toute clause ayant pour effet de supprimer ou de réduire le droit à réparation du préjudice subi par le professionnel ou le consommateur en cas de manquement par le professionnel à l’une quelconque de ses obligations. L’association reproche également à la clause de prétendre que X fait respecter le droit de propriété applicable au contenu que les utilisateurs partagent, alors que la clause n° 5 des Conditions d’utilisation prévoit une licence globale et exclusive au bénéfice de X des Contenus déposés par les utilisateurs. Selon l’association, ce défaut de lisibilité rend la clause illicite au regard de l’article L. 133-2 du code de la consommation et abusive au sens de l’article L. 132-1 du code de la consommation, en ce qu’elle créerait un déséquilibre significatif au détriment de l’utilisateur consommateur ou non professionnel. La clause serait également illicite au regard des articles L. 111-1, L. 11-2 L. 121-17, L. 121-19 et R. 111-2 du

Page 203

Décision du 07 août 2018 1/4 social N° RG 14/07300

code de la consommation, en ce qu’elle prévoit de bloquer ou de suspendre définitivement le compte d’un utilisateur sans préavis de l’utilisateur. Pour la société X, la clause n°1 est parfaitement claire et compréhensible et ne contrevient nullement à l’article L. 133-2 du code de la consommation. Elle observe que l’ancien article L. 121-20-3 du code de la consommation, comme l’article L. 121-19-4 du code de la consommation, vise des contrats payants et ne s’applique pas au service gratuit rendu par X. Elle ajoute que cette clause vise uniquement l’hypothèse où le service est bloqué temporairement ou suspendu définitivement en raison d’une faute commise par l’utilisateur, auteur d’un comportement malveillant à l’encontre d’un autre utilisateur. Cette clause ne supprimerait ni ne réduirait le droit à réparation auquel pourrait prétendre l’utilisateur. La société X soutient que rien ne l’oblige à lister les comportements répréhensibles de l’utilisateur et qu’il lui est ainsi possible de modifier à son gré les Règles de X, ces modifications étant de nature à éclairer l’utilisateur sur ce qui est considéré comme un comportement gravement répréhensible, de nature à entraîner la suspension ou la suppression de son compte. Sont produits au débat par l’association UFC QUE-CHOISIR trois « jeux » de clauses intitulés « Règles de X » comportant un « copyright » de 2014, 2015 et 2016 auquel l’utilisateur peut accéder via le « Centre d’assistance X ».

Aucune clause de ces trois documents n’est numérotée, tous disposant d’un même paragraphe (intitulé « clause n°1 » dans l’assignation) introduisant une à deux rubriques : « Limites affectant le contenu et utilisation de X » et « Abus et Spam » (© 2014), « Limites applicable au contenu et utilisation de X » et « Comportement inappropriés et spam » (© 2015), « Limites affectant le contenu et utilisation de X » (© 2016). Chacune des rubriques comporte une liste de contenus, comportements ou activités illicites ou non-appropriées, sanctionnés par le « blocage » ou la « suspension définitive » (suppression) du compte de l’utilisateur. Chacune des versions de la clause n° 1 rappelle l’objectif du réseau social (le partage des contenus entre ses utilisateurs), ainsi que l’obligation faite aux utilisateurs de respecter des règles annoncées dans les rubriques subséquentes. Seules les versions de 2014 et 2015 font état du respect du droit à la propriété intellectuelle des utilisateurs entre eux, les versions ultérieures ayant supprimé cette disposition. La version de 2016 est la seule à évoquer la responsabilité des utilisateurs contrevenant aux « Règles » et les sanctions qui leur sont applicables. La même version de 2016 fait référence au droit discrétionnaire, dont dispose la société X, pour modifier unilatéralement les « Règles de X ». Ce droit est néanmoins repris dans les clauses n° 2 et 6 des « Règles de X ».

Page 204

Décision du 07 août 2018 1/4 social N° RG 14/07300

a) Sur la présomption de responsabilité de l’utilisateur et la limitation de responsabilité de X :

L’association UFC QUE-CHOISIR prétend que la clause instaure une présomption de responsabilité pesant sur l’utilisateur du fait du contenu qu’il publie. En l’espèce, seules les versions 2014 et 2015 de la clause critiquée mentionnent que « chaque utilisateur est responsable du contenu qu’il fournit », tout en précisant que la société X ne « surveille pas activement le contenu des utilisateurs » et qu’elle ne les censure pas sauf dans les circonstances exposées dans les « Règles ». La version 2016 ne fait plus référence à cette présomption de responsabilité. Aux termes de l’article 6.I.2 de la « Loi pour la Confiance dans l’Économie Numérique » (L.C.E.N.) du 21 juin 2004, l’hébergeur n’est pas responsable des informations stockées à la demande d’un utilisateur, à condition qu’il n’ait pas eu connaissance du caractère illicite de l’activité ou de l’information, ou que, dès le moment où il en a eu connaissance, il a agi promptement pour retirer ces données ou en rendre l’accès impossible. En l’espèce, la clause n° 1 des « Règles de X » dans les versions de 2014 et 2015 – qui doit être rapprochée de la clause n° 4.1 des Conditions d’utilisation précédemment examinée – indique que chaque utilisateur est responsable du contenu qu’il fournit. Or, par la généralité des termes employés, les clauses précitées n’évoquent pas le cas où, la société X, en sa qualité d’hébergeur ayant eu connaissance du caractère illicite de l’activité ou de l’information, a tardé à retirer promptement ces Contenus ou en rendre l’accès impossible. La clause n° 1 des « Règles de X » dans les versions de 2014 et 2015, comme la clause n° 4.1 des Conditions d’utilisation, contrevient ainsi aux dispositions de l’article 6.I.2 de la L.C.E.N., l’hébergeur étant susceptible, dans une telle situation d’endosser tout ou partie de la responsabilité encourue. Dès lors, la clause, qui prévoit que la responsabilité sera supportée uniquement par la personne qui a fourni le contenu en exonérant totalement l’hébergeur, est illicite comme contraire à l’article 6.I.2 de la loi pour la confiance dans l’économie numérique et abusive au sens de l’article R. 132-1 6°) devenu l’article R. 212-1 6°) du code de la consommation, la clause ayant pour effet de supprimer ou de réduire le droit à réparation du préjudice subi par le consommateur en cas de manquement par le professionnel à l’une de ses obligations.

b) Sur le respect du droit de propriété intellectuelle (2014 et 2015) :

L’article L. 131-1 du code de la propriété intellectuelle prévoient que « la cession globale des œuvres futures est nulle ». Aux termes des articles L. 131-2 et L. 131-3 du même code, les contrats par lesquels sont transmis des droits d’auteur doivent être constatés par écrit, la transmission étant subordonnée à la condition que chacun des droits cédés

Page 205

Décision du 07 août 2018 1/4 social N° RG 14/07300

fasse l’objet d’une mention distincte dans l’acte de cession et que le domaine d’exploitation des droits cédés soit délimité quant à son étendue et à sa destination, quant au lieu et quant à la durée. L’article L. 133-2, devenu l’article L. 211-1 du code de la consommation prévoit que les clauses des contrats proposés par les professionnels aux consommateurs doivent être présentées et rédigées de façon claire et compréhensible. En l’espèce, la clause n° 1 des « Règles de X » affirme que la société X respecte la propriété du contenu que les utilisateurs partagent. Toutefois, il apparait, lorsque la clause critiquée est confrontée à la clause n° 5 des Conditions d’utilisation, imposant à l’utilisateur la concession au bénéfice de la société X d’une licence d’exploitation en contravention avec les articles L.131-1 et suivants du code de la propriété intellectuelle, que la société X ne peut, sans se contredire au sein du même ensemble de documents contractuels, affirmer d’une part qu’elle respecte les dispositions protectrices du droit à la propriété intellectuelle de l’utilisateur sur le Contenu qu’il publie (clause n°1 des « Règles de X ») et d’autre part qu’elle entend s’en affranchir (clause n° 5 des Conditions d’utilisation). La clause n° 1 est donc illicite à l’égard des dispositions de l’article L. 133-2, devenu l’article L. 211-1 du code de la consommation. Elle est également abusive au regard de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation, en ce qu’elle a pour objet ou pour effet de créer, au détriment du consommateur, un déséquilibre significatif entre les droits et obligations des parties au contrat.

c) Sur le droit de blocage temporaire et de « suspension définitive » du compte de l’utilisateur :

La clause n° 1 des « Règles de X » (dans la version de 2016) prévoit d’emblée les sanctions applicables (le blocage temporaire ou la suspension définitive) aux comptes des utilisateurs transgressant les règles édictées par X visant à imposer un contenu et un comportement licite et approprié des utilisateurs. Cette clause doit être rapprochée des clauses n° 8.1 et 8.2 des Conditions d’utilisation, qui établissent au profit de la société X un pouvoir discrétionnaire de supprimer ou résilier les comptes des utilisateurs (cette situation équivaut à la situation de blocage temporaire et à la suspension définitive évoquée à la fois dans la clause n° 1 des « Règles de X » et dans la clause n° 3 du même document), sans que sa responsabilité puisse être engagée par ces derniers. De sorte que, en complément des clauses précitées, la clause n° 1 attribue à la société X un pouvoir discrétionnaire de supprimer ou résilier les comptes des utilisateurs, lorsqu’ils contreviennent aux « Règles » édictées par la société portant sur le type de contenu et le comportement autorisés, sans qu’il soit prévu ni justification ni préavis.

Page 206

Décision du 07 août 2018 1/4 social N° RG 14/07300

Ainsi la clause critiquée, en prévoyant que la résiliation des services pourra s’opérer à l’initiative de X de manière discrétionnaire à tout moment sans justification ni préavis, est abusive, en ce qu’elle crée au profit du professionnel et au détriment du consommateur ou du non professionnel un déséquilibre significatif au sens de l’article L. 132-1 devenu l’article L. 221-1 du code de la consommation. Elle est également irréfragablement abusive au sens de l’article R. 132-1 4°) devenu l’article R. 212-1 4°) du code de la consommation, en ce qu’elle a pour objet ou pour effet d’accorder au seul professionnel, le droit de déterminer si la chose livrée ou les services fournis sont conformes ou non aux stipulations du contrat

d) Sur le droit discrétionnaire de modification des règles sans préavis ni justification :

Selon l’association UFC QUE -CHOISIR la clause prévoit pour X la faculté de modifier à son gré sans préavis ni justification les « Règles ». Elle serait donc illicite au regard des dispositions des articles L. 111-1, L. 111-2, L. 121-17, L. 121-19-2 et R. 111-2 du code de la consommation. En l’espèce, la clause n° 1 des « Règles de X » fait écho à la clause n° 12 C 2 des Conditions d’utilisation et à la clause n° 25 de la Politique de confidentialité – précédemment examinées par le Tribunal – qui confèrent à la société X le droit de modifier unilatéralement les « obligations comportementales » de l’utilisateur, en restant également seul juge de l’opportunité d’une telle modification.

