Tribunal judiciaire de Paris, Le, 9 juin 2020, n° 16/09799
Sur la décision
| Référence : | TJ Paris, le, 9 juin 2020, n° 16/09799 |
|---|---|
| Numéro(s) : | 16/09799 |
Sur les parties
- Avocat(s) :
Texte intégral
La société iTunes, société à responsabilité limitée de droit luxembourgeois, filiale à 100% de la société Apple Inc., a été absorbée par la société ASSL (Apple Software Services limited). Cette société a été elle-même absorbée par la société ADI (Apple Distribution International), société de droit irlandais dont le siège social est situé à Cork en Irlande. Par le jeu de ces absorptions successives et de la reprise de l’ensemble des droits et obligations de la société iTunes, la société ADI est devenue l’ayant-cause universel de la société iTunes.
La société ADI a pour activité la vente de produits culturels (films, séries télévisées, musiques, ebooks (livres électroniques), jeux et applications mobiles via « l’Apple store »), ainsi que la fourniture de services en ligne. Depuis le 30 juin 2015 un service de streaming musical payant appelé « Apple Music » a été proposé via l’iTunes Store.
Ce service de streaming musical est payant moyennant le paiement d’un abonnement mensuel individuel de 9,99 euros ou d’un abonnement familial de 14,99 euros dont l’utilisation est limitée à six personnes au plus. C’est un service sans engagement qui est reconduit automatiquement tous les mois sauf résiliation par l’utilisateur. L’accès au service nécessite pour l’utilisateur de disposer d’une part d’un identifiant Apple (« Apple ID »), lequel est constitué d’une adresse email et d’un mot de passe, et d’autre part d’un compte iTunes qui intègre le moyen de paiement.
Par assignation du 02 juin 2016 l’association UNION FÉDÉRALE DES CONSOMMATEURS – QUE CHOISIR (ci-après UFC – QUE CHOISIR) a fait citer la société ADI devant le tribunal de grande instance de Paris, devenu tribunal judiciaire de Paris, aux fins de faire constater le caractère abusif et/ou illicite des clauses des « Conditions d’Utilisation » de la société ADI, dans la version du 30 juin 2015, dénommée par les parties « Conditions générales V1 », de mars 2016 « Conditions générales V2 », du 13 septembre 2016 « Conditions
générales V3 », du 17 septembre 2018 « Conditions générales V4 » et du 13 mai 2019 « Conditions générales V5 », le caractère illicite des clauses des « Politiques de confidentialité », dont le document intitulé « Engagement de Confidentialité » dans les versions des 22 mai 2018, 09 mai 2019, le document intitulé « Apple Music et confidentialité » du 18 septembre 2018 ainsi que le document intitulé « A propos du lecteur Web Apple Music et de la confidentialité », les faire supprimer et/ou modifier, de les faire réputées non écrites et de réparer le préjudice causé à l’intérêt collectif des consommateurs.
Aux termes de ses dernières écritures signifiées par voie électronique par le Réseau privé virtuel avocats (RPVA) le 10 juin 2019, au visa du
code de la consommation, du RGPD et de la Loi Informatique et Libertés, de l’article R.625-10 du code pénal, de l’article 15 de la loi
pour la confiance dans l’économie numérique (L.C.E.N.), de la loi n° 94-665 du 4 août 1994 et de l’article 1382 du code civil, l’ association
UNION FEDERALE DES CONSOMMATEURS QUE CHOISIR (UFC – QUE CHOISIR) a demandé de :
DIRE ET JUGER recevable et bien fondée l’action de l’association
UFC-QUE CHOISIR à l’encontre de la société ADI.
DECLARER abusives et illicites l’ensemble des clauses figurant dans
des documents contractuels non fournis sur support durable.
DECLARER abusives et/ou illicites, les clauses suivantes des
Conditions d’Utilisation :
– La clause « EXCLUSIONS DE GARANTIES ; LIMITATIONS
DE RESPONSABILITÉ » dans les versions V2, V3, V4 et V5 ;
– La clause « DIVERS » (« Autres stipulations ») (clause
d’exonération de responsabilité dans les versions V1, V2, V3, V4
et V5 et clause d’indivisibilité dans les versions V1, V3, V4 et V5) ;
– Les clauses « ENVOI DE CONTENU AU SERVICE APPLE
MUSIC » dans la version V1 et « VOS ENVOIS SUR NOS
SERVICES » dans les versions V3, V4 et V5 ;
– La clause « DISPONIBILITE DU CONTENU » dans la version V1 ;
– La clause « RESILIATION » dans la version V1 ;
– La clause « RESILIATION ET SUSPENSION DES SERVICES »
dans les versions V3, V4 et V5 ;
– La clause « UTILISATION DE CONTENU » dans la version V1 ;
Les clauses « MODIFICATIONS » dans la version V1 et «
MODIFICATIONS DU CONTRAT » dans les versions V3, V4 et V5.
DECLARER abusive la Politique de Confidentialité d’ADI dans son
ensemble comme créant un déséquilibre significatif entre les droits et
obligations d’ADI et des consommateurs, et la déclarer illicite comme
contraire, dans son ensemble également, au principe de transparence
prévu par le RGPD et le Code de la consommation, ou, à tout le moins,
DECLARER illicites et/ou abusives les clauses détaillées dans le
tableau en Pièce n°8 et reproduites pour la bonne forme ci-après :
Dans les Conditions d’Utilisation (V4 et V5) :
« Vous acceptez que le concédant puisse collecter et utiliser des
données techniques et toute information associée, y compris,
notamment, les informations techniques concernant votre dispositif,
votre système et votre logiciel d’application, ainsi que les
périphériques, et qui sont recueillies périodiquement afin de faciliter
la fourniture de mises à jour de logiciels, de services d’assistance
technique relative au produit, ainsi que d’autres services (le cas
échéant) se rapportant à l’application sous licence. Le concédant peut
utiliser ces informations aussi longtemps qu’elles sont sous une forme
ne permettant pas de vous identifier personnellement, afin d’améliorer
ses produits ou de vous fournir des services ou des technologies. »
« Vous reconnaissez qu’Apple est en droit de divulguer des données
et/ou des informations aux forces de l’ordre, aux autorités publiques
et/ou à des tiers, si Apple l’estime raisonnablement nécessaire ou
approprié pour faire appliquer et/ou vérifier le respect de toute
disposition du présent contrat (y compris notamment le droit d’Apple
de coopérer dans le cadre de toute procédure judiciaire relative à votre
utilisation des services et/ou du contenu et/ou sur réclamation de tiers
relative à votre utilisation illicite des services et/ou du contenu et/ou en
violation des droits de ces tiers). »
« Sauf dans les cas indiqués au paragraphe (d) ci-dessous ou dans le
cas où vous exercez un droit à remboursement ou à compensation qui
vous est conféré par la loi, Apple, ses dirigeants, cadres, salariés,
membres affiliés, agents, contractants ou concédants de licence ne
pourront en aucun cas être tenus pour responsables de perte ou
dommage causé par Apple, ses salariés ou agents lorsque : (v) cette
perte ou ce dommage résulte d’une perte de revenu, d’activité ou de
bénéfice ou d’une perte ou une corruption de données en relation avec
votre utilisation du Service. »
Dans l’Engagement de Confidentialité (version du 22 mai 2018
et version du 9 mai 2019) :
« Collecte et utilisation des données non personnelles
Nous collectons également des données dont la forme ne nous permet
pas de faire un rapprochement direct avec une personne en particulier.
Nous pouvons recueillir, utiliser, transférer et divulguer des données
non personnelles à quelque fin que ce soit. Vous trouverez ci-après des
exemples de données non personnelles que nous collectons et la façon
dont nous pouvons les utiliser :
Nous pouvons collecter des informations telles que le métier, la langue,
le code postal, l’indicatif régional, l’identifiant unique de l’appareil,
l’URL de référence, le lieu et le fuseau horaire dans lesquels un produit
Apple est utilisé afin de nous permettre de mieux comprendre le
comportement du client et d’améliorer nos produits, services et
publicité.
Nous pouvons recueillir des données concernant les activités du client
sur notre site web, les services iCloud, l’iTunes Store, l’App Store, le
Mac App Store, l’App Store de l’Apple TV, les iBooks Stores et à partir
de nos autres produits et services. Ces données sont rassemblées et
utilisées pour nous permettre de fournir des informations plus utiles à
nos clients et pour savoir quels aspects de notre site web, de nos
produits et de nos services sont les plus populaires. Les informations
rassemblées sont considérées comme des données non personnelles aux
fins du présent Engagement de confidentialité. Nous pouvons collecter
et stocker des informations sur votre utilisation de nos services,
notamment les recherches que vous effectuez. Ces informations peuvent
être utilisées pour améliorer la pertinence des résultats fournis par nos
services. Elles ne sont pas associées à votre adresse IP, excepté dans
de rares cas afin d’assurer la qualité de nos services sur Internet.
Avec votre consentement explicite, nous pouvons collecter des données
sur la façon dont vous utilisez votre appareil et vos applications afin
d’aider les développeurs à améliorer leurs apps.
Si nous associons des données non personnelles à des données
personnelles, les données ainsi combinées sont traitées comme des
données à caractère personnel tant qu’elles restent associées. »
« Nous traitons les données collectées par les cookies et autres
technologies comme des données non personnelles. Toutefois, si les
adresses IP (Internet Protocol) ou des identifiants similaires sont
considérés comme des données personnelles par la loi locale, nous
traitons également ces identifiants comme des données personnelles.
De la même manière, si des données non personnelles sont associées
à des données personnelles, nous traitons les informations ainsi
associées comme des données personnelles aux fins du présent
Engagement de confidentialité. »
« Pour fournir des services de géolocalisation sur les produits Apple,
Apple et ses partenaires et licenciés [VERSION DU 09 mai 2019 : «
tels que les fournisseurs de données de cartographique »] peuvent
recueillir, utiliser et partager des données de localisation précises,
notamment la localisation géographique en temps réel de votre
ordinateur ou appareil Apple. Le cas échéant, les services de
géolocalisation peuvent utiliser le GPS, le Bluetooth et votre adresse
IP, ainsi que les emplacements des bornes Wi-Fi communautaires et
des antennes relais, ou encore d’autres technologies afin de déterminer
la localisation approximative de vos appareils. Sauf consentement de
votre part, ces données de localisation sont collectées anonymement
dans un format ne permettant pas de vous identifier. »
« Si vous activez l’option Suivi publicitaire limité sur votre appareil
mobile, les apps tierces ne peuvent pas utiliser l’identifiant publicitaire
(un identifiant d’appareil non personnel) pour diffuser des annonces
ciblées. »
« Les données personnelles, relatives aux services Apple, concernant
les personnes résidant dans un État membre de l’Espace économique
européen et en Suisse, sont contrôlées par Apple Distribution
International en Irlande, et traitées pour son compte par Apple Inc.
Apple utilise des clauses contractuelles types approuvées pour le
transfert international des données personnelles collectées dans
l’Espace économique européen et en Suisse. En tant qu’entreprise
internationale, Apple possède de nombreuses entités juridiques situées
au sein de différentes juridictions qui sont responsables des données
personnelles qu’elles collectent et qui sont traitées en leur nom par
Apple Inc. Par exemple, les informations sur le point de vente au sein
de nos entités commerciales situées en dehors des États-Unis sont
contrôlées par les entités commerciales individuelles dans chaque pays.
Les données personnelles associées à Apple, au magasin [VERSION
DU 09 mai 2019 : « à l’Apple Store »] en ligne et à iTunes peuvent
également être contrôlées par des entités juridiques en dehors des
États-Unis, tel que cela est spécifié dans les conditions générales de
chaque service. »
« Vous êtes responsable des données personnelles que vous décidez de
soumettre de cette façon. »
« Si vous avez des questions ou des inquiétudes concernant
l’Engagement de confidentialité Apple ou le traitement des données,
vous pouvez contacter notre délégué européen à la protection des
données »
« Nous pouvons également utiliser les données personnelles à des fins
internes, par exemple pour des audits, analyses de données et
recherches ans le but d’améliorer les produits, services et
communications clients d’Apple. »
« Dans certaines juridictions, nous pouvons vous demander une pièce
d’identité officielle, mais uniquement dans certains cas, par exemple,
lors de l’ouverture d’un compte mobile et de l’activation de votre
appareil, lors de la décision d’étendre un crédit commercial, pour
gérer des réservations, ou encore si la loi l’exige. »
« À des fins de recherche et développement, nous pouvons utiliser des
ensembles de données tels que ceux contenant [VERSION DU 09 mai
2019 : « telles que celles qui contiennent »] des images, voix ou autres
données pouvant être associées à une personne identifiable. »
« Nous utilisons également vos données personnelles pour créer,
développer, utiliser, livrer et améliorer nos produits, services, contenus
et publicités, et à des fins de prévention des pertes et de lutte contre la
fraude. Nous pouvons aussi utiliser vos données personnelles dans des
objectifs de sécurité des comptes et réseaux, notamment afin de
protéger nos services pour le bénéfice de tous nos utilisateurs
[VERSION DU 09 mai 2019 : « ainsi que filtrer et analyser tout
contenu chargé pour nous assurer qu’il ne contient pas de contenus
illégaux, tels que des abus sexuels sur mineurs »]. Lorsque nous
utilisons vos données à des fins de lutte contre la fraude, c’est suite à
une transaction en ligne auprès de nous. Nous limitons notre utilisation
des données à des fins de lutte contre la fraude aux données strictement
nécessaires et dans le cadre de nos intérêts légitimes estimés afin de
protéger nos clients et nos services. Pour certaines transactions en
ligne, nous pouvons également vérifier les informations que vous nous
avez fournies auprès de sources publiquement disponibles. »
« Nous pouvons également divulguer vos données [VERSION DU 09
mai 2019 : « des informations vous concernant »] si nous pensons qu’à
des fins de sécurité nationale, d’application de la loi ou autre sujet
d’intérêt public, la divulgation est nécessaire ou appropriée. »
« Apple peut parfois mettre certaines données personnelles à la
disposition de partenaires stratégiques travaillant avec Apple pour la
fourniture de produits et services, ou aidant Apple à commercialiser
ses produits auprès des clients. Par exemple, lorsque vous achetez et
activez votre iPhone, vous autorisez Apple et votre opérateur à
échanger les informations que vous divulguez pendant la procédure
d’activation afin d’exécuter le service. »
« À des fins de recherche et développement, nous pouvons utiliser des
ensembles de données tels que ceux contenant [VERSION DU 09 mai
2019 : « telles que celles qui contiennent »] des images, voix ou autres
données pouvant être associées à une personne identifiable. Lorsque
nous acquérons ce type d’ensemble de données, nous le faisons
conformément à la loi applicable dans la juridiction dans laquelle se
trouve l’ensemble de données. »
« Il peut nous arriver de recevoir des données personnelles vous
concernant par le biais de tiers, si ces personnes partagent leur
contenu avec vous à l’aide de produits Apple, vous envoient des
chèques cadeaux et des produits, ou vous invitent à participer à des
services ou forums Apple. Nous pouvons également vérifier les
informations que vous nous fournissez lorsque vous créez un identifiant
Apple avec un tiers, dans un objectif [VERSION DU 09 mai 2019 : « à
des fins »] de sécurité et de prévention de la fraude. »
« Pour certaines transactions en ligne, nous pouvons également
vérifier les informations que vous nous avez fournies auprès de sources
publiquement disponibles. »
« Nous conservons vos données personnelles pendant la durée
nécessaire aux finalités décrites dans le présent Engagement de
confidentialité et nos récapitulatifs spécifiques aux services. Pour
estimer ces durées, nous déterminons avec soin si nous avons besoin de
collecter des données personnelles et, si nous établissons un tel besoin,
nous les conservons uniquement pendant la durée la plus courte
possible nécessaire à la réalisation de l’objectif de la collecte, sauf si
une durée de conservation plus longue est requise par la loi. »
« Nous pouvons traiter vos données personnelles dans les objectifs
décrits dans cet Engagement de confidentialité avec votre
consentement, pour nous conformer à une obligation légale à laquelle
Apple est soumise ou lorsque nous estimons que cela est nécessaire
pour atteindre les objectifs légitimes poursuivis par Apple ou un tiers
à qui nous pouvons être amenés à divulguer ces données »
« Vous pouvez nous aider à faire en sorte que vos coordonnées et
préférences soient exactes, complètes et à jour en vous connectant à la
page de votre compte Apple. Nous vous fournissons un accès aux autres
données personnelles que nous détenons, et une copie de celles-ci, pour
que vous puissiez éventuellement nous demander de les corriger si elles
sont inexactes ou de les supprimer, à condition qu’Apple ne soit pas
obligée de les conserver du fait de la loi ou à des fins commerciales
légitimes. Nous pouvons refuser de traiter les demandes
futiles/vexatoires, les demandes mettant en péril la confidentialité des
données de tiers, les demandes qui sont extrêmement difficiles à mettre
en place ou celles pour lesquelles un accès n’est pas imposé autrement
par la loi applicable. Nous pouvons également refuser certains aspects
de demandes de suppression ou d’accès si nous pensons que, ce faisant,
nous nuirions à notre utilisation légitime des données à des fins de lutte
contre la fraude ou de sécurité, comme nous l’avons vu
précédemment. »
« De temps en temps, nous pouvons utiliser vos données personnelles
pour envoyer des notifications importantes, telles que des
communications sur les achats, et les modifications apportées à nos
conditions d’utilisation et politiques. Ces informations étant
importantes pour vos relations avec Apple, vous ne pouvez pas vous
opposer à la réception de ces communications. »
« Toutes les informations que vous fournissez peuvent être transférées
à des entités à travers le monde, ou être accessibles à celles-ci, tel que
décrit dans le présent Engagement de confidentialité. »
« Ces sociétés sont dans l’obligation de protéger vos données et
peuvent se trouver dans tout pays dans lequel Apple exerce des
activités. »
« Apple et ses partenaires utilisent également des cookies et d’autres
technologies pour se souvenir de vos données personnelles lorsque
vous utilisez un site web, des services en ligne et des applications. Dans
ce cas, notre objectif est de rendre votre visite plus pratique et de la
personnaliser. »
« Services de géolocalisation
Pour fournir des services de géolocalisation sur les produits Apple,
Apple et ses partenaires et licenciés [VERSION DU 09 mai 2019 :
« tels que les fournisseurs de données de cartographique »] peuvent
recueillir, utiliser et partager des données de localisation précises,
notamment la localisation géographique en temps réel de votre
ordinateur ou appareil Apple. Le cas échéant, les services de
géolocalisation peuvent utiliser le GPS, le Bluetooth et votre adresse
IP, ainsi que les emplacements des bornes Wi-Fi communautaires et
des antennes relais, ou encore d’autres technologies afin de déterminer
la localisation approximative de vos appareils. Sauf consentement de
votre part, ces données de localisation sont collectées anonymement
dans un format ne permettant pas de vous identifier. Elles sont utilisées
par Apple et ses partenaires et licenciés pour fournir et améliorer les
produits et services de géolocalisation. Par exemple, nous pouvons
partager la localisation géographique avec des fournisseurs
d’applications si vous acceptez leurs services de localisation.
Certains services de géolocalisation proposés par Apple, tels que la
fonctionnalité « Localiser mon iPhone », ont besoin de vos données
personnelles pour fonctionner. »
« Pour identifier et empêcher la fraude, les données d’utilisation de
votre appareil, notamment le nombre approximatif d’appels passés et
reçus ou d’emails envoyés et reçus, sont utilisées pour calculer un
indice de confiance de l’appareil lors d’une tentative d’achat. »
« Prise de décision automatisée et profilage
Apple ne prend aucune décision impliquant l’utilisation d’algorithmes
ou de profilage susceptibles de vous affecter de façon significative. »
« Les sites web, les services en ligne, les applications interactives, les
e-mails et les publicités d’Apple peuvent utiliser des « cookies » et
d’autres technologies, telles que des « pixel tags » et des balises web.
Ces technologies nous permettent de mieux comprendre le
comportement des utilisateurs, nous indiquent quelles parties de nos
sites web sont les plus visitées, et facilitent et mesurent l’efficacité des
publicités et recherches Internet. Nous traitons les données collectées
par les cookies et autres technologies comme des données non
personnelles. Toutefois, si les adresses IP (Internet Protocol) ou des
identifiants similaires sont considérés comme des données personnelles
par la loi locale, nous traitons également ces identifiants comme des
données personnelles. De la même manière, si des données non
personnelles sont associées à des données personnelles, nous traitons
les informations ainsi associées comme des données personnelles aux
fins du présent Engagement de confidentialité.
Les annonces diffusées par la plateforme publicitaire d’Apple peuvent
apparaître dans Apple News et dans l’App Store. Si vous ne souhaitez
pas recevoir des annonces ciblées en fonction de vos centres d’intérêt
de la part de la plate-forme publicitaire d’Apple, vous pouvez choisir
d’activer l’option Suivi publicitaire limité, ce qui permettra à votre
identifiant Apple de ne pas recevoir des annonces de ce type, et ce quel
que soit l’appareil que vous utilisez. Si vous activez l’option Suivi
publicitaire limité sur votre appareil mobile, les apps tierces ne
peuvent pas utiliser l’identifiant publicitaire (un identifiant d’appareil
non personnel) pour diffuser des annonces ciblées. Vous pouvez
toujours voir les annonces dans l’App Store ou Apple News, en fonction
du contexte, tel qu’une demande de recherche ou la chaîne que vous
lisez. Dans les apps tierces, vous pouvez voir des annonces basées sur
d’autres informations.
Apple et ses partenaires utilisent également des cookies et d’autres
technologies pour se souvenir de vos données personnelles lorsque
vous utilisez un site web, des services en ligne et des applications. Dans
ce cas, notre objectif est de rendre votre visite plus pratique et de la
personnaliser. Par exemple, le fait de connaitre votre prénom nous
permettra de vous souhaiter la bienvenue lors de votre prochaine visite
sur l’Apple Store en ligne. Le fait de connaître votre pays et votre
langue, et si vous êtes enseignant, le nom de votre école, nous permet
de vous proposer une visite personnalisée plus efficace. Le fait de
savoir qu’une personne utilisant votre ordinateur ou appareil a acheté
un certain produit ou utilisé un service particulier nous aide à rendre
nos communications publicitaires et électroniques plus pertinentes en
fonction de vos centres d’intérêt. Enfin, le fait de connaître vos
coordonnées et vos identifiants matériels, et d’avoir des informations
à propos de votre ordinateur ou appareil, nous aide à personnaliser
votre système d’exploitation, à configurer votre service iCloud et à
vous fournir un meilleur service client.
Si vous utilisez le navigateur web Safari et que vous souhaitez
désactiver les cookies, allez dans les préférences Safari, puis dans le
volet Confidentialité où une option vous permettra de gérer vos
préférences. Sur votre appareil mobile Apple, accédez à Réglages >
Safari, faites défiler l’écran vers le bas pour atteindre la section
Confidentialité et sécurité, puis appuyez sur « Bloquer les cookies »
pour gérer vos préférences. Pour les autres navigateurs, veuillez
consulter votre fournisseur pour savoir comment désactiver les cookies.
Veuillez noter que certaines fonctionnalités du site web Apple ne seront
plus disponibles une fois les cookies désactivés.
À l’instar de nombreux sites web, nous collectons certaines
informations automatiquement et nous les stockons dans des
historiques [VERSION DU 09 mai 2019 : « fichiers journaux »]. Ces
données [VERSION DU 09 mai 2019 : « informations »] comprennent
les adresses IP (Internet Protocol), le type de navigateur et la langue,
le fournisseur d’accès à Internet (FAI), les sites web et applications de
renvoi et de sortie, le système d’exploitation, la date et l’heure
[VERSION DU 9 mai 2019 : « la date/l’heure »], ainsi que [VERSION
DU 09 mai 2019 : « et »] les données relatives à votre parcours sur le
site.
Nous utilisons ces données pour connaître et analyser les tendances,
administrer le site, suivre le comportement des utilisateurs sur le site,
améliorer nos produits et services, et collecter des informations
démographiques à propos de l’ensemble de nos utilisateurs. Apple peut
utiliser ces informations pour ses services marketing et publicitaires.
Dans certains de nos e-mails, nous utilisons des « URL de destination »
liées au contenu du site web Apple. Lorsque les clients cliquent sur
l’une de ces URL, ils sont transférés vers un autre serveur web avant
d’arriver sur la page de destination de notre site web. Nous suivons ces
données de clic pour nous aider à déterminer [VERSION DU 09 mai
2019 : « pour déterminer »] l’intérêt porté à certains sujets et mesurer
l’efficacité de nos communications clients. Si vous préférez ne pas être
suivi de cette façon, vous ne devez pas cliquer sur les liens texte ou
graphiques figurant dans les e-mails.
Les balises « pixel tags » nous permettent d’envoyer des e-mails dans
un format que les clients peuvent lire et de savoir si les messages ont
été ouverts. Nous pouvons utiliser ces informations pour réduire ou
supprimer les messages adressés aux clients »
Dans le document « Apple Music et confidentialité » (version
du 17 septembre 2018) :
« Lorsque vous créez un profil sur Apple Music, nous vous
recommandons d’autres abonnés à Apple Music avec lesquels vous
pourriez devenir ami. Apple ne collecte et ne stocke aucune information
concernant vos contacts lors de la recherche d’amis à recommander.
Seuls des hachages abrégés et chiffrés des numéros de téléphone et
adresses e-mail de vos contacts sont envoyés à Apple ; les abonnés à
Apple Music correspondants à recommander sont ensuite recherchés
localement sur votre appareil. »
« Il est possible que nous recueillions, utilisions, transférions ou
divulguions des informations non personnelles, quel que soit le motif.
Par exemple, nous sommes susceptibles d’agréger vos données non
personnelles et celles d’autres utilisateurs d’Apple Music dans le but
d’améliorer le service. »
« Nous sommes tenus de communiquer certaines informations non
personnelles relatives à votre emploi d’Apple Music à des partenaires
du service, tels que des maisons de disque, de sorte qu’ils puissent
évaluer leurs performances, satisfaire aux normes comptables et régler
les droits d’auteurs dus, de même qu’améliorer leurs produits et
services. Nous communiquons également aux artistes des statistiques
d’écoute et démographiques (comme l’âge et le sexe des utilisateurs)
non personnelles agrégées pour leur permettre de mieux cerner leur
public. »
« Si nous apprenons que nous avons collecté les données personnelles
d’un enfant de moins de 13 ans, ou de l’âge minimum équivalent selon
la juridiction, dans des circonstances autres que celles susmentionnées,
nous prenons des mesures pour supprimer ces informations le plus
rapidement possible »
« Cet indice est stocké pendant une durée déterminée sur nos
serveurs. »
« Les informations relatives à votre bibliothèque musicale iCloud vous
sont associées pendant toute la durée de votre abonnement et pendant
une courte période après sa résiliation. »
« Nous conservons les données concernant les morceaux que vous
écoutez pendant les durées spécifiées par les lois en vigueur relatives
aux états financiers. »
« Prenez garde lorsque vous choisissez de partager des informations
en ligne ; certaines pourraient être rendues publiques. Les données
partagées depuis Apple Music vers d’autres sites web ou réseaux
sociaux sont régies par les engagements de confidentialité de ces
services. »
« Nous pouvons également vérifier les informations que vous nous
fournissez lorsque vous créez un identifiant Apple avec un tiers, dans
un objectif [VERSION DU 09 mai 2019 : « à des fins »] de sécurité et
de prévention de la fraude. »
DECLARER abusive et illicite la clause de cession globale des droits
de propriété intellectuelle sur les contenus utilisateurs, contenue dans
les Conditions d’Utilisation proposées par la société ADI, tant dans leur
version V3 de septembre 2016 que dans leur version V4 de septembre
2018 (version en vigueur au jour des présentes).
En conséquence,
ORDONNER la suppression de l’ensemble des clauses visées, qu’elles
figurent dans un contrat en cours ou non, proposé ou non, et ce sous
astreinte de 300 euros par clause et par jour de retard, postérieurement
à l’expiration d’un délai de 8 jours à compter de la signification du
jugement à intervenir.
DECLARER l’ensemble des clauses précédemment citées comme non
écrites dans tous les contrats conclus entre la société ADI et des
consommateurs.
ORDONNER à la société ADI de réécrire la Politique de
Confidentialité d’ADI dans un format clair et lisible permettant une
information transparente des utilisateurs concernant les traitements de
données à caractère personnel, au titre de la cessation des agissements
illicites visée par l’article L.621-2 du Code de la consommation, à
peine d’astreinte de 10.000 euros par jour de retard une fois expiré un
délai d’un mois à compter de la signification du jugement à intervenir.
ORDONNER, aux frais de la société ADI, la diffusion du communiqué
judiciaire ci-après dans trois quotidiens nationaux au choix de l’UFCQUE
CHOISIR, sans que le coût de chaque insertion puisse être
inférieur à 10.000 euros, ainsi que dans un encart sur la page d’accueil
du service Apple Music pendant une durée de 3 mois :
« COMMUNIQUE JUDICIAIRE :
Par décision en date du […], le Tribunal de Grande Instance de Paris,
à la demande de l’Association UFC-QUE CHOISIR, a condamné la
société ADI en raison de clauses illicites et/ou abusives contenues dans
les conditions contractuelles qu’elle propose aux consommateurs.
Le Tribunal a ordonné en conséquence la suppression de ces clauses
sous astreinte, et a déclaré celles-ci inopposables aux consommateurs.
Vous pouvez prendre connaissance de l’intégralité de cette décision sur
la page d’accueil du site internet exploité par la société ADI :
http://www.apple.com/fr/music/
Ce communiqué judiciaire est diffusé pour informer les
consommateurs ».
ORDONNER, aux frais de la société ADI, la publication de la décision
au moyen d’un lien activable figurant sur la page d’accueil du site
internet exploité par la société ADI www.apple.com/fr/music/ dans un
délai d’un mois à compter de la signification du jugement à intervenir,
la décision devant être ainsi accessible pendant un délai de six mois.
ORDONNER la mise en place de ce lien sur la page d’accueil de ce
site, précédé du titre en rouge « COMMUNIQUE JUDICIAIRE » sous
le contrôle d’un huissier qu’il plaira au Tribunal de céans de désigner,
à peine d’astreinte de 10.000 euros par jour de retard une fois expiré le
délai d’un mois à compter de la signification du jugement à intervenir.
CONDAMNER la société ADI à payer à l’association UFC-QUE
CHOISIR la somme de 200.000 euros en réparation du préjudice causé
à l’intérêt collectif des consommateurs.
CONDAMNER la société ADI à payer à l’association UFC-QUE
CHOISIR la somme de 50.000 euros en réparation de son préjudice
associatif.
CONDAMNER la société ADI à payer à l’association UFC-QUE
CHOISIR la somme de 50.000 euros sur le fondement de l’article 700
du Code de procédure civile.
DEBOUTER la société ADI de l’ensemble de ses demandes, fins et
conclusions.
ORDONNER l’exécution provisoire du jugement à intervenir.
CONDAMNER la société ADI aux dépens dont distraction au profit de
Maître Ronan Hardouin en application de l’article 699 du Code de
procédure civile.
En défense, par dernières conclusions notifiées par la voie électronique
par RPVA le 23 septembre 2019, la société de droit irlandais APPLE
DISTRIBUTION INTERNATIONAL (ADI) a demandé de :
À titre principal, sur la recevabilité :
DÉCLARER l’UFC – Que Choisir irrecevable en ses demandes
additionnelles principales ou subsidiaires fondées sur la réglementation
relative à la protection des données personnelles et visant la « Politique
de Confidentialité » telle que déterminée par l’UFC, faute de lien
suffisant avec les demandes d’origine ;
DÉCLARER l’UFC – Que Choisir irrecevable à agir en ses demandes
visant l’Engagement de Confidentialité dans ses versions V1 ou V2,
ainsi qu’en sa demande visant une « fragmentation » de l’information
relative à la protection des données personnelles, faute de lien avec
l’objet du litige ;
DÉCLARER l’UFC – Que Choisir irrecevable en ses demandes
relatives aux clauses issues des Conditions Générales d’ADI de juin
2015 (V1), de mars 2016 (V2), septembre 2016 (V3) et septembre 2018
(V4) telles que visées par l’UFC – Que Choisir dans les motifs de ses
conclusions, puisque le contrat sur lequel sont fondées les prétentions
de l’UFC n’est plus ni proposé, ni destiné aux consommateurs et n’est
plus en cours d’exécution ;
DÉCLARER l’UFC – Que Choisir irrecevable, sur le fondement des
articles L.621-7 et L.621-8 du Code de la consommation, en ses
demandes relatives aux clauses « DIVERS » (clause d’indivisibilité)
des Conditions Générales d’ADI (V1, V2, V3,V4 et V5) ; à la clause
de licence des Conditions Générales d’ADI (V1, V2, V3 et V4)
incriminée au titre des dispositions du Code de la propriété
intellectuelle (conclusions n°3 d’UFC, p. 69 à 74) ; aux clauses
incriminées au titre de la règlementation applicable sur la protection
des données personnelles dans tous les documents visés par l’UFC
(conclusions UFC n°3, p.30 à 69), puisque ces demandes ne sont pas
fondées sur un agissement illicite contrevenant aux dispositions
transposant les directives mentionnées à l’article 1er de la Directive
2009/22/CE tel qu’exigé par l’article L.621-7 du Code de la
consommation ;
DÉCLARER l’UFC – Que Choisir irrecevable, sur le fondement des
articles L. 621-1 et L. 6212 du Code de la consommation, en ses
demandes relatives (i) aux clauses des Conditions Générales d’ADI
(V1, V2, V3,V4 et V5) telles que visées par l’UFC – Que Choisir dans
ses conclusions, notamment la clause de licence des Conditions
Générales d’ADI (V1, V2, V3 et V4) et (ii) aux clauses et documents
d’ADI visés aux points 1 à 15 du B) de la Partie III des dernières
conclusions de l’UFC (p.37 à 68) dès lors que ces demandes ne se
peuvent être liées à aucune infraction pénale ouvrant droit à l’exercice
de l’action civile ;
DÉCLARER l’UFC – Que Choisir irrecevable en ses demandes
relatives à la clause de licence des Conditions Générales d’ADI (V1,
V2, V3 et V4) au titre des dispositions du Code de la propriété
intellectuelle ; aux clauses incriminées sous les points 1 à 15 du B) de
la Partie III des conclusions de l’UFC (p.37 à 68) au titre de la
réglementation applicable relative à la protection des données
personnelles, dans la mesure où l’UFC ne dispose d’aucun intérêt à agir
en défense de l’intérêt collectif des auteurs ou de l’intérêt collectif des
personnes concernées au sens de la règlementation relative aux données
personnelles ;
DÉCLARER l’UFC – Que Choisir irrecevable en ses demandes
relatives aux clauses des Conditions Générales d’ADI (V1, V2, V3, V4
et V5) ; aux documents concernant la protection des données
personnelles regroupés sous les points 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12,
13, 14 et 15 du B de la Partie III des conclusions de l’UFC (p.37 à 68),
en ce que ces demandes sont fondées sur une règle d’interprétation
prévue par l’article L.211.1 du Code de la consommation qui est
insusceptible de caractériser un agissement illicite et encore moins une
infraction pénale ;
À titre subsidiaire, sur le fond :
Sur les clauses des Conditions Générales d’ADI de mai 2019 (V5) :
Juger infondée la demande de l’UFC visant à faire déclarer abusives et
illicites l’ensemble des clauses figurant dans des contractuels non
fournis sur support durable ;
Juger que les clauses ci-après des Conditions Générales d’ADI de mai
2019 (V5) sont licites et ne sont pas abusives :
– La clause « EXCLUSIONS DE GARANTIE ; LIMITATIONS
DE RESPONSABILITE » ;
– La clause « DIVERS » (« Autres stipulations ») (clause
d’exonération de responsabilité) ;
– La clause « VOS ENVOIS SUR NOS SERVICES » ;
– La clause « RESILIATION ET SUSPENSION DES SERVICES » ;
– La clause « MODIFICATIONS DU CONTRAT » ;
Sur les clauses des Conditions Générales d’ADI de juin 2015
(V1), de mars 2016 (V2), de septembre 2016 (V3) et de
septembre 2018 (V4), juger que les clauses des Conditions Générales
d’ADI V1, V2, V3 et V4 telles que visées par l’UFC – Que Choisir dans les
motifs de ses conclusions sont licites et ne sont pas abusives ;
Sur les clauses des Conditions Générales de mai 2019 (V5),
juger que l’ensemble des clauses des Conditions Générales d’ADI (V5)
visées par l’UFC, et plus particulièrement la clause « DIVERS » («
Autres stipulations ») (clause d’exonération de responsabilité et clause
d’indivisibilité) et la clause de cession globale des droits de propriété
intellectuelle sur les contenus utilisateurs sont licites et ne sont pas
abusives ;
Sur les documents et clauses incriminés au titre de la
réglementation applicable sur la protection des données
personnelles dans tous les documents visés par l’UFC
(Conditions Générales d’ADI, « Engagement de Confidentialité
», « Apple Music et confidentialité », « A propos du lecteur Web
Apple Music et Confidentialité ») :
Juger que les documents et clauses incriminés par l’UFC au titre de la
réglementation applicable sur la protection des données personnelles
regroupées sous les points 1 à 15 dans la Partie III, B de ses
conclusions pour tous les documents visés par l’UFC (Conditions
Générales d’ADI, « Engagement de Confidentialité », « Apple Music
et confidentialité », « A propos du lecteur Web Apple Music et
Confidentialité ») sont licites par rapport aux exigences d’information
prévues par la règlementation applicable relative à la protection des
données personnelles ;
Juger que les documents et clauses incriminés par l’UFC au titre de la
réglementation applicable sur la protection des données personnelles
regroupées sous les points 1 à 15 dans la Partie III, B de ses
conclusions pour tous les documents visés par l’UFC (Conditions
Générales d’ADI, « Engagement de Confidentialité », « Apple Music
et confidentialité », « A propos du lecteur Web Apple Music et
Confidentialité ») sont licites, ne sont pas abusives et ne sont pas
trompeurs ;
En conséquence,
DÉCLARER l’UFC infondée en la totalité de ses demandes visant les
Conditions Générales d’ADI V1, V2, V3, V4 et V5 ;
DÉCLARER l’UFC infondée en la totalité de ses demandes au titre de
la réglementation applicable sur la protection des données personnelles
regroupées sous les points 1 à 15 dans la Partie III, B de ses
conclusions pour tous les documents visés par l’UFC (Conditions
Générales d’ADI, « Engagement de Confidentialité », « Apple Music
et confidentialité », « A propos du lecteur Web Apple Music et
Confidentialité ») ;
DÉBOUTER l’UFC de l’ensemble de ses demandes, fins et conclusions ;
À titre également subsidiaire, au fond :
DÉCLARER l’UFC irrecevable et en tout état de cause infondée en ses
demandes de suppression et d’inopposabilité des clauses telles que
visées dans son dispositif ;
DÉCLARER l’UFC irrecevable et en tout état de cause infondée en ses
demandes de réécriture des clauses dans un format clair et lisible
permettant une information transparente des utilisateurs concernant les
traitements de données à caractère personnel ;
DÉCLARER l’UFC irrecevable en ses demandes de réparation du
préjudice porté à l’intérêt collectif des consommateurs ;
JUGER que la demande de l’UFC en réparation du préjudice porté à
l’intérêt collectif des consommateurs est en tout état de cause infondée ;
JUGER que la demande de l’UFC en réparation du préjudice associatif
est infondée ;
JUGER que les demandes de publication de l’UFC sont infondées ;
JUGER que la demande d’exécution provisoire de l’UFC est infondée ;
JUGER que les demandes d’astreinte de l’UFC ne sont pas fondées ;
DÉBOUTER l’UFC de l’ensemble de ses demandes, fins et conclusions ;
En tout état de cause :
REJETER la demande de l‘UFC au titre de l’article 700 du code de
procédure civile ;
Condamner l’UFC au paiement à ADI de la somme de 50.000 euros sur
le fondement de l’article 700 du code de procédure civile, ainsi qu’aux
entiers dépens.
Conformément aux dispositions de l’article 455 du code de procédure
civile, les moyens développés par chacune des parties à l’appui de leurs
prétentions respectives sont directement énoncés dans la partie
DISCUSSION de la présente décision.
Après clôture des débats par ordonnance du 22 octobre 2019 du Juge
de la mise en état et évocation de cette affaire lors de l’audience civile
collégiale du 03 décembre 2019, au cours de laquelle chacun des
conseils des parties a réitéré et développé ses précédentes écritures, la
décision a été mise en délibéré au 03 mars 2020, prorogée au 28 avril
2020 puis prorogée au 09 juin 2020, en tenant compte du plan de
continuité d’activité du tribunal judiciaire de Paris du 16 mars 2020,
adopté en application de la loi n° 2020-290 du 23 mars 2020 d’urgence
sanitaire pour faire face à l’épidémie de covid-19.
DISCUSSION :
I. SUR LES FINS DE NON RECEVOIR :
Une fin de non-recevoir au sens de l’article 122 du code de procédure
civile est un moyen qui vise à faire déclarer irrecevable la demande de
l’adversaire, sans examen au fond, pour défaut de droit d’agir, comme
le défaut de qualité, le défaut d’intérêt, la prescription, le délai préfix,
la chose jugée.
Les moyens développés par la société ADI tendent à démontrer
l’irrecevabilité des demandes de l’association UFC-QUE CHOISIR :
en l’occurrence, des demandes additionnelles visant la « Politique de
Confidentialité » – faute de lien suffisant avec la demande initiale -, des
demandes de l’association visant des versions des Conditions Générales
qui ne sont plus proposées, ni destinées aux consommateurs ni
appliquées à un contrat en cours d’exécution, des demandes
prétendument non-conformes au domaine procédural défini par les
articles L.621-7 et L.621-8 du code de la consommation au regard de
la notion d’agissement illicite et des demandes fondées sur l’article
L. 211-1 du code de la consommation. La société ADI invoque
également l’absence d’intérêt à agir de l’association demanderesse en
défense de l’intérêt collectif des consommateurs en leur qualité de
« personnes concernées » et d’ »auteur ».
A. Sur les irrecevabilités :
1. Sur l’irrecevabilité des demandes additionnelles visant la
« Politique de Confidentialité :
La société ADI sollicite du Tribunal que soient déclarées irrecevables,
faute de lien suffisant avec les demandes initiales, les demandes
additionnelles formées en cours d’instance, notamment celles qui visent
des documents autres que les Conditions Générales. Elle fait valoir que
l’UFC a formé 16 nouveaux griefs qui ne figuraient pas dans son
assignation, au visa du Règlement (UE) 2016/679 relatif à la protection
des personnes physiques à l’égard du traitement des données à caractère
personnel ; que les conclusions de l’association n’intègrent plus que 28
pages relatives aux Conditions Générales pour 38 pages incriminant des
clauses relatives à l’information de l’utilisateur dans le cadre de la
législation sur la protection des données personnelles. Elle ajoute que
demandes de l’UFC ne visent plus exclusivement des documents en
lien avec le service Apple Music, d’autres mais en lien avec des
services proposés par la défenderesse.
L’association UFC-QUE CHOISIR réplique que ses demandes les plus
récentes ne sont pas « déconnectées » des demandes initiales,
puisqu’elles présentent un lien suffisant, au sens de l’article 70 du code
de procédure civile, avec les demandes originaires. Elle précise qu’elle
a modifié les fondements de ses demandes initiales en raison de
l’évolution de la législation applicable à la protection des données à
caractère personnel. Elle fait valoir qu’en raison de la transversalité des
documents relatifs au service Apple Music, elle a élargi le nombre de
documents initiaux concernant les clauses soumises à la critique à
d’autres documents se référant à d’autres services de la défenderesse,
les premiers documents renvoyant aux seconds notamment par lien
hypertexte.
Aux termes des articles 65 et 70 du code de procédure civile une
demande additionnelle est une demande par laquelle une partie modifie
ses prétentions antérieures ou complète celle-ci par d’autres demandes.
Elle n’est recevable en tant que demande distincte que si elle se
rattache aux prétentions originaires par un lien suffisant.
Ainsi, la demande additionnelle est celle qui modifie les prétentions
antérieures ou ajoute à celles-ci sous réserve d’un lien suffisant de
connexité. Elle se caractérise par un objet différent de celui des
prétentions antérieures, non compris dans ces dernières. A l’inverse, le
simple aménagement d’une demande antérieure ne constitue pas une
demande additionnelle au sens des articles précités, dès lors que l’objet
est le même, peu important que soient avancé un nouveau fondement
pour soutenir la prétention initiale et que soient développés de
nouveaux moyens de fait ou de droit ou que soient invoqués de
nouveaux éléments de preuve.
Il ressort du débat et des conclusions de la société ADI (p. 14/202) que
l’action de l’association comportait dès l’origine une demande de
suppression et de déclaration de clauses réputées non écrites contenues
dans les « Conditions Générales » et dans l’ »Engagement de
confidentialité », portant sur l’utilisation des données à caractère
personnel de l’utilisateur du service de streaming mis en place par la
société iTunes (devenue la société ADI) en raison de leur caractère
prétendument abusif et/ou illicite.
Ces prétentions tendent aux mêmes fins que celles soumises dans la
demande initiale. Elles ne constituent donc pas des prétentions
nouvelles au sens de l’article 65 du code de procédure civile, même si
leur fondement juridique est différent. Dès lors qu’elles restent dans le
cadre d’une évolution raisonnable de l’instance, les parties ont toujours
la possibilité au cours de l’instance de produire de nouvelles pièces ou
de proposer de nouvelles preuves.
En conséquence la demande d’irrecevabilité formée par la
société ADI concernant les demandes additionnelles de l’UFC
sera rejetée.
2. Sur l’irrecevabilité des demandes visant des versions des
Conditions Générales qui ne sont plus proposées, ni
destinées aux consommateurs ni appliquées à un contrat en
cours d’exécution :
La société ADI subdivise dans ses conclusions les motifs allégués
d’irrecevabilité des demandes de l’association UFC-QUE CHOISIR :
irrecevabilité des demandes dues à l’augmentation du nombre des
versions des Conditions Générales, irrecevabilité des demandes tenant
à la modification des fondements juridiques au regard de la loi
applicable aux demandes de l’association, irrecevabilité des demandes
de l’UFC visant les versions V1 (juin 2015), V2 (mars 2016), V3
(septembre 2016) et V4 (septembre 2018) des Conditions Générales.
L’ensemble des moyens développés par la société ADI vise à contester
la recevabilité des demandes relatives aux versions des Conditions
Générales qui ne sont plus proposées, ni destinées aux consommateurs
ni appliquées à un contrat en cours d’exécution.
Ainsi, la société ADI affirme que les dispositions des articles L.621-7
et L.621-8 du code de la consommation ne peuvent trouver application
aux contrats ou aux dispositions contractuelles qui ne sont plus
proposées ou destinés aux consommateurs ou qui ne sont plus en cours
d’exécution.
A l’appui de ses affirmations, elle fait valoir que la notion de « contrat
en cours ou non » qui figurait dans les anciens articles L.421-2 et L.421-
6 du code de la consommation a été remplacée au sein des articles
L.621-2, L.621-7 et L.621-8 par la notion de « contrat en cours
d’exécution » par l’ordonnance n° 2016-301 du 14 mars 2016, portant
recodification du code de la consommation et entrée en vigueur le 1er
juillet 2016.
Elle ajoute que l’article L.621-8 du code de la consommation prévoit
dans ses alinéa 1 et 2 deux étapes distinctes mais liées : celle qui
consiste en la demande de suppression des clauses visées par le juge
saisi (al. 1) et celle qui permet ensuite à l’association de demander au
juge saisi de déclarer que les clauses supprimées soient réputées non
écrites dans « les contrats identiques conclus par le même professionnel
avec des consommateurs » (al. 2).
Elle soutient que la demande l’association L’UFC-QUE CHOISIR en
suppression des clauses abusives est dépourvue d’objet, lorsque les
clauses ou le contrat contesté ne sont plus proposés au consommateur
à la date où le juge statue.
Elle précise que, dans la mesure où il existe un acte positif
d’acceptation par l’utilisateur de chaque nouvelle version des
Conditions Générales, chaque utilisateur du service Apple Music est
actuellement soumis aux Conditions Générales (V5) et qu’il n’existe
pas d’utilisateur qui soit soumis aux versions antérieures des
Conditions Générales.
Elle en conclue que les versions V1, V2, V3 et V4 des Conditions
Générales ne peuvent faire l’objet d’une demande de suppression, ces
versions n’étant plus proposées ou destinés aux consommateurs.
L’association L’UFC-QUE CHOISIR fait valoir que l’action engagée
par l’UFC-QUE CHOISIR était, au jour de l’introduction de l’instance,
fondée sur la présence au sein des documents contractuels de la société
ADI de clauses abusives effectivement proposées aux consommateurs
à cette date.
Elle excipe de la directive 93/13 CEE du 05 avril 1993, des arrêts de la
CJUE notamment de la jurisprudence « Invitel » (CJUE 26 avril 2012,
aff. C-472/10) et de l’arrêt de la première chambre civile de la cour de
cassation du 26 avril 2017 n° 15-18.970 (Air France) permettant de
déclarer abusives des clauses stipulées dans un contrat alors même
qu’elles n’étaient plus proposées aux consommateurs.
Elle ajoute que l’objectif préventif et curatif de l’action en suppression
des clauses illicites ou abusives vise à prémunir la collectivité des
consommateurs contre l’utilisation par le professionnel de l’ensemble
de ces clauses, y compris celles qui sont supprimées en cours
d’instance. Elle en déduit que les prétentions des associations
concernant des clauses y compris celles relatives à des clauses qui ne
seraient plus applicables sont recevables, dès lors que la suppression est
postérieure à l’assignation.
Elle souligne que le code de la consommation a fait l’objet
d’importantes modifications rédactionnelles à l’occasion de l’adoption
de la loi du 17 mars 2014 (dite « loi HAMON ») – à l’occasion de
laquelle l’article L.421-6 (ancien) du code de la consommation a admis
que les associations peuvent demander que soient réputées non écrites,
y compris les clauses figurant dans des contrats qui ne sont plus
proposés aux consommateurs – et la loi 06 août 2015 (dite « Loi
Macron »).
Elle prétend que ces textes ont rappelé que les actions désormais
prévues aux articles L.621-2, L. 621-7 et L.621-8 (nouveaux) du code
de la consommation devaient s’appliquer à l’ensemble des versions des
contrats qui ont pu être proposés par les professionnels.
Elle en conclue que l’association UFC-QUE CHOISIR est recevable
dans l’intégralité de ses demandes, y compris celles relatives à des
clauses qui ne seraient plus applicables alors même que les
modifications ou suppressions de clauses sont postérieures à la date de
délivrance de l’assignation et soutient que l’examen par le juge les
clauses des versions V1, V2 et V3 est nécessaire malgré leur
remplacement par la V4.
Dans le présent débat sont en cause les contrats proposés par la société
ADI dans les versions des mois de juin 2015 (V1), mars 2016 (V2),
septembre 2016 (V3) et septembre 2018 (V4).
La société ADI et l’association UFC-QUE CHOISIR observent à juste
titre qu’une succession de modifications rédactionnelles ont affecté –
en l’espace de trois ans – la rédaction de l’article L.421-6 (ancien),
devenu l’article L.621-8 du code de la consommation par l’ordonnance
du 14 mars 2016 portant recodification du code de la consommation,
entrée en vigueur le 1er juillet 2016.
En effet, la loi du 17 mars 2014 (dite « loi Hamon ») a modifié le texte
de l’article L.421-6 en insérant en son sein un troisième alinéa, offrant
ainsi aux associations agissant dans le cadre d’une action en cessation
de l’illicite, la possibilité de solliciter du juge saisi que soit déclarée
« réputée non écrite » la clause incriminée dans « tous les contrats
identiques conclus par le même professionnel avec des
consommateurs », « y compris dans les contrats qui ne sont plus
proposés ». L’introduction de la sanction du « réputé non écrit » est la
traduction de la volonté du législateur français à se conformer à la
volonté du législateur européen. Au sens de l’article 6.1 de la directive
n 93/13/C o E du 05 avril 1993 – laquelle appréhendait l’ensemble des
contrats déjà conclus avec des consommateurs – la clause illicite ou
abusive visée par la critique ne lie pas le consommateur (« les États
membres prévoient que les clauses abusives (…) ne lient pas les
consommateurs, dans les conditions fixées par leurs droits nationaux,
et que le contrat restera contraignant pour les parties selon les mêmes
termes, s’il peut subsister sans les clauses abusives »).
La loi du 06 août 2015 (dite « loi Macron ») a pris en compte, mais
uniquement dans l’action en suppression de clauses illicite ou abusive,
les contrats en cours mais aussi ceux qui ne l’étaient pas ou ne l’étaient
plus, en modifiant la rédaction du deuxième alinéa de l’article L.421-6
dans un sens où elle permettait au juge d’ordonner la suppression d’une
clause « dans tout contrat ou tout type de contrat en cours ou non,
proposé ou destiné au consommateur », la même loi supprimant dans le
3ème alinéa, s’agissant de la sanction du « réputé non écrit », l’expression
« y compris dans les contrats qui ne sont plus proposés », qui avait été
introduite par la loi du 17 mars 2014.
L’ordonnance du 14 mars 2016 portant recodification à droit constant
du code de la consommation, entrée en vigueur le 1er juillet 2016, a,
sans modification de fond, créé un nouvel article L.621-8, remplaçant
le deuxième et le troisième alinéa de l’ancien article L.421-6 du code
de la consommation. Ce faisant, le remplacement de cet article par
L.621-8 s’est accompagné – s’agissant uniquement de l’action en
suppression des clauses illicites ou abusives (L.621-8 al.1) – d’une
modification de la formulation du texte, qui a substitué à l’expression
« en cours ou non », l’expression « dans tout contrat en cours
d’exécution ». La rédaction du deuxième alinéa du même article –
concernant la sanction du « réputé non-écrit » (nouvel article L.621-8
al.2) – est demeurée inchangée par rapport à celle qui figurait au
deuxième alinéa de L.421-6 (ancien) du code de la consommation.
Ainsi, l’actuel article L.621-7 du code de la consommation autorise les
associations agréées d’agir devant la juridiction civile pour faire cesser
ou interdire tout agissement illicite au regard des dispositions
transposant les directives mentionnées à l’article 1er de la directive
2009/22/ CE du Parlement européen et du Conseil du 23 avril 2009
(modifiée), relative aux actions en cessation en matière de protection
des intérêts des consommateurs, l’article L.621-8 du même code
ouvrant aux associations de consommateurs la possibilité de solliciter
du juge saisi d’ordonner, le cas échéant sous astreinte, la « suppression »
d’une clause illicite ou abusive « dans tout contrat ou type de contrat
proposé ou destiné au consommateur » (c’est-à-dire des contrats qui
n’ont pas fait encore l’objet d’une souscription par un consommateur)
ou « dans tout contrat en cours d’exécution » (cf. L.621-8 al.1) et de la
même manière (« également ») que soit déclarée « réputée non écrite »
cette clause « dans tous les contrats identiques » conclus par le même
professionnel avec des consommateurs (article L.621-8 al. 2).
De sorte que les associations de consommateurs peuvent désormais
solliciter du juge saisi dans le cadre de l’action en cessation de l’illicite,
en présence de clauses illicites ou abusives, l’application à ces clauses
de deux sanctions : la sanction de « suppression matérielle » d’une clause
jugée illicite ou abusive qui contraint le professionnel à procéder à son
retrait dans tout contrat en cours d’exécution (article L. 621-8 al. 1) et
la sanction du « réputé non écrit » de la clause dans tous les contrats
identiques conclus par le même professionnel avec des consommateurs
(article L.621-8 al. 2).
En l’espèce, la société ADI n’établit pas avoir substitué chaque
nouvelle version des conditions générales d’abonnement au service de
streaming à la précédente version. Elle ne prouve donc pas que les
versions antérieures ne sont plus applicables aux utilisateurs du service
ni que la société les ait informés des modifications affectant les
Conditions Générales de leur abonnement. Il en résulte que les contrats
souscrits, qui ne sont désormais plus proposés aux consommateurs
souscripteurs d’un abonnement auprès de la société ADI, peuvent
encore à ce jour être en cours d’exécution, les utilisateurs restant de ce
fait soumis aux conditions générales d’utilisation en vigueur à la date
de la conclusion de son contrat.
En conséquence, contrairement à ce que la société ADI prétend l’action
de l’association UFC-QUE CHOISIR n’est pas sans objet quant aux
clauses contenues dans des contrats qui ne sont plus proposés. Le
Tribunal examinera donc l’ensemble des versions des contrats les
conditions générales des contrats d’abonnement proposés par la société
ADI datées des mois de juin 2015 (V1), mars 2016 (V2), septembre
2016 (V3) et septembre 2018 (V4), même si ces contrats ne sont plus
proposés et ce, bien qu’ils soient antérieurs aux lois du 06 août 2015 et
à l’ordonnance du 14 mars 2016, ces textes n’ayant qu’un caractère
interprétatif et non créateur de nouveaux droits ou nouvelles
obligations.
La demande d’irrecevabilité formée par la société ADI portant
sur les demandes de l’UFC concernant les versions des
Conditions Générales qui ne sont plus proposés sera rejetée.
3. Sur l’irrecevabilité des demandes de l’association
prétendument non conformes au cadre procédural de
l’action en cessation d’agissements illicites défini par les
articles L.621-7 et L.621-8 du code de la consommation :
La société ADI prétend que les demandes de l’UFC-QUE CHOISIR
portant sur la clause 3 dite « clause de licence » dans les versions des
Conditions Générales V1, V2, V3, V4 ou V5, ainsi que les clauses
visant les documents relatifs à la protection des données personnelles,
ne sont pas recevables sur le fondement des articles L. 621-7 et L. 621-
8 du code de la consommation, car elles ne constituent pas des
agissements illicites contrevenant aux dispositions transposées des
directives mentionnées à l’article 1er de la directive 2009/22.
L’article L.621-7 du code de la consommation dispose que « les
associations mentionnées à l’article L.621-1 et les organismes justifiant
de leur inscription sur la liste publiée au Journal officiel de l’Union
européenne en application de l’article 4 de la directive 2009/22/ CE du
Parlement européen et du Conseil du 23 avril 2009 modifiée relative
aux actions en cessation en matière de protection des intérêts des
consommateurs, peuvent agir devant la juridiction civile pour faire
cesser ou interdire tout agissement illicite au regard des dispositions
transposant les directives mentionnées à l’article 1er de la directive
précitée. »
L’agissement illicite est au sens de l’article précité, l’agissement du
professionnel qui contrevient au droit européen de la consommation,
c’est-à-dire aux textes transposés en droit interne de l’une des
directives européennes visées par l’article 1er de la directive
2009/22/CE du 23 avril 2009 (modifiée) relative aux actions en
cessation en matière de protection des consommateurs. Dans la liste des
directives européennes visées par l’article 1er de la directive de 2009
figurent des directives dont les textes transposés en droit interne
trouvent application en l’espèce, soit en raison des demandes de
l’association UFC QUE-CHOISIR relatives à la suppression et à la
réputation non écrite de clauses illicites ou abusives, soit en raison de
la nature du service fourni par la société ADI.