A la différence toutefois des clauses précitées, l’utilisateur n’est pas informé de cette modification, les clauses n° 02 des conditions d’utilisation présumant acquis le consentement de l’utilisateur à ces nouvelles « Règles » du seul fait de l’accès et de l’utilisation des Services par l’utilisateur. De sorte qu’en conférant à la société X le droit de modifier unilatéralement les « Règles de X », auxquelles l’utilisateur doit se soumettre, sans information préalable de l’utilisateur, la clause critiquée est illicite au regard des articles L. 111-1 et L. 111-2, de l’article R. 111-2 I et III, devenu l’article R. 111-2 7°) du code de la consommation, des articles L. 121-17, L. 121-19-2 et R. 111-2 devenus les articles L. 221-5, L. 221-6, L. 221-7 du code de la consommation et abusive au sens de l’article R. 132-2 6°) devenu l’article R. 212-2 6°) du code de la consommation. en ce qu’elle a pour objet ou pour effet de réserver au professionnel le droit de modifier unilatéralement les clauses du contrat ; Par conséquent, la clause n° 1 des « Règles de X » illicite au regard des dispositions de l’article 6.I.2 de la L.C.E.N., des articles L. 111-1, L. 111-2, devenus les articles L.111-1 et L.111-2, de l’article R. 111-2 I et III, devenu l’article R. 111-2 7°) du code de la consommation, des articles L. 121-17, L. 121-19-2 et R. 111-2 devenus les articles L. 221-5, L. 221-6, L. 221-7 du code de la consommation, de l’article L. 121-19 devenu l’article L. 221-11 du code de la consommation, L. 133-2 devenu l’article L. 211-1 du code de la consommation, est abusive au sens des articles L. 132-1 devenu l’article L. 212-1, R. 131 6°) devenu

Page 207

Décision du 07 août 2018 1/4 social N° RG 14/07300

l’article R. 212-1 6°), R. 132 4°) devenu l’article R. 212-1 4°) du code de la consommation et sera donc réputée non écrite.

2. Clause n° 2 des Règles de X :

Clause n°2 du Règlement de X non daté mais en vigueur en février 2014 :

Lorsque vous fournissez le service X et donnez la possibilité à d’autres personnes de communiquer et de rester en relation, certaines restrictions s’appliquent au type de contenu pouvant être publié avec X. Ces limites sont conformes aux exigences légales et permettent à tous les utilisateurs de vivre une meilleure expérience X. Il se peut que nous modifiions ce règlement de temps à autre, et nous nous réservons le droit de le faire. Veuillez venir consulter cette section pour connaître les dernières modifications.

Imposture(https://support.X.com/groups/56-policies-violations/topi cs/236-twit ter- rules-policies/articles/18366impersonation-policy) : Vous ne devez pas vous faire passer pour d’autres personnes par le biais du service X d’une manière qui entraîne, ou qui a pour but d’entraîner une méprise, une confusion ou une duperie d’autres personnes.

Marque commerciale(https://support.X.com/groups/56-policies- violations/topics/236-X-rulespolicies/articles/18367-trademark- policy) Nous nous réservons le droit de réclamer des noms d’utilisateur de la part d’entreprises ou de particuliers détenant un titre juridique ou une marque commerciale pour ces noms d’utilisateur. Les comptes utilisant des noms et/ou des logos d’entreprises pour tromper d’autres personnes peuvent être définitivement suspendus.

Informations.privées (https://support.X.com/groups/56-policies- violations/topics/236-X-rulespolicies/articles/20169991-private- information-posted-on-X) : Vous ne devez pas diffuser ou publier d’informations privées et confidentielles d’autres personnes, telles que leur numéro de carte de crédit, leur adresse postale ou leur numéro de sécurité sociale/carte d’identité nationale, sans leur consentement et autorisation expresses.

Violence et menaces (https://support.X.com/groups/56-policies- violations/topics/236-X-rules-policies/articles/20169997-abusive- behavior-policy) : Vous ne devez pas diffuser ou publier de menaces directes et spécifiques de violence envers d’autres personnes.

Page 208

Décision du 07 août 2018 1/4 social N° RG 14/07300

Copyright (https://supp ort.X.com/groups/56-policies- violations/topics/236-X-rules-policies/articles/15795copyright-and- dmca-policy) : Nous répondrons aux notifications claires et complètes d’infractions présumées de copyrights. Nos procédures liées au copyright sont stipulées dans nos Conditions.

Utilisation illicite : Vous ne devez pas utiliser notre service à des fins illicites ou pour la poursuite d’activités illégales. Les utilisateurs internationaux acceptent de respecter toutes les lois locales concernant la conduite en ligne et le contenu acceptable.

Mauvaise utilisation des badges X : Vous ne devez pas utiliser de badge de type Sponsorisé ou Vérifié par X à moins que ce badge ne vous ait été fourni par X. Les comptes qui utilisent ces badges comme éléments de leurs photos de profil, de leurs photos d’en-tête ou de leurs images de fond, ou qui les emploient d’une manière qui implique mensongèrement une affiliation à X peuvent être suspendus».

Clause n°2 des Règles de X non datées mais en vigueur en février 2015 :

Afin de fournir le service X et de donner la possibilité aux personnes de communiquer et de rester en relation, certaines restrictions s’appliquent au type de contenu pouvant être publié avec X. Ces limites sont conformes aux exigences légales et permettent à tous les utilisateurs de vivre une meilleure expérience X. Il se peut que nous modifiions ces règles de temps à autre, et nous nous réservons le droit de le faire. Veuillez revenir consulter cette section pour connaître les dernières modifications.

• Usurpation d’identité (https://suppport.X.com/articles/18366) : vous ne devez pas vous faire passer pour d’autres personnes par le biais du service X d’une manière qui entraîne, ou qui a pour but d’entraîner une méprise, une confusion ou une duperie d’autres personnes.

• Marque déposée (https://suppport.X.com/articles/18367) : nous nous réservons le droit de réclamer des noms d’utilisateur de la part d’entreprises ou de particuliers détenant un titre juridique ou une marque commerciale pour ces noms d’utilisateur. Les comptes utilisant des noms et/ou des logos d’entreprises pour tromper d’autres personnes peuvent être définitivement suspendus. • Informations privées (https://suppport.X.com/articles/20169991): vous ne devez pas diffuser ou publier d’informations privées et confidentielles d’autres personnes, telles que leur numéro de carte de crédit, leur adresse postale ou leur numéro de sécurité sociale/carte d’identité nationale, sans leur consentement et autorisation exprès. • Violence et menaces (https://suppport.X.com/articles/20169997): vous ne devez pas diffuser ou publier de menaces directes et spécifiques de

Page 209

Décision du 07 août 2018 1/4 social N° RG 14/07300

violence envers d’autres personnes. • Copyright (https://support.X.com/articles/15795) : nous répondrons aux notifications claires et complètes d’infractions présumées de copyrights. Nos procédures liées au copyright sont stipulées dans nos Conditions d’utilisations . • Utilisation illicite : vous ne devez pas utiliser notre service à des fins illicites ou pour la poursuite d’activités illégales.

Les utilisateurs internationaux acceptent de respecter toutes les lois locales concernant la conduite en ligne et le contenu acceptable.

Clause n°2 des Règles de X non datées mais en vigueur en mai 2015 :

Afin de fournir le service X et la possibilité de communiquer et de rester en relation avec les autres utilisateurs, nous avons défini certaines restrictions applicables au type de contenu pouvant être publié avec X. Ces limites sont conformes aux exigences légales et permettent de garantir la qualité de l’expérience X. Ces règles peuvent évoluer périodiquement et nous nous réservons le droit de les modifier. Veuillez consulter régulièrement cette section pour connaître les dernières modifications.

Afin de pouvoir fournir le service X et la possibilité de communiquer et de rester en relation avec les autres utilisateurs, nous avons défini certaines restrictions applicables au type de contenu pouvant être publié sur X. Ces limites sont conformes à la législation en vigueur et permettent de garantir la qualité de l’expérience X de tous les utilisateurs. Ces règles peuvent évoluer périodiquement et nous nous réservons le droit de les modifier. Veuillez consulter régulièrement cette section pour connaître les dernières modifications.

Usurpation d’identité (/articles/18366) : vous ne devez pas vous faire passer pour une autre personne sur X d’une manière qui entraîne, ou qui a pour but d’entraîner une méprise, une confusion ou une duperie d’autres personnes.

Marque déposée (/articles/18367) : nous nous réservons le droit de récupérer des noms d’utilisateur pour le compte d’entreprises ou de particuliers les détenant légalement ou disposant d’une marque déposée sur les noms d’utilisateurs concernés. Les comptes utilisant des noms et/ou logos d’entreprise afin d’induire les autres utilisateurs en erreur peuvent faire l’objet d’une suspension définitive.

Page 210

Décision du 07 août 2018 1/4 social N° RG 14/07300

Informations privées (/articles20169991) : vous ne pouvez pas diffuser ni publier les informations privées et confidentielles d’autres personnes, telles que leur numéro de carte bancaire, leur adresse postale ou leur numéro de sécurité sociale/carte d’identité nationale, sans leur consentement et leur autorisation exprès. Vous ne devez pas publier de photos ou vidéos intimes prises ou diffusées sans le consentement du sujet.

Violences et menaces (/articles/20169997) : vous ne devez pas diffuser ou promouvoir de menaces violentes à l’égard d’autres personnes.

Droit d’auteur (/articles/15795) : nous répondons aux notifications claires et complètes d’infractions présumées au droit d’auteur. Nos procédures relatives au droit d’auteur sont stipulées dans nos Conditions.

Utilisation illicite : vous ne devez pas utiliser notre service à des fins illicites ou en vue d’activités illégales. Les utilisateurs internationaux acceptent de se conformer à la législation locale régissant les conduites en ligne et les contenus acceptables.

Usage abusif des badges X : vous ne devez pas utiliser de badges, notamment de badges Sponsorisés ou Certifiés X, à moins que ces badges ne vous aient été fournis par X. Les comptes qui utilisent ces badges dans leurs photos de profil, leurs photos de bannière ou leurs images d’arrière-plan, ou qui les emploient de manière à impliquer de façon mensongère une affiliation à X peuvent être suspendus. Clause n°2 des Règles de X non datées mais en vigueur en août 2016 :

« Limites affectant le contenu et utilisation de X

Pour offrir le service X et la possibilité de communiquer et de rester en relation avec d’autres personnes, nous avons défini certaines restrictions qui s’appliquent au type de contenu pouvant être publié avec X.

Marques déposées : nous nous réservons le droit de récupérer des noms d’utilisateur pour le compte d’entreprises ou de particuliers les détenant légalement ou disposant d’une marque déposée sur ces noms d’utilisateur. Les comptes utilisant des noms et/ou des logos d’entreprises pour tromper d’autres personnes peuvent être définitivement suspendus. Droits d’auteur : nous répondrons aux notifications claires et complètes d’infractions présumées relatives aux droits d’auteur. Nos procédures liées aux droits d’auteur sont stipulées dans nos Conditions d’utilisation. Contenu cru : vous ne devez pas utiliser d’images pornographiques ou excessivement violentes, que ce soit en tant que photo de profil ou image de bannière. X peut autoriser certaines formes de contenu cru dans les

Page 211

Décision du 07 août 2018 1/4 social N° RG 14/07300

Tweets, s’il est identifié comme contenu choquant. Si des images de mort sont tweetées gratuitement, X pourra vous demander de retirer le contenu, par respect pour les personnes décédées. Utilisation illicite : il est interdit d’utiliser ce service à des fins illicites ou pour la poursuite d’activités illégales. Les utilisateurs internationaux acceptent de respecter toutes les lois locales concernant le comportement en ligne et le contenu acceptable. Mauvais usage des badges X : vous ne devez pas utiliser de badge, notamment de type Sponsorisé ou Certifié, à moins que ce badge ne vous ait été fourni par X. Les comptes qui utilisent ces badges comme éléments de leurs photos de profil ou de bannière, ou qui les emploient d’une manière impliquant une affiliation à X non conforme à la réalité peuvent être suspendus. »

Clause n°2 des Règles de X non datées mais en vigueur en mai 2015 : Afin de fournir le service X et la possibilité de communiquer et de rester en relation avec les autres utilisateurs, nous avons défini certaines restrictions applicables au type de contenu pouvant être publié avec X. Ces limites sont conformes aux exigences légales et permettent de garantir la qualité de l’expérience X. Ces règles peuvent évoluer périodiquement et nous nous réservons le droit de les modifier. Veuillez consulter régulièrement cette section pour connaître les dernières modifications.

Usurpation d’identité (/articles/18366) : vous ne devez pas vous faire passer pour une autre personne sur X d’une manière qui entraîne, ou qui a pour but d’entraîner une méprise, une confusion ou une duperie d’autres personnes.

Marque déposée (/articles/18367) : nous nous réservons le droit de récupérer des noms d’utilisateur pour le compte d’entreprises ou de particuliers les détenant légalement ou disposant d’une marque déposée sur les noms d’utilisateurs concernés. Les comptes utilisant des noms et/ou logos d’entreprise afin d’induire les autres utilisateurs en erreur peuvent faire l’objet d’une suspension définitive.

Informations privées (/articles20169991) : vous ne pouvez pas diffuser ni publier les informations privées et confidentielles d’autres personnes, telles que leur numéro de carte bancaire, leur adresse postale ou leur numéro de sécurité sociale/carte d’identité nationale, sans leur consentement et leur autorisation exprès. Vous ne devez pas publier de photos ou vidéos intimes prises ou diffusées sans le consentement du sujet.

Violences et menaces (/articles/20169997) : vous ne devez pas diffuser ou promouvoir de menaces violentes à l’égard d’autres personnes.

Page 212

Décision du 07 août 2018 1/4 social N° RG 14/07300

Droit d’auteur (/articles/15795) : nous répondons aux notifications claires et complètes d’infractions présumées au droit d’auteur. Nos procédures relatives au droit d’auteur sont stipulées dans nos Conditions.

Utilisation illicite : vous ne devez pas utiliser notre service à des fins illicites ou en vue d’activités illégales. Les utilisateurs internationaux acceptent de se conformer à la législation locale régissant les conduites en ligne et les contenus acceptables.

Usage abusif des badges X : vous ne devez pas utiliser de badges, notamment de badges Sponsorisés ou Certifiés X, à moins que ces badges ne vous aient été fournis par X. Les comptes qui utilisent ces badges dans leurs photos de profil, leurs photos de bannière ou leurs images d’arrière-plan, ou qui les emploient de manière à impliquer de façon mensongère une affiliation à X peuvent être suspendus.

Clause n°2 des Règles de X non datées mais en vigueur en août 2016 : « Limites affectant le contenu et utilisation de X

Pour offrir le service X et la possibilité de communiquer et de rester en relation avec d’autres personnes, nous avons défini certaines restrictions qui s’appliquent au type de contenu pouvant être publié avec X. Marques déposées : nous nous réservons le droit de récupérer des noms d’utilisateur pour le compte d’entreprises ou de particuliers les détenant légalement ou disposant d’une marque déposée sur ces noms d’utilisateur. Les comptes utilisant des noms et/ou des logos d’entreprises pour tromper d’autres personnes peuvent être définitivement suspendus. Droits d’auteur : nous répondrons aux notifications claires et complètes d’infractions présumées relatives aux droits d’auteur. Nos procédures liées aux droits d’auteur sont stipulées dans nos Conditions d’utilisation. Contenu cru : vous ne devez pas utiliser d’images pornographiques ou excessivement violentes, que ce soit en tant que photo de profil ou image de bannière. X peut autoriser certaines formes de contenu cru dans les Tweets, s’il est identifié comme contenu choquant. Si des images de mort sont tweetées gratuitement, X pourra vous demander de retirer le contenu, par respect pour les personnes décédées. Utilisation illicite : il est interdit d’utiliser ce service à des fins illicites ou pour la poursuite d’activités illégales. Les utilisateurs internationaux acceptent de respecter toutes les lois locales concernant le comportement en ligne et le contenu acceptable. Mauvais usage des badges X : vous ne devez pas utiliser de badge, notamment de type Sponsorisé ou Certifié, à moins que ce badge ne vous ait été fourni par X. Les comptes qui utilisent ces badges comme éléments de leurs photos de profil ou de bannière, ou qui les emploient d’une manière impliquant une affiliation à X non conforme à la réalité peuvent être suspendus. »

Page 213

Décision du 07 août 2018 1/4 social N° RG 14/07300

L’association UFC QUE-CHOISIR reproche à la clause de prévoir la possibilité pour X de modifier ses « Règles » (Règlement) de manière discrétionnaire, sans préavis ni justification. Ces clauses sont, selon l’association, illicites au regard des articles L. 111-1, L. 111-2, L. 121-17, L. 121-19-2 et R. 111-2 du code de la consommation et abusives au sens de l’article R. 132-1 1° du Code de la consommation, en ce qu’elles ont pour effet de constater l’adhésion du consommateur à des clauses qui ne figurent pas dans l’écrit qu’il accepte et dont il n’a pas eu connaissance avant sa conclusion. Elles seraient également abusives au regard de l’article R. 132-1/3°) du code de la consommation, qui prohibe la clause réservant au professionnel le droit de modifier unilatéralement les clauses du contrat relatives aux caractéristiques du service à rendre, et de l’article R. 132-2/6°) du même code qui prohibe la clause réservant au professionnel le droit de modifier unilatéralement les clauses du contrat relatives aux droits et obligations des parties. Selon la société X le texte de la clause met en lumière les limites applicables au contenu et à l’utilisation de X, n’ayant trait qu’à des comportements malveillants : violation des droits d’auteur, utilisation d’images pornographiques ou excessivement violentes, poursuite d’activités illégales, etc. Ces comportements incriminés seraient assimilables à des fautes de l’utilisateur, de nature à entraîner une résiliation immédiate et sans préavis de la relation contractuelle. La société ajoute que la clause se contente de lister à titre indicatif les raisons pour lesquelles elle serait susceptible de suspendre à ses risques et périls le service rendu et précise que contrairement à ce que soutient l’UFC-QUE CHOISIR, la clause critiquée n’empêche nullement l’utilisateur de rechercher la responsabilité de la société X.

a) Sur le droit discrétionnaire de modification des règles sans préavis ni justification :

Le Tribunal ayant eu l’occasion de répondre à cette argumentation dans le cadre de l’examen de la clause n° 1 des « Règles de X », il conviendra de déclarer la clause n° 2 des « Règles de X », pour des motifs identiques à ceux précédemment exposés, illicite au regard des articles L. 111-1, L. 111-2, devenus les articles L.111-1 et L.111-2, de l’article R. 111-2 I et III, devenu l’article R. 111-2 7°) du code de la consommation, des articles L. 121-17, L. 121-9-2 et R. 111-2, devenus les articles L. 221-5, L. 221-6, L. 221-7, de l’article L. 121-19 devenu l’article L. 221-11 du code de la consommation et abusive au sens de l’article R. 132-2 3°) devenu l’article R. 212-1 3°) du code de la consommation.

b) Sur la présomption de responsabilité de l’utilisateur :

Le Tribunal ayant eu l’occasion de répondre à cette argumentation dans le cadre de l’examen de la clause n° 1 des « Règles de X », il conviendra de déclarer pour des motifs identiques à ceux précédemment exposés la clause n° 2 illicite au regard de l’article 6.I.2 de la L.C.E.N. et abusive au sens de l’article R. 132-1 6°) devenu l’article R. 212-1 6°) du code de la consommation.