Ainsi, constituent des « agissements illicites » au sens de l’article L.621-
7 de la consommation, les infractions commises par le professionnel
aux règles issues de la directive 93/13/CEE du Conseil du 05 avril 1993
(portant sur les clauses abusives dans les contrats conclus avec les
consommateurs) et transposées en droit interne.
Constituent également des « agissements illicites » les manquements du
professionnel aux dispositions transposées en droit interne, issus de la
directive 97/7/CE du Parlement et du conseil du 20 mai 1997
concernant la protection des consommateurs en matière de contrats à
distance, abrogée et remplacée par la directive 2011/83/UE du 25
octobre 2011 relative aux droits des consommateurs, modifiant la
directive 93/13/CEE du Conseil et la directive 1999/44/CE du
Parlement européen et du Conseil et abrogeant la directive 85/577/CEE
du Conseil et la directive 97/7/CE du Parlement européen et du Conseil,
soit les articles L.221-1 à L.221-7 du code de la consommation, le
service de streaming musical fourni par la société ADI aux
consommateurs utilisateurs français s’analysant en un contrat conclu à
distance.
De la même manière, le service mis en place par la société ADI
s’analysant comme un contrat de fourniture en ligne de services
numériques de streaming musical exploité par un opérateur via une
plate-forme en ligne, constituent des agissements illicites au sens de
l’article L.621-8 du code de la consommation, les atteintes portées par
le professionnel aux textes issus de la transposition en droit interne de
la « Directive sur le commerce électronique » 2000/31/CE du Parlement
et du Conseil du 08 juin 2000, relative à certains aspects juridiques des
services de la société de l’information et notamment du commerce
électronique dans le marché intérieur (la loi n° 2004-575 du 21 juin
2004 dite « loi pour la confiance dans l’économie numérique (LCEN) » ;
de l’ordonnance du 16 juin 2005 relative à l’accomplissement des
formalités contractuelles par voie électronique modifiant le chapitre VII
du Titre II du livre III du code civil, c’est-à-dire les articles 1325 à
1375, 1369-1 à 1369-11, devenus les articles 1125 à 1177 (nouveaux)
du code civil ; de la loi n° 2016-1321 du 07 octobre 2016 dite « La loi
pour une république numérique », portant notamment sur la loyauté des
plateformes et l’information des consommateurs, la protection de la vie
privée en ligne et la protection des données à caractère personnel, en
modifiant à cette occasion la loi n° 78-17 du 06 janvier 1978 dite Loi
Informatique et Libertés.
C’est ainsi que pèsent sur les opérateurs de plateformes en ligne en leur
qualité de responsables de traitement de données à caractère personnel
des obligations issues des textes précités mais également des
dispositions du RGPD (règlement général de protection des données
personnelles) du 27 avril 2016, transposées en droit interne par
l’ordonnance du 12 décembre 2018, laquelle a modifié la loi n° 78-17
du 06 janvier 1978 dite « Loi Informatique et Libertés ». Ces obligations
imposent au responsable du traitement une exigence de loyauté et de
transparence en matière de collecte et de traitement des données à
caractère personnel des personnes/utilisatrices des plateformes, en les
contraignant avant la collecte de leurs données à caractère personnel le
recueil du consentement éclairé des personnes/utilisatrices de la
plateforme.
De même, il est fait obligation aux plateformes en ligne de se
conformer aux règles protégeant les droits de propriété intellectuelle,
et plus spécialement les droits d’auteur, les contenus et données des
partenaires et d’utilisateurs risquant d’être affectés à l’occasion de
l’exploitation de l’activité des plateformes numériques.
La demande d’irrecevabilité formée par la société ADI, portant
sur la non-conformité au cadre procédural de l’action en
cessation d’agissements illicites défini par les articles L.621-7
et L.621-8 du code de la consommation, sera donc rejetée.
4. Sur l’irrecevabilité de la demande de l’association fondée
sur l’article L. 211-1 du code de la consommation :
La société ADI avance que L’UFC QUE-CHOISIR n’a pas d’intérêt à
agir sur le fondement de l’article L. 211-1 du code de la consommation,
qui constitue, selon elle, une simple règle d’interprétation des contrats
insusceptible de caractériser un agissement illicite au sens de l’article
1er de la directive 2009/22/CE précitée.
L’association UFC-QUE CHOISIR répond que le premier alinéa de
l’article L.211-1 du code de la consommation impose aux
professionnels de proposer aux consommateurs des clauses « présentées
et rédigées de façon claire et compréhensible » et précise qu’une clause
qui ne serait pas présentée de façon claire et précise doit être considérée
comme une clause illicite. Elle fait valoir que la règle d’interprétation
intervient à l’alinéa 2 selon lequel les clauses « s’interprètent en cas de
doute dans le sens le plus favorable au consommateur ».
L’article L. 211-1 du code de la consommation dispose que « les clauses
des contrats proposés par les professionnels aux consommateurs
doivent être présentées et rédigées de façon claire et compréhensible.
Elles s’interprètent en cas de doute dans le sens le plus favorable au
consommateur. Les dispositions du présent alinéa ne sont toutefois pas
applicables aux procédures engagées sur le fondement de l’article L.
621-8.
Un décret en Conseil d’État précise, en vue d’assurer l’information du
consommateur, les modalités de présentation des contrats mentionnés
au premier alinéa. »
L’obligation de clarté et de compréhensibilité est une obligation
transverse qui imprègne l’ensemble du droit de la consommation.
Elle est notamment contenue dans l’article L.211-1 du code de la
consommation, qui résulte d’une exigence issue du 20ème considérant
de la directive 93/13/CE du 05 avril 1993 (précitée) relative aux clauses
abusives, lequel indique que « les contrats doivent être rédigées en
termes clairs et compréhensibles ; (…) le consommateur doit avoir
effectivement l’occasion de prendre connaissance de toutes les clauses
et (…) en cas de doute, doit prévaloir l’interprétation la plus favorable
au consommateur » et de l’article 5 de la même directive. Cet article
formule la même exigence de clarté et de compréhensibilité dans la
rédaction des clauses des contrat à destination de consommateurs en ces
termes : « dans le cas ou des contrats dont toute ou certaines clauses
proposées au consommateur sont rédigées par écrit, ces clauses
doivent toujours être rédigées de façon claire et compréhensible. En
cas de doute sur le sens d’une clause, l’interprétation la plus favorable
prévaut. ».
C’est précisément l’article 5 de la directive précitée qui a été transposé
par la loi 95-96 du 1er février 1995 dans l’ancien article L.133-2,
devenu l’article L.211-1 du code de la consommation, figurant dans le
chapitre consacré à la présentation des contrats.
D’où il suit que – contrairement à ce que la société ADI prétend –
l’exigence de clarté et de compréhensibilité contenue dans l’article
L.211-1 est un impératif qui participe du dispositif de droit européen de
la consommation en matière de lutte contre les clauses abusives, tant il
est vrai que le consommateur ne peut consentir à une clause dont il n’a
pu prendre connaissance, parce qu’elle est matériellement illisible et/ou
parce que sa rédaction inintelligible rend difficile l’accès effectif au
contenu du contrat.
D’où il suit que la demande d’irrecevabilité formée par la
société ADI, fondée sur l’article L.211-1 du code de la
consommation, sera rejetée.
B. Sur le défaut d’intérêt à agir de l’association en défense de
l’intérêt collectif des consommateurs en leur qualité de
« personnes concernées » et d’ »auteur » :
La société ADI affirme que l’UFC- QUE CHOISIR ne dispose pas d’un
droit d’agir en relation avec tout type d’agissement qu’elle considère
comme illicite et qui contreviendrait à n’importe quelle règle du droit
français, quand bien même des consommateurs seraient concernés. Elle
soutient que dans la mesure où l’association agit dans l’intérêt collectif
des consommateurs, l’association UFC- QUE CHOISIR n’a pas
d’intérêt à agir au visa de la réglementation de protection des données
personnelles protégeant les personnes concernées ni au visa de
dispositions du code de la propriété intellectuelle protégeant les
auteurs.
Elle affirme qu’aucune disposition du RGPD et de la loi n° 78-17 du 06
janvier 1978 ne font partie des dispositions ayant vocation à transposer
en droit interne l’une des directives visées à l’article 1er de la directive
2009/22/CE. Selon la société, l’association UFC-QUE CHOISIR ne
dispose d’aucune habilitation légale lui permettant d’agir en défense de
l’intérêt collectif des auteurs et ne peut invoquer les dispositions de
l’article 31 du code de procédure civile pour fonder son intérêt à agir.
L’association UFC-QUE CHOISIR réplique que l’analyse menée par
la société ADI est fondée sur un découpage artificiel de la qualité de
consommateur, d’auteur et de personne concernée, selon lequel un
même individu, pris dans les liens d’un même contrat, ne pourrait être
à la fois un consommateur et un individu concerné par des questions
relatives au droit d’auteur ou à la protection de ses données
personnelles, la collecte et l’exploitation de données personnelles
faisant partie intégrante de l’ »expérience-utilisateur » et des rapports qui
s’établissent entre consommateurs et éditeurs de services numériques
tels qu’Apple Music.
Aux termes de l’article 31 du code de procédure civile l’action en
justice est ouverte à tous ceux qui ont un intérêt légitime au succès ou
au rejet d’une prétention, sous réserve des cas dans lesquels la loi
attribue le droit d’agir aux seules personnes qu’elle qualifie pour élever
ou combattre une prétention, ou pour défendre un intérêt déterminé.
L’article L.811-1 du code de la consommation prévoit que les
associations de défense des consommateurs peuvent être agréées après
avis du ministère public, les conditions dans lesquelles ces associations
peuvent être agréées compte tenu de leur représentativité sur le plan
national ou local ainsi que les conditions de retrait de cet agrément
étant fixées par décret.
L’article L.621-7 du code de la consommation par référence à l’article
L.621-1 du même code habilite les associations régulièrement déclarées
ayant pour objet statutaire explicite la défense des intérêts des
consommateurs, si elles ont été agréées à cette fin en application de
l’article L. 811-1, à agir devant la juridiction civile pour faire cesser ou
interdire tout agissement illicite au regard des dispositions transposant
les directives mentionnées à l’article 1er de la directive 2009/22/CE du
Parlement européen et du Conseil du 23 avril 2009 relative aux actions
en cessation en matière de protection des intérêts des consommateurs.
Ainsi les articles L.621-1 et L.621-7 du code de la consommation
autorisent les associations de consommateurs agréées à solliciter en
justice la cessation d’agissements illicites et la suppression de clauses
abusives ou illicites dans tout contrat ou type de contrat proposé ou
destiné à un consommateur, l’agissement illicite, au sens des articles
précités, n’étant pas nécessairement constitutif d’une infraction pénale.
En l’espèce, l’association UFC-QUE CHOISIR produit à l’appui de sa
demande le décret du 5 aout 2011 portant renouvellement de son
agrément pour cinq ans à compter du 22 septembre 2011. L’association
justifie ainsi de la condition d’agrément prévue par les articles L.621-1
et L.621-7 du code de la consommation.
Par ailleurs, pour que soient ouvertes aux associations de
consommateurs agréées les actions en cessation de l’illicite et en
suppression des clauses abusives ou illicites précitées, il suffit que le
contrat litigieux soit proposé ou destiné au consommateur.
Tel est le cas du contrat de fourniture d’un service de streaming
musical, lorsque l’utilisateur de ce service a la qualité de
« consommateur » au sens de l’article liminaire du code de la
consommation, soit une personne physique agissant à des fins n’entrant
pas dans le cadre de son activité commerciale, industrielle, artisanale,
libérale ou agricole. Pour assurer la satisfaction de ses besoins
personnels, la personne physique à laquelle est fait référence dans
l’article liminaire précité est amenée à conclure des contrats avec un
professionnel.
En l’espèce, les contrats de consommation dans les liens desquels le
consommateur de services numériques fournis en ligne se trouve, sont
régis notamment par le droit commun des contrats – les plateformes ne
sauraient échapper au droit civil, leur activité reposant sur la conclusion
de contrat avec chacun de leurs utilisateurs – le droit de la
consommation mais également par des dispositions spécifiques
régissant l’activité des plateformes qui distribuent ces services en ligne
(cf. infra).
Les dispositions spécifiques destinées à protéger les droits
fondamentaux de l’utilisateur consommateur de ces services et celles
destinées à protéger son droit d’auteur, lorsque des clauses du contrat
qu’il a conclu sont susceptibles d’y porter atteinte ont également
vocation à s’appliquer. La qualité de consommateur n’est donc pas
exclusive de la qualité d’utilisateur, de personne concernée ou d’auteur,
lorsque les clauses d’un contrat rédigé par un professionnel qu’il
souscrit, mettent en jeu des règles relatives à la protection de ses
données à caractère personnel et à la protection de son droit d’auteur,
les opérateurs des plateformes en ligne devant se conformer à
l’ensemble de ces règles.
Au surplus, la présence d’une clause dans un contrat qui porterait
atteinte à la protection dont pourrait bénéficier le consommateur
(notamment RGPD ou protection des droits de la propriété
intellectuelle) peut conduire le consommateur à se méprendre sur
l’étendue de ses droits et créer de ce fait un déséquilibre de la
convention en sa défaveur au sens de l’article L.212-1 du code de la
consommation.
D’où il suit, que l’association UFC QUE-CHOISIR, a qualité
pour agir dans la présente instance. Elle est recevable dans son
action en cessation ou interdiction des agissements illicites
telles que mentionnés à l’article L.621-7 du même code et
visant au sens de l’article L.621-8 la suppression ou le « réputé
non écrit » des clauses abusives ou illicites présentes dans les
« Conditions générales » de la société ADI.
II. SUR LE FOND :
Dans le présent débat au fond, l’association UFC-QUE CHOISIR
développe son argumentaire critique en trois parties :
– Une première partie concerne le prétendu caractère abusif et/ou
illicite des clauses des conditions d’utilisation du service de
streaming ;
– Une seconde porte sur la violation alléguée des règles de
protection des données à caractère personnel ;
– La troisième partie intéresse l’absence d’application des règles
gouvernant la propriété intellectuelle.
À titre liminaire, il sera observé que les clauses critiquées par
l’association UFC-QUE CHOISIR sont extraites des « Conditions
Générales » régissant l’utilisation du service de streaming musical en
ligne proposé aux utilisateurs français dans leurs versions V1 (30 juin
2015), V2 (mars 2016), V3 (13 septembre 2016), V4 (septembre 2018)
et V5 (mai 2019) et de l’ »Engagement de confidentialité » d’ADI du 12
septembre 2016, de mai 2018 et du 09 mai 2019, ainsi que les pages
« web » issues de l’adresse https://support.apple.com (mai et septembre
2018). Les documents produits au débat se présentent sous la forme
d’un texte compact, dont les paragraphes, identifiés quelquefois par un
titre en lettres majuscules, ne sont jamais pas numérotés. La
numérotation des « clauses » critiquées par l’association – lorsqu’elle
existe (uniquement pour la partie I des critiques) – reprend l’appellation
formulée par l’association, cette appellation étant reprise par la société
ADI. Les clauses critiquées relatives à la « Politique de confidentialité »
de la société ADI reprend l’ordre des critiques exposées par
l’association, cette identification par numéro de grief étant reprise par
la société ADI.
S’agissant des « clauses » critiquées par l’association, elles se résument
souvent en une phrase extraite d’un paragraphe et ne concernent pas le
paragraphe en son entier. Toutefois, en application de l’article L.212.1
du code de la consommation, le caractère abusif d’une clause s’apprécie
par référence, au moment de la conclusion du contrat, non seulement
à toutes les circonstances qui entourent sa conclusion, mais également
au regard de toutes les autres clauses du contrat et de toutes celles qui
seraient contenues dans un autre contrat, lorsque les deux contrats sont
juridiquement liés dans leur conclusion ou leur exécution.
Par ailleurs, l’association sollicite de la juridiction que certaines clauses
soient supprimées ou réputées non écrites et demande que soient en
outre ordonnée la « modification » ou selon les clauses la « nullité » voire
l’ »inopposabilité » de ces clauses jugées illicites et/ou abusives.
Or, l’action en cessation des agissements illicites ouverte aux
associations de consommateurs par les articles L.621-7 et L.621-8 du
code de la consommation, qui permet à ces dernières de solliciter du
juge saisi que soit ordonnée la suppression de clauses jugées illicites ou
abusives dans tout contrat ou type de contrat proposé ou destiné au
consommateur ou dans tout contrat en cours d’exécution et qu’elles
soient réputées non écrite dans tous les contrats identiques conclus par
le même professionnel avec des consommateurs, ne permet pas au juge
d’ordonner la « modification », la « nullité » voire l’ »inopposabilité » aux
consommateurs des dispositions d’un contrat conclu entre un
professionnel et un consommateur.
De sorte que la « modification » la « nullité » voire l’ »inopposabilité » de
dispositions, même jugées illicites et/ou abusives, ne figurant pas au
rang des sanctions susceptibles d’être invoquées sur le fondement des
articles précités, les demandes de l’association formulées à cette fin,
infondées juridiquement, seront donc rejetées.
A. Sur le prétendu caractère abusif et/ou illicite des clauses
des conditions d’utilisation du service de streaming :
1. Sur l’absence de clarté et de compréhensibilité de certaines
clauses :
L’association affirme que les conditions contractuelles proposées par
la société ADI aux utilisateurs du service ne respectent pas l’impératif
de clarté et de compréhension requis par l’article L.211-1 du code de
la consommation ; elle sollicite la suppression et/ou la modification des
clauses critiquées.
Selon la société ADI les demandes de l’association, qui ne visent plus
que les clauses n° 1 à 7 des Conditions Générales V1 à V4 sont
infondées, les clauses critiquées étant rédigées de manière claire et
compréhensible.
a) Sur la clause n° 1 :
Clause n° 1 : EXCLUSION DE GARANTIES ; LIMITATIONS DE
RESPONSABILITÉ (V1 (30 juin 2015), V2 (mars 2016), V3 (13
septembre 2016), V4 (septembre 2018) et V5 (mai 2019) :
iTunes fournira le Service Apple Music avec diligence et dans le respect
des règles de l’art. iTunes ne donne aucun autre engagement ni aucune
autre garantie concernant le Service Apple Music et, en particulier, ne
garantit pas que :
(…)
Sauf dans les cas indiqués au paragraphe (d) ci-dessous ou dans le cas
où vous exercez un droit à remboursement ou à compensation qui vous
est conféré par la loi, iTunes, ses dirigeants, cadres, salariés, membres
affiliés, agents, contractants ou concédants de licence ne pourront en
aucun cas être tenus pour responsables de perte ou dommage causé par
iTunes, ses salariés ou agents lorsque :
il n’y a pas manquement à une obligation légale de précaution envers
vous de la part d’iTunes ou de ses salariés ou agents ;
cette perte ou ce dommage ne constitue pas une conséquence
raisonnablement prévisible d’un tel manquement ;
toute aggravation de cette perte ou ce dommage résulte d’un
manquement de votre part, de quelque nature que ce soit, à l’une des
dispositions du présent Contrat ;
cette perte ou ce dommage résulte de la décision prise par iTunes, au
cours de l’enquête sur une violation présumée du présent Contrat ou
après le constat par iTunes qu’une violation du présent Contrat est
intervenue, de supprimer ou de refuser de traiter une information ou un
contenu, de vous avertir, de suspendre ou de résilier votre accès au
Service Apple Music ou de prendre toute autre mesure ; ou
cette perte ou ce dommage résulte d’une perte de revenu, d’activité ou
de bénéfice ou d’une perte ou une corruption de données en relation
avec votre utilisation du Service Apple Music.
(…)
Aucune disposition du présent Contrat n’exclut ni ne limite la
responsabilité d’iTunes en cas de fraude, de faute lourde, de faute
volontaire, de mort ou de préjudice corporel.
(…)
L’association UFC-QUE CHOISIR reproche à la clause portant sur les
exclusions de garanties et les limitations de responsabilité dans ses
versions V2 à V5 de n’être pas claire et compréhensible.
Elle critique l’emploi de termes vagues et d’expressions imprécises ne
permettant pas à l’utilisateur/consommateur de connaître l’engagement
de la société ADI sur la qualité du service qu’il propose.
Elle prétend que le régime de responsabilité présenté dans la clause par
la société ADI ne peut se comprendre qu’au prix d’une lecture
combinant la première et la dernière phrase de la clause et d’un
raisonnement qui n’est pas accessible à l’ensemble des consommateurs.
Elle fait valoir que la société ADI met à la disposition des utilisateurs
une prestation de service à distance d’écoute musical en streaming via
son logiciel iTunes et précise que la personne qui exerce cette activité
encourt à l’égard de l’utilisateur une responsabilité de plein droit, dont
elle ne peut s’exonérer qu’en apportant la preuve que l’inexécution ou
la mauvaise exécution du contrat ne lui est pas imputable, parce qu’elle
est le fait de l’acheteur, le fait d’un tiers étranger à la fourniture des
prestations prévues au contrat présentant un caractère imprévisible et
insurmontable, soit à un cas de force majeure.
Elle souligne que le régime de responsabilité, prévu à l’article 15 de la
LCEN (Loi pour la Confiance dans l’Économie Numérique) du 02 juin
2004, est rappelé à l’article L.221-15 du code de la consommation.
Elle critique le fait que la clause ne reprenne pas ce régime de
responsabilité et qu’elle laisse croire à l’utilisateur que la société ne
pourrait pas voir sa responsabilité engagée vis-à-vis de lui.
Elle précise que la responsabilité de plein droit ne permet pas au
présumé responsable de s’exonérer en fonction de la nature de la faute.
La société ADI répond que l’association UFC-QUE CHOISIR fait une
lecture erronée de cette clause qui ne prévoit aucune limitation de
responsabilité contraire au droit de la consommation.
Elle fait valoir que les points (i) à (v) n’excluent pas sa responsabilité
de façon illicite ; ils rappellent au contraire les principes généraux de
la responsabilité contractuelle (réparation du dommage prévisible,
exception d’inexécution) qui s’appliquent indifféremment du fait qu’il
s’agisse ou non d’une responsabilité de plein droit.
Elle ajoute que le point b) de la clause mentionne le cas où le
consommateur exerce un droit à remboursement ou à compensation qui
lui est conféré par la loi, les limitations de responsabilité d’ADI ne
s’appliquant pas dans une telle hypothèse.
Elle en déduit que les « exclusions de garantie » ne remettent en cause
ni les principes et exceptions prévus par l’article L.221-15 du code de
la consommation ni les principes figurant dans le paragraphe b) de la
clause 1.
Elle prétend que la clause critiquée est claire et compréhensible et
avance que l’énumération des cas de limitation de responsabilité de la
société au sein de la clause est plus simple pour le consommateur, qui
peut déduire à partir des cas non prévus par la clause, la possibilité pour
lui d’engager la responsabilité de ADI dans le cadre de la fourniture du
service, la notion de responsabilité de plein droit étant un concept
difficilement compréhensible pour le profane.
Aux termes de l’article L.211-1 du code de la consommation, les
clauses des contrats proposés par les professionnels aux consommateurs
doivent être présentées et rédigées de façon claire et compréhensible.
Le second alinéa du même article prévoit qu’en cas de doute les clauses
s’interprètent dans le sens le plus favorable au consommateur tout en
excluant que ces dernières dispositions s’appliquent aux procédures
engagées sur le fondement de l’article L.621-8 du code de la
consommation, ce qui est le cas en l’espèce.
L’article L.221-1 du même code qualifie de contrat à distance, tout
contrat conclu entre un professionnel et un consommateur, dans le
cadre d’un système organisé de vente ou de prestation de services à
distance, sans la présence physique simultanée du professionnel et du
consommateur, par le recours exclusif à une ou plusieurs techniques de
communication à distance jusqu’à la conclusion du contrat (article L.
221-1, I, 1°)). Aux termes du même article, les dispositions du Titre
« Règles de formation et d’exécution du contrat de certains contrats »
(dont le contrat conclus à distance), s’appliquent au contrat en vertu
duquel le professionnel fournit ou s’engage à fournir un service au
consommateur en contrepartie duquel le consommateur en paie ou
s’engage à en payer le prix (article L.221-1, II).
L’article L.221-5 prévoit que, préalablement à la conclusion d’un
contrat de fourniture de services, le professionnel communique au
consommateur, de manière lisible et compréhensible, les informations
prévues aux articles L.111-1 et L.111-2, 1°).
Aux termes de l’alinéa 1er de l’article L.111-1 du code de la
consommation, le professionnel doit communiquer de manière lisible
et compréhensible au consommateur, avant qu’il ne soit lié par un
contrat de fourniture de services, les caractéristiques essentielles du
service. Compte tenu du support de communication utilisé et du service
concerné, les dispositions des articles L.111-1 s’appliquent sans
préjudice des dispositions particulières en matière d’information des
consommateurs propres à certaines activités (article L.111-3 du code
de la consommation).
L’article L.221-15 du code de la consommation institue à la charge du
professionnel une responsabilité de plein droit à l’égard du
consommateur quant à la bonne exécution des obligations résultant du
contrat conclu à distance, que ces obligations soient exécutées par le
professionnel qui a conclu ce contrat ou par d’autres prestataires de
services, sans préjudice de son droit de recours contre ceux-ci.
Dans le présent débat, la clause n° 1 dans ses versions V2, V3, V4 et
V5 se présente sous la forme de 5 paragraphes identifiées par les lettres
minuscules (a), (b), (c), (d), (e), dont seules les paragraphes (a), (b) et
(d) sont visées par la critique. Les paragraphes critiqués (a) et (b) sont
subdivisés en 2 sous-parties pour le paragraphe (a) et 5 sous-parties
pour le paragraphe (b), identifiées par les lettres (i) et (ii) pour le
paragraphe (a) et [(i) à (v)] pour le paragraphe (b).
La première phrase du paragraphe (a), aux termes duquel « iTUnes »
(version V2), Apple (V3, V4, V5), fournira le « Service Apple Music »
(V2), « le Service » (V3, V4, V5) « avec diligence et dans le respect des
règles de l’art », constitue une introduction aux limitations de
responsabilité que la société iTunes devenue ADI (Apple) entend
opposer à l’utilisateur du service de streaming musical.
La seconde phrase du même paragraphe indique ce que « iTunes » (V2)
puis « Apple » (V3, V4, V5) entendent ne pas prendre en charge au titre
des « pertes et dommages » que la société serait susceptible de causer à
l’utilisateur et annonce ce que « en particulier » iTunes (Apple) « ne
garantit pas ».
Suivent alors deux hypothèses, identifiées (i) et (ii), non critiquées par
l’association, qui prévoient, en substance, l’absence de « garantie » de
la société quant à la fourniture du service en cas d’interruption,
suspension de service qui seraient due à des opérations de maintenance
ou aux atteintes à la sécurité du Service constituant pour la société des
événements de force majeure.
Le second « paragraphe (b) » est introduit par la préposition « Sauf » (cf.
« sauf dans les cas indiqués au paragraphe (d) ci-dessous »).
Cette préposition renvoie le lecteur/utilisateur au « paragraphe (d) »,
lequel ne donne en première lecture aucune précision sur ce que la
société « garantirait » ou ne « garantirait pas » ou sur les circonstances
qui permettraient à la société d’accueillir ou de dénier à l’utilisateur la
possibilité de mettre en jeu une quelconque « garantie », le « paragraphe
(d) » se contentant d’affirmer qu’aucune « disposition du présent contrat
n’exclut ni ne limite la responsabilité d’Itunes (Apple) en cas de fraude,
de faute lourde, faute volontaire, de mort ou de préjudice corporel ».
Arrivé à ce stade de lecture, l’utilisateur risque de supposer qu’il s’agit
là de sa propre mort ou de son propre préjudice corporel, sans être bien
certain de qui pourrait émaner les fraudes, faute lourde ou faute
volontaire évoquées par la clause.
C’est seulement en reprenant la lecture, là où il l’avait laissée (pour
rappel, « Sauf dans les cas indiqués au paragraphe (d) ») – le lecteur
ayant dû par ce renvoi au paragraphe (d) s’abstraire d’une lecture
continue du texte de la clause -, qu’il peut éventuellement mesurer – à
condition toutefois qu’il soit doté de quelques rudiments de culture
juridique -, qu’est ici formellement posé le principe d’irresponsabilité
de la société iTunes, ses dirigeants, cadres, salariés, membres affiliés,
agents, contractants ou concédants de licence d’iTunes, en cas de perte
et dommage causé par la société (cf. « iTunes, ses dirigeants, (…) ne
pourront en aucun cas être tenus pour responsables de perte ou
dommage causé par iTunes, ses salariés ou agents lorsque : »).