Page 214

Décision du 07 août 2018 1/4 social N° RG 14/07300

c) Sur les restrictions de contenus mis en ligne :

La présente clause doit être analysée en combinaison avec les clauses n° 8.1 et 8.2 des Conditions d’utilisation précédemment examinées par le Tribunal et réputées non écrites. En vertu des clauses précitées, la société X s’attribue un pouvoir discrétionnaire pour accepter ou supprimer à tout moment un contenu généré par l’utilisateur, sans que sa responsabilité puisse être engagée par l’utilisateur, la société se réservant ainsi le droit de déterminer si le contenu est conforme aux stipulations du contrat, et par conséquent le droit de modifier unilatéralement les clauses relatives aux caractéristiques du service à rendre, alors qu’elle s’est engagée vis-à-vis de l’utilisateur à fournir a minima une prestation de stockage et de mise à disposition des contenus. En complément de ces clauses, la clause n° 2 établit une liste de « comportements » de l’utilisateur qui autoriserait la société X à procéder à la suppression de Contenus sans préavis ni justification. En conséquence, en attribuant à la société X la faculté de supprimer à tout moment les Contenus de l’utilisateur sur les Services, sans engager sa responsabilité à son égard, la clause établit au profit de X une exonération totale de sa responsabilité au regard de la fourniture des services. Ces clauses sont donc irréfragablement abusives au sens de l’article R. 132-2/4°) et 6°) devenu l’article R. 212-1/4°) et 6°) du code de la consommation

Par conséquent, la clause n° 2 des Règles de X, illicite au regard des dispositions des articles 6.I.2 de la L.C.E.N., des articles L. 111-1, L. 111-2, devenus les articles L.111-1 et L.111-2, de l’article R. 111-2 I et III, devenu l’article R. 111-2 7°) du code de la consommation, des articles L. 121-17, L. 121-9-2 et R. 111-2, devenus les articles L. 221-5, L. 221-6, L. 221-7, de l’article L. 121-19 devenu l’article L. 221-11 du code de la consommation et abusive au sens de l’article R. 132-1, 4°) et 6°) devenu l’article R. 212-1 4°) et 6°) du code de la consommation, R. 132-2 6°) devenu l’article R. 212-1 6°) du code de la consommation.

3. Clause n° 3 des Règles de X (août 2016) :

Clause 3 des Règles X dans sa version en ligne en août 2016 « Comportement inapproprié Nous croyons en la liberté d’expression et de dire la vérité face au pouvoir, mais cette philosophie n’a que peu de sens si les voix des gens sont réduites au silence parce qu’ils ont peur de se faire entendre. Afin de garantir que les utilisateurs se sentent en sécurité pour exprimer leurs opinions et croyances, nous ne tolérons pas les comportements inappropriés, notamment le harcèlement, les intimidations ou le recours à la peur pour réduire la voix d’un autre utilisateur au silence. Tout compte impliqué dans les activités mentionnées ci-dessous, ainsi que tout compte associé, pourra être temporairement bloqué ou risque

Page 215

Décision du 07 août 2018 1/4 social N° RG 14/07300

d’encourir une suspension définitive. Menaces violentes (directes ou indirectes) : vous ne devez pas proférer de menaces ni inciter quiconque à la violence. Cette interdiction couvre entre autres les menaces terroristes et l’apologie du terrorisme. Harcèlement : vous ne devez pas vous livrer à un comportement inapproprié ciblé, ni au harcèlement d’autres personnes, ni inciter à le faire. Voici certains des facteurs que nous prenons en compte pour évaluer les comportements inappropriés : Le but principal du compte signalé est de harceler d’autres personnes ou de leur envoyer des messages inappropriés. Le comportement signalé est unilatéral ou inclut des menaces. Le compte signalé incite d’autres utilisateurs à harceler un tiers. Le compte mis en cause envoie des messages visant à harceler un utilisateur à partir de plusieurs comptes. Conduite haineuse : vous ne devez pas directement attaquer ni menacer d’autres personnes, ni inciter à la violence envers elles sur la base des critères suivants : race, origine ethnique, nationalité, orientation sexuelle, sexe, identité sexuelle, appartenance religieuse, âge, handicap ou maladie. Par ailleurs, nous n’autorisons pas les comptes dont le but principal est d’inciter à faire du mal aux autres sur la base de ces catégories. Utilisation de plusieurs comptes à des fins inappropriées : il est interdit de créer plusieurs comptes pour un usage redondant ou afin de contourner la suspension temporaire ou définitive d’un autre compte. Informations privées : vous ne pouvez pas diffuser ni publier d’informations privées et confidentielles d’autres personnes, telles que leur numéro de carte de crédit, leur adresse postale ou leur numéro de sécurité sociale ou de carte d’identité nationale, sans leur consentement et autorisation exprès. De plus, vous ne devez pas publier de photos ou vidéos intimes prises ou diffusées sans le consentement du sujet. Pour plus d’informations sur notre politique relative aux informations privées, consultez cet article. Usurpation d’identité : vous ne devez pas vous faire passer pour d’autres personnes sur X d’une manière qui entraîne une méprise, une confusion ou une duperie d’autres personnes, ou qui a pour but de l’entraîner. Pour plus d’informations sur notre politique relative à l’usurpation d’identité, consultez cet article. Conduite autodestructrice : vous pouvez rencontrer sur X des personnes envisageant de se suicider ou de s’automutiler. Lorsque nous recevons des signalements nous informant qu’une personne court le risque de se suicider ou de s’automutiler, nous pouvons prendre différentes mesures afin de lui porter assistance, par exemple la contacter pour lui faire part de notre inquiétude et de celle d’autres utilisateurs de X, ou lui fournir des ressources appropriées, telles que les coordonnées de nos organismes partenaires de soutien psychologique. » L’association UFC QUE CHOISR reproche à la clause n° 3 des « Règles de X », dans sa version de 2016, de conférer à la société X le droit exclusif d’interpréter une quelconque clause du contrat. Elle serait donc abusive au sens de l’article R.132-1 4°) du Code de la consommation et également illicite au regard des articles L.111-1, L.111-2 et L.121-17,

Page 216

Décision du 07 août 2018 1/4 social N° RG 14/07300

L.121-19-2, R.111-2 du code de la consommation et de l’article L.133-2 du Code de la consommation qui impose au professionnel la rédaction de clauses claires et compréhensibles pour le consommateur et abusive au regard des dispositions de l’article R.132-1/4°) et 6° du code de la consommation du fait du caractère imprécis du critère d’évaluation des comportements visés.

Cette clause établirait une présomption de responsabilité de l’utilisateur en cas d’activité exercée sur son compte X, notamment en cas de comportements qualifiés d’inappropriés, de menaces violences, de harcèlement, de conduite haineuse, de violation de la vie privée d’autrui et d’usurpation d’identité ou encore de conduite autodestructrice. Or, une activité, notamment frauduleuse, exercée sur le réseau de X ne saurait, de manière générale, résulter du seul fait de l’utilisateur. La clause est donc illicite en ce qu’elle peut équivaloir à faire échec à la responsabilité propre de l’opérateur prévue par l’article L.121-19-4 du code de la consommation et abusive au sens de l’article R.132-1 5°) du code de la consommation, car elle peut avoir aussi pour effet de contraindre le consommateur à exécuter ses obligations alors que, réciproquement, X ne serait pas tenue de respecter ses obligations de fourniture de services.

La société X répond que la clause n° 3 stipulée dans l’intérêt de l’utilisateur a le même objectif que la clause n° 2 : empêcher les comportements malveillants sur X. La suspension définitive du compte concerné est une sanction sévère, mais d’une part elle n’est que l’application du droit commun à savoir la possibilité en toutes circonstances de résilier un contrat pour faute à ses risques et périls et d’autre part elle sanctionne des comportements particulièrement malveillants.

a) Sur le droit de blocage temporaire et de « suspension définitive » du compte de l’utilisateur :

La clause doit également être examinée à la lumière des clauses n° 8.1 et 8.2 des Conditions d’utilisation, qui prévoit la possibilité pour la société X de « suspendre ou de résilier des comptes utilisateurs », sanction qui correspond à la situation de blocage temporaire et à la suspension définitive évoquée par la clause n°3 des « Règles de X ». Or, sans remettre en cause la légitimité des motifs disciplinaires invoqués, la société X s’attribue un pouvoir discrétionnaire pour supprimer ou résilier à tout moment sans préavis ni justification les comptes que les utilisateurs utiliseraient à mauvais escient. En l’état de ce libellé, la clause est donc abusive au regard de l’article des dispositions de l’article R.132-1/4°) et 6° du code de la consommation.

Page 217

Décision du 07 août 2018 1/4 social N° RG 14/07300

b) Sur la présomption de responsabilité de l’utilisateur :

Le Tribunal ayant eu l’occasion de répondre à cette argumentation dans le cadre de l’examen des clause n° 1 et 2 des « Règles de X », il conviendra de déclarer la clause n° 3 abusive pour des motifs identiques à ceux précédemment exposés.

Par conséquent, la clause n° 3 des « Règles de X », illicite au regard des articles L. 111-1, L. 111-2, devenus les articles L.111-1 et L.111-2, de l’article R. 111-2 I et III, devenu l’article R. 111-2 7°) du code de la consommation, des articles L. 121-17, L. 121-9-2 et R. 111-2, devenus les articles L. 221-5, L. 221-6, L. 221-7, de l’article L. 121-19 devenu l’article L. 221-11 du code de la consommation et abusive au sens de l’article R. 132-1, 4°) et 6°) devenu l’article R. 212-1 4°) et 6°) du code de la consommation, R. 132-2 6°) devenu l’article R. 212-1 6°) du code de la consommation.

4. Clause n°3 du Règlement de X (février 2014) :

Clause n°3 du Règlement de X non daté mais en vigueur en février 2014 :

« Abus et spam X s’efforce de protéger ses utilisateurs contre les abus et le spam. L’abus d’utilisateurs et l’abus technique ne sont pas acceptés sur X.com et risquent d’entraîner une suspension de compte définitive. Tout compte impliqué dans les activités mentionnées ci-dessous risque d’encourir une suspension définitive.

Comptes en série : vous ne pouvez pas créer des comptes multiples à des fins destructrices, abusives ou communes. La création massive de comptes peut entraîner la suspension de l’activité de tous les comptes concernés. Notez que toute violation du Règlement de X peut entraîner une suspension définitive de l’activité de tous les comptes concernés.

Abus ciblés (https://support.X.com/groups/56-policies- violations/topics/236-X-ruleshttps://support.X.com/groups/56- policies-violations/topics/236-X-rules-policies/articles/20169997- abusive-behavior-policypolicies/articles/20169997-abusive-behavior- policy): vous ne pouvez pas vous impliquer dans des abus ciblés ou du harcèlement. Voici certains des facteurs que nous prenons en considération pour déterminer qu’une conduite est potentiellement un abus ciblé ou du harcèlement : ou si vous envoyez des messages à un utilisateur à partir de comptes multiples ; ou si le seul but de votre compte est d’envoyer des messages abusifs à d’autres personnes ; ou si le comportement signalé est unilatéral ou inclut des menaces

Page 218

Décision du 07 août 2018 1/4 social N° RG 14/07300

• Monopolisation de noms d’utilisateur (https://support.X.com/groups/56-policies- violations/topics/236https://support.X.com/groups/56-policies- violations/topics/236-X-rules-policies/articles/18370-username- squatting-policytwitter-rules-policies/articles/18370-username- squatting-policy): vous ne pouvez pas vous impliquer dans une monopolisation de noms d’utilisateur. Les comptes inactifs pendant plus de six mois peuvent également être supprimés sans préavis. Voici certains des facteurs que nous prenons en considération pour déterminer qu’une conduite est potentiellement une monopolisation de noms d’utilisateur : " le nombre de comptes créés ; " la création de comptes ayant pour but d’empêcher d’autres personnes d’utiliser ces noms de comptes ; " la création de comptes dans le but de les vendre ; " l’utilisation de flux de contenu de tiers pour mettre à jour et conserver des comptes en utilisant le nom de ces tiers. • Spam d’invitations : vous ne pouvez pas utiliser l’importation de contacts du carnet d’adresses de X.com pour envoyer un grand nombre d’invitations de manière répétée. • Vente de noms d’utilisateur : vous ne pouvez pas acheter ou vendre des noms d’utilisateur X. • Programmes malveillants/hameçonnage : vous ne pouvez pas publier ou associer du contenu malveillant ayant pour but d’endommager ou d’interrompre le fonctionnement du navigateur ou de l’ordinateur d’un autre utilisateur, ou encore de compromettre la vie privée d’un autre utilisateur. • Spam : vous ne pouvez pas utiliser le service X dans le but de spammer quelqu’un. Ce qui est considéré comme « spam » évoluera constamment car nous réagissons face aux techniques et tactiques des spammers. Voici certains des facteurs que nous prenons en considération pour déterminer qu’une conduite est potentiellement du spam : – si vous vous êtes abonné à et/ou désabonné à de nombreux utilisateurs sur une courte période, particulièrement si vous l’avez fait par des moyens automatisés (abonnements insistants ou excessifs) ; – si vous vous êtes abonné, puis désabonné de comptes de manière répétée, pour accumuler plus d’abonnés ou pour attirer davantage l’attention sur votre profil ; – si vos mises à jour consistent principalement en des liens, et non en des mises à jour personnelles ; – si un grand nombre de personnes vous bloque ; – si le nombre de plaintes pour spam remplies à votre encontre est très élevé ; – si vous publiez du contenu en double sur plusieurs comptes ou plusieurs mises à jour en double sur un même compte ; – si vous publiez plusieurs mises à jour n’ayant aucun rapport avec

Page 219

Décision du 07 août 2018 1/4 social N° RG 14/07300

un sujet utilisant le symbole #, un sujet tendance ou populaire ou une tendance sponsorisée ; – si vous envoyez un grand nombre de @réponses ou de mentions en double ; – si vous envoyez un grand nombre de @réponses ou de mentions non sollicitées dans une tentative insistante d’attirer l’attention sur un compte, un service ou lien – si vous ajoutez un grand nombre d’utilisateurs n’ayant aucun rapport à une liste dans une tentative d’attirer l’attention sur un compte, un service ou un lien ; – si vous créez de manière répétée du contenu faux ou trompeur dans une tentative d’attirer l’attention sur un compte, un service ou un lien ; – si vous ajoutez Tweets à vos favoris au hasard ou de manière insistante automatiquement dans une tentative d’attirer l’attention sur un compte, un service ou un lien ; – si vous Retweetez des comptes au hasard ou de manière insistante automatiquement dans une tentative d’attirer l’attention sur un compte, un service ou un lien ; – si vous publiez des informations de compte d’autres utilisateurs comme étant les vôtres de manière répétée – (biographie, Tweets, url, etc.) ; o si vous publiez des liens trompeurs (par exemple, des liens d’affiliation, des liens vers des programmes malveillants/des pages de détournement de clic, etc.) ; – si vous créez plusieurs comptes trompeurs afin d’obtenir plus d’abonnés ; – si vous vendez des abonnés ; ou si vous achetez des abonnés ; – si vous utilisez ou faites de la publicité pour des sites web prétendant pouvoir vous permettre d’obtenir plus d’abonnés (notamment des sites de chaînes d’abonnés, des sites ayant pour publicité « obtenez rapidement d’autres abonnés », ou tout autre site vous proposant d’ajouter automatiquement des abonnés à votre compte). • Pornographie : vous ne pouvez pas utiliser d’images obscènes ou pornographiques, que ce soit en tant que photo de profil, en tant que photo d’en-tête ou en tant qu’image de fond.

Clause n°3 des Règles de X non datées mais en vigueur en février 2015 : « Abus et spam X s’efforce de protéger ses utilisateurs contre les abus et le spam. L’abus d’utilisateurs et l’abus technique ne sont pas acceptés sur X.com et risquent d’entraîner une suspension de compte définitive. Tout compte impliqué dans les activités mentionnées ci-dessous risque d’encourir une suspension définitive. • Comptes en série : vous ne pouvez pas créer des comptes multiples à des fins destructrices, abusives ou communes. La création massive de comptes peut entraîner la suspension de l’activité de tous les comptes

Page 220

Décision du 07 août 2018 1/4 social N° RG 14/07300

concernés. Notez que toute violation des Règles de X peut entraîner une suspension définitive de l’activité de tous les comptes concernés. • Abus ciblés (https://support.X.com/articles/20169997 ): vous ne pouvez pas vous impliquer dans des abus ciblés ou du harcèlement. Voici certains des facteurs que nous prenons en considération pour déterminer qu’une conduite est potentiellement un abus ciblé ou du harcèlement : " si vous envoyez des messages à un utilisateur à partir de comptes multiples ; ou si le seul but de votre compte est d’envoyer des messages abusifs à d’autres personnes ; ou si le comportement signalé est unilatéral ou inclut des menaces.

Monopolisation de noms d’utilisateur (https://support.X.com/articles/18370): vous ne pouvez pas vous impliquer dans une monopolisation de noms d’utilisateur. Les comptes inactifs pendant plus de six mois peuvent également être supprimés sans préavis. Voici certains des facteurs que nous prenons en considération pour déterminer qu’une conduite est potentiellement une monopolisation de noms d’utilisateur :ou le nombre de comptes créés " la création de comptes ayant pour but d’empêcher d’autres personnes d’utiliser ces noms de comptes ; ou la création de comptes dans le but de les vendre ; " l’utilisation de flux de contenu de tiers pour mettre à jour et conserver des comptes en utilisant le nom de ces tiers. • Spam d’invitations : vous ne pouvez pas utiliser l’importation de contacts du carnet d’adresses de X.com pour envoyer un grand nombre d’invitations de manière répétée. • Vente de noms d’utilisateur : vous ne pouvez pas acheter ou vendre des noms d’utilisateur X. • Programmes malveillants/hameçonnage : vous ne pouvez pas publier ou associer du contenu malveillant ayant pour but d’endommager ou d’interrompre le fonctionnement du navigateur ou de l’ordinateur d’un autre utilisateur, ou encore de compromettre la vie privée d’un autre utilisateur • Spam : vous ne pouvez pas utiliser le service X dans le but de spammer quelqu’un. Ce qui est considéré comme « spam » évolue constamment car nous réagissons face aux techniques et tactiques des spammers. Voici certains des facteurs que nous prenons en considération pour déterminer qu’une conduite est potentiellement du spam : " si vous vous êtes abonné à et/ou désabonné de nombreux utilisateurs sur une courte période, particulièrement si vous l’avez fait par des moyens automatisés (abonnements insistants ou excessifs) ; " si vous vous êtes abonné, puis désabonné de comptes de manière répétée, pour accumuler plus d’abonnés ou pour attirer davantage l’attention sur votre profil ; " si vos mises à jour consistent principalement en des liens, et non en des mises à jour personnelles ; ou si un grand nombre de personnes vous bloque ; " si le nombre de plaintes pour spam remplies à votre encontre est très élevé ;

Page 221

Décision du 07 août 2018 1/4 social N° RG 14/07300

«  si vous publiez du contenu en double sur plusieurs comptes ou plusieurs mises à jour en double sur un même compte ; " si vous publiez plusieurs mises à jour n’ayant aucun rapport avec un sujet utilisant le symbole #, un sujet tendance ou populaire ou une tendance sponsorisée ; " si vous envoyez un grand nombre de @réponses ou de mentions en double ; " si vous envoyez un grand nombre de @réponses ou de mentions non sollicitées ; " si vous ajoutez un grand nombre d’utilisateurs n’ayant aucun rapport à une liste ; " si vous créez de manière répétée du contenu faux ou trompeur ; " si vous suivez des comptes, mettez en favoris ou Retweetez des Tweets de façon aléatoire ou agressive ; " si vous publiez des informations de compte d’autres utilisateurs comme étant les vôtres de manière répétée (biographie, Tweets, url, etc.) ; " si vous publiez des liens trompeurs (par exemple, des liens d’affiliation, des liens vers des programmes malveillants/des pages de détournement de clic, etc.) ; " si vous créez des interactions de compte ou des comptes trompeurs ; " si vous achetez ou vendez des interactions de compte (par exemple, achat ou vente d’abonnés, de Retweets, d’ajout aux favoris, etc.) ;

« si vous utilisez ou faites la promotion de services ou d’applications prétendant pouvoir vous permettre d’obtenir plus d’abonnés (notamment des sites de chaînes d’abonnés, des sites ayant » pour publicité « obtenez rapidement d’autres abonnés », ou tout autre site vous proposant d’ajouter automatiquement des abonnés à votre compte). • Pornographie : vous ne pouvez pas utiliser d’images obscènes ou pornographiques, que ce soit en tant que photo de profil, en tant que photo d’en-tête ou en tant qu’image de fond.

Clause n°3 des Règles de X non datées mais en vigueur en mai 2015 :

Comportements inappropriés et spam

X s’efforce de protéger ses utilisateurs contre les comportements inappropriés et le spam. Les comportements inappropriés visant des utilisateurs et les abus techniques ne sont pas tolérés sur X.com et peuvent entraîner la suspension définitive du compte concerné. Tout compte impliqué dans les activités mentionnées ci-dessous peut faire l’objet d’une suspension définitive.