L’évocation subséquente d’une série de 5 hypothèses numérotées de (i)
à (v), portant toutes sur des restrictions à la mise en jeu de la
responsabilité des personnages et des sociétés susmentionnés,
parachève la construction du système d’exonération mis en place, en
laissant entendre que leur responsabilité ne pourra être mise en cause,
lorsqu’ils auront causé un dommage, lorsqu’ils observent une
« obligation légale de précaution », ou lorsque le dommage ne « (…)
constitue pas une conséquence raisonnablement prévisible », (lorsque)
« l’aggravation de cette perte ou ce dommage résulte d’un manquement
de (l’utilisateur) ou lorsque la « perte ou (le) dommage résulte de la
décision prise par iTunes (…) de supprimer ou de refuser de traiter une
information ou un contenu, d’avertir (l’utilisateur), de suspendre ou de
résilier (son) accès au Service Apple Music ou de prendre toute autre
mesure. »
De sorte qu’en fragmentant les informations relatives à l’exonération
de la responsabilité de la société, de ses dirigeants, salariés, agents et
contractants ou concédants, en disséminant des informations
parcellaires au sein de la clause dans différents paragraphes et
subdivisions de paragraphes, en contraignant de ce fait l’utilisateur à
une lecture discontinue de la clause, en le contraignant à un
raisonnement a contrario, en utilisant une terminologie non adaptée
aux circonstances entourant la conclusion et l’exécution d’un contrat
de fourniture de services numériques, en ayant recours à des
expressions imprécises et restrictives (cf. « en particulier », s’agissant de
l’absence de garantie de continuité du service promis), de formulations
vagues et non-définies dans les Conditions Générales (« diligence »,
« respect des règles de l’art »), qui seules détermineraient l’engagement
par l’utilisateur de la responsabilité des personnes physiques ou
morales désignées par la clause, en ayant recours à des formulations
obscures (« une conséquence raisonnablement prévisible ») ou en faisant
référence à des obligations légales non déterminées (« vous exercez un
droit à remboursement ou à compensation qui vous est conféré par la
loi » ; « obligation légale de précaution »), la clause n’est ni claire ni
compréhensible au regard des articles du code de la consommation
précités.
De sorte qu’en rendant cette clause inintelligible pour l’utilisateur, la
société ADI ne permet pas à l’utilisateur d’accéder au contenu effectif
du contrat et notamment aux exonérations de responsabilité de
l’opérateur.
D’où il suit qu’en laissant croire à l’utilisateur – qui serait allé au bout
de la lecture et de la compréhension de la clause – qu’il ne pourrait
engager la responsabilité de la société, de ses salariés et autres sociétés
et individus cités par la clause qu’en cas de fraude, faute lourde ou de
faute volontaire, voire en cas de mort de l’utilisateur ou de dommages
corporels subis par lui, alors qu’il n’existe au bénéfice de l’utilisateur
aucune restriction de responsabilité de nature équivalente dans les
conditions générales produites au débat, la clause crée un déséquilibre
significatif au détriment de l’utilisateur consommateur au sens de
l’article L.212-1 du code de la consommation,.
En conséquence, la clause n° 1 des Conditions Générales du Service
d’ADI dans ses versions V2, V3, V4, V5, illicite au regard des articles
L. 211-1, L. 221-5, L. 221-15 du code de la consommation, est abusive
au sens de l’article L. 212-1 du code de la consommation. Elle sera
donc réputée non écrite.
b) Sur la clause n° 2 : « autres stipulations » – DIVERS des
versions V1 (30 juin 2015), V2 (mars 2016), V3 (13
septembre 2016), V4 (septembre 2018) et V5 (mai 2019) :
Clause n° 2 : « autres stipulations » (V1) :
DIVERS : iTunes ne sera pas tenu responsable en cas d’impossibilité
de s’acquitter de ses obligations en raison de faits indépendants de sa
volonté.
Clause « autres stipulations » (V2/V3/V4/V5) :
DIVERS : Apple ne sera pas tenue responsable en cas d’impossibilité
de s’acquitter de ses obligations en raison de faits échappant à son
contrôle.
L’association UFC-QUE CHOISIR prétend que cette clause est illicite.
Elle avance que dans le cadre de la responsabilité de plein droit qui lui
incombe, la société ADI doit répondre de tout manquement, sauf à
justifier du fait imprévisible et insurmontable d’un tiers au contrat, ou
de la survenance d’un cas de la force majeure et ajoute que la société
ADI s’octroie un droit d’interprétation, qui lui permet d’éluder sa
responsabilité à l’égard de l’utilisateur.
Elle fait valoir que des évènements « échappant au contrôle » de la
société ne peuvent être cause d’exonération d’un régime de
responsabilité de plein droit.
Elle souligne qu’en sa qualité de responsable de traitement la société
ADI, est tenue d’une responsabilité de plein droit quant aux failles de
sécurité susceptible d’affecter son système d’exploitation.
Elle précise que le régime de responsabilité de plein droit ne vise pas
à ce que le préjudice subi par le consommateur/utilisateur soit
nécessairement imputable à la société ADI, mais que le consommateur
dispose d’un interlocuteur réparant son préjudice, à charge pour le
professionnel d’exercer des recours dans les cas où elle serait tenue
d’indemniser ses utilisateurs pour un dommage trouvant sa justification
dans une faute qui ne serait pas de son fait.
La société ADI réplique que l’expression « faits indépendants
échappant à son contrôle » fait référence à des faits qui ne sont pas
imputables à Apple mais à une autre personne (le consommateur ou un
tiers) ou dans un cas de force majeure. Elle concède que l’expression
utilisée dans la clause n° 2 des Conditions Générales V4 ne reprend pas
les termes de l’article L.221-15 du code de la consommation et de
l’article 15.1 de la LCEN et que la rédaction est « elliptique », mais plus
simple et plus compréhensible pour le consommateur (conclusions
société ADI, page p. 68). Elle ajoute qu’il n’est pas exigé par la loi que
les contrats répliquent à la lettre les articles du code, dès lors qu’ils ne
font pas apparaître de différence substantielle ou d’incompatibilité avec
ceux-ci. Elle conclue que le contenu de la clause critiquée est
parfaitement conforme aux trois cas d’exonération prévus par l’article
L.221-15 du code de la consommation.
Aux termes de l’article L.221-15 du code de la consommation, le
professionnel est responsable de plein droit à l’égard du consommateur
de la bonne exécution des obligations résultant du contrat qu’il a conclu
à distance avec le consommateur, que ces obligations soient exécutées
par lui-même ou par d’autres sociétés prestataires de services, sans
préjudice de son droit de recours contre celles-ci. Toutefois, le
professionnel peut s’exonérer de tout ou partie de sa responsabilité s’il
apporte la preuve que l’inexécution ou la mauvaise exécution du contrat
est imputable au consommateur lui-même, à un fait, imprévisible et
insurmontable d’un tiers au contrat ou à un cas de force majeure, c’està-
dire à un événement présentant un caractère imprévisible lors de la
conclusion du contrat et irrésistible au moment de son exécution.
Ainsi, en instituant une responsabilité de plein droit pesant sur le
professionnel vis-à-vis du consommateur du fait de l’inexécution ou la
mauvaise exécution des obligations nées du contrat, qu’il ait exécuté
lui-même les prestations ou qu’il ait eu recours à des tiers pour les
réaliser, l’article L.221-15 du code de la consommation organise au
profit du consommateur un principe de responsabilité contractuelle du
fait d’autrui.
En l’espèce, la clause dans les versions V1, V2/V3/V4/V5 affirme que
iTunes (V1) ou Apple, (V2 à V5) ne sera pas tenu responsable en cas
d’impossibilité de s’acquitter de ses obligations en raison de « faits
indépendants de sa volonté » (V1) ou de faits « échappant à son
contrôle » (V2à V5).
En se bornant à n’envisager que les « faits indépendants de sa volonté »
ou les » faits échappant à son contrôle », en restreignant par suite la
mise en jeu par l’utilisateur de sa propre responsabilité aux seuls faits
volontaires et contrôlables qui lui seraient imputables – qui exclurait sa
responsabilité dans les situations de défaillance technique ou de faille
de sécurité de son système d’exploitation -, en omettant d’indiquer que
la société ADI est responsable des prestations qu’elle exécute mais
également de celles dont elle a confié l’exécution à des tiers, la clause
fait échec aux dispositions impératives de l’article L.221-15 du code de
la consommation. Elle est donc illicite au sens de l’article L.221-15 du
code de la consommation.
L’association UFC-QUE CHOISIR affirme que cette clause ne respecte
pas l’exigence de clarté et de compréhensibilité prévue par les
dispositions de l’article L.211-1 du code de la consommation, sans
démontrer en quoi cette clause critiquée enfreindrait ces dispositions.
Elle sera donc déboutée de ce chef.
Par conséquent la clause n° 2, dans les versions V1 (30 juin
2015), V2 (mars 2016), V3 (13 septembre 2016), V4 (septembre
2018) et V5 (mai 2019), illicite au sens de l’article L.221-15 du
code de la consommation, sera donc réputée non écrite.
c) Sur la « clause d’indivisibilité » (clause n° 3 des versions V1
(30 juin 2015), V3 (13 septembre 2016), V4 (septembre 2018) et
V5 (mai 2019)) :
DIVERS : Si une disposition du présent Contrat est considérée nulle ou
non opposable, cette disposition sera interprétée conformément au droit
applicable afin de se rapprocher au mieux de la commune intention des
parties, et les autres stipulations resteront en vigueur.
L’association UFC prétend que la clause ne permet pas à l’utilisateur
d’appréhender les situations dans lesquelles le contrat peut être annulé,
la société ADI écartant l’anéantissement du contrat dans l’hypothèse où
une clause viendrait à être déclarée « nulle ou non opposable » sans
distinguer selon que la clause est une clause essentielle du contrat ou
non. Elle fait valoir qu’en instaurant une clause d’indivisibilité
contractuelle sans distinguer les clauses portant sur les obligations
essentielles du contrat des clauses portant sur des obligations
accessoires, la société ADI méconnait l’article 1184 du code civil et la
directive communautaire n°93/13/CE. Selon l’association, ce manque
de clarté entacherait la clause d’illégalité au regard de l’article L.221-1
du code de la consommation et priverait le consommateur d’une option
d’anéantissement du contrat.
La société ADI réfute le caractère indivisible affectant la clause,
puisqu’au contraire cette clause prévoit la divisibilité du contrat et le
maintien du reste du contrat en cas d’annulation d’une clause. Elle
ajoute que les actions fondées sur des dispositions qui ne sont pas
susceptibles d’être invoquées pour fonder une action en cessation
d’agissement illicite portée par une association de consommateurs ne
sont pas recevables. Il en est ainsi, selon la société, de l’action fondée
sur l’article 1184 du code civil.
Elle fait valoir que l’article 6 de la directive 93/13/CEE du 05 avril
1993 portant sur les clauses abusives dans les contrats conclus avec les
consommateurs évoque la persistance du caractère contraignant du
contrat pour les parties lorsqu’il peut subsister sans les clauses
abusives. Elle précise que l’article L.241-1 du code de la consommation
prévoit de la même manière que le contrat reste applicable dans toutes
ses dispositions autres que celles qui ont été jugées abusives si ce
contrat peut subsister sans ces clauses. Elle excipe d’un arrêt de la
CJUE du 15 mars 2012, Jana Perenicova et Vladislav Perenic, C-
453/10, affirmant que l’objectif poursuivi par le législateur de l’Union
dans le cadre de la directive 93/13 consiste à rétablir l’équilibre entre
les parties, tout en maintenant, en principe, la validité de l’ensemble
d’un contrat, et non pas à annuler tous les contrats contenant des
clauses abusives.
En l’espèce, la clause incriminée évoque l’hypothèse où certaines
clauses du contrat puissent être « considérée nulle ou non opposable »,
les « autres stipulations rest(ant) en vigueur ».
L’article L.241-1 du code de la consommation prévoit que le contrat
reste applicable dans toutes ses dispositions autres que les clauses
abusives réputées non écrites lorsque ce contrat peut subsister sans ces
clauses, toute stipulation contractuelle contraire contreviendrait aux
dispositions impératives de ce même article.
Tel est le cas envisagé par la clause n° 3 des Conditions Générales du
contrat de service de streaming exploité par la société ADI, qui ne
contrevient pas aux dispositions de l’article précité.
En conséquence, sans qu’il soit nécessaire de poursuivre la
discussion sur les autres moyens échangés entre les parties à
ce sujet, la clause n° 3 des Conditions Générales n’étant pas
illicite au regard de l’article L.241-1 du code de la
consommation, il ne sera pas fait droit à la demande de l’UFC
QUE CHOISIR concernant la suppression de cette clause dans
l’intégralité de ses versions critiquées. Sa demande sera donc
rejetée.
2. Sur le caractère illicite et/ou abusif de certaines clauses :
a) Sur le caractère illicite de la clause n° 5 dans ses
versions V1 (30 juin 2015), V3 (13 septembre 2016), V4
(septembre 2018) et V5 (mai 2019), relative à l’envoi par
l’utilisateur de contenu sur les Services :
Clause 5 version V1 (30 juin 2015) :
ENVOI DE CONTENU AU SERVICE APPLE MUSIC :
Le contenu envoyé au Service Apple Music est soumis aux instructions
suivantes (les « Instructions »), qui peuvent être mises à jour de temps
à autre. […]
Vous n’êtes pas autorisé à utiliser le Service Apple Music aux fins de :
– publier du contenu répréhensible, injurieux ou préjudiciable, y
compris, notamment, du contenu illicite, diffamatoire, menaçant,
calomnieux, abusif, violent, obscène, vulgaire, portant atteinte à la vie
privée d’autrui, haineux, incitant au racisme ou à la ségrégation
ethnique, ou autrement répréhensible ;
Clause 5 version V3 (13 septembre 2016), V4 (septembre 2018)
et V5 (mai 2019) :
C. VOS ENVOIS SUR NOS SERVICES :
Nos services peuvent vous permettre d’envoyer des éléments tels que
des commentaires, des photos, des vidéos et des podcasts (y compris les
métadonnées et illustrations associées). Votre utilisation de ces
fonctionnalités doit respecter les instructions d’envoi ci-dessous, qui
peuvent être mises à jour périodiquement. Si vous voyez des éléments
qui ne sont pas conformes aux instructions d’envoi, utilisez la fonction
Signaler un Problème. Vous concédez par les présentes à Apple une
licence mondiale, gratuite, perpétuelle et non-exclusive pour utiliser les
éléments que vous soumettez dans les services et à des fins marketing.
Apple peut contrôler et décider de supprimer ou de modifier tout
élément envoyé Instructions d’envoi : Vous ne pouvez pas utiliser les
services pour :
– publier du contenu répréhensible, injurieux, illicite, trompeur ou
préjudiciable ;
Pour l’UFC-QUE CHOISIR la clause, dans toutes les versions
contestées, est illicite au sens de l’article L.211-1 du code de la
consommation, du fait de son imprécision. Elle est également abusive
au regard de l’article R.212-1 4°) du même code car elle permet à la
société ADI d’interpréter discrétionnairement l’existence d’un
agissement contraire aux dispositions contractuelles et d’imposer les
sanctions prévues au contrat.
L’association ajoute que la société ADI peut mettre à jour la liste de ces
agissements » de temps à autre » (version de 2015) ou « périodiquement »
(version de 2016), sans prévoir d’information préalable de l’utilisateur.
La société ADI expose qu’Apple Music permet aux utilisateurs via son
service « Connect » de mettre en ligne des commentaires portant sur des
publications postées par des artistes, et d’associer des images à des
playlists ou des profils d’utilisateurs. Elle précise que cette faculté
d’expression publique est similaire à celle que l’on peut trouver sur des
réseaux sociaux, tout en étant plus limitée, et qu’elle est susceptible
d’être employée par des utilisateurs mal intentionnés, ou
insuffisamment attentifs, pour mettre en ligne des contenus (textes,
photos, liens vers des sites) répréhensibles. Elle fait valoir que la
société ADI doit protéger ses utilisateurs – et en particulier les plus
jeunes – contre des utilisateurs qui posteraient des commentaires
répréhensibles ou abusifs.
Elle affirme qu’en fixant des règles de publication et en excluant
l’envoi ou la publication de tout contenu « répréhensible, injurieux,
illicite, trompeur ou préjudiciable » (V3, V4, V5), la clause n° 5
incriminée précise à l’utilisateur les conditions d’utilisation du service
d’envoi de contenu.
Elle soutient que les termes incriminés par l’association UFC-QUE
CHOISIR (« contenu répréhensible, injurieux (…) ou préjudiciable ») ne
sont pas vagues car ils trouvent une définition dans le dictionnaire,
voire dans le code pénal.
Elle ajoute que le consommateur évoluant dans un environnement
numérique, régulièrement confronté à des contenus susceptibles de le
heurter ou de lui être préjudiciables, est coutumier des politiques de
publication des contenus mises en place par les hébergeurs. Il est, selon
la société, à même de comprendre la portée des termes employés dans
la clause. Pour la société la clause est donc claire et compréhensible,
contrairement aux allégations de l’UFC.
La lecture de la clause n° 5 montre que la société ADI dans la version
V1 du 30 juin 2015 liste un certain nombre de contenus interdits de
publication : « répréhensible, injurieux ou préjudiciable, y compris,
notamment, du contenu illicite, diffamatoire, menaçant, calomnieux,
abusif, violent, obscène, vulgaire, portant atteinte à la vie privée
d’autrui, haineux, incitant au racisme ou à la ségrégation ethnique, ou
autrement répréhensible » et que la liste de ces contenus « non autorisés »
(interdits d’envoi) est susceptible d’évoluer avec le temps.
Si la qualification des contenus interdits par les adjectifs « injurieux,
diffamatoire, menaçant, calomnieux, abusif, violent, obscène, vulgaire,
ou les expressions portant atteinte à la vie privée d’autrui, haineux,
incitant au racisme ou à la ségrégation ethnique » peut être comprise de
l’utilisateur, il en est autrement des termes et expressions imprécis tels
que « répréhensible », « préjudiciable » et « contenu illicite ». De même, les
expressions et adverbes « y compris » et « notamment » laissent entendre
à l’utilisateur d’une part que la liste des contenus non-autorisés n’est
pas exhaustive et qu’elle peut faire l’objet d’une interprétation par la
société ADI, d’autre part.
Il n’en est pas autrement de la mention de l’éventualité de mises à jour
des conditions d’envoi de contenus, effectuées « de temps à autre »
(version V1 du 30 juin 2015) ou « périodiquement » ((versions V3 (13
septembre 2016), V4 (septembre 2018) et V5 (mai 2019)), sans que soit
prévue d’information préalable de l’utilisateur au sein de la clause
critiquée, ce qui ne permet pas à l’utilisateur de connaître l’étendue
exacte des contenus interdits d’envoi au moment où il utilise
précisément ce service.
De sorte que la clause, qui ne permet pas d’informer exactement
l’utilisateur des Conditions Générales du service, en usant de termes et
expressions imprécis et ambigus, est illicite au sens de l’article L. 211-1
du code de la consommation.
Cette imprécision et cette ambiguïté ont également pour effet de
conférer au professionnel un droit exclusif d’interpréter la clause
ambiguë dans le sens qui lui serait le plus favorable ; elle est donc
irréfragablement abusive au sens de l’article R.212-1 4°) du code de la
consommation.
D’où il suit que la clause n° 5 dans ses versions V1 (30 juin
2015), V3 (13 septembre 2016), V4 (septembre 2018) et V5 (mai
2019), relative à l’envoi par l’utilisateur de contenu sur les
Services, illicite au sens de l’article L.211-1 du code de la
consommation, est abusive au regard de l’article R.212-1 4°) du
code de la consommation. Elle sera réputée non écrite.
b) Sur les clauses « DISPONIBILITÉ DU CONTENU »
(V1), n° 6 (V3 du 13 septembre 2016), n° 7 (V1 du 30 juin
2015), n° 7 (V3 du 13 septembre 2016, V4 de septembre
2018 et V5 de mai 2019) relatives à la modification,
suspension, suppression et interruption et résiliation des
Services :
DISPONIBILITÉ DU CONTENU (V1) (30 juin 2015) :
iTunes et ses concédants se réservent le droit de modifier, suspendre,
supprimer, interrompre ou désactiver à tout moment et sans préavis
l’accès au Service Apple Music et à tout Produit Apple Music, contenu
ou autres fichiers dans le cadre du Service Apple Music. iTunes ne sera
en aucun cas responsable de ces modifications. iTunes peut également
imposer des limitations dans l’utilisation ou l’accès à certaines
fonctionnalités ou parties du Service Apple Music, pour toute raison et
sans préavis ni responsabilité
Clause 6 version V3 (13 septembre 2016) :
RESILIATION ET SUSPENSION DES SERVICES
Apple se réserve également le droit de modifier, suspendre ou
interrompre les services (ou toute partie ou contenu de ceux-ci) à tout
moment avec ou sans préavis ; Apple exclut toute responsabilité envers
vous ou un tiers si elle exerce ces droits. Dans la mesure du possible,
Apple vous informera à l’avance de toute modification, suspension ou
interruption du Service. La résiliation du Service n’affectera pas le
contenu déjà acquis. Cependant, vous pourriez être dans l’incapacité
d’autoriser d’autres ordinateurs à utiliser le contenu.
Clause 7 version V1 (30 juin 2015) :
RÉSILIATION
En cas de manquement de votre part, ou si iTunes a des raisons
sérieuses de penser que vous n’avez pas respecté une disposition
quelconque du présent Contrat, iTunes pourra, à sa seule discrétion,
sans préavis et sans renoncer à l’ensemble des sommes dues au titre de
votre Compte : (i) résilier le présent Contrat et/ou votre Compte ; et/ou
(ii) résilier la licence du logiciel ; et/ou (iii) vous interdire l’accès à
tout ou partie du Service Apple Music.
Clause 7 version V3 (13 septembre 2016), V4 (septembre 2018)
et V5 (mai 2019)
RESILIATION ET SUSPENSION DES SERVICES
Si vous ne respectez pas les dispositions du présent contrat ou si Apple
suspecte un manquement de votre part à ces dispositions, Apple peut,
sans préavis : (i) résilier le présent contrat et/ou votre identifiant Apple,
et vous resterez responsable du paiement de toutes les sommes dues
sous votre identifiant Apple jusqu’à la date de résiliation comprise ;
et/ou (ii) résilier votre licence pour le logiciel ; et/ou (iii) vous
empêcher d’accéder aux services.
L’association UFC-QUE CHOISIR expose que ces clauses réservent
à la société un droit de suspension, d’annulation ou de résiliation de
l’accès au service pour l’utilisateur, sans mise en demeure préalable de
ce dernier pour des fautes qu’elle a listées dans des termes imprécis lui
permettant d’interpréter de manière discrétionnaire l’existence
d’agissement contraire aux dispositions contractuelles et lui imposer les
sanctions prévues au contrat.
Pour l’association, les clauses critiquées sont abusives, au regard de
l’article L.212-1, L.212-3 et L.241-1 du code de la consommation, en
ce qu’elles créent un déséquilibre significatif au détriment du
consommateur qui se trouve privé de toute possibilité de régularisation
ou de contestation.
Elle soutient que la clause n° 6 dans les deux versions critiquées serait
également abusive de manière irréfragable au regard de l’article R.212-
1 6°) du code de la consommation car elle aurait pour objet ou pour
effet de supprimer ou réduire le droit à indemnisation du
consommateur.
Elle précise que les clauses 5, 6 et 7 prises ensembles dans leurs
versions V1 de juin 2015 et V3 de septembre 2016 sont abusives au
regard de l’article R.212-1 4°) du code de la consommation, car elles
reconnaissent au professionnel la faculté de résilier les contrats sans
préavis d’une durée raisonnable et font croire à l’utilisateur que
l’interdiction immédiate d’accès au service ou la résiliation du contrat
ne leur ouvrent droit à aucune indemnisation même dans le cas où la
décision de la société ADI leur serait préjudiciable.
La société ADI prétend que la clause n° 6 dans la version V3 critiquée
par l’UFC n’est pas une clause de résiliation du contrat entre ADI et
l’utilisateur mais une clause qui a trait au droit de suspension,
d’interruption ou de modification des Services ou du contenu des
Services. Elle en déduit que l’article R.212-2, 4°) du code de la
consommation n’est donc pas applicable.
Elle ajoute que des raisons légitimes peuvent contraindre la société
ADI à suspendre à modifier ou interrompre le service : des raisons
techniques, des problèmes de réseaux, de sécurité, de protection du
consommateur contre des cyberattaques, de maintenance, de piratage.
Elle fait valoir que la spécificité du service de streaming musical, par
nature évolutif, implique que le contenu proposé par Apple Music soit
susceptible d’être modifié, la société devant être amenée à modifier ou
à supprimer le contenu, si elle ne dispose plus des droits de propriété
intellectuelle lui permettant de diffuser ou de publier ce contenu.
(1) Sur la portée juridique de la clause « DISPONIBILITE DU
CONTENU » :
Au regard des dispositions d’ordre public de l’article L.212-1 du code
de la consommation, sont abusives les clauses des contrats conclus
entre professionnels et consommateurs qui ont pour objet ou pour effet
de créer, au détriment du consommateur, un déséquilibre significatif
entre les droits et obligations des parties au contrat.
En l’espèce, contrairement aux affirmations de la société ADI, la
clause, critiquée par l’association, ne concerne que les versions des
Conditions Générales V1 du 30 juin 2015 et V2 de mars 2016 et non la
version V3 du 13 septembre 2016.
La lecture combinée de la clause précitée issue de la version V1 du 30
juin 2015 et de la clause n° 7 de la même version V1 des « Conditions
Générales » révèle que iTunes et ses concédants d’une part (clause
« DISPONIBILITE DU CONTENU », V1) et iTunes (clause n°7, V1)
d’autre part), se réservent de la même manière le droit de supprimer ou
désactiver l’accès de l’utilisateur au Service Apple Music et à tout
Produit Apple Music, contenu ou autres fichiers dans le cadre du
Service Apple Music » (clause « DISPONIBILITE DU CONTENU ») et,
dans le cas d’un « manquement » de l’utilisateur (non défini par la
clause), le droit de résilier le contrat et/ou le compte de l’utilisateur, la
licence du logiciel et/ou d’interdire à l’utilisateur l’accès à tout ou
partie du Service Apple Music (clause n° 7).
D’où il suit que, ni la clause « DISPONIBILITE (…) », ni aucune autre
clause des « Conditions Générales », produites au débat, n’évoquant
l’hypothèse d’un rétablissement de l’accès au Service par la société
ADI, après qu’elle a pris la décision de supprimer ou de désactiver
l’accès, la clause critiquée est bien une clause de résiliation, la
suppression ou la désactivation de l’accès au service équivalant pour
l’utilisateur à une résiliation du contrat.
(2) Sur le pouvoir discrétionnaire :
L’article L.221-5 du code de la consommation impose au professionnel
préalablement à la conclusion d’un contrat de fourniture de services, de
communiquer au consommateur, de manière lisible et compréhensible,
les caractéristiques essentielles du service, compte tenu du support de
communication utilisé et du service concerné. Lorsque le contrat est
conclu à distance, conformément aux dispositions de l’article L.221-11
du code de la consommation – lequel reprend les obligations
informatives contenues dans les articles des articles L.111-1, L.111-2
du code de la consommation – le professionnel fournit au
consommateur, de manière lisible et compréhensible, les informations
prévues à l’article L.221-5 du code de la consommation ou les met à sa
disposition par tout moyen adapté à la technique de communication à
distance utilisée.
En l’espèce, les clauses critiquées reconnaissent la faculté d’exercer un
pouvoir discrétionnaire sur l’accès au Service, en réservant à sa seule
discrétion l’appréciation de l’opportunité de cette décision en
considération de « manquements » de l’utilisateur ou lorsque iTunes « a
des raisons sérieuses » de penser que l’utilisateur n’a pas respecté « une
disposition quelconque du contrat ». De sorte que, pour justifier de
sanctions prises à l’encontre de l’utilisateur, les clauses critiquées,
invoquant d’une manière générale particulièrement équivoque et
imprécise des » manquements » aux « Conditions Générales ou des
« raisons sérieuses » (de penser que (…)), les clauses confèrent au
professionnel un pouvoir discrétionnaire d’appréciation de ces
manquements et des raisons qui conduiraient la société à prendre la
décision de résiliation du contrat et par suite d’un droit exclusif
d’interpréter une clause du contrat dans un sens qui lui serait favorable,
privant ainsi l’utilisateur consommateur de déterminer précisément les
cas où le Service pourrait être supprimé totalement, son compte étant
résilié.
En conséquence, les clauses sont présumées abusives de manière
irréfragable au regard de l’article R.212-1 4°) du code de la
consommation, parce qu’elle a pour effet d’accorder au seul
professionnel le droit de déterminer si les services fournis sont
conformes ou non aux stipulations du contrat et seront réputées non
écrites.
(3) Sur l’éventualité d’un droit à indemnisation :
En l’espèce, en prévoyant que l’utilisateur consommateur ne peut
engager la responsabilité de la société ADI mais que reste acquis à la
société « l’ensemble des sommes dues au titre d(u) compte » (clause n°
7, V1), en cas de modification, suspension, suppression, interruption,
désactivation de l’accès au service ou de résiliation du contrat le liant
à la société ADI, les clauses ont pour objet ou pour effet de supprimer
le droit à réparation du préjudice que l’utilisateur peut subir à la suite
d’un manquement par la société à l’une quelconque de ses obligations,.
Elles sont donc abusives au regard de l’article R.212-1 6°) du code de
la consommation et seront réputées non écrites de ce chef.