Page 222

Décision du 07 août 2018 1/4 social N° RG 14/07300

• Comptes en série : vous ne pouvez pas créer de comptes multiples à des fins de perturbation ou d’abus, ni pour un usage redondant. La création massive de comptes peut entraîner la suspension de tous les comptes concernés. Notez que toute violation des Règles de X peut entraîner la suspension définitive de tous les comptes concernés. • Abus ciblés (/articles/20169997) : vous ne devez pas vous livrer à des abus ciblés ni à du harcèlement. Voici certains des facteurs que nous prenons en considération pour déterminer si une conduite relève d’un abus ciblé ou de harcèlement : • si vous envoyez des messages à un utilisateur à partir de comptes multiples ; • si le seul but de votre compte est d’envoyer des messages inappropriés à d’autres personnes ; • si le comportement signalé est unilatéral ou inclut des menaces

Clause n°3 des Règles de X non datées mais en vigueur en mai 2015 :

Comportements inappropriés et spam

X s’efforce de protéger ses utilisateurs contre les comportements inappropriés et le spam. Les comportements inappropriés visant des utilisateurs et les abus techniques ne sont pas tolérés sur X.com et peuvent entraîner la suspension définitive du compte concerné. Tout compte impliqué dans les activités mentionnées ci-dessous peut faire l’objet d’une suspension définitive.

Comptes en série : vous ne pouvez pas créer de comptes multiples à des fins de perturbation ou d’abus, ni pour un usage redondant. La création • massive de comptes peut entraîner la suspension de tous les comptes concernés. Notez que toute violation des Règles de X peut entraîner la suspension définitive de tous les comptes concernés. • Abus ciblés (/articles/20169997) : vous ne devez pas vous livrer à des abus ciblés ni à du harcèlement. Voici certains des facteurs que nous prenons en considération pour déterminer si une conduite relève d’un abus ciblé ou de harcèlement : • si vous envoyez des messages à un utilisateur à partir de comptes multiples ; • si le seul but de votre compte est d’envoyer des messages inappropriés à d’autres personnes ; • si le comportement signalé est unilatéral ou inclut des menaces.

Monopolisation de noms d’utilisateur (/articles/18370) : vous ne devez pas monopoliser de noms d’utilisateurs. Les comptes restés inactifs pendant plus de six mois peuvent être supprimés sans préavis. Voici certains des facteurs que nous prenons en considération pour déterminer si une conduite relève

Page 223

Décision du 07 août 2018 1/4 social N° RG 14/07300

d’une monopolisation de noms d’utilisateurs – le nombre de compte créés ; – la création de comptes ayant pour but d’empêcher d’autres personnes d’utiliser les noms des comptes concernés ; l – a création de comptes dans le but de les vendre ; – l’utilisation de flux de contenu tiers pour mettre à jour et conserver des comptes utilisant le nom de ces tiers • Spam d’invitations : vous ne devez pas utiliser l’importation des contacts du carnet d’adresse de X.com pour envoyer des invitations en masse de manière répétée • Vente de noms d’utilisateur : vous ne devez ni acheter ni vendre de noms d’utilisateur X • Programmes malveillants/hameçonnage : vous ne devez pas publier ni utiliser de liens vers du contenu malveillant ayant pour but de nuire au fonctionnement du navigateur ou de l’ordinateur d’un utilisateur, ou de perturber celui-ci, ou encore de compromettre la vie privée d’un utilisateur • Spam : vous ne devez pas utiliser le service X dans le but de spammer quelqu’un. Notre définition du spam évolue constamment car nous sommes réactifs face aux nouvelles techniques et tactiques employées par les spammeurs. Voici certains des facteurs que nous prenons en considération pour déterminer si une conduite relève du spam : si vous vous êtes abonné à et/ou désabonné de nombreux comptes sur une courte période, particulièrement si vous avez procédé par des moyens automatisés (abonnements et désabonnements agressifs) ; • si vous vous êtes abonné, puis désabonné à des comptes de manière répétée afin de cumuler les abonnés ou d’attirer l’attention sur votre profil; • si vos mises à jour consistent principalement en des liens et non en des messages personnels • si un grand nombre de personnes vous bloquent ; • si un nombre élevé de plaintes pour spam a été reçu à votre encontre ; • si vous publiez du contenu redondant sur plusieurs comptes, ou plusieurs mises à jour redondantes sur un même compte ; • si vous utilisez le symbole #, un sujet tendance/populaire ou une tendance sponsorisée pour publier des mises à jour sans aucun rapport avec le sujet concerné ; • si vous envoyez un grand nombre de @réponses ou de mentions redondantes ; • si vous envoyez un grand nombre de @réponses ou de mentions non sollicitées ; • si vous ajoutez à des listes un grand nombre d’utilisateurs sans rapport entre eux ; • si vous créez de manière répétée du contenu mensonger ou trompeur ;

Page 224

Décision du 07 août 2018 1/4 social N° RG 14/07300

• si vous suivez des comptes, retweetez des Tweets ou les ajoutez à vos favoris de façon aléatoire ou agressive ; • si vous publiez les informations de compte d’autres utilisateurs comme étant les vôtres de manière répétée (biographie, Tweets, URL, etc.) ; • si vous publiez des liens trompeurs (par ex. des liens d’affiliation, des liens vers des programmes malveillants ou des pages de détournement de clic, etc.) ; • si vous créez des interactions de compte ou des comptes mensongers ; • si vous achetez ou vendez des interactions de compte (par ex. achat ou ventre d’abonnés, de Retweets, de favoris, etc.) ; • si vous utilisez des applications ou services tiers prétendant permettre l’acquisition d’abonnés (notamment des sites de chaînes d’abonnés, des sites promettant « plus d’abonnés rapidement », ou tout autre site proposant d’ajouter automatiquement des abonnés à un compte), ou si vous en faites la promotion. Contenu explicite : vous ne devez pas utiliser d’images pornographiques ou excessivement violentes dans votre photo de profil, photo de bannière ou image d’arrière-plan.

Clause n°3 des Règles de X non datées mais en vigueur en août 2016 :

« Spam

Nous nous efforçons de protéger les utilisateurs de X contre les abus techniques et le spam. Tout compte impliqué dans les activités mentionnées ci-dessous pourra être temporairement bloqué ou risque d’encourir une suspension définitive. • Monopolisation de noms d’utilisateur : vous ne devez pas vous livrer à la monopolisation de noms d’utilisateur. Les comptes inactifs pendant plus de six mois peuvent d’ailleurs être supprimés sans préavis. Voici certains des facteurs que nous prenons en considération pour déterminer qu’une conduite relève de la monopolisation de noms d’utilisateur : « le nombre de comptes créés » la création de comptes ayant pour but d’empêcher d’autres personnes d’utiliser ces noms de comptes ou la création de comptes dans le but de les vendre " l’utilisation de flux de contenu de tiers pour mettre à jour et conserver des comptes en utilisant le nom de ces tiers • Spam d’invitations : vous ne devez pas utiliser l’importation de contacts du carnet d’adresses de X.com pour envoyer un grand nombre d’invitations de manière répétée.

Page 225

Décision du 07 août 2018 1/4 social N° RG 14/07300

•Vente de noms d’utilisateur : vous ne devez pas acheter ni vendre de noms d’utilisateur X. • Programmes malveillants et hameçonnage : vous ne pouvez pas publier ni fournir un lien vers du contenu malveillant ayant pour but d’endommager le navigateur ou l’ordinateur d’une autre personne, ou d’interrompre le fonctionnement de ceux-ci, ou encore de compromettre la vie privée de l’utilisateur. • Spam : vous ne devez pas utiliser le service X dans le but de spammer quelqu’un. Ce qui est considéré comme spam évoluera constamment, car nous réagissons face aux nouvelles techniques et tactiques des spammeurs. Voici certains des facteurs que nous prenons en considération pour déterminer qu’une conduite relève du spam : « Vous vous êtes abonné à et/ou désabonné de nombreux comptes sur une courte période, particulièrement si vous l’avez fait par des moyens automatisés (abonnements et désabonnements agressifs). » Vous vous abonnez à des comptes, puis vous désabonnez de manière répétée, dans le but de cumuler plus d’abonnés ou d’attirer davantage l’attention sur votre profil. « Vos mises à jour consistent principalement en des liens, et non en des messages personnels. ou Un grand nombre de personnes vous bloque. ou Le nombre de plaintes pour spam remplies à votre encontre est très élevé. » Vous publiez du contenu en double sur plusieurs comptes ou plusieurs mises à jour en double sur un même compte. « Vous publiez plusieurs mises à jour sur un hashtag, n’ayant en fait aucun rapport avec le sujet en question, une tendance ou une tendance sponsorisée. » Vous envoyez un grand nombre de réponses ou de mentions en double. « Vous envoyez un grand nombre de réponses ou de mentions non sollicitées. o Vous ajoutez dans des listes un grand nombre d’utilisateurs n’ayant aucun rapport avec celles-ci. »Vous créez de manière répétée du contenu faux ou trompeur. Vous suivez des comptes, ou vous aimez ou retweetez des Tweets de façon aléatoire ou agressive. « Vous publiez des informations de compte d’autres personnes comme étant les vôtres (biographie, Tweets, URL, etc.) et cela de manière répétée. » Vous publiez des liens trompeurs (par exemple des liens d’affiliation, des liens vers des programmes malveillants ou des pages de détournement de clic, etc.). « Vous créez des comptes trompeurs ou des interactions de compte trompeuses. » Vous vendez ou achetez des interactions de compte (par exemple, vente ou achat d’abonnés, de Retweets, de J’aime, etc.). "Vous utilisez des applications ou services tiers prétendant pouvoir permettre l’obtention de plus d’abonnés (notamment des sites de chaînes

Page 226

Décision du 07 août 2018 1/4 social N° RG 14/07300

d’abonnés, des sites promettant d’avoir plus d’abonnés rapidement, ou tout autre site proposant d’ajouter automatiquement des abonnés à votre compte), ou vous en faites la promotion. Veuillez consulter nos articles d’assistance Règles et bonnes pratiques d’abonnement et Règles et bonnes pratiques d’automatisation pour plus d’informations sur l’application des Règles à ces comportements spécifiques. Les comptes créés pour remplacer des comptes dont l’activité a été suspendue seront définitivement suspendus. Les comptes sur lesquels une enquête est en cours pourront être supprimés de la recherche X afin d’en préserver la qualité. X se réserve le droit de résilier immédiatement votre compte, sans préavis, s’il est déterminé que vous enfreignez ces Règles ou les Conditions d’utilisation."

L’association UFC-QUE CHOISIR reproche aux clauses précitées de limiter la responsabilité de la société X en sa qualité de responsable de traitement, en disposant que X fait tout ce qui lui est possible pour assurer la sécurité des données et en exigeant des utilisateurs qu’ils s’abstiennent de leur côté de tout abus et spam non limitativement définis par X. La société X réplique que l’ancienne clause n° 3 n’a pas pour objet de limiter la responsabilité de X mais d’indiquer aux utilisateurs qu’ils ne peuvent impunément nuire aux autres utilisateurs en adoptant des comportements inappropriés. Elle ajoute que la clause prend soin d’expliquer que la définition de ce qui est un « spam » évoluera constamment, prenant ainsi en compte les évolutions liées aux nouvelles technologies. Elle considère que de telles modifications liées à l’évolution technique sont parfaitement licites et précise qu’il ne s’agit pas de modifications contractuelles mais d’exemples donnés à titre indicatif des comportements que X considérera comme étant des fautes d’une nature si grave qu’elles pourront entraîner la suspension du compte, rien n’interdisant à l’utilisateur qui aura vu son compte suspendu définitivement, en raison par exemple d’un harcèlement sur d’autres utilisateurs, de rechercher la responsabilité de X devant les Tribunaux.

a) Sur la limitation de responsabilité de X en matière de sécurité des données :

Aux termes de l’article 34 de la Loi Informatique et Libertés relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès, le responsable du traitement devant garantir un niveau de sécurité adapté au risque du traitement. En l’espèce la clause n° 3 des versions de 2014, 2015 et 2016 indique que X « s’efforce de protéger » les utilisateurs contre les abus (2014), les spams (toutes versions), les comportements inappropriés (mai 2015) et « les abus techniques » (2016). La clause apparaît illicite au regard de l’article 34 de la Loi Informatique et

Page 227

Décision du 07 août 2018 1/4 social N° RG 14/07300

Libertés et est irréfragablement présumée abusive au regard de l’article R. 132-1/6°) devenu l’article R. 212-1/6°) du code de la consommation, ayant pour effet d’exonérer le professionnel de son éventuelle responsabilité.

b) Sur le droit d’interprétation :

En l’espèce la clause en employant des termes (« abus technique ») ou expressions imprécis ("Voici certains des facteurs que nous prenons en considération pour déterminer qu’une conduite est potentiellement un abus ciblé ou du harcèlement (…)« ou encore »Voici certains des facteurs que nous prenons en considération pour déterminer qu’une conduite est potentiellement une monopolisation de noms d’utilisateurs" (…) ou ("Voici certains des facteurs que nous prenons en considération pour déterminer qu’une conduite est potentiellement pour déterminer qu’une conduite est potentiellement du spam, (…) "), la clause est abusive au sens de l’article R. 132-1 4°) du code de la consommation devenu l’article R. 212-1 4°) du code de la consommation en ce qu’elle confère au professionnel, le droit exclusif d’interpréter une quelconque clause du contrat. En conséquence, la clause n° 3 dans les versions de février 2014, février 2015, mai 2015, mai 2015 et août 2016 sera déclarée réputée non écrite.

5. Ancienne clause n° 4 des Règles de X :

Clause n°4 du Règlement de X non daté mais en vigueur en février 2014 : L’activité de votre compte peut être suspendue pour violation de nos Conditions si l’une des conditions mentionnées ci-dessus s’avère vraie. Veuillez consulter nos pages d’aide Règles et bonnes pratiques de l’abonné (https://support.X.com/groups/56-policies-violations/topics/237- guidelines/articles/68916-followinghttps://support.X.com/groups/56- policies-violations/topics/237-guidelines/articles/68916-following-rules- and-best-practicesrules-and-best-practices) et Règles et bonnes pratiques r é g i s s a n t l ' a u t o m a t i s a t i o n (https://support.X.com/groups/56https://support.X.com/groups/56- policies- violations/topics/237-guidelines/articles/76915-automation-rules- and-best-practicespolicies-violations/topics/237-guidelines/articles/76915- automation-rules-and-best-practices) pour obtenir une présentation plus détaillée de l’application du Règlement à ces comportements de compte particuliers. L’activité des comptes créés pour remplacer des comptes dont l’activité a été suspendue sera définitivement suspendue »

Clause n°4 des Règles de X non datées mais en vigueur en février 2015 : « L’activité de votre compte peut être suspendue pour violation de nos Conditions si l’une des conditions mentionnées ci-dessus est avérée. Veuillez consulter nos pages d’aide Règles et bonnes pratiques de l’abonné

Page 228

Décision du 07 août 2018 1/4 social N° RG 14/07300

(https://support.X.com/articles/68916) et Règles et bonnes pratiques régissant l’automatisation (https://support.X.com/articles/76915) pour obtenir une présentation plus détaillée de l’application des Règles à ces comportements de compte particuliers. L’activité des comptes créés pour remplacer des comptes dont l’activité a été suspendue sera définitivement suspendue

Clause n°4 des Règles de X non datées mais en vigueur en mai 2015 : Si vous vous adonnez à l’un des comportements mentionnés ci-dessus, votre compte peut être suspendu pour violation de nos Conditions. Veuillez consulter nos pages d’aides relatives aux Règles et bonnes pratiques d’abonnement (/articles/68916) et aux Règles et bonnes pratiques d’automatisation (/articles/76915) pour plus d’informations sur l’application de ces règles à ces comportements spécifiques. Les comptes créés pour remplacer des comptes dont l’activité a été suspendue seront définitivement suspendus

L’association UFC QUE-CHOISIR reproche à la clause n° 4 des « Règles de X » (supprimée dans la dernière version du contrat) d’attribuer à la société X le droit de supprimer le compte de l’utilisateur en cas de violation « avérée » des « Conditions ». En l’espèce la clause critiquée doit être rapprochée des clauses n° 8.1 et 8.2 des Conditions d’utilisation, des clauses n° 1 et n° 3°) prévoyant un pouvoir discrétionnaire de la société X de supprimer ou résilier les comptes de l’utilisateur, supposé avoir transgressé les « Règles de X », sans préavis ni justification. De sorte que la clause critiquée sera pour les mêmes motifs réputée non écrite car abusive en ce qu’elle crée ainsi au profit du professionnel et au détriment du consommateur ou du non professionnel un déséquilibre significatif au sens de l’article L. 132-1 devenu l’article L. 221-1 du code de la consommation et au regard de l’article R. 132-1 4°) devenu l’article R. 212-1 4°) du code de la consommation, en ce qu’elle a pour objet ou pour effet d’accorder au seul professionnel, le droit de déterminer si la chose livrée ou les services fournis sont conformes ou non aux stipulations du contrat. En conséquence, la clause n° 4 des « Règles de X » est abusive au regard des L. 132-1 devenu l’article L. 221-1 du code de la consommation et de l’article R. 132-1 4°) devenu l’article R. 212-1 4°) du code de la consommation.

6. Ancienne clause n° 5 des Règles de X :

Clause n° 5 des Règles de X non datées mais en vigueur en février 2014 « Une enquête pour abus peut être menée pour tout compte dont le comportement est similaire aux comportements suivants. Les comptes pour lesquelles une enquête est menée seront supprimés de la

Page 229

Décision du 07 août 2018 1/4 social N° RG 14/07300

Recherche X pour en préserver la qualité. X se réserve le droit de résilier immédiatement votre compte, sans préavis, s’il est déterminé que vous enfreignez son Règlement ou ses Conditions (https://X.com/tos) ».

Clause n° 5 des Règles de X non datées mais en vigueur en février 2015 : « Une enquête pour abus peut être menée pour tout compte dont le comportement est similaire aux comportements suivants. Les comptes pour lesquelles une enquête est menée seront supprimés de la Recherche X pour en préserver la qualité. X se réserve le droit de résilier immédiatement votre compte, sans préavis, s’il est déterminé que vous enfreignez ses Règles ou ses Conditions (https://X.com/tos) ».

Clause n°5 des Règles de X non datées mais en vigueur en mai 2015 : Tout compte dont le comportement évoque les infractions mentionnées ci-dessus peut faire l’objet d’une enquête. Les comptes faisant l’objet d’une enquête peuvent être supprimés de la recherche X afin d’en préserver la qualité. X se réserve le droit de résilier immédiatement votre compte, sans préavis, si nous estimons que vous enfreignez ces Règles ou nos Conditions (https://X.com/tos).

L’association QUE-CHOISIR reproche à la clause n° 5° des « Règles de X » d’être contraire aux dispositions de l’article L.133-2 du code de la consommation en ce qu’elle octroie à la société X un pouvoir d’enquête en cas d’infraction à ses règles ou conditions, aucune précision ne permettant pas à l’utilisateur de savoir dans quel cas et comment s’opère une telle enquête. La clause serait en conséquence abusive au sens de l’article R.132-1/4°) du code de la consommation, comme ayant pour effet d’octroyer au seul professionnel le droit exclusif d’interpréter une quelconque clause du contrat. Elle reproche également à la clause d’attribuer à la société le droit de résilier le compte de l’utilisateur en cas d’infraction aux « Règles » ou « Conditions » de X.

La société X répond que la clause a été supprimée dans la dernière version du contrat et ne saurait donc pas être déclarée abusive. Elle précise que les comportements susceptibles de faire l’objet d’une enquête sont ceux qui sont mentionnées précisément aux clauses précédentes, soit les clauses n°2 et 3 et ajoute que la possibilité de mettre fin au contrat est celle dont bénéficie également l’utilisateur, rien dans la clause ne faisant obstacle à une action ultérieure en responsabilité devant les tribunaux.

a) Sur le droit unilatéral d’interprétation :

En l’espèce la clause fait état de la possibilité pour la société X de mener une enquête pour « abus », sans que l’utilisateur puisse envisager de manière précise quel type d« abus » serait visé et selon quelles modalités une telle enquête pourrait être menée.