(4) Sur l’absence de préavis :
En prévoyant que la résiliation des services pourra s’opérer à
l’initiative de ADI de manière discrétionnaire « à tout moment et sans
préavis » (clause « »DISPONIBILITE DU CONTENU », V1), « à tout
moment avec ou sans préavis » (clause n° 6 (V3)), « à sa seule
discrétion » (clause n° 7 (V1)), « sans préavis » (clause n° 7 (V3), V4 et
V5), c’est-à-dire à tout moment, sans justification sans prévoir un délai
de préavis raisonnable, les clauses sont abusives, en ce qu’elles privent
le consommateur du bénéfice d’un délai de préavis. Elles créent ainsi
au profit du professionnel et au détriment du consommateur un
déséquilibre significatif au regard de l’article L.221-1 du code de la
consommation.
Ces clauses critiquées sont également irréfragablement abusives au
regard de l’article R.212-1 4°) du code de la consommation, en ce
qu’elles ont pour objet ou pour effet d’accorder au seul professionnel,
le droit de déterminer si la chose livrée ou les services fournis sont
conformes ou non aux stipulations du contrat.
En conséquence, les clauses « DISPONIBILITÉ DU CONTENU »
(V1), n° 6 (V3 du 13 septembre 2016), n° 7 (V1 du 30 juin 2015),
n° 7 (V3 du 13 septembre 2016, V4 de septembre 2018 et V5 de
mai 2019) relatives à la modification, suspension, suppression
et interruption et résiliation des Services, illicites au sens des
articles L.111-1, L.111-2, I, L.221-5, L.221-11, sont abusives au
regard des articles L.221-1, R.212-1 4°) R.212-1 6°) du code de la
consommation. Elles seront donc réputées non écrites.
B. Sur la violation alléguée des règles de protection des
données à caractère personnel :
L’association UFC-QUE CHOISIR invoque l’applicabilité à l’espèce
du règlement (UE) 2016/679 du Parlement européen et du Conseil du
27 avril 2016 relatif à la protection des personnes physiques à l’égard
du traitement des données à caractère personnel et à la libre circulation
de ces données (RGPD) et de la « Loi Informatique et Libertés » (LIL)
(loi n°78-17 du 06 janvier 1978 relative à l’informatique, aux fichiers
et aux libertés).
Elle affirme que de nombreuses clauses figurant dans les documents la
« Politique de Confidentialité d’ADI » présentent un caractère abusif au
sens des articles L.212- 1, R.212-1 et R.212-2 du code de la
consommation. Elle affirme que l’information sur le traitement de
données à caractère personnel des utilisateurs délivrée par la société
ADI est trop fragmentée, floue, voire trompeuse.
Pour la société ADI, le RGPD est le seul texte applicable pour
déterminer si les obligations d’information sont ou non respectées en
application des dispositions des articles 12 à 14 du RGPD dans le cadre
des traitements de données personnelles effectués par ADI, aucune
autre disposition de droit français n’étant applicable. L’UFC-QUE
CHOISIR ne peut donc pas se référer aux dispositions de la Loi
Informatique et Libertés.
Elle précise que la logique d’information suivie par ADI, n’a pas pour
objectif d’assembler dans un seul et unique document (l’Engagement
de Confidentialité) l’intégralité des informations relatives aux
traitements des données personnelles des personnes pour tous les
services et produits proposés par ADI et invoque une façon de
dispenser aux utilisateurs l’information « par strate » (une approche à
plusieurs niveaux) – plus facile d’accès pour les personnes/utilisateurs –
entre un document d’information générale (Engagement de
Confidentialité) et des informations plus spécifiques à Apple Music
« Apple Music et confidentialité »), plutôt que fournir aux utilisateurs
« en bloc » dans un long document des informations concernant leurs
droits et de la gestion de leurs données personnelles, ce qui serait, selon
la société, contraire aux exigences du RGPD.
1. Sur le socle contractuel critiqué :
L’association UFC-QUE CHOISIR affirme qu’un ensemble de
documents qu’elle nomme « Politique de Confidentialité d’ADI »,
composé des « Conditions d’Utilisation », de l’ »Engagement de
Confidentialité », d’ »Apple Music et confidentialité » et d’ »À propos du
lecteur Web Apple Music et de la confidentialité », qui tous auraient
selon elle une valeur contractuelle, font partie intégrante du contrat
souscrit par les utilisateurs des services iTunes et Apple Music et lierait
par suite la société ADI aux utilisateurs de ces services.
Elle expose que cette « Politique de Confidentialité d’ADI », doit être
déclarée illicite au regard de l’article L.211-1 du code de la
consommation qui impose une rédaction « claire et compréhensible » des
contrats de consommation,
Elle fait valoir que les deux documents « Apple Music et confidentialité »
(format « classique ») et « À propos du lecteur Web Apple Music et de la
confidentialité » (format « lecteur Web »), qui détaillent les différents
traitements des données à caractère personnel des utilisateurs mis en
oeuvre dans le cadre des services Apple Music, constituent des
« récapitulatifs spécifiques aux services Apple Music » au sens de
l’ »Engagement de Confidentialité ».
Elle en conclue que l’ »Engagement de Confidentialité » se référant
expressément aux deux documents « Apple Music et confidentialité » et
« À propos du lecteur Web Apple Music et de la confidentialité » pour
détailler les modalités des traitements de données à caractère personnel
entrent dans le champ contractuel.
La société ADI conteste l’expression « globalisante et artificielle » de la
prétendue « Politique de Confidentialité d’ADI », le document
« Engagement de Confidentialité » étant un document d’information
générale et non un document d’information spécifique au service Apple
Music.
Elle dément que la documentation d’ADI sur les traitements des
données à caractère personnel (conclusions ADI p.123/202) constitue
un document à valeur contractuelle.
Elle précise que seul le document « Apple Music et confidentialité »,
spécifique au service « Apple Music », doit être pris en considération et
affirme que ce document est particulièrement explicite et précis.
Il ressort des pièces produites, que les « Conditions d’Utilisation »
prévoient que « (l’utilisateur reconnaît) qu’Apple est en droit de
divulguer des données et/ou des informations aux forces de l’ordre, aux
autorités publiques et/ou à des tiers, si Apple l’estime raisonnablement
nécessaire ou approprié pour faire appliquer et/ou vérifier le respect
de toute disposition du présent contrat (…) » ; que les « Conditions
générales des services Apple Media » du 13 septembre 2016 prévoit,
dans sa rubrique B. UTILISATION DE NOS SERVICES –
« PROTECTION DE LA VIE PRIVEE », que « l’utilisation des Services
(d’Apple) » « est régi par l’ »Engagement de Confidentialité d’Apple »,
disponible sur http://www.apple/legal/privacy, (Pièce ADI n° 3 ) ; que
la rubrique « A. PRESENTATION DES SERVICES » du même document
cite parmi les « Services d’Apple » les services « iTunes Store » et « Apple
music » ; que l’ »Engagement de Confidentialité » déclare que (la société
Apple) a « élaboré un Engagement de confidentialité qui régit la
manière dont (la société ADI) recueill(e) (c’est-à-dire collecte),
utilis(e), divulgu(e), transfèr(e) et stock(e) (les) données personnelles
(de l’utilisateur) » (Pièce UFC n° 9, « Engagement de confidentialité »,
mis à jour le 22 mai 2018 ; Pièce ADI, n° 19. « Engagement de
confidentialité », mis à jour le 09 mai 2019) ; que la page « Apple Music
et confidentialité » (Pièce UFC n° 10, publiée le 17 septembre 2018 et
consultée le 20 septembre 2018) annonce que « le Service Apple Music
est conçu pour protéger vos données et vous permettre de choisir ce
que vous souhaite partager », tout en indiquant que « Apple recueille des
informations sur votre activité dans Apple Music, comme les morceaux
que vous avez écoutés et pendant combien de temps vous les avez
écoutés, dans le but de personnaliser le service lorsque vous êtes
abonné et de rémunérer ses partenaires » ; que la page « A propos du
lecteur Web Apple Music et de la confidentialité » apprend que « Si
(l’utilisateur) n’est pas connecté à Apple Music, le lecteur web Apple
Music recueille (c’est-à-dire collecte), des informations associées à un
identifiant unique qui est spécifique à la page que (l’utilisateur) visite.
Si (l’utilisateur) est connecté à Apple Music, l’identifiant est le même
sur toutes les pages dans lesquelles le lecteur se charge. Ces
identifiants durent un jour et ne sont pas liés à l’identifiant Apple (de
l’utilisateur) » ; que cette même page révèle que « lorsque (l’utilisateur)
visit(e) un site Web auquel est intégré un lecteur Web Apple Music,
Apple recueille, d’une manière respectueuse de la vie privée, des
informations limitées sur l’endroit où le lecteur est intégré et sur la
façon dont vous interagissez avec celui-ci, afin de comprendre
comment le lecteur est utilisé et d’améliorer l’expérience d’interaction
avec le -lecteur. Bien que le lecteur puisse être intégré dans des pages
Web tierces, il est fourni par Apple et, par conséquent, Apple peut
collecter des informations sur l’endroit et la façon dont il est utilisé- Ce
document s’applique uniquement à la collecte, à l’utilisation et à la
divulgation d’informations par Apple. Les pages Web que vous visitez
et qui intègrent le lecteur Web peuvent également collecter séparément
des informations à votre sujet, et ces informations seront régies par
leurs propres politiques et pratiques. »
D’où il suit que, contrairement aux allégations de la société ADI, outre
les « Conditions d’Utilisation », font partie du socle contractuel, auquel
les utilisateurs des services iTunes et Apple Music sont soumis, les
documents « Engagement de Confidentialité », « Apple Music et
confidentialité » et « A propos du lecteur Web Apple Music et de la
confidentialité », qui traitent de la manière dont sont protégées les
données à caractère personnel des utilisateurs des « Services ».
2. Sur l’application des dispositions de la Loi Informatique
et Libertés (LIL) et du RGPD :
L’association UFC-QUE CHOISIR invoque l’application à l’espèce du
RGPD et de la LIL.
Pour la société ADI, le RGPD est le seul texte applicable pour
déterminer si les obligations d’information sont ou non respectées au
sens des articles 12 à 14 de ce texte dans le cadre des traitements de
données personnelles effectués par la société ADI, aucune autre
disposition de droit français n’étant applicable, l’UFC-QUE CHOISIR
ne peut donc pas se référer aux dispositions de la Loi Informatique et
Libertés (LIL).
Elle fait valoir que l’UFC se contente dans ses conclusions de formuler
des critiques vagues et peu argumentées qui se concentrent sur les
documents d’information généraux et, en particulier, l’Engagement de
Confidentialité.
Elle précise que la logique d’information suivie par ADI, n’a pas pour
objectif d’assembler dans un seul et unique document (« l’Engagement
de Confidentialité ») l’intégralité des informations relatives aux
traitements des données personnelles des personnes pour tous les
services et produits proposés par ADI. Elle invoque à nouveau une
façon de dispenser aux utilisateurs l’information plus facile d’accès
pour les utilisateurs « par strates » (soit une approche à plusieurs
niveaux) entre un document d’information générale (Engagement de
Confidentialité) et des informations plus spécifiques à Apple Music
« Apple Music et confidentialité », plutôt que fournir aux utilisateurs « en
bloc » dans un long document des informations concernant leurs droits
et de la gestion de leurs données personnelles, ce qui serait selon la
société ADI contraire aux exigences du RGPD.
L’ordonnance n° 2018-1125 du 12 décembre 2018 a réécrit la Loi
Informatique et Libertés, afin de mettre en cohérence et en conformité
l’ensemble des dispositions nationales applicable à la législation
relative à la protection des données à caractère personnel avec les
dispositions du RGPD, la loi Informatique et Libertés renvoyant ainsi,
à chaque fois que les dispositions du RGPD précité l’imposent, aux
dispositions de ce règlement.
Cette même ordonnance a également procédé à la renumérotation des
articles de la LIL. Ainsi, s’agissant du droit à l’information de la
personne concernée, le contenu de l’ancien article 32 de la Loi
Informatique et Libertés est désormais pour partie réparti dans les
articles 48, 116, 82, et 79 de la LIL. L’article 48 (nouveau) de la LIL
renvoie dorénavant aux articles 12 à 14 du RGPD, qui traitent du
régime de l’information applicable aux collectes des données effectuées
directement auprès de la personne concernée par le traitement ou
indirectement via d’autres sources.
La protection des données à caractère personnel de la personne
concernée par le traitement, collectées indirectement via des cookies et
autres traceurs, est, pour sa part, assurée à la fois par l’article 82 de la
LIL transposant en droit français la directive 2002/58/CE « Vie privée
et Communications électroniques » (autrement appelée directive
« ePrivacy ») et par le RGPD, en se référant notamment à la notion de
consentement de la personne concernée définie par son article 4-11.
3. Sur les clauses portant prétendument atteinte à la
protection des données à caractère personnel :
Dans le corps des conclusions consacrée à la discussion (pp. 32 à
40/88), l’association UFC-QUE CHOISIR expose 15 griefs relatif à la
« Politique de confidentialité d’ADI ».
Pour le premier de ces griefs, elle sollicite de la juridiction, au motif
pris de la trop grande fragmentation de la « Politique de confidentialité
d’ADI » « pour permettre une information transparente de l’utilisateur
moyen », que la « Politique de confidentialité » dans son intégralité (soit
trois des quatre documents contractuels), soit déclarée illicite au regard
des articles L.211-1 du code de la consommation, des articles 12 à 14
du RGPD, de l’article 32 de la Loi Informatique et Libertés et abusive
au regard des articles L.212-1 et R.212-1 du code de la consommation.
Pour les 14 griefs suivants, elle demande que certaines clauses qu’elle
reproduit, soient déclarées illicites ou abusives dans le corps des
conclusions, non numérotées et non datées, extraites de documents
composant ce qu’elle nomme la « Politique de confidentialité d’ADI »,
ces prétentions ne faisant l’objet d’aucune indication de renvoi aux
pièces présentées en annexe.
Dans le dispositif de ses conclusions, aux visas du « code de la
consommation », du RGPD, de la Loi Informatique et Libertés, de
l’article R.625-10 du code pénal, de l’article 15 de la LCEN, de la loi
n°94-665 du 04 août 1994 et de l’article 1382 du code civil,
l’association sollicite notamment de la juridiction, que la « Politique de
confidentialité d’ADI » soit « dans son ensemble » déclarée abusive et
illicite comme contraire au « principe de transparence » prévu par le
RGPD et le code de la consommation, ou, « à tout le moins », que soient
déclarées illicites et/ou abusives les clauses « détaillées » dans un tableau
figurant dans sa pièce n° 8 annexée auxdites conclusions et reproduites
dans le dispositif « pour la bonne forme », sur 7 pages, des clauses non
numérotées des « Conditions d’Utilisation » (des versions « V4 et V5 »),
de l’Engagement de confidentialité des 22 mai et 09 mai 2019 et du
document « Apple Music et confidentialité » du 17 septembre 2018.
L’association formule ainsi dans le dispositif deux demandes
alternatives : l’annulation du document en son entier ou, (« à tout le
moins »), la déclaration de clauses illicites et/ou abusives, « détaillées »
dans un tableau figurant dans sa pièce n° 8 annexée auxdites
conclusions (2), l’association reproduisant dans le dispositif « pour la
bonne forme », sur 7 pages, un ensemble de « clauses » non numérotées
extraites des trois documents contractuels précités.
a) Sur la demande portant sur l’illicéité et le caractère
abusif de la « Politique de confidentialité d’ADI » en son
entier (Point 1, Partie III-B) :
L’association prétend que l’ensemble des documents qu’elle nomme la
« Politique de Confidentialité d’ADI », composé de l’ »Engagement de
Confidentialité, « Apple Music et confidentialité » et « À propos du
lecteur Web Apple Music et de la confidentialité » soit déclarée illicite
au regard de l’article L.211-1 du code de la consommation imposant
une rédaction « claire et compréhensible » des contrats de
consommation. Elle affirme que de nombreuses clauses figurant dans
les documents composant la « Politique de Confidentialité d’ADI »
présentent un caractère abusif au sens des articles L.212-1, R.212-1 et
R.212-2 du code de la consommation et que l’information sur le
traitement de données à caractère personnel des utilisateurs délivrée par
la société ADI est trop fragmentée, floue voire trompeuse.
Elle sollicite, en conséquence, de la juridiction que la « Politique de
Confidentialité » dans son ensemble soit déclarée illicite au regard des
dispositions du code de la consommation, du RGPD et de la Loi
Informatique et Libertés et abusive au regard des articles L.212-1 et
R.212-1 du code de la consommation.
Toutefois, le cadre de l’action en cessation ou en interdiction de
l’illicite défini par l’article L.621-7 du code de la consommation, qui
autorise les associations, dans les conditions déterminées par l’article
L.621-8 du même code, de solliciter du juge saisi qu’il ordonne la
suppression d’une clause illicite ou abusive et qu’elle soit réputée non
écrite, ne permet pas l’examen d’une demande en suppression et en
réputé non-écrit de l’intégralité d’un document contractuel, la demande
devant être formulée clause par clause.
La demande de l’association sera rejetée de ce chef.
b) Sur les demandes portant sur l’illicéité des clauses
composant la « Politique de confidentialité » produites au
débat :
L’association sollicite de la juridiction que soient déclarées illicites
et/ou abusives les clauses « détaillées » dans un tableau figurant dans sa
pièce n° 8 annexée aux conclusions et reproduit à cette fin dans le
dispositif « pour la bonne forme », sur 7 pages, les « clauses » non
numérotées issues de trois documents contractuels composant « la
Politique de confidentialité d’ADI ».
La société ADI estime que l’association UFC-QUE CHOISIR procède
par voie d’affirmation, en se limitant dans ses conclusions à viser des
articles du code de la consommation, du RGPD et de la Loi
Informatique et Libertés, en formulant des critiques vagues et peu
argumentées, sans prendre la peine de construire une argumentation
pour chaque grief et/ou article qu’elle invoque, en se référant à une
pièce n° 8, où figurent, dans un tableau de 24 pages, des arguments non
formulés dans les conclusions de l’association.
Elle observe, que ce tableau ne constitue pas un simple résumé des
prétentions et motivations que l’association UFC aurait développées
dans ses conclusions mais d’ajouts non inclus dans la discussion. Elle
affirme que ces développements sont hors-discussion conformément à
l’article 753 du code de procédure civile.
(1) Sur l’intégration au débat de la pièce n° 8 :
Aux termes de l’article 753 du code de procédure civile, les
conclusions doivent formuler expressément les prétentions des parties
ainsi que les moyens en fait et en droit sur lesquels chacune de ces
prétentions est fondée avec indication pour chaque prétention des
pièces invoquées et de leur numérotation. Un bordereau énumérant les
pièces justifiant ces prétentions est annexé aux conclusions.
Le même article précise que les conclusions comprennent distinctement
un exposé des faits et de la procédure, une discussion des prétentions
et des moyens ainsi qu’un dispositif récapitulant les prétentions. Les
moyens qui n’auraient pas été formulés dans les conclusions
précédentes doivent être présentés de manière formellement distincte.
Le tribunal ne statue que sur les prétentions énoncées au dispositif et
n’examine les moyens au soutien de ces prétentions que s’ils sont
invoqués dans la discussion.
En l’espèce, dans le dispositif de ses conclusions, l’association sollicite
de la juridiction que soient déclarées illicites et/ou abusives les clauses
« détaillées » dans un tableau figurant dans sa pièce n° 8 annexée
auxdites conclusions. La lecture de cette pièce n°8 révèle qu’elle est
constituée d’un tableau, conçu par l’association, censé « récapituler » les
clauses de la politique de confidentialité critiquée, les fondements de
ces critiques et les « explications résumées », qui renvoient « pour le
détail des explications » aux « pages des conclusions UFC ».
Pourtant, dans la partie « Discussion » des conclusions, il n’est fait à
aucun moment référence à cette pièce n° 8 à l’appui de chacune des
prétentions développées, l’association se bornant à en évoquer
l’existence dans les toutes premières lignes figurant en introduction de
la partie III de ses conclusions (consacrée à la violation alléguée des
règles de protection des données à caractère personnel) et ce, bien avant
ses observations faites à titre liminaire.
Or, l’article 753 précité exige que soit indiqué dans le corps des
conclusions, consacré à la discussion pour chacune des prétentions, les
pièces invoquées et leur numérotation.
Tel n’est pas le cas de la pièce n°8 qui sera écartée des débats.
(2) Sur les clauses figurant dans la partie discussion et au
dispositif des conclusions de l’UFC :
Il résulte de ce qui précède que ne peuvent faire l’objet d’un examen
par le Tribunal que les clauses qui figurent à la fois dans le corps et
dans le dispositif des conclusions de l’association.
Or, après rapprochement des clauses figurant dans la partie
« Discussion » des conclusions et celles reproduites dans le dispositif, il
apparait que nombre de clauses qui sont visées au dispositif ne sont pas
critiquées dans le corps des conclusions ; elles ne pourront donc pas
faire l’objet d’un examen par le Tribunal.
(a) Sur l’information relative à l’existence de
traitements de données à caractère personnel
(Point 2, Partie III-B) :
Conditions d’utilisation :
« Vous acceptez que le concédant puisse collecter et utiliser des
données techniques et toute information associée, y compris,
notamment, les informations techniques concernant votre dispositif,
votre système et votre logiciel d’application, ainsi que les
périphériques, et qui sont recueillies périodiquement afin de faciliter
la fourniture de mises à jour de logiciels, de services d’assistance
technique relative au produit, ainsi que d’autres services (le cas
échéant) se rapportant à l’application sous licence. Le concédant peut
utiliser ces informations aussi longtemps qu’elles sont sous une forme
ne permettant pas de vous identifier personnellement, afin d’améliorer
ses produits ou de vous fournir des services ou des technologies. »
Engagement de Confidentialité :
« Collecte et utilisation des données non personnelles
Nous collectons également des données dont la forme ne nous permet
pas de faire un rapprochement direct avec une personne en
particulier. Nous pouvons recueillir, utiliser, transférer et divulguer
des données non personnelles à quelque fin que ce soit. Vous trouverez
ci-après des exemples de données non personnelles que nous
collectons et la façon dont nous pouvons les utiliser :
Nous pouvons collecter des informations telles que le
métier, la langue, le code postal, l’indicatif régional,
l’identifiant unique de l’appareil, l’URL de référence, le
lieu et le fuseau horaire dans lesquels un produit Apple est
utilisé afin de nous permettre de mieux comprendre le
comportement du client et d’améliorer nos produits,
services et publicité.
Nous pouvons recueillir des données concernant les
activités du client sur notre site web, les services iCloud,
l’iTunes Store, l’App Store, le Mac App Store, l’App Store
de l’Apple TV, les iBooks Stores et à partir de nos autres
produits et services. Ces données sont rassemblées et
utilisées pour nous permettre de fournir des informations
plus utiles à nos clients et pour savoir quels aspects de
notre site web, de nos produits et de nos services sont les
plus populaires. Les informations rassemblées sont
considérées comme des données non personnelles aux fins
du présent Engagement de confidentialité.
Nous pouvons collecter et stocker des informations sur
votre utilisation de nos services, notamment les recherches
que vous effectuez. Ces informations peuvent être utilisées
pour améliorer la pertinence des résultats fournis par nos
services. Elles ne sont pas associées à votre adresse IP,
excepté dans de rares cas afin d’assurer la qualité de nos
services sur Internet.
Avec votre consentement explicite, nous pouvons collecter
des données sur la façon dont vous utilisez votre appareil
et vos applications afin d’aider les développeurs à
améliorer leurs apps.
Si nous associons des données non personnelles à des données
personnelles, les données ainsi combinées sont traitées comme des
données à caractère personnel tant qu’elles restent associées. »
« Nous traitons les données collectées par les cookies et autres
technologies comme des données non personnelles. Toutefois, si les
adresses IP (Internet Protocol) ou des identifiants similaires sont
considérés comme des données personnelles par la loi locale, nous
traitons également ces identifiants comme des données personnelles.
De la même manière, si des données non personnelles sont associées
à des données personnelles, nous traitons les informations ainsi
associées comme des données personnelles aux fins du présent
Engagement de confidentialité. »
« Pour fournir des services de géolocalisation sur les produits Apple,
Apple et ses partenaires et licenciés [VERSION DU 09 mai 2019 : «
tels que les fournisseurs de données de cartographique »] peuvent
recueillir, utiliser et partager des données de localisation précises,
notamment la localisation géographique en temps réel de votre
ordinateur ou appareil Apple. Le cas échéant, les services de
géolocalisation peuvent utiliser le GPS, le Bluetooth et votre adresse
IP, ainsi que les emplacements des bornes Wi-Fi communautaires et
des antennes relais, ou encore d’autres technologies afin de
déterminer la localisation approximative de vos appareils. Sauf
consentement de votre part, ces données de localisation sont collectées
anonymement dans un format ne permettant pas de vous identifier. »
« Si vous activez l’option Suivi publicitaire limité sur votre appareil
mobile, les apps tierces ne peuvent pas utiliser l’identifiant
publicitaire (un identifiant d’appareil non personnel) pour diffuser des
annonces ciblées. »
Apple Music et la confidentialité :
« Lorsque vous créez un profil sur Apple Music, nous vous
recommandons d’autres abonnés à Apple Music avec lesquels vous
pourriez devenir ami. Apple ne collecte et ne stocke aucune
information concernant vos contacts lors de la recherche d’amis à
recommander. Seuls des hachages abrégés et chiffrés des numéros de
téléphone et adresses e-mail de vos contacts sont envoyés à Apple ; les
abonnés à Apple Music correspondants à recommander sont ensuite
recherchés localement sur votre appareil. »
« Il est possible que nous recueillions, utilisions, transférions ou
divulguions des informations non personnelles, quel que soit le
motif. Par exemple, nous sommes susceptibles d’agréger vos
données non personnelles et celles d’autres utilisateurs d’Apple
Music dans le but d’améliorer le service. »
« Nous sommes tenus de communiquer certaines informations non
personnelles relatives à votre emploi d’Apple Music à des
partenaires du service, tels que des maisons de disque, de sorte
qu’ils puissent évaluer leurs performances, satisfaire aux normes
comptables et régler les droits d’auteurs dus, de même
qu’améliorer leurs produits et services. Nous communiquons
également aux artistes des statistiques d’écoute et démographiques
(comme l’âge et le sexe des utilisateurs) non personnelles agrégées
pour leur permettre de mieux cerner leur public.
L’association expose que les clauses critiquées n’informent pas
l’utilisateur sur ce qu’est une donnée à caractère personnel au sens de
l’article 4.1 du RGPD, à savoir une donnée pouvant être rattachée à une
personne physique identifiable, y compris par combinaison avec
d’autres données, et ce, par opposition aux données anonymes ou
anonymisées. Elle se réfère à l’appui de sa demande et des avis des
autorités de contrôle européennes (Avis « wp136 » sur le concept de
données à caractère personnel du G29 (groupe de travail de l’article
29)).
Elle reproche aux clauses d’entretenir une confusion permanente sur le
caractère personnel ou non des données de l’utilisateur qu’elle collecte,
la société ADI se réservant la faculté d’interpréter la qualification de
données à caractère personnel, notamment en présence de données
prétendument techniques relatives au terminal de l’ordinateur de
l’utilisateur, de son adresse IP, qui varierait, selon une des clauses
critiquées, en fonction de la « loi locale ».
Elle affirme, en renvoyant à la décision de la Cour de justice de l’union
européenne prise à propos de l’adresse IP d’un terminal (CJUE C-
582/24 du 19 octobre 2016), qu’il revient au responsable du traitement
de se conformer aux lois des pays où il a choisi d’opérer, qu’il doit
adapter l’information fournie le cas échéant.
Elle observe que les clauses ne donneraient pas non plus d’information
sur ce en quoi consiste les données non personnelles « associées » par la
société ADI avec ses données personnelles.
Elle précise, en s’appuyant sur la décision du Conseil d’État (décision
n° 393714, 9ème et 10ème chambre réunies du 08 février 2017 (JC
Decaux)), que le hachage ou la troncature de données à caractère
personnel comme les numéros de téléphone et les adresses e-mail des
contacts de l’utilisateur ne rendent pas anonymes ces données.
Elle relève, en se référant aux décisions de mise en demeure de la CNIL
(MED n° 2018-022 et MED 2018-023 du 25 juin 2018), prises en
matière de traceur SDK et de données de géolocalisation, que
l’ »identifiant publicitaire » – comme celui mis en oeuvre par la société
ADI -, ne doit être traité que comme une donnée à caractère personnel
de même que les données de géolocalisation d’un terminal mobile dans
la mesure où ils permettent d’identifier l’utilisateur du terminal
concerné.
Elle fait valoir que les clauses critiquées sont de nature à créer un
déséquilibre significatif entre les droits et les obligations des parties au
contrat, en laissant croire à l’utilisateur que la société ADI, en sa
qualité de professionnel, peut s’affranchir de son obligation d’informer
l’utilisateur de la collecte, de l’utilisation ou du partage de ses données
à caractère personnel et sont donc abusives au sens de l’article L.212-1
du code de la consommation.
Elle ajoute qu’en utilisant à dessein un vocabulaire imprécis, en faisant
référence à des notions juridiques hors de portée de l’utilisateur moyen,
ces clauses ont pour objet ou pour effet de conférer à la société ADI le
droit exclusif d’interpréter ces clauses et en déduit qu’elles sont
présumées abusives de manière irréfragable au sens de l’article R.212-1
du code de la consommation.
La société ADI affirme que le document « Apple Music et
confidentialité » est le seul document qui s’applique de façon spécifique
au service Apple Music. Elle précise que ce document est parfaitement
clair sur le fait qu’elle est amenée à collecter et à traiter, dans le cadre
des services et produits qu’elle propose, des données ayant un caractère
personnel au sens de la règlementation.