Page 230

Décision du 07 août 2018 1/4 social N° RG 14/07300

En conséquence, du fait de l’imprécision des termes employés, la clause est abusive au sens de l’article R. 132-1 4°) devenu l’article R. 212-1 4°) du code de la consommation, comme ayant pour objet ou pour effet d’accorder au seul professionnel le droit exclusif d’interpréter une quelconque clause du contrat.

b) Sur le pouvoir de résiliation du compte et la présomption de responsabilité de l’utilisateur :

En l’espèce la clause critiquée prévoit que la société X se réserve le droit de résilier le compte de l’utilisateur « s’il est déterminé » que l’utilisateur a enfreint les « Règles » ou les « Conditions » de X.

En prévoyant la résiliation des services à l’initiative de X de manière discrétionnaire à tout moment sans justification ni préavis en conséquence, dès qu’une enquête est menée, sans en attendre les éventuelles conclusions et sans permettre à l’utilisateur de s’y opposer ou de fournir des explications en défense, la clause critiquée est abusive, car elle crée au profit du professionnel et au détriment du consommateur ou du non professionnel un déséquilibre significatif au sens de l’article L. 132-1 devenu l’article L. 221-1 du code de la consommation.

En conséquence, la clause n° 5 des « Règles de X » est abusive au sens de l’article L. 132-1 devenu l’article L. 221-1 du code de la consommation et de l’article R. 132-1 4°) devenu l’article R. 212-1 4°) du code de la consommation.

7. Ancienne clause n° 6 des Règles de X :

Clause n°6 du Règlement de X non daté mais en vigueur en février 2014 : Il se peut que nous modifiions ce Règlement de temps à autre; la version la plus actuelle se trouvera toujours à l’adresse X.com/rules (https://X.com/rules).

Clause n°6 des Règles de X non datées mais en vigueur en février 2015 : Il se peut que nous modifiions ces Règles de temps à autre ; la version la plus actuelle se trouvera toujours à l’adresse X.com/rules (https://X.com/rules).

Clause n°6 bis des Règles de X non datées mais en vigueur en mai 2015 : Ces Règles peuvent être modifiées périodiquement. La version en vigueur se trouve en permanence sur la page X.com/rules (https://X.com/rules

Page 231

Décision du 07 août 2018 1/4 social N° RG 14/07300

Selon l’association UFC-QUE CHOISIR, la clause n° 5 consacrerait un droit discrétionnaire de modification des règles sans préavis ni justification. La société X réplique que l’utilisateur peut ainsi à sa guise profiter de X et mettre fin à la relation sans préavis, elle-même pouvant donc aussi modifier librement le service qu’elle offre. Le Tribunal ayant eu l’occasion de répondre à cette argumentation dans le cadre de l’examen de la clause n° 1, n° 2 et 3 des « Règles de X », il conviendra de déclarer la clause n° 6 illicite pour des motifs identiques à ceux précédemment exposés. Par conséquent, la clause n° 6 des « Règles de X » illicite au regard des articles L. 111-1, L. 111-2, devenus les articles L.111-1 et L.111-2, de l’article R. 111-2 I et III, devenu l’article R. 111-2 7°) du code de la consommation, des articles L. 121-17, L. 121-19-2 et R. 111-2 devenus les articles L. 221-5, L. 221-6, L. 221-7 du code de la consommation, de l’article L. 121-19 devenu l’article L. 221-11 du code de la consommation, L. 133-2 devenu l’article L. 211-1 du code de la consommation, est abusive au sens des articles L. 132-1 devenu l’article L. 212-1, R. 131 6°) devenu l’article R. 212-1 6°), R. 132 4°) devenu l’article R. 212-1 4°) du code de la consommation et sera donc réputée non écrite.

IV. SUR LES AUTRES DEMANDES :

1. Sur l’information des consommateurs concernés aux frais des sociétés X Inc. et X International Company :

À défaut d’identification personnelle des consommateurs ayant pu le cas échéant être lésés par les clauses litigieuses, la demande de l’association UFC – QUE CHOISIR tendant à enjoindre la société X d’informer à ses frais et sous astreinte l’ensemble des consommateurs concernés sera rejetée en l’état.

Il convient toutefois de faire droit au principe de cette demande en ordonnant à la société X de permettre à l’ensemble de ses adhérents français la lecture de l’intégralité du présent jugement par le moyen d’un lien hypertexte devant figurer sur la page d’accueil de son site Internet ainsi que sur celles de ses applications sur tablettes et téléphones pendant une durée de trois mois, ce lien hypertexte devant être mis en place sur ces pages d’accueil dans un délai d’un mois à compter de la signification de la présente décision et sous astreinte provisoire de 5.000 € par jour de retard à l’expiration de ce délai. Cette astreinte pourra ainsi courir pendant un délai de six mois au maximum.

Page 232

Décision du 07 août 2018 1/4 social N° RG 14/07300

2. Sur la réparation des préjudices moral et matériel subi par l’intérêt collectif des consommateurs :

L’ensemble des clauses litigieuses n’étant plus présenté depuis plusieurs années au consommateur, le préjudice moral occasionné à l’intérêt collectif des consommateurs sera arbitré à la somme 30.000,00 € (trente mille euros).

L’association UFC – QUE CHOISIR n’apportant pas la preuve de l’existence d’un préjudice matériel distinct du préjudice moral subi par l’intérêt collectif des consommateurs, ce second poste de demande de dommages-intérêts sera rejeté.

3. Sur la publication du communiqué judiciaire :

L’ensemble des clauses litigieuses n’étant plus présenté depuis plusieurs années au consommateur, il n’apparaît pas utile de faire droit aux demandes de l’association UFC – QUE CHOISIR aux fins de publication par voie de presse et de diffusion sur le site Internet X d’un communiqué judiciaire relatif à la présente décision.

Il convient ici de rappeler que la publication d’un jugement, dont l’objet est informatif pour les consommateurs et non sanctionnateur à l’égard du professionnel, doit être limité aux seules clauses abusives encore présentes dans les conditions générales. Or, aucune des clauses litigieuses ne figure encore dans l’ensemble des offres de nature contractuelle de la société X.

4. Sur les autres demandes :

La Recommandation n° 2014-02 de la Commission des clauses abusives relative aux contrats proposés par les fournisseurs de réseaux sociaux n’étant pas mise en discussion dans le cadre de la présente instance, les demandes formées par la société X aux fins, à titre principal d’exclusion de cette pièce et à titre subsidiaire de sursis à statuer et de renvoi devant le tribunal administratif de Paris, deviennent sans objet et seront donc rejetées. Dans la mesure où la société X succombe sur la plus grande partie de ses prétentions, il ne paraît pas inéquitable, au sens des dispositions de l’article 700 du code de procédure civile, de laisser à sa charge les frais irrépétibles qu’elle a été amenée à engager à l’occasion de cette instance.

5. Sur l’exécution provisoire :

Aucune situation d’urgence particulière ne justifie que la présente décision soit assortie de l’exécution provisoire.

Page 233

Décision du 07 août 2018 1/4 social N° RG 14/07300

6. Sur l’article 700 du code de procédure civile et les dépens :

Il serait effectivement inéquitable, au sens des dispositions de l’article 700 du code de procédure civile, de laisser à la charge de l’association UFC – QUE CHOISIR les frais irrépétibles qu’elle a été amenée à engager à l’occasion de cette instance et qu’il convient d’arbitrer à la somme de 20.000 €, compte tenu de l’extrême longueur de cette procédure.

PAR CES MOTIFS, Le tribunal, statuant publiquement, contradictoirement mise à disposition au greffe et en premier ressort..

DÉCLARE RECEVABLE l’ensemble des demandes formées par l’association UFC – QUE CHOISIR.

DIT que les clauses susmentionnées des conditions d’utilisation proposée par X, de la politique de confidentialité de X et des règles de X, résultant d’offres contractuelles, y compris de contrats qui ne sont plus proposés, de la société de droit américain X INC et de la société de droit irlandais X INTERNATIONAL COMPANY, sont réputées non écrites du fait de leur caractère illicite ou abusif, à l’exception de :

— la clause n° 8.6 des Conditions d’utilisation de X du 25 juin 2012, la clause n° 8.6 des Conditions d’utilisation de X du 8 septembre 2014, la clause n° 8.6 des Conditions d’utilisation de X des 18 mai 2015 et 27 janvier 2016 et la clause n° 4.3-2 des Conditions d’utilisation de X du 30 décembre 2016 ; – la clause n° 15 de la Politique de confidentialité de X du 21 octobre 2013, la clause n° 15 de la Politique de confidentialité de X du 8 septembre 2014, la clause n° 15 de la Politique de confidentialité de X des 18 mai 2015 et 27 janvier 2016, et la clause n° 18 de la Politique de confidentialité de X du 30 septembre 2016 ; – la clause n° 22 bis de la Politique de confidentialité de X des 18 mai 2015 et 27 janvier 2016, nouvellement clause n° 27 de la Politique de confidentialité de X du 30 septembre 2016 ;

ORDONNE aux sociétés X INC et X INTERNATIONAL COMPANY de permettre à l’ensemble de leurs adhérents français la lecture de l’intégralité du présent jugement par le moyen d’un lien hypertexte dans une bannière exclusivement dédiée devant figurer sur la page d’accueil de leur site Internet ainsi que sur celles de leurs applications sur tablettes et téléphones pendant une durée de trois mois, ces dispositifs d’accès et de lecture devant être créés dans un délai d’un mois à compter de la signification de la présente décision et sous astreinte provisoire de 5.000 € par jour de retard à l’expiration de ce délai, cette astreinte ne pouvant courir que pendant une durée de six mois au maximum.

Page 234

Décision du 07 août 2018 1/4 social N° RG 14/07300

CONDAMNE solidairement les sociétés X INC et X INTERNATIONAL COMPANY à payer au profit de l’association UFC-QUE CHOISIR la somme de 30.000,00 € (trente mille euros) en réparation du préjudice moral ayant été occasionné à l’intérêt collectif des consommateurs.

CONDAMNE solidairement les sociétés X INC et X INTERNATIONAL COMPANY à payer au profit de l’association UFC-QUE CHOISIR une indemnité de 20.000,00 € (vingt mille euros) sur le fondement de l’article 700 du code de procédure civile.

DÉBOUTE les parties de leurs demandes plus amples ou contraires.

CONDAMNE solidairement les sociétés X INC et X INTERNATIONAL COMPANY aux entiers dépens de l’instance.

Fait et jugé à Paris le 07 août 2018

Le Greffier Le Président

Page 235

Décision du 07 août 2018 1/4 social N° RG 14/07300

Page 236