Elle explique que la documentation d’information d’ADI sur le
traitement des données à caractère personnel n’a pas de valeur
contractuelle. Elle soutient que les informations qu’elle fournit sur le
traitement des données personnelles s’adressent à des personnes situées
dans des pays différents, y compris des pays non membres de l’Union
Européenne. Elle ajoute que c’est pour cette raison que doit être précisé
que certaines données, telle l’adresse IP, peuvent ne pas être
considérées comme des données personnelles selon la législation
applicable. Elle rappelle que la notion de « donnée à caractère
personnel » fait l’objet d’une définition dans l’article 4 du RGPD ;
qu’elle ne peut donc pas faire l’objet d’un quelconque droit exclusif
d’interprétation.
Elle assure que les documents d’information aux personnes concernées
ou les Conditions d’Utilisation des services Apple Media n’affirment
à aucun moment, que les données techniques ne constituent pas des
données à caractère personnel.
Elle fait valoir que lorsqu’un utilisateur lui demande une copie de ses
informations personnelles en utilisant le portail « Données et
Confidentialité » https://privacy.apple.com/, elle lui communique toutes
les informations dont elle dispose sur lui pour l’utilisation du service
Apple Music.
Elle réfute l’affirmation de l’association UFC selon laquelle elle
s’abstiendrait d’informer l’utilisateur de l’existence d’une collecte de
données à caractère personnel et qu’elle utiliserait un vocabulaire
imprécis.
Aux termes de l’article 4.1 du RGPD constituent des données à
caractère personnel, toute information se rapportant à une personne
physique identifiée ou identifiable, la « personne physique identifiable »
étant une personne physique qui peut être identifiée, directement ou
indirectement, notamment par référence à un identifiant, tel qu’un nom,
un numéro d’identification, des données de localisation, un identifiant
en ligne, ou à un ou plusieurs éléments spécifiques propres à son
identité physique, physiologique, génétique, psychique, économique,
culturelle ou social.
Au sens du 30ème considérant du RGPD, constituent des données à
caractère personnel les traces laissées par les appareils, applications,
outils et protocoles que les personnes physiques utilisent, comme les
identifiants en ligne, les adresses IP et des témoins de connexion
(«cookies») ou autres identifiants, comme par exemple des étiquettes
d’identification par radiofréquence, notamment lorsqu’elles sont
combinées aux identifiants uniques et à d’autres informations reçues par
les serveurs et qui peuvent servir à créer des profils de personnes
physiques et à identifier ces personnes.
Ainsi, contrairement à ce qu’affirme la société ADI au sein des clauses
critiquées et dans ses conclusions, constituent des données à caractère
personnel au regard des dispositions du RGPD et notamment de son
considérant no 30, les informations collectées et « rassemblées » par la
société ADI comme la langue, le code postal, l’indicatif régional,
l’identifiant unique de l’appareil, l’URL de référence, les informations
techniques concernant le dispositif de l’utilisateur, son système, son
logiciel d’application, les périphériques qu’il utilise, le lieu et le fuseau
horaire, les activités de navigation de l’utilisateur (c’est-à-dire les
recherches que l’utilisateur du service effectue sur le site web d’Apple
Music, les services iCloud, l’iTunes Store, l’App Store, le Mac App
Store, l’App Store de l’Apple TV, les iBooks Stores et sur d’autres
produits et services d’Apple), bien que ces données personnelles soient
considérées au sein de la clause comme des données non personnelles
« au sens de son Engagement de confidentialité ».
Par ailleurs, la société ADI ne peut, sans se contredire, affirmer dans
ses conclusions et suggérer dans la clause critiquée, que des données
comme l’adresse IP peuvent ne pas être considérée comme des
données à caractère personnel selon la législation applicable, tout en
mentionnant dans ses Conditions d’Utilisation d’Apple Music d’une
part que le service Apple Music n’est disponible qu’en France (Pièce
UFC n° 4 et 5) et d’autre part que la France est désignée comme pays
de résidence fiscale de l’utilisateur lors de la création d’un compte par
l’utilisateur des services en France (Conditions générales des services
Apple Media du 13 mai 2019, Pièce UFC n° 17). Il ne subsiste dès lors
aucun doute sur le fait que les documents contractuels produits au
débat ont été conçus et rédigés à la seule adresse des utilisateurs
français du service, lesquels bénéficient, non pas d’une « loi locale »,
mais de la protection des données à caractère personnel instituée par
le RGPD.
De la même manière, et contrairement aux allégations de la société
ADI, (cf. « Nous traitons les données collectées par les cookies et autres
technologies comme des données non personnelles »), la société Apple,
ses partenaires et ses licenciés recueillent, utilisent (collecte et traite)
via des cookies et autres technologies comme le GPS, le Bluetooth, les
emplacements des bornes Wi-Fi communautaires, les antennes relais ou
d’autres technologies, des données à caractère personnel comme
l’adresse IP de l’utilisateur, des données de localisation précises
relatives aux appareils de l’utilisateur, notamment des données
permettant la localisation géographique en temps réel de l’ordinateur
ou appareil Apple de l’utilisateur et de déterminer la localisation
approximative des appareils de l’utilisateur, et ce, sans son accord
préalable, sans information claire et complète sur les finalités d’un tel
accès à ses données à caractère personnel, pour « fournir des services de
géolocalisation sur les produits », produits dont on déduit à la lecture
de la clause qu’il s’agit de produits Apple et de produits proposés par
les partenaires et licenciés d’Apple, initiateurs et bénéficiaires de la
collecte des données précitée.
De plus, la clause issue du document « Apple Music et la
confidentialité » révèle, dans l’hypothèse d’une telle collecte des
données de géolocalisation de l’ordinateur ou appareil Apple de
l’utilisateur (cf. « la localisation géographique en temps réel »), que les
« apps tierces », c’est-à-dire les applications tierces installées sur
l’appareil de l’internaute ou du « mobinaute » par les entreprises
partenaires d’Apple, ne peuvent utiliser l’ »identifiant publicitaire » qu’à
la condition que l’utilisateur active la fonction « l’option Suivi
publicitaire limité » sur son appareil, c’est-à-dire qu’il y désactive
précisément cet « identifiant publicitaire », préalablement déposé et
activé par défaut sur son appareil. L’identifiant d’ »appareil », considéré
par la société ADI) comme non personnel consiste en réalité en un
cookie déposé sur l’appareil de l’utilisateur, susceptible d’être couplé
avec l’identifiant Apple de l’utilisateur et utilisé pour diffuser des
annonces ciblées.
En définitive, à la lecture de cette seule clause et dans de telles
circonstances de traitement de données de géolocalisation aux fins de
« marketing ciblé », l’utilisateur ne dispose que d’un droit d’opposition,
formulé a posteriori, sur la collecte et l’utilisation de ses données à
caractère personnel, opérée sans son consentement explicite, celui-ci
étant présumé avoir été donné d’emblée par l’utilisateur à Apple ainsi
qu’à ses partenaires et ses licenciés, cette pratique entrant en contrariété
avec les dispositions de l’article 82 de la LIL, (cf. les clauses relatives
aux cookies critiquées en point 15, Partie III-B de la présente décision).
Il n’en pas autrement de l’ensemble des « témoins de connexion », c’està-
dire de l’ensemble des traceurs, déposés et/ou lus sur l’ordinateur, le
téléphone mobile, la tablette ou l’objet connecté de l’utilisateur, à
l’occasion de l’installation ou de l’utilisation d’un logiciel ou d’une
application mobile (cf. Conseil d’État n°412589 du 06 juin 2018,
RGPD, considérant no 30). Ces témoins de connexions constituent des
données à caractère personnel au sens de l’article 4.1 du RGPD.
Alors que nombre de données à caractère personnel de l’utilisateur sont
collectées (« recueillies », « utilisées » et « partagées ») via des cookies ou
autres dispositifs de connexion, la clause extraite des « Conditions
d’utilisation », prévoit que l’utilisateur accepte (cf. « Vous acceptez
(…) »), que le concédant (c’est-à-dire la société ADI, (Apple)),
responsable du traitement au sens de l’article 4-7 du RGPD, puisse
« collecter et utiliser des données techniques et toute information
associée », en s’abstenant de fournir une information concise,
transparente, compréhensible et aisément accessible aux personnes
concernées par application des articles 12, 13, 14 du RGPD, lesquels
imposent une obligation de transparence aux responsables du
traitement. De sorte que l’utilisateur du service n’ayant pas été
correctement informé de la collecte du traitement de ses données à
caractère personnel et de ses modalités n’a pu en conséquence donner
son consentement à ce traitement.
Par ailleurs, le procédé de « hachage » d’e-mail abrégés et chiffrés des
numéros de téléphone et adresses e-mail des contacts de l’utilisateur,
dont la société ADI affirme qu’ils sont les seuls à être envoyés à Apple,
ne vise qu’à empêcher l’accès des tiers aux données, en laissant le
responsable du traitement en mesure de procéder à l’identification des
personnes concernées et en lui permettent de corréler des données
relatives à un même individu et d’inférer des informations le
concernant.
En présumant l’acceptation de l’utilisateur à la collecte de ses données
à caractère personnel et à ses modalités, en s’abstenant d’informer
l’utilisateur de l’existence de cette collecte, le consentement de
l’utilisateur n’ayant été ni informé ni recueilli, la clause contrevient aux
dispositions des articles 4, 12, 13 et 14 du RGPD.
L’association soutient également que les clauses critiquées utilisent un
vocabulaire imprécis, en faisant référence à des notions juridiques hors
de portée de l’utilisateur moyen ; qu’elles ont de ce fait pour objet ou
pour effet, de conférer à la société ADI un droit exclusif d’interpréter
ces clauses.
La société ADI réplique que cet argument ne fait l’objet d’aucune
démonstration de la part de l’association UFC-QUE CHOISIR sur la
prétendue imprécision des termes employés dans la clause.
Toutefois, à l’évidence, en employant une terminologie imprécise : « y
compris, notamment » ; « ainsi que d’autres services (le cas échéant) »,
tels que « , peuvent », « pouvons » (« collecter », « recueillir », « utiliser »,
« partager », « stocker » (des données)) « , « il est possible que nous »
(recueillions, utilisions, transférions ou divulguions (des données)) ou
non définie (« données techniques », « informations techniques » « toute
information associée « , « le concédant » (la société ADI)), les clauses
critiquées ne sont ni claires ni compréhensibles.
Au surplus, la clause ne répond pas non plus aux exigences de clarté et
de compréhensibilité des dispositions contenues dans l’article L.211-1
du code de la consommation, lorsqu’elle applique de manière inexacte
voire trompeuse la double qualification d’ »option » et de « limité » au
suivi publicitaire dont l’utilisateur fait l’objet par défaut (cf. « option
suivi publicitaire limité »). En effet, l’ »identifiant publicitaire »,
préinstallé sans information préalable et sans son consentement sur son
appareil via un cookie, permet l’envoi de publicités ciblées.
L’activation de cette « option » ne limite donc pas le suivi publicitaire
mais de fait l’interdit, en permettant à l’utilisateur de s’opposer à ce
suivi publicitaire.
En laissant croire à l’utilisateur que la qualification de données à
caractère personnel reviendrait au seul opérateur de la plate-forme
numérique (cf. « Les informations rassemblées sont considérées comme
des données non personnelles aux fins du présent Engagement de
confidentialité »), en présentant des exemples de données comme des
données non personnelles, alors qu’il s’agit de données à caractère
personnel, en suggérant à l’utilisateur qu’il ne peut s’opposer à une
telle collecte (cf. « Vous acceptez que », « Nous collectons », « Nous
pouvons recueillir, utiliser, transférer et divulguer » (…)), les clauses
soumises à la critique sont d’une part abusives en ce qu’elles créent un
déséquilibre significatif entre les droits et obligations des parties au
contrat au détriment du consommateur au regard de l’article L.212-1 du
code de la consommation et d’autre part irréfragablement abusives au
regard de l’article R.212-1 4°) du code de la consommation, en ce
qu’elles ont pour objet ou pour effet de conférer au professionnel un
droit exclusif d’interpréter une clause ambiguë dans le sens qui lui
serait le plus favorable.
En conséquence, les clauses précitées, illicites au regard des
articles L.211-1 du code de la consommation, des articles 4, 12,
13, 14 du RGPD, sont abusives au regard des articles L.212-1 et
R.212-1 4°) du code de la consommation.
Elles seront donc réputées non écrites.
(b) Sur l’identité du responsable des
traitements (Point 3, Partie III-B) :
Engagement de Confidentialité :
« Les données personnelles, relatives aux services Apple, concernant les
personnes résidant dans un État membre de l’Espace économique
européen et en Suisse, sont contrôlées par Apple Distribution
International en Irlande, et traitées pour son compte par Apple Inc.
Apple utilise des clauses contractuelles types approuvées pour le
transfert international des données personnelles collectées dans
l’Espace économique européen et en Suisse. En tant qu’entreprise
internationale, Apple possède de nombreuses entités juridiques situées
au sein de différentes juridictions qui sont responsables des données
personnelles qu’elles collectent et qui sont traitées en leur nom par
Apple Inc. Par exemple, les informations sur le point de vente au sein
de nos entités commerciales situées en dehors des États-Unis sont
contrôlées par les entités commerciales individuelles dans chaque pays.
Les données personnelles associées à Apple, au magasin [VERSION
DU 9 mai 2019 : « à l’Apple Store »] en ligne et à iTunes peuvent
également être contrôlées par des entités juridiques en dehors des
États-Unis, tel que cela est spécifié dans les Conditions d’Utilisation de
chaque service ».
L’association reproche à cette clause d’être vague et imprécise, les
informations délivrées ne permettant pas à l’utilisateur d’identifier la
personne responsable du traitement de ces données. Elle affirme que la
société ADI entend par cette clause se décharger de sa qualité de
responsable du traitement sur l’utilisateur, en lui faisant croire qu’il est
juridiquement responsable du traitement de ses propres données.
Elle en déduit que la clause est abusive en ce qu’elle introduit un
déséquilibre significatif au sens de l’article L.212-1 du code de la
consommation entre les droits et obligations de l’utilisateur et d’ADI,
en transférant la responsabilité de la société ADI sur l’utilisateur.
Pour la société, le responsable de traitement est identifié comme étant
la société ADI. Elle rappelle que l’activité d’ADI et du groupe Apple
est internationale et qu’il est donc nécessaire d’informer les personnes
concernées et utilisateurs des services et produits Apple que l’identité
du responsable de traitement peut varier selon le pays dans lequel les
services ou produits Apple sont fournis. Elle souligne qu’il n’existe
aucune obligation règlementaire de prévoir une rédaction spécifique
pour chaque pays.
Aux termes de l’article 2-1 du RGPD toutes informations se rapportant
à une personne physique identifiée ou identifiable (la « personne
concernée ») constituent des « données à caractère personnel ». La
« personne physique identifiable » est une personne physique qui peut
être identifiée, directement ou indirectement, notamment par référence
à un identifiant, tel qu’un nom, un numéro d’identification, des données
de localisation, un identifiant en ligne, ou à un ou plusieurs éléments
spécifiques propres à son identité physique, physiologique, génétique,
psychique, économique, culturelle ou sociale.
Au sens de l’article 4-7 du RGPD le responsable du traitement est la
personne physique ou morale, l’autorité publique, le service ou un autre
organisme qui, seul ou conjointement avec d’autres, détermine les
finalités et les moyens du traitement ; lorsque les finalités et les moyens
de ce traitement sont déterminés par le droit de l’Union ou le droit d’un
État membre, le responsable du traitement peut être désigné ou les
critères spécifiques applicables à sa désignation peuvent être prévus par
le droit de l’Union ou par le droit d’un État membre.
Aux termes de l’article 13-1 (a) du RGPD, lorsque des données à
caractère personnel relatives à une personne concernée sont collectées
auprès de cette personne, le responsable du traitement lui fournit, au
moment où les données en question sont obtenues, l’identité et les
coordonnées du responsable du traitement et, le cas échéant, du
représentant du responsable du traitement. L’article 14-1 (a) du même
texte prévoie dans l’hypothèse où les données à caractère personnel
n’ont pas été collectées auprès de la personne concernée, que le
responsable du traitement lui fournit l’identité et les coordonnées du
responsable du traitement et, le cas échéant, du représentant du
responsable du traitement.
En l’espèce, et contrairement à ce que l’association soutient, la clause
ne laisse pas croire à l’utilisateur qu’il est juridiquement responsable du
traitement de ses propres données, car elle identifie la société Apple
Distribution International (ADI) située en Irlande comme le
responsable du traitement de ses données à caractère personnel.
En revanche, cette clause ne donne aucun élément de contact lui
permettant de joindre le responsable du traitement et, le cas échéant, le
représentant du responsable du traitement, la société ADI n’invoquant
dans ses conclusions aucune autre clause répondant à cette exigence.
En s’abstenant de fournir comme elle y est contrainte par les
articles 13-1 (a) et 14-1 (a) du RGPD, d’indiquer les cordonnées
permettant à l’utilisateur de contacter le responsable du
traitement, la clause est illicite au regard des articles précités.
Elle sera réputée non écrite de ce chef.
(c) Sur la communication de l’identité et les
coordonnées du délégué à la protection des
données (Point 4, Partie III-B) :
Engagement de Confidentialité (version du 22 mai 2018 et version
du 9 mai 2019 :
« Si vous avez des questions ou des inquiétudes concernant
l’Engagement de confidentialité Apple ou le traitement des données,
vous pouvez contacter notre délégué européen à la protection des
données ».
L’association affirme que cette clause ne permet pas à l’utilisateur
d’identifier et de contacter le délégué à la protection des données. Elle
serait illicite au regard de l’article L. 211-1 du code de la
consommation et des articles 12, 13 et 14 du RGPD.
La société ADI réplique que s’agissant de la communication avec le
public, elle a choisi, comme le permettent expressément les lignes
directrices concernant le délégué à la protection de données, de
proposer aux personnes concernées une assistance par téléphone et un
formulaire de contact spécifique adressé au délégué à la protection de
données (DPD), qui est disponible sur son site internet.
Elle produit à ce titre la clause – complétée d’une phrase comprenant
deux liens hypertextes – qui permet selon la société ADI de contacter
le DPD : « Si vous voulez signaler une possible violation des lois locales
relatives à la confidentialité, veuillez nous contacter. Vous pouvez
toujours nous contacter par téléphone au numéro de l’assistance Apple
correspondant à votre pays ou région. »
Aux termes de l’article 13-1 (b) du RGPD lorsque des données à
caractère personnel relatives à une personne concernée sont collectées
auprès de cette personne, le responsable du traitement lui fournit, au
moment où les données en question sont obtenues, le cas échéant, les
coordonnées du délégué à la protection des données, l’article 14-1 (b)
du RGPD prévoyant de la même manière que lorsque les données à
caractère personnel n’ont pas été collectées auprès de la personne
concernée, le responsable du traitement fournit à celle-ci toutes le cas
échéant, les coordonnées du délégué à la protection des données.
Contrairement à ce qu’affirme l’association UFC-QUE CHOISIR, les
articles 13-1 (b) 14-1 (b) du RGPD n’exigent pas que le responsable du
traitement mentionne l’identité du délégué à la protection des données.
En revanche, ces deux articles imposent au responsable du traitement
de fournir les coordonnées du délégué à la protection des données, le
verbe « fournir » impliquant que l’information doit être délivrée par le
responsable du traitement et qu’il ne revient pas à la personne
concernée (l’utilisateur) de la quérir.
Tel n’est pas le cas de la clause qui contraint l’utilisateur à prendre
l’initiative de cliquer sur l’un et/ou l’autre des deux liens hypertexte
non explicites présentés dans la clause critiquée, à savoir « nous
contacter » et « assistance Apple », dans l’hypothèse unique où
l’utilisateur voudrait « signaler » à la société ADI, responsable du
traitement de ses données à caractère personnel (et non le DPD), « une
possible violation des lois locales relatives à la confidentialité »,
l’article 38-4 du RGPD permettant aux personnes concernées par le
traitement de prendre contact avec le délégué à la protection des
données au sujet de toutes les questions relatives au traitement de
leurs données à caractère personnel et à l’exercice des droits que leur
confère le RGPD.
En s’abstenant de fournir à l’utilisateur, comme le prévoient les articles
13-1 (b) et 14-1 (b) du RGPD, les cordonnées lui permettant de
contacter le délégué à la protection des données, la clause est illicite au
regard des articles précités.
En s’abstenant de délivrer les informations de contact permettant à
l’utilisateur d’exercer ses droits à la protection de ses données à
caractère personnel, la clause est illicite au regard de l’article L. 211-1
du code de la consommation, imposant au professionnel une rédaction
claire et compréhensible des clauses du contrat qu’il propose au
consommateur.
La clause critiquée, illicite au regard des articles 13-1 (b) et 14-1
(b) du RGPD, est illicite au regard de l’article L.212-1 du code
de la consommation.
Elle sera donc réputée non écrite.
(d) Sur les finalités de traitement (Point 5, Partie III-B) :
Engagement de Confidentialité :
« Nous pouvons également utiliser les données personnelles à des fins
internes, par exemple pour des audits, analyses de données et
recherches dans le but d’améliorer les produits, services et
communications clients d’Apple. » ;
« Dans certaines juridictions, nous pouvons vous demander une pièce
d’identité officielle, mais uniquement dans certains cas, par exemple,
lors de l’ouverture d’un compte mobile et de l’activation de votre
appareil, lors de la décision d’étendre un crédit commercial, pour
gérer des réservations, ou encore si la loi l’exige. »
« À des fins de recherche et développement, nous pouvons utiliser des
ensembles de données tels que ceux contenant [VERSION DU 09 mai
2019 : « telles que celles qui contiennent »] des images, voix ou autres
données pouvant être associées à une personne identifiable. »
« Nous utilisons également vos données personnelles pour créer,
développer, utiliser, livrer et améliorer nos produits, services, contenus
et publicités, et à des fins de prévention des pertes et de lutte contre la
fraude. Nous pouvons aussi utiliser vos données personnelles dans des
objectifs de sécurité des comptes et réseaux, notamment afin de
protéger nos services pour le bénéfice de tous nos utilisateurs
[VERSION DU 09 mai 2019 : « ainsi que filtrer et analyser tout
contenu chargé pour nous assurer qu’il ne contient pas de contenus
illégaux, tels que des abus sexuels sur mineurs »]. Lorsque nous
utilisons vos données à des fins de lutte contre la fraude, c’est suite à
une transaction en ligne auprès de nous. Nous limitons notre utilisation
des données à des fins de lutte contre la fraude aux données strictement
nécessaires et dans le cadre de nos intérêts légitimes estimés afin de
protéger nos clients et nos services. Pour certaines transactions en
ligne, nous pouvons également vérifier les informations que vous nous
avez fournies auprès de sources publiquement disponibles. »
« Nous pouvons également divulguer vos données [VERSION DU 09
mai 2019 : « des informations vous concernant »] si nous pensons qu’à
des fins de sécurité nationale, d’application de la loi ou autre sujet
d’intérêt public, la divulgation est nécessaire ou appropriée. »
« Apple peut parfois mettre certaines données personnelles à la
disposition de partenaires stratégiques travaillant avec Apple pour la
fourniture de produits et services, ou aidant Apple à commercialiser ses
produits auprès des clients. Par exemple, lorsque vous achetez et
activez votre iPhone, vous autorisez Apple et votre opérateur à
échanger les informations que vous divulguez pendant la procédure
d’activation afin d’exécuter le service. »
L’association reproche aux clauses critiquées d’évoquer des finalités
vagues, peu explicites et indéterminées, par le recours systématique à
des énumérations non exhaustives, qui ne permettent pas à l’utilisateur
de connaître l’étendue de l’utilisation des données à caractère personnel
le concernant. Elle ajoute que ces formulations parcellaires et trop
générales contreviennent à l’impératif de bonne information de
l’utilisateur. Elle en conclue que ces clauses doivent être déclarées
illicites comme contraires aux dispositions des articles 12, 13, 14 du
RGPD, de l’article 32 de la Loi Informatique et Libertés et de l’article
L.211-1 du code de la consommation et abusive au regard de l’article
R.212-1 du code de la consommation, en ce qu’elles confèrent à la
société ADI le pouvoir exclusif d’interpréter les hypothèses, dans
lesquelles elle utilisera ou non les données à caractère personnel des
utilisateurs pour telle ou telle fin.
La société ADI rappelle que les critiques de l’association UFC-QUE
CHOISIR portent sur l’Engagement de confidentialité, document
d’information non spécifique au service Apple Music ne présentant pas
de lien avec le service, parce qu’il comprend des informations
nécessairement générales. Elle soutient que seul le document spécifique
« Apple Music et confidentialité » doit être pris en considération. Elle
ajoute que ce document liste les finalités des traitements des données
personnelles des personnes concernées sous forme de « bullet points »
(c’est-à-dire des puces) pour fournir l’information relative aux finalités
de traitement d’une manière pédagogique de la façon la plus simple
possible, en donnant des exemples pratiques afin de permettre aux
personnes concernées de comprendre rapidement et exactement la
finalité visée.
Elle reproche à l’association, s’agissant de l’Engagement de
confidentialité, d’avoir une interprétation personnelle et
particulièrement excessive des exigences de la réglementation relative
à l’information des personnes concernées sur le traitement de leurs
données à caractère personnel et ajoute que l’information qu’elle
fournit dans l’engagement de confidentialité est tronquée. Elle produit
à l’appui de son affirmation, une clause de l’Engagement de
confidentialité qui, selon elle, liste « les finalités » (conclusions ADI,
page 141).
Elle conteste l’utilité de répondre clause par clause au caractère
prétendument parcellaire des finalités communiquées aux personnes
concernées dans l’Engagement de confidentialité, dans la mesure où a
été mise en place par la société une logique d’information consistant en
une approche sur plusieurs niveaux qui a pour effet de fournir une
information générale dans l’Engagement de confidentialité laquelle est
précisée dans le document « Apple Music et confidentialité » pour le
service « Apple Music » (conclusions ADI p. 142/203).
Aux termes de l’article 5 du RGPD, les données à caractère personnel
des personnes concernées doivent être traitées de manière licite, loyale
et transparente au regard de la personne concernée (article 5-1, a)) ; être
collectées pour des finalités déterminées, explicites et légitimes ; ne pas
être traitées ultérieurement d’une manière incompatible avec ces
finalités ; être adéquates, pertinentes et limitées à ce qui est nécessaire
au regard des finalités, pour lesquelles elles sont traitées (principe de
minimisation des données, article 5-1 c), le responsable du traitement,
responsable du respect du paragraphe 1 du même article, devant être en
mesure de démontrer que celui-ci est respecté (principe de
responsabilité, article 5-2).
De la même manière, l’article 4 de la Loi Informatique et Libertés,
entrée en vigueur le 1er juin 2019, prévoit que les données à caractère
personnel doivent être traitées de manière licite, loyale et transparente
au regard de la personne concernée (1°), collectées pour des finalités
déterminées, explicites et légitimes, et ne pas être traitées
ultérieurement d’une manière incompatible avec ces finalités (2°), être
adéquates et pertinentes et, au regard des finalités pour lesquelles elles
sont traitées, limitées à ce qui est nécessaire.
Les articles 13 et 14 du RGPD disposent que lorsque des données à
caractère personnel relatives à une personne concernée sont collectées
auprès de cette personne (article 13-1 (c)), et lorsqu’elles n’ont pas été
collectées auprès de la personne concernée (article 14-1 (c)), le
responsable du traitement lui fournit, au moment où les données en
question sont obtenues (article 13-1), l’information sur les finalités du
traitement auquel sont destinées les données à caractère personnel, ainsi
que la base juridique du traitement.
Il ressort des articles précités que les principes de licéité, de loyauté et
de transparence, qui gouvernent les règles protectrices des données à
caractère personnel de la personne physique, imposent au responsable
du traitement qu’il informe la personne concernée par le traitement de
la finalité de ce traitement et que ses données, collectées initialement
dans un but déterminé et légitime, ne soient pas traitées ultérieurement
de manière incompatible avec l’objectif initial.
(i) Sur l’information concernant les finalités :
La lecture des clauses figurant dans le document intitulé « Apple Music
et confidentialité », produit par la société ADI (conclusions Adi, page
138), montre que ce document a pour objet de décrire les
fonctionnalités du service et la collecte des données à caractère
personnel de l’utilisateur effectuée dans le cadre du service Apple
Music par la société ADI et de permettre la personnalisation de ces
fonctionnalités en fonction des goûts musicaux des utilisateurs, et ce,
afin à la fois d’analyser leur comportement et d’améliorer le service.
Elles envisagent ainsi, lors de la création du profil par l’utilisateur, la
collecte de données à caractère personnel telle que son nom, sa photo
et « d’autres informations » (sans plus de précisions). Elles évoquent
également, la collecte et le traitement, lors de l’exécution du service,
d’informations relatives à ses goûts musicaux, mais également la
collecte d’informations liées à son compte, son adresse IP, son appareil,
l’ »app ou l’accessoire auto », utilisé lors de la lecture de morceaux de
musique, l’heure et la durée de lecture, c’est-à-dire une collecte de
données fondée sur sa navigation sur le site. Ces données, qui
constituent autant de données à caractère personnel de l’utilisateur,
sont, selon les termes de la clause, stockées dans le compte de
l’utilisateur à la fois pour qu’il puisse y accéder au service depuis
n’importe quel appareil et pour que la société puisse analyser son
comportement et améliorer le service.
Pour leur part, la clause critiquée, extraite de l’Engagement de
confidentialité conçoit l’utilisation par la société ADI, d’ »ensembles de
données » des utilisateurs, contenant (cf. « tels que ») des images, des
voix ou « d’autres données » (sans plus de précisions). Ces données
constituent également des données à caractère personnel au sens de
l’article 4 du RGPD, parce qu’associées à la personne concernée
(l’utilisateur). Selon la clause, elles sont collectées (et par suite traitées)
pour des finalités de recherche et développement, pour la création, le
développement, l’utilisation, la livraison, l’amélioration des produits,
des services, des contenus et des publicités d’Apple, pour prévenir les
pertes (?) et pour lutter contre la fraude.
Il ressort de ce qui précède, que les finalités évoquées dans l’ensemble
des clauses produites au débat sont formulées de manière indéterminée
et confuse.
En effet, les finalités de traitement des données à caractère personnel
de l’utilisateur, telles qu’exprimées dans la clause critiquée, ne lui
permettent pas de distinguer celles qui relèvent strictement du
fonctionnement du service (adéquation du service à ses goûts
musicaux), de celles qui relèvent du développement commercial de
l’entreprise ADI et de celles qui permettent à la société d’envoyer à
destination une publicité ciblée, effectuée à partir de l’analyse de son
comportement et de ses données personnelles collectées lors de la
création du compte et de l’utilisation du service.
Ces ultimes finalités sont dès lors incompatibles avec les finalités de
traitement initiales déterminées, explicites et légitimes qu’un
responsable du traitement, fournisseur d’un service de streaming
musical en ligne, pourrait mettre en oeuvre, d’autant que certaines
données à caractère personnel ont pu avoir été collectées indirectement
sans le consentement informé et explicite de l’utilisateur, au moment
de son inscription sur le site ou au cours de l’utilisation du service (cf.
les clauses relatives aux cookies, point 15, partie III-B de la présente
décision).
Parce qu’elles octroient à la société ADI la faculté de collecter des
données à caractère personnel de l’utilisateur sans l’informer
clairement et avec complétude des finalités de cette collecte et de la
possibilité de s’y opposer, les clauses critiquées sont illicites au regard
des articles 4, 5, 13 et 14 du RGPD.
(ii) Sur la clarté et la compréhensibilité des
clauses critiquées et sur leur caractère abusif :
Au sein de la clause, les termes ou expressions (cf. « par exemple »,
« notamment », « tels que », employés pour évoquer les données collectées
par la société ADI à l’occasion de la création du compte par
l’utilisateur et de l’exécution du contrat de streaming musical qu’il a
souscrit permettent une énumération non exhaustive des finalités de
traitement des données à caractère personnel des utilisateurs envisagées
par la société.
De même l’utilisation d’expressions imprécises ou non précisées (cf.
« certaines (transactions) », « pouvons », « peut parfois », « sources
publiquement disponibles ») conduisent à créer une incertitude quant au
volume des données collectées. Cette incertitude est incompatible avec
la notion de finalité déterminée et explicite contenue dans l’article 5 du
RGPD.
En conséquence, les clauses critiquées ne permettent donc pas à
l’utilisateur d’appréhender concrètement l’utilisation qui pourrait être
faite à l’avenir de ses données à caractère personnel. Ces clauses sont
donc illicites au regard de l’article L.211-1 du code de la consommation
qui impose une rédaction claire et compréhensible des clauses proposés
par un professionnel au consommateur.
Du fait de l’imprécision de leur rédaction, ces clauses sont également
abusives au sens de l’article R.212-1 4°), car elles ont pour objet ou
pour effet de conférer au seul professionnel le droit exclusif
d’interpréter une quelconque clause du contrat.
En conséquence, la clause critiquée, illicite au regard des
articles 4, 5, 13, 14 du RGPD et de l’article L.211-1 du code de la
consommation, et abusive au regard de l’article R.212-1 4°)
sera réputée non écrites.
(e) Sur l’indication des catégories de données
collectées auprès de sources tierces (Point 6,
Partie III-B) :
Engagement de Confidentialité :
« À des fins de recherche et développement, nous pouvons utiliser des
ensembles de données tels que ceux contenant [VERSION DU 09 mai
2019 : « telles que celles qui contiennent »] des images, voix ou autres
données pouvant être associées à une personne identifiable. »
« Il peut nous arriver de recevoir des données personnelles vous
concernant par le biais de tiers, si ces personnes partagent leur contenu
avec vous à l’aide de produits Apple, vous envoient des chèques
cadeaux et des produits, ou vous invitent à participer à des services ou
forums Apple. Nous pouvons également vérifier les informations que
vous nous fournissez lorsque vous créez un identifiant Apple avec un
tiers, dans un objectif [VERSION DU 09 mai 2019 : « à des fins »] de
sécurité et de prévention de la fraude. »
L’association UFC-QUE CHOISIR reproche à la clause critiquée
lorsque des données à caractère personnel ne sont pas collectées
directement auprès de l’utilisateur mais auprès d’une source tierce, de
ne lui fournir aucune information sur la nature des données ainsi
collectées. Elle affirme que la clause est illicite au regard des article 12,
14 et L. 211-1 du code de la consommation.
La société ADI s’appuie sur le document « Apple Music et
confidentialité » et estime que ce document mentionne de manière
précise le cas spécifique dans lequel elle est susceptible des données
personnelles de l’utilisateur de la part d’une source tierce.
Selon la société la source tierce peut être des opérateurs de téléphonie,
qui proposent des abonnements à Apple Music, la donnée personnelle
collectée par ADI étant le numéro de téléphone de l’utilisateur d’Apple
Music.
Elle affirme n’être donc pas tenue de communiquer aux personnes
concernées des informations dont la société ADI ne dispose pas encore
puisque la collecte indirecte de données personnelles n’est pas
systématique et ne concerne pas nécessairement tous les utilisateurs.
Elle fait valoir que l’obligation d’informer des catégories de données
susceptibles d’être recueillies auprès de sources tierces et de l’identité
de ces sources tierces n’est effective, qu’une fois la collecte indirecte
effectuée conformément au point 3 de l’article 14 du RGPD.
Au sens de l’article 4-1 du RGPD, toute information se rapportant à une
personne physique identifiée ou identifiable est une donnée à caractère
personnel. La personne physique identifiable est une personne physique
qui peut être identifiée, directement ou indirectement, notamment par
référence à un identifiant, tel qu’un nom, un numéro d’identification,
des données de localisation, un identifiant en ligne, ou à un ou plusieurs
éléments spécifiques propres à son identité physique, physiologique,
génétique, psychique, économique, culturelle ou sociale.
L’article 12-1 du RGPD prévoit que le responsable du traitement prend
des mesures appropriées pour fournir toute information visée aux
articles 13 et 14 (…) en ce qui concerne le traitement à la personne
concernée d’une façon concise, transparente, compréhensible et
aisément accessible, en des termes clairs et simples, en particulier pour
toute information destinée spécifiquement à un enfant. Les
informations sont fournies par écrit ou par d’autres moyens y compris,
lorsque c’est approprié, par voie électronique. Lorsque la personne
concernée en fait la demande, les informations peuvent être fournies
oralement, à condition que l’identité de la personne concernée soit
démontrée par d’autres moyens.
L’article 14-1 du RGPD impose au responsable du traitement de fournir
à la personne concernée par le traitement, lorsque les données à
caractère personnel n’ont pas été collectées auprès de la personne
concernée, l’identité et les coordonnées du responsable du traitement et,
le cas échéant (a), les coordonnées du délégué à la protection des
données (b), les finalités du traitement auquel sont destinées les
données à caractère personnel ainsi que la base juridique du traitement
(c) ; les catégories de données à caractère personnel concernées (d), le
cas échéant, les destinataires ou les catégories de destinataires des
données à caractère personnel (e), le cas échéant, le fait que le
responsable du traitement a l’intention d’effectuer un transfert de
données à caractère personnel à un destinataire dans un pays tiers ou
une organisation internationale, et l’existence ou l’absence d’une
décision d’adéquation rendue par la Commission ou, dans le cas des
transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1,
deuxième alinéa, la référence aux garanties appropriées ou adaptées et
les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à
disposition (f).
En l’espèce, la généralité des termes employés dans la clause critiquée,
qui énonce qu’il « peut » arriver à la société ADI de recevoir de la part
de tiers, des données à caractère personnel concernant l’utilisateur, en
cas de « partage » (de collecte et de transfert) de « contenu » de ces tiers
avec l’utilisateur (cf. « si ces personnes partagent leur contenu avec
l’utilisateur à l’aide de produits Apple »), dépasse largement le cadre
restreint de l’hypothèse, évoquée dans ses conclusions par la société
ADI, selon laquelle le transfert de donnée à caractère personnel au sens
de l’article 4 du RGPD collectée par un tiers se résumerait à la
transmission du seul numéro de téléphone de l’utilisateur collecté par
l’opérateur de téléphonie et transmis à la société ADI aux fins de
souscription à l’abonnement au service « Apple Music » et de l’exécution
de cet abonnement, alors que la clause ci-après critiquée fait état
d’ »ensemble de données » contenant « des images, voix ou autres
données pouvant être associées à une personne identifiable », soit des
données à caractère personnel au sens de l’article 2-1 du RGPD,
précédemment cité dans le point 2 partie II-B de la présente décision.
Par conséquent, en s’abstenant d’informer l’utilisateur de l’existence
de catégories de données à caractère personnel collectées par des tiers
et transférées à la société ADI, plaçant l’utilisateur dans l’impossibilité
d’en appréhender la nature et le volume, la clause critiquée ne répond
pas aux exigences des articles 2-1, 4, 12 et 14 du RGPD. Elle est donc
illicite à leur égard.
En s’abstenant d’informer dans le cadre du contrat qui lie la société
ADI à l’utilisateur du service qu’elle propose de l’existence d’un
transfert à son bénéfice de catégories données à caractère personnel
collectées par des tiers, la clause critiquée est également illicite au
regard des articles L.211-1 du code de la consommation.
En conséquence, la clause critiquée, illicite au regard des
articles 2-1, 4, 12,14 du RGPD, est également illicite au regard
de l’article L.211-1 du code de la consommation. Elle sera donc
réputée non écrite.
(f) Sur la communication de l’identité des
sources tierces (Point 7, Partie III B) :
Apple Music et confidentialité :
« Nous pouvons également vérifier les informations que vous nous
fournissez lorsque vous créez un identifiant Apple avec un tiers, dans un
objectif [VERSION DU 09 mai 2019 : « à des fins »] de sécurité et de
prévention de la fraude. »
Engagement de Confidentialité :
« Pour certaines transactions en ligne, nous pouvons également vérifier
les informations que vous nous avez fournies auprès de sources
publiquement disponibles. »
« À des fins de recherche et développement, nous pouvons utiliser des
ensembles de données tels que ceux contenant [VERSION DU 09 mai
2019 : « telles que celles qui contiennent »] des images, voix ou autres
données pouvant être associées à une personne identifiable. Lorsque
nous acquérons ce type d’ensemble de données, nous le faisons
conformément à la loi applicable dans la juridiction dans laquelle se
trouve l’ensemble de données . »
L’association UFC-QUE CHOISIR reproche à la clause critiquée de
n’apporter aucune information sur l’identité des tiers à l’origine de la
collecte de données à caractère personnel des utilisateurs du service et
de leur transmission à la société ADI.
Elle ajoute que les clauses évoquent la collecte, voire l’achat de fichiers
de données auprès de tiers, sans jamais désigner clairement les tiers
auprès de qui ces informations sont acquises, les utilisateurs concernés
n’étant donc pas en mesure de savoir auprès de qui circulent leurs
données à caractère personnel.
Elle en conclue que les clauses sont illicites au regard de l’obligation
d’information prévue par l’article 14 du RGPD, du principe de
transparence et de collecte loyale respectivement prévus par les articles
12 et 5.1.a) du RGPD et illicites au regard de l’article L.211-1 du code
de la consommation, la société ADI n’apportant aucune information
utile à l’utilisateur.
La société ADI réplique que la possibilité pour ADI de vérifier les
informations que l’utilisateur lui fournit lorsqu’il créé un identifiant
Apple avec un tiers, dans un objectif de sécurité et de prévention de la
fraude, n’entre pas dans le cadre d’une collecte indirecte de données
personnelles, visée par l’article 14 du RGPD mais d’une vérification de
certaines informations, comme cela peut se faire pour la sécurisation
des paiements en ligne avec les banques, sans qu’aucune collecte de
données personnelles provenant de ces tiers ne soit prévue.
Elle rappelle que l’obligation d’informer des catégories de données
susceptibles d’être recueillies auprès de sources tierces et de l’identité
de ces sources tierces n’est effective qu’une fois la collecte indirecte
effectuée conformément au point 3 de l’article 14 du RGPD. Elle
maintient qu’elle n’est pas tenue de communiquer aux personnes
concernées des informations qu’elles auront simultanément lors des
partages de contenu, d’envois de chèques cadeaux ou de produits ou
d’invitations par des tiers directement destinées aux personnes
concernées ou dont elle ne dispose pas encore puisque la collecte
indirecte de données personnelles n’est pas systématique et ne concerne
pas nécessairement tous les utilisateurs.
L’article 5-1 (a) impose au responsable du traitement que les données
à caractère personnel soient traitées de manière licite, loyale et
transparente au regard de la personne concernée (licéité, loyauté,
transparence).
Aux termes de l’article 12-1 du RGPD (« Transparence des
informations et des communications et modalités de l’exercice des
droits de la personne concernée »), le responsable du traitement prend
des mesures appropriées pour fournir toute information visée aux
articles 13 et 14 ainsi que pour procéder à toute communication au titre
des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à
la personne concernée d’une façon concise, transparente,
compréhensible et aisément accessible, en des termes clairs et simples,
en particulier pour toute information destinée spécifiquement à un
enfant. Les informations sont fournies par écrit ou par d’autres moyens
y compris, lorsque c’est approprié, par voie électronique.
L’article 14-2 du RGPD impose au responsable du traitement, lorsque
les données à caractère personnel n’ont pas été collectées auprès de la
personne concernée, de fournir en plus des informations visées au
paragraphe 1 (14-1), le responsable du traitement fournit à la personne
concernée les informations suivantes nécessaires pour garantir un
traitement équitable et transparent à l’égard de la personne concernée :
la durée pendant laquelle les données à caractère personnel seront
conservées ou, lorsque ce n’est pas possible, les critères utilisés pour
déterminer cette durée (a) ; lorsque le traitement est fondé sur
l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par
le responsable du traitement ou par un tiers (b) ; l’existence du droit de
demander au responsable du traitement l’accès aux données à caractère
personnel, la rectification ou l’effacement de celles-ci, ou une limitation
du traitement relatif à la personne concernée, ainsi que du droit de
s’opposer au traitement et du droit à la portabilité des données (c) ;
lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou
sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer le
consentement à tout moment, sans porter atteinte à la licéité du
traitement fondé sur le consentement effectué avant le retrait de celui-ci
(d) ; le droit d’introduire une réclamation auprès d’une autorité de
contrôle (e) ; la source d’où proviennent les données à caractère
personnel et, le cas échéant, une mention indiquant qu’elles sont issues
ou non de sources accessibles au public (f) ; l’existence d’une prise de
décision automatisée, y compris un profilage, visée à l’article 22,
paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles
concernant la logique sous-jacente, ainsi que l’importance et les
conséquences prévues de ce traitement pour la personne concernée (g).
L’article 14-3 impose au responsable du traitement de fournir les
informations visées aux paragraphes 1 et 2 (14-1 et 14-2) dans un délai
raisonnable après avoir obtenu les données à caractère personnel, mais
ne dépassant pas un mois, eu égard aux circonstances particulières dans
lesquelles les données à caractère personnel sont traitées (a) ; si les
données à caractère personnel doivent être utilisées aux fins de la
communication avec la personne concernée, au plus tard au moment de
la première communication à ladite personne (b) ; ou s’il est envisagé
de communiquer les informations à un autre destinataire, au plus tard
lorsque les données à caractère personnel sont communiquées pour la
première fois (c).
Il ressort des clauses critiquées qu’elles autorisent la société ADI à
vérifier à des fins de sécurité et de prévention de la fraude les
informations que l’utilisateur a fourni à la société ADI, lorsque cet
utilisateur créé un identifiant Apple avec un tiers.
L’association UFC-QUE CHOISIR ne démontre pas en quoi cette
opération de vérification se traduirait en une collecte de données à
caractère personnel de l’utilisateur et constituerait un traitement
déloyal.
Elle sera donc déboutée de ce chef.
En revanche, la clause selon laquelle la société ADI achète des
ensembles de données contenant des données à caractère personnel de
l’utilisateur (des images, voix ou autres données pouvant être associées
à une personne identifiable) auprès de tiers sans informer l’utilisateur
de la collecte indirecte de ces données, de leur traitement et de
l’identité des tiers qui cèdent à la société ADI ces données à caractère
personnel contre paiement, est illicite comme contraire aux principes
de licéité, loyauté, transparence dans le traitement des données à
caractère personnel au sens de l’article 5-1 a) du RGPD, de
transparence des informations et des communications de l’article 12 et
14 du même texte.
En plaçant l’utilisateur d’un service de streaming musical dans
l’impossibilité de connaître auprès de qui transitent ses données à
caractère personnel dans le cadre du contrat qui le lie au fournisseur de
ce service, la clause est illicite au regard de l’article L. 211-1 du code
de la consommation.
En conséquence la clause critiquée est illicite au regard des
articles 5-1 a), 12 et 14 du RGPD et de l’article L.211-1 du code
de la consommation. Elle sera donc réputée non écrite.
(g) Sur la généralité et l’imprécision des
durées de conservation (Point 8, Partie III B) :
Engagement de Confidentialité :
« Nous conservons vos données personnelles pendant la durée
nécessaire aux finalités décrites dans le présent Engagement de
confidentialité et nos récapitulatifs spécifiques aux services. Pour
estimer ces durées, nous déterminons avec soin si nous avons besoin de
collecter des données personnelles et, si nous établissons un tel besoin,
nous les conservons uniquement pendant la durée la plus courte
possible nécessaire à la réalisation de l’objectif de la collecte, sauf si
une durée de conservation plus longue est requise par la loi. »
Apple Music et la confidentialité :
« Cet indice est stocké pendant une durée déterminée sur nos
serveurs. »
« Les informations relatives à votre bibliothèque musicale iCloud vous
sont associées pendant toute la durée de votre abonnement et pendant
une courte période après sa résiliation. »
« Nous conservons les données concernant les morceaux que vous
écoutez pendant les durées spécifiées par les lois en vigueur relatives
aux états financiers. »
L’association reproche aux clauses de la « Politique de Confidentialité
d’ADI », de ne donner que peu d’informations relatives à la durée de
conservation des données à caractère personnel de l’utilisateur, en
s’abstenant de se prononcer sur une durée spécifique, en se contentant
d’utiliser un vocabulaire imprécis et de formulations vagues telles que
« une durée déterminée », ou encore « une courte période ». Elle
conclue que ces clauses sont illicites au regard des articles L. 211-1 du
code de la consommation, des articles 12, 13 et 14 du RGPD, de
l’article 32 de la loi Informatique et Libertés. Elle en déduit que ces
clauses, qui conférent à la société ADI la faculté d’interpréter la durée
de conservation de ces données, sont présumées abusives de manière
irréfragable au sens de l’article R.212-1 du code de la consommation.
La société ADI répond que la détermination de la durée de
conservation et sa communication aux personnes concernées est un
exercice complexe et que l’association UFC-QUE CHOISIR ne
s’applique pas ses propres critiques dans la mesure où elle ne
communiquait pas jusqu’à très récemment la moindre information
s’agissant de la durée de conservation des données personnelles qu’elle
traite.
Elle ajoute qu’en raison de cette complexité, la communication des
durées de conservation pour chaque finalité et pour chaque catégorie
de données personnelles n’est pas possible. Elle explique qu’elle a
choisi, comme le permet expressément la règlementation, de
communiquer aux personnes concernées uniquement les critères
utilisés permettant de déterminer les durées de conservation dans le
document « Apple Music et confidentialité » et dans l’ »Engagement de
confidentialité ».
Elle en déduit que les personnes concernées (les utilisateurs) sont
informées des critères utilisés par ADI pour les durées de conservation
de leurs données personnelles. A ce titre, elle cite le critère de la
nécessité de la conservation des données et la durée la plus courte
possible nécessaire à la réalisation de la finalité de la collecte, sauf
dans le cas où une durée de conservation plus longue est requise par la
loi.
Elle réfute l’argument de l’association UFC-QUE CHOISIR selon
lequel les informations qu’elle communique lui confèreraient un « droit
exclusif d’interpréter » les durées de conservation celles-ci étant
déterminées par le responsable de traitement dans les limites fixées par
la règlementation.
S’agissant de l’argument selon lequel l’association UFC-QUE
CHOISIR ne s’appliquerait pas ses propres critiques dans la mesure où
elle ne communiquait pas jusqu’à très récemment la moindre
information sur la durée de conservation des données personnelles
qu’elle traite, le Tribunal rappelle qu’il n’est pas saisi de l’examen de
la validité des clauses des conditions générales d’abonnement à l’UFC
QUE CHOISIR. Le moyen tiré d’une pratique ancienne prétendument
inadéquate est donc sans effet.
L’article 5-1 (a) du RGPD impose au responsable du traitement que les
données à caractère personnel soient traitées de manière licite, loyale
et transparente au regard de la personne concernée (licéité, loyauté,
transparence) et soient conservées sous une forme permettant
l’identification des personnes concernées pendant une durée n’excédant
pas celle nécessaire au regard des finalités pour lesquelles elles sont
traitées (5-1 (e)).
Aux termes des articles 12, 13 et 14 du RGPD, le responsable du
traitement informe la personne concernée par le traitement, d’une
manière concise, transparente, compréhensible et aisément accessible,
en utilisant des termes clairs et simples, en particulier lorsque
l’information est destinée spécifiquement à un enfant (art. 12-1), de la
durée de conservation des données à caractère personnel ou, lorsque ce
n’est pas possible, les critères utilisés pour déterminer cette durée, et
ce, quelles que soient les modalités de cette collecte, qu’elle ait été
effectué directement auprès de cette personne (art. 13-2 (a)) ou
indirectement (art. 14-2 (a)).
En l’espèce la clause extraite de l’ »Engagement de Confidentialité »
invoque une durée de conservation « nécessaire aux finalités décrites
dans le présent Engagement de confidentialité et (les) récapitulatifs (de
la société ADI) spécifiques aux services », la durée de conservation
étant estimée (cf. détermin(ée) avec soin) par la société ADI, si
(lorsque ?) la société ADI ressent le besoin de collecter des données
personnelles, la société les conservant alors pendant « la durée la plus
courte possible nécessaire à la réalisation de l’objectif de la collecte,
sauf si une durée de conservation plus longue est requise par la loi »
(Clause « Engagement de Confidentialité »).
En évoquant une durée de conservation indéterminée pour les données
à caractère personnel qu’elle a collectées directement ou indirectement
auprès de l’utilisateur, cette durée étant « estimé(e) » par la société ADI
en fonction des données personnelles dont elle « détermin(e) avec soin »
(cf. dont elle « ressent ») le « besoin » de collecte, en affirmant qu’elle
conserve alors ces données pour une durée « nécessaire aux finalités
(…) », « pendant une durée déterminée », « pendant une courte période
après sa résiliation »), pour une durée « la plus courte possible », ou
« pendant les durées spécifiées par les lois en vigueur relatives aux
états financiers », les clauses critiquées ne répondent pas aux exigences
de transparence, clarté et compréhensibilité posées par les articles 5, 12
à 14 du RGPD.
Ces clauses, illicites au regard des articles 5, 12 à 14 du RGPD,
seront réputées non écrites.
(h) Sur l’absence d’indication des bases
juridiques des différents traitements (Point 9,
Partie III B) :
Engagement de Confidentialité :
« Nous pouvons traiter vos données personnelles dans les objectifs
décrits dans cet Engagement de confidentialité avec votre
consentement, pour nous conformer à une obligation légale à laquelle
Apple est soumise ou lorsque nous estimons que cela est nécessaire
pour atteindre les objectifs légitimes poursuivis par Apple ou un tiers
à qui nous pouvons être amenés à divulguer ces données ».
Selon l’association UFC-QUE CHOISIR, l’Engagement de
Confidentialité établi par la société ADI ne respecte pas l’obligation
d’information des personnes concernées imposée au responsable du
traitement par les articles 13.1 d) et 14.2 b) du RGPD sur les bases
juridiques de ce traitement, telles qu’elles sont énoncées à l’article 6 du
RGPD.
En conséquence, elle conteste la licéité d’une telle clause en raison des
considérations laconiques qu’elle contient, l’utilisateur n’étant pas en
mesure d’identifier la base juridique de chaque traitement et par suite
de distinguer les traitements qui nécessiteraient un consentement
spécifique de l’utilisateur, de ceux qui seraient justifiés par la
fourniture technique du service.
Elle fait valoir que faute de connaître cette base juridique, les
personnes concernées par le traitement ne sont pas en mesure de savoir
à quel traitement elles peuvent ou non s’opposer, sachant que,
conformément aux articles 15 à 22 du RGPD, l’utilisateur ne peut pas
s’opposer aux traitements des données à caractère personnel
nécessaires à l’exécution du contrat, alors qu’il peut s’opposer aux
traitements fondés sur une mission d’intérêt public ou sur un intérêt
légitime allégué par le responsable du traitement.
Du fait de l’absence d’information sur la base juridique des différents
traitements, l’association en déduit que cette clause est illicite comme
contraire aux dispositions des articles 12, 13 et 14 du RGPD et de
l’article L.211-1 du code de la consommation.
Elle soutient également que la clause doit être réputée abusive de façon
irréfragable au sens de l’article R.212-1 du code de la consommation,
car elle confère à la société ADI le droit exclusif d’interpréter, ce que
recouvrent ses obligations légales et ses intérêts légitimes vis-à-vis de
l’utilisateur.
Selon la société ADI, la base juridique du traitement est une notion
juridique qui devrait être communiquée aux personnes concernées sous
une forme compréhensible et pratique. Elle assure qu’elle informe les
personnes concernées dans l’Engagement de Confidentialité que le
traitement de leurs données personnelles peut avoir comme base
juridique, selon le traitement concerné, soit le consentement, soit
l’exécution d’un contrat, soit l’obligation légale, soit l’intérêt légitime
du responsable de traitement, conformément à l’article 6 du RGPD.
La société explique qu’il est plus pertinent pour les personnes
concernées de comprendre ce qu’implique la base juridique du
traitement que de s’attacher stricto sensu aux notions juridiques de
« consentement », « d’exécution d’une obligation légale ou
règlementaire », « d’exécution d’un contrat ou de mesures
précontractuelles » ou encore d’ »intérêt légitime du responsable de
traitement ou d’un tiers ».
C’est pourquoi, elle produit au débat une clause qui fait suite à la
clause critiquée par l’association. Selon la société, cette clause
informerait de façon pratique les personnes concernées des bases
juridiques des traitements.
Engagement de Confidentialité (suite) :
« Les données personnelles que nous recueillons nous permettent de
vous informer des dernières annonces produits, des mises à jour
logicielles et des événements Apple à venir. Si vous ne souhaitez pas
faire partie de notre liste de diffusion, vous pouvez décider de vous
désinscrire à tout moment en modifiant vos préférences.
Nous utilisons également vos données personnelles pour créer,
développer, utiliser, livrer et améliorer nos produits, services, contenus
et publicités, et à des fins de prévention des pertes et de lutte contre la
fraude.
Nous pouvons aussi utiliser vos données personnelles dans des objectifs
de sécurité des comptes et réseaux, notamment afin de protéger nos
services pour le bénéfice de tous nos utilisateurs, ainsi que filtrer et
analyser tout contenu chargé pour nous assurer qu’il ne contient pas de
contenus illégaux, tels que des abus sexuels sur mineurs.
Lorsque nous utilisons vos données à des fins de lutte contre la fraude,
c’est suite à une transaction en ligne auprès de nous. Nous limitons
notre utilisation des données à des fins de lutte contre la fraude aux
données strictement nécessaires et dans le cadre de nos intérêts
légitimes estimés afin de protéger nos clients et nos services. Pour
certaines transactions en ligne, nous pouvons également vérifier les
informations que vous nous avez fournies auprès de sources
publiquement disponibles.
Nous pouvons utiliser vos données personnelles, notamment votre date
de naissance, pour vérifier votre identité, identifier des utilisateurs et
déterminer les services appropriés. Par exemple, nous pouvons
déterminer l’âge du détenteur d’un compte Apple grâce à sa date de
naissance.
De temps en temps, nous pouvons utiliser vos données personnelles
pour envoyer des notifications importantes, telles que des
communications sur les achats, et les modifications apportées à nos
conditions d’utilisation et politiques. Ces informations étant
importantes pour vos relations avec Apple, vous ne pouvez pas vous
opposer à la réception de ces communications.
Nous pouvons également utiliser les données personnelles à des fins
internes, par exemple pour des audits, analyses de données et
recherches dans le but d’améliorer les produits, services et
communications clients d’Apple.
Si vous participez à un tirage au sort, un concours ou un événement
promotionnel similaire, nous pouvons utiliser les informations que vous
communiquez dans le cadre de la gestion de ces programmes.
Si vous postulez pour un poste chez Apple ou si nous recevons vos
informations en lien avec un rôle potentiel chez Apple, nous pouvons
utiliser vos informations pour évaluer votre candidature ou vous
contacter. Si vous êtes candidat à un poste, vous recevrez davantage
d’informations sur la manière dont Apple gère les données personnelles
des candidats au moment de la candidature. »
La société ADI affirme que le premier paragraphe de cette clause,
permettant à la personne concernée de décider de se désinscrire à tout
moment, montre (cf. « cela implique ») que le traitement est fondé sur
un intérêt légitime du responsable de traitement » et que la personne
concernée « peut s’opposer à ce traitement ».
Elle soutient également qu’il est explicitement indiqué dans la clause
(4ème paragraphe) de que les traitements réalisés en vue des finalités
évoquées sont fondés sur les intérêts légitimes d’ADI (cf. « Nous
limitons notre utilisation des données à des fins de lutte contre la
fraude aux données strictement nécessaires et dans le cadre de nos
intérêts légitimes estimés afin de protéger nos clients et nos services »).
Elle estime que l’information (contenue dans le 6ème paragraphe) selon
laquelle « ces informations étant importantes pour vos relations avec
Apple, vous ne pouvez pas vous opposer à la réception de ces
communications », conduit l’utilisateur à identifier cette finalité comme
fondée sur l’exécution du contrat.
L’article 6-1 (a) du RGPD relatif à la licéité du traitement affirme que
le traitement des données à caractère personnel des personnes
physiques n’est licite que si au moins une des 6 conditions qu’elle
énumère est réalisée, la réalisation d’une seule des conditions
constituant la base juridique du traitement envisagé. Au premier rang
de ces conditions figure le consentement de la personne concernée au
traitement de ses données à caractère personnel pour une ou plusieurs
finalités spécifiques.
D’autres conditions, lorsqu’elles sont réalisées, peuvent constituer la
base juridique du traitement : l’exécution d’un contrat auquel la
personne concernée est partie ou à l’exécution de mesures
précontractuelles prises à la demande de celle-ci (6-1 (b)) ; le respect
d’une obligation légale à laquelle le responsable du traitement est
soumis (6-1 (c)) ; la sauvegarde des intérêts vitaux de la personne
concernée ou d’une autre personne physique(6-1 (d)) ; l’exécution d’une
mission d’intérêt public ou relevant de l’exercice de l’autorité publique,
dont est investi le responsable du traitement (art. 6-1 (e)) ; les intérêts
légitimes poursuivis par le responsable du traitement ou par un tiers,
à moins que ne prévalent les intérêts ou les libertés et droits
fondamentaux de la personne concernée qui exigent une protection des
données à caractère personnel, notamment lorsque la personne
concernée est un enfant (art. 6-1 (f)).
Aux termes de l’article 12 du RGPD, intitulé « Transparence des
informations et des communications et modalités de l’exercice des
droits de la personne concernée », le responsable du traitement doit
prendre des mesures appropriées pour fournir toute information visée
aux articles 13 et 14 ainsi que pour procéder à toute communication au
titre des articles 15 à 22 et de l’article 34, en ce qui concerne le
traitement à la personne concernée, d’une façon concise, transparente,
compréhensible et aisément accessible, en des termes clairs et simples,
en particulier pour toute information destinée spécifiquement à un
enfant. Les informations sont fournies par écrit ou par d’autres moyens
y compris, lorsque c’est approprié, par voie électronique. Lorsque la
personne concernée en fait la demande, les informations peuvent être
fournies oralement, à condition que l’identité de la personne concernée
soit démontrée par d’autres moyens.
Selon l’article 13-1 du RGPD, lorsque des données à caractère
personnel relatives à une personne concernée sont collectées auprès de
cette personne et lorsque le traitement est fondé sur l’article 6-1 (f), le
responsable du traitement doit l’informer, au moment où les données
en question sont obtenues, sur les intérêts légitimes que lui-même ou
un tiers poursuit (art. 13-1 (d)). De la même manière, lorsque les
données à caractère personnel n’ont pas été collectées auprès de la
personne concernée, le responsable du traitement doit l’informer,
lorsque le traitement est fondé sur l’article 6-1 (a) (consentement
« normal »), ou sur l’article 9-2 (a) (consentement « explicite », s’agissant
de données sensibles), sur son droit de révoquer à tout moment son
consentement, sans qu’il soit porté atteinte à la licéité du traitement
fondé sur ce consentement alors qu’il a été donné avant le retrait de
celui-ci (art. 14-2 (d)).
Ainsi, les articles 12, 13 et 14 du RGPD contraignent-ils le responsable
du traitement, en l’occurrence le fournisseur d’un service de streaming
en ligne, à fournir à l’utilisateur de ce service, via ses documents
contractuels et par des moyens appropriés, notamment par voie
électronique, une information portant sur les bases juridiques des
traitements des données à caractère personnel de l’utilisateur, concise,
transparente, compréhensible, aisément accessible et rédigée en des
termes clairs et simples.
Aux termes de l’article L.211-1 du code de la consommation, les
professionnels sont contraints de la même manière de présenter et
rédiger de façon claire et compréhensible les clauses des contrats qu’ils
proposent aux consommateurs.
L’article R.212-1 4°) prévoit dans ces mêmes contrats que les clauses
ayant pour objet ou pour effet de conférer au professionnel le droit
exclusif d’interpréter une quelconque clause du contrat sont présumées
abusives de manière irréfragable, au sens des dispositions des premier
et quatrième alinéas de l’article L.212-1 du code de la consommation,
et dès lors interdites.
En l’espèce, la clause critiquée par l’UFC-QUE CHOISIR prévoit
d’une manière générale le droit pour la société ADI de traiter les
données à caractère personnel de l’utilisateur (cf. « Nous pouvons
traiter vos données personnelles »), conformément « aux objectifs
décrits dans l’Engagement de confidentialité », avec le consentement
de l’utilisateur, ou conformément à une obligation légale (« pour que
l’entreprise ADI se conforme à une obligation légale à laquelle Apple
est soumise »), ou lorsque la société ADI « estime que cela est nécessaire
pour atteindre les objectifs légitimes poursuivis par Apple ou un tiers
à qui la société ADI peut être amenée à divulguer ces données ».
Hormis le consentement de la personne concernée, la lecture de la
clause issue de l’engagement de confidentialité critiquée par l’UFC
montre que sont également évoquées deux autres conditions figurant
à l’article 6 du RGPD précédemment cité, qui, si elles sont réalisées,
constituent les bases juridiques des traitements envisagés : l’exécution
du contrat qui lie l’utilisateur au fournisseur du service ainsi que les
intérêts légitimes de ce dernier.
Cependant, s’agissant du recours à l’une ou l’autre des deux dernières
bases juridiques invoquées et contrairement à ce que soutient la société
ADI, l’analyse combinée des clauses, à laquelle la société ADI convie
le Tribunal, montre que l’information qu’elles dispensent ne permet
pas à l’utilisateur d’être informé clairement des traitements envisagés
d’une façon concise, transparente, compréhensible et aisément
accessible – le responsable du traitement devant utiliser pour ce faire
des termes clairs et simples – selon l’article 12 du RGPD précité.
En effet, les clauses produites au débat par l’UFC et par la société ADI,
en l’occurrence : « Nous pouvons traiter vos données personnelles dans
les objectifs décrits dans cet Engagement de confidentialité » (clause
critiquée par l’UFC) et « vous pouvez décider de vous désinscrire à tout
moment en modifiant vos préférences » (clause produite au débat par la
société ADI) devraient conduire, d’après cette dernière, l’utilisateur à
déduire et par suite à admettre (cf. « cela implique que », conclusions
ADI, page 152/203), que le traitement de ses données personnelles
« recueillies » (collectées) directement ou indirectement auprès de lui
(via le placement de cookies par exemple ou par l’acquisition de
données personnelles auprès de tiers) serait conforme à l’intérêt
légitime poursuivi le responsable du traitement.
Or, les dispositions de l’art. 6-1 (f)), imposent au responsable du
traitement de mettre en balance l’intérêt légitime qu’il allègue avec les
intérêts ou les libertés et droits fondamentaux de la personne
concernée, qui exigent une protection des données à caractère
personnel, et non de déterminer ce qui est légitime ou non en
considération des seuls objectifs qu’il s’assignerait. À cette fin, il doit
s’assurer que les intérêts qu’il poursuit et le bénéfice qu’il tire du
traitement, ne créent pas de déséquilibre « au détriment des droits et
intérêts des personnes dont les données sont traitées » (art. 6-1 (f) du
RGPD précité).
Il en est de même des clauses suivantes, dont la lecture combinée avec
la clause critiquée par l’UFC-QUE CHOISIR révèle l’existence d’une
confusion opérée par la société ADI entre, d’une part les « objectifs
poursuivis » par la société Apple, c’est-à-dire les finalités poursuivies
par ladite société ou un tiers – les « objectifs » étant qualifiés à l’occasion
de « légitimes » par la société (cf. « lorsque nous estimons que cela est
nécessaire pour atteindre les objectifs légitimes poursuivis par Apple
ou un tiers à qui nous pouvons être amenés à divulguer ces données ») –
et d’autre part les « intérêts légitimes », tels qu’ils sont définis à l’article
6-1 (f) du RGPD.
La confusion entre ces deux notions ne résulte toutefois pas d’un
fourvoiement de la société ADI, qui discerne dans ses conclusions le
lien « intime » existant entre finalité et base juridique, en recommandant
au Tribunal que « les notions de finalité et de base juridique (…)
intimement liées (…) doivent être lues ensemble », (cf. conclusions
société ADI, p. 152/203). Toutefois, ces deux notions, même si elles
sont étroitement liées, demeurent distinctes au sens du RGPD.
Par ailleurs, aucun outil constituant un moyen d’opposition au
traitement de ses données à caractère personnel n’est mis à la
disposition de l’utilisateur serait-ce par un renvoi textuel ou un lien
hypertexte lui permettant de s’opposer au traitement de ses données à
caractère personnel.
S’agissant de la base juridique du traitement relevant de l’exécution du
contrat, l’article 6-1 (b) prévoit que constitue un fondement juridique
au traitement des données à caractère personnel de la personne
concernée, l’exécution d’un contrat dans les situations où le traitement
est nécessaire à l’exécution d’un contrat auquel la personne concernée
est partie ou à l’exécution de mesures précontractuelles prises à la
demande de celle-ci.
À ce titre, la société ADI fait valoir que l’information contenue dans
la clause selon laquelle « ces informations étant importantes pour vos
relations avec Apple, vous ne pouvez pas vous opposer à la réception
de ces communications », conduit l’utilisateur à identifier cette finalité
comme fondée sur l’exécution du contrat.
Or, le seul fait que des informations soient importantes pour la société
Apple, (cf. : « Nous pouvons utiliser vos données personnelles pour
envoyer des notifications importantes »), ne justifie pas que
l’ »utilisation » (c’est-à-dire le traitement) des « informations » (c’est-àdire
des données à caractère personnel de l’utilisateur) soient « de temps
en temps » nécessaires à l’exécution du contrat, dans des hypothèses
figurant dans une liste non exhaustive (cf. « telles que »).
En conséquence en n’informant pas clairement l’utilisateur (la
personne concernée par le traitement), comme l’exige les articles 12,
13, 14 du RGPD, des bases juridiques qui servent de fondement au
traitement de ses données à caractère personnel ni des modalités qui lui
permette de s’opposer à de tels traitements, la clause critiquée est
illicite au regard de l’article L.211-1 du code de la consommation.
Par ailleurs, la généralité des termes employés par la clause ne permet
pas à l’utilisateur d’appréhender à quel traitement il peut ou non
s’opposer, de sorte que la clause est présumée abusive de manière
irréfragable au sens de l’article R.212-1 4°) du code de la
consommation, parce qu’elle a pour objet ou pour effet de conférer au
professionnel le droit exclusif d’interpréter une quelconque clause du
contrat.
D’où il suit que la clause critiquée par l’association, illicite au
regard des articles 6, 12, 13, 14 du RGPD et de l’article L.211-1
du code de la consommation, est abusive au sens de l’article
R.212-1
4°) du code de la consommation. Elle sera donc réputée non écrite.
(i) Sur le droit à la portabilité, le droit à la
limitation du traitement, le droit au retrait du
consentement, le droit d’opposition et le droit
de définir des directives relatives au sort des
données de l’utilisateur après sa mort (Point
10, Partie III B) :
L’association UFC-QUE CHOISIR reproche à la « Politique de
Confidentialité d’ADI » de ne pas prévoir d’information complète quant
aux droits des utilisateurs à la portabilité de leurs données à caractère
personnel, à la limitation du traitement, au retrait du consentement, au
droit d’opposition et au droit de définir des directives relatives au sort
des données de l’utilisateur après sa mort. Selon l’association, cette
information devrait s’étendre aux modalités de ces droits et au moyen
de les exercer par application du principe de transparence fixé par
l’article 12 du RGPD selon lequel « (le) responsable du traitement
facilite l’exercice des droits conférés à la personne concernée au titre
des articles 15 à 22 ». L’utilisateur qui ne dispose pas d’information
sur ses droits, n’est donc pas mis en mesure de les exercer.
L’association soutient que la Politique de Confidentialité d’ADI viole
les dispositions des articles 13 et 14 du RGPD, de l’article 32 de la Loi
Informatique et Libertés et du code pénal, relatives à l’obligation
d’information et au principe de transparence et maintient qu’elle est
également contraire aux exigences de l’article L.211-1 du code de la
consommation.
La société ADI produit deux clauses de l’Engagement de
confidentialité, qui selon elle, montrent que les personnes sont
informées de l’existence de leurs droits. Elle ajoute qu’elle met en
oeuvre des moyens pour faciliter l’exercice des droits conférés aux
utilisateurs conformément à l’article 12 du RGPD et une série de
captures d’écran montrant les fonctionnalités accessibles aux
utilisateurs après sa connexion à son compte Apple avec son identifiant
Apple. Elle précise que les utilisateurs des services disposent lorsqu’ils
se connectent à leur compte Apple d’un outil permettant la gestion de
leurs données personnelles.
Toutefois, comme il l’a été précisé antérieurement lors de l’examen de
la demande portant sur l’illicéité et le caractère abusif de la « Politique
de confidentialité d’ADI » en son entier, le cadre de l’action en cessation
ou en interdiction de l’illicite défini par l’article L.621-7 du code de la
consommation, qui autorise les associations, dans les conditions
déterminées par l’article L.621-8 du même code, de solliciter du juge
saisi qu’il ordonne la suppression d’une clause illicite ou abusive et
qu’elle soit réputée non écrite, ne permet pas l’examen d’une demande
en suppression et en réputé non-écrit de l’intégralité d’un document
contractuel, la demande devant être formulée clause par clause.
La demande de l’association sera rejetée de ce chef.
(j) Sur le caractère trompeur et contraires aux
exigences du RGPD des modalités d’exercice
des droits d’accès, de rectification et du droit
à l’effacement des données (Point 11, Partie
III-B) :
Engagement de Confidentialité :
« Vous pouvez nous aider à faire en sorte que vos coordonnées et
préférences soient exactes, complètes et à jour en vous connectant à la
page de votre compte Apple. Nous vous fournissons un accès aux autres
données personnelles que nous détenons, et une copie de celles-ci, pour
que vous puissiez éventuellement nous demander de les corriger si elles
sont inexactes ou de les supprimer, à condition qu’Apple ne soit pas
obligée de les conserver du fait de la loi ou à des fins commerciales
légitimes. Nous pouvons refuser de traiter les demandes
futiles/vexatoires, les demandes mettant en péril la confidentialité des
données de tiers, les demandes qui sont extrêmement difficiles à mettre
en place ou celles pour lesquelles un accès n’est pas imposé autrement
par la loi applicable. Nous pouvons également refuser certains aspects
de demandes de suppression ou d’accès si nous pensons que, ce faisant,
nous nuirions à notre utilisation légitime des données à des fins de lutte
contre la fraude ou de sécurité, comme nous l’avons vu
précédemment. »
« De temps en temps, nous pouvons utiliser vos données personnelles
pour envoyer des notifications importantes, telles que des
communications sur les achats, et les modifications apportées à nos
Conditions d’Utilisation et politiques. Ces informations étant
importantes pour vos relations avec Apple, vous ne pouvez pas vous
opposer à la réception de ces communications. »
Selon l’association UFC-QUE CHOISIR la société ADI s’autorise par
avance à refuser toute demande dès lors qu’elle serait « futile » ou
« vexatoire » ; qu’elle « mettrait en péril la confidentialité de données
de tiers » ; qu’elle serait « extrêmement difficile à mettre en place » ;
que le respect de cette demande ne serait pas « imposé autrement par
la loi applicable » ; que le respect de cette demande nuirait « à une
utilisation légitime des données à des fins de lutte contre la fraude ou
la sécurité ».
Elle reproche à la clause, s’agissant plus du droit à l’effacement des
données, qu’elle n’y fera droit que sous la condition « qu’Apple ne soit
pas obligée de les conserver du fait de la loi ou à des fins commerciales
légitimes ».
Elle en déduit que, ce faisant, la société ADI introduit de nouvelles
exceptions aux droits des personnes concernées, non prévues par le
RGPD, en soumettant ces exceptions à sa seule appréciation, par le
recours à des notions vagues telles que « futile », « vexatoire », « la loi
applicable », « difficile à mettre en place », ou encore « des fins
commerciales légitimes ». Elle fait valoir que ces restrictions ont pour
objet de décourager par avance toute tentative d’exercice de leurs droits
par les personnes concernées, alors que le responsable du traitement est
tenu par l’article 12 du RGPD de « faciliter » l’exercice de ces droits.
Elle ajoute que la société ADI supprime le droit d’opposition des
utilisateurs à la réception de notifications, au seul motif que ces
notifications sont « importantes pour vos relations avec Apple », alors
que ce droit d’opposition est imposé par l’article L. 34-5 du code des
postes et des communications électroniques pour l’envoi de courriers
électroniques « destiné à promouvoir, directement ou indirectement,
des biens, des services ou l’image d’une personne vendant des biens ou
fournissant des services ».
Elle en déduit que l’ensemble des clauses précitées sont illicites au
regard de l’article 12 du RGPD, de l’article L.211-1 du code de la
consommation, de l’article L.121-2 du même code prohibant les
pratiques commerciales trompeuses. Elles seraient également abusives
de façon irréfragable au sens de l’article R.212-1 du code de la
consommation en ce qu’elles réservent à la société ADI le droit exclusif
d’interpréter les cas dans lesquels elle pourra choisir ou non de donner
suite à une demande d’exercice de droit d’accès, de rectification ou
d’effacement.
La société ADI répond que la possibilité de refuser de donner suite à ce
type de demandes est prévue par l’article 12-5 du RGPD, lorsque les
demandes d’une personne concernée sont manifestement infondées ou
excessives, notamment en raison de leur caractère répétitif, le
responsable du traitement pouvant exiger le paiement de frais
raisonnables qui tiennent compte des coûts administratifs supportés
pour fournir les informations, procéder aux communications ou prendre
les mesures demandées ou refuser de donner suite à ces demandes.
Elle soutient qu’elle informe les utilisateurs des raisons pour lesquelles
elle pourrait légitimement refuser de répondre à une demande et
prétend que cette information n’a pas pour effet de dissuader les
utilisateurs d’exercer leurs droits, sauf à ce que les personnes
considèrent elles-mêmes leur demande comme illégitime.
Elle conteste l’application de l’article L.34-5 du code des postes et des
communications électroniques car les notifications ne se font pas
nécessairement par courrier électronique les notifications importantes
pouvant être adressées via des fenêtres spécifiques à dérouler. Elle
ajoute que l’article L. 34-5 précité n’a vocation à s’appliquer que dans
les cas où les communications visent la prospection, promotion des
ventes de produits ou de services. Tel n’est pas le cas des notifications
envisagées dans l’Engagement de Confidentialité qui traitent de «
communications sur les achats » de notification sur la sécurité des
produits ou services achetés et de communications sur « les
modifications apportées [aux] Conditions Générales d’Utilisation et
politiques ».
L’article 12 du RGPD, intitulé « Transparence des informations et des
communications et modalités de l’exercice des droits de la personne
concernée », prévoit que le responsable du traitement prend des mesures
appropriées pour fournir toute information visée aux articles 13 et 14
ainsi que pour procéder à toute communication au titre des articles 15
à 22 et de l’article 34 en ce qui concerne le traitement à la personne
concernée d’une façon concise, transparente, compréhensible et
aisément accessible, en des termes clairs et simples, en particulier pour
toute information destinée spécifiquement à un enfant. Les
informations sont fournies par écrit ou par d’autres moyens y compris,
lorsque c’est approprié, par voie électronique. Lorsque la personne
concernée en fait la demande, les informations peuvent être fournies
oralement, à condition que l’identité de la personne concernée soit
démontrée par d’autres moyens (art. 12-1).
Aux termes de l’article 12-5 du même texte, aucun paiement n’est exigé
pour fournir les informations au titre des articles 13 et 14 et pour
procéder à toute communication et prendre toute mesure au titre des
articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne
concernée sont manifestement infondées ou excessives, notamment en
raison de leur caractère répétitif, le responsable du traitement
peut exiger le paiement de frais raisonnables, qui tiennent compte des
coûts administratifs supportés pour fournir les informations, 12-5 (a),
ou refuser de donner suite à ces demandes, 12-5 (b). Il incombe au
responsable du traitement de démontrer le caractère manifestement
infondé ou excessif de la demande.
Les modalités d’exercice des droits de la personne concernée
s’inscrivent dans le cadre défini par l’article 12-5 du RGPD, qui
s’intéresse principalement aux coûts administratifs engendrés par les
demandes de la personne concernée relatives aux informations,
communications ou mesures requises aux articles 13 et 14 du même
texte et à l’éventualité de frais raisonnables qui pourraient leur être
imputés lorsque ces demandes seraient manifestement infondées ou
excessives en raison notamment de leur caractère répétitif.
En l’espèce, la clause critiquée par l’association concerne les modalités
d’exercice des droits d’accès, de rectification et d’effacement des
données personnelles de l’utilisateur du service (la personne concernée
par le traitement) en évoquant la possibilité pour la société ADI de
refuser de faire droit à ces demandes lorsqu’elles sont « futiles » ou
« vexatoires », lorsqu’elles « mettent en péril la confidentialité des
données de tiers », en raison « de la difficulté de leur mise en oeuvre » ou
pour une obscure raison qui aurait pour origine de ce que l’accès à ces
données « n’est pas imposé autrement (d’une autre manière ?) par la loi
applicable (quelle loi ?) ». S’agissant plus spécifiquement du droit à
l’effacement des données, la clause prévoit que la société ADI puisse
opposer une « obligation » de « conservation » de ces données, lorsqu’elle
estimerait par exemple que cette conservation est nécessaire notamment
à la réalisation de finalités « commerciales légitimes » qu’elle
déterminerait.
De sorte qu’en n’informant pas les utilisateurs, en des termes clairs et
simples, d’une façon concise, transparente, compréhensible et aisément
accessible, des modalités d’exercice de leurs droits d’accès et de
rectification et de leur droit à l’effacement de leurs données à caractère
personnel, la clause critiquée contrevient aux obligations d’information
imposées par l’article 12-5 du RGPD. Au surplus, en soumettant
l’exercice de leurs droits à la réalisation de conditions non prévues par
le règlement, la clause porte atteinte aux droits dont ils disposent par le
même texte quant à la maitrise de leurs données à caractère personnel
et par suite à leur protection.
Par ailleurs, en usant de termes de contenus insuffisants (« futile »,
« vexatoire ») ou d’expressions vagues (« extrêmement difficile à mettre
en place », « une utilisation légitime des données à des fins de lutte
contre la fraude ou la sécurité »), mal définies (« mettrait en péril la
confidentialité de données de tiers ») ou encore ambiguës, voire
obscures (« imposé autrement par la loi applicable »), la clause critiquée
ne présente pas les caractères de clarté et de compréhensibilité exigées
par l’article L.211-1 du code de la consommation. Elle est donc illicite
au regard de ses dispositions.
En conférant au professionnel un droit exclusif d’interpréter la clause
litigieuse dans le sens qui lui serait le plus favorable, créant ainsi un
déséquilibre significatif entre les droits et obligations des parties au
contrat, la clause précitée est irréfragablement abusive au sens l’article
R. 212-1 4°) du code de la consommation. Elle sera réputée non écrite
à ce titre.
En précisant que l’utilisateur ne peut s’opposer à ce que « de temps en
temps » la société ADI utilise les données personnelles de l’utilisateur
pour lui envoyer des « notifications importantes », « telles que » des
« communications sur les achats » et des « modifications apportées aux
conditions d’utilisation et politiques », parce que ces informations sont
importantes pour les relations de l’utilisateur avec Apple, la clause
répond à la même critique d’absence de clarté et d’imprécision,
l’utilisation du vocable « telle que » et de l’expression non définie
« notifications », dont la société ADI estimerait seule l’importance,
laissant entendre que d’autres envois qui ne seraient pas de nature
contractuelle puissent être adressés à l’utilisateur sans qu’il puisse s’y
opposer.
L’association ne démontre toutefois pas en quoi les clauses critiquées
« dissimuleraient » les véritables obligations de la société ADI et
révèleraient ainsi des pratiques commerciales trompeuses. Elle sera
déboutée de ce chef.
D’où il suit que les clauses, illicites au regard des articles 12, 13,
14 du RGPD et de l’article L.211-1 du code de la consommation,
sont abusives au sens l’article R. 212-1 4°) du code de la
consommation.
Elles seront donc réputées non écrites.
(k) Sur l’identification des différents
destinataires de données (Point 12, Partie IIIB) :
Conditions d’utilisation (version 22 mai 2018 (V4) et 09 mai
2019 (V5)) :
« Vous reconnaissez qu’Apple est en droit de divulguer des données
et/ou des informations aux forces de l’ordre, aux autorités publiques
et/ou à des tiers, si Apple l’estime raisonnablement nécessaire ou
approprié pour faire appliquer et/ou vérifier le respect de toute
disposition du présent contrat (y compris notamment le droit d’Apple
de coopérer dans le cadre de toute procédure judiciaire relative à votre
utilisation des services et/ou du contenu et/ou sur réclamation de tiers
relative à votre utilisation illicite des services et/ou du contenu et/ou en
violation des droits de ces tiers). »
Engagement de Confidentialité (version 22 mai 2018 (V4) et 09
mai 2019 (V5)) :
« Toutes les informations que vous fournissez peuvent être transférées
à des entités à travers le monde, ou être accessibles à celles-ci, tel que
décrit dans le présent Engagement de confidentialité. »
« Ces sociétés sont dans l’obligation de protéger vos données et peuvent
se trouver dans tout pays dans lequel Apple exerce des activités. »
Apple Music et confidentialité (version du 17 septembre 2017) :
« Prenez garde lorsque vous choisissez de partager des informations en
ligne ; certaines pourraient être rendues publiques. Les données
partagées depuis Apple Music vers d’autres sites web ou réseaux
sociaux sont régies par les engagements de confidentialité de ces
services. »
Pour l’association, les clauses critiquées sont vagues et imprécises. Il
est selon elle, impossible de savoir à qui les données sont transférées,
par qui elles sont accessibles, sous quelles conditions et dans quelles
circonstances, puisque la formulation relève de l’hypothétique
(« peuvent être transférées », peuvent se trouver », « pourraient être
rendues publiques »). Elle ajoute que, s’agissant du partage de données
à des fins commerciales, l’Engagement de Confidentialité s’avère
contradictoire, en affirmant tour à tour que les données « ne sont pas
partagées avec des tiers à des fins marketing », mais qu’ADI dispose en
réalité d’une « plateforme publicitaire », et que des « apps tierces »
peuvent accéder à un identifiant publicitaire de l’utilisateur pour
diffuser leurs annonces. L’association relève qu’il est indiqué « (qu’)
Apple et ses partenaires utilisent également des cookies et d’autres
technologies pour se souvenir de vos données personnelles lorsque
vous utilisez un site web, des services en ligne et des applications. Dans
ce cas, notre objectif est de rendre votre visite plus pratique et de la
personnaliser. »
Elle affirme que la société ADI permet à des tiers d’accéder à des
données relatives à ses utilisateurs pour des fins marketing ou
commerciales, la position de principe affichée de la société selon
laquelle les données « ne sont pas partagées avec des tiers à des fins
marketing » étant donc parfaitement trompeuse.
Elle maintient que les formulations dans la clause adoptées par la
société ADI sont difficilement compréhensibles.
Selon la société ADI, les responsables de traitement peuvent
communiquer aux personnes une information sur les destinataires ou
les catégories de destinataires.
Elle précise qu’elle a fait le choix d’une information sur les catégories
de destinataires dans le document « Apple Music et confidentialité » et
dans l’ »Engagement de Confidentialité ».
Elle affirme que les utilisateurs d’Apple Music disposent donc d’une
information spécifique claire et précise relative aux catégories de
destinataires à qui elle est susceptible de transmettre des données
personnelles ou non : les maisons de disques, les artistes, ses
distributeurs ou ses partenaires de vente.
Elle conteste l’argument de l’association selon lequel la plateforme
publicitaire d’ADI permettrait de partager notamment via le placement
de cookies par des tiers des données personnelles à des fins
commerciales afin qu’ils puissent adresser des publicités aux
utilisateurs du service. Elle soutient qu’au contraire la plateforme
publicitaire permet à la société de ne pas partager les données
personnelles avec des tiers à des fins commerciales, les publicités
proposées par les tiers étant mises en oeuvre par l’intermédiaire d’ADI
et les tiers ne disposant pas des informations permettant l’identification
des personnes.
S’agissant enfin des clauses relatives aux transferts de données à des
autorités publiques ou gouvernementales, elle rappelle qu’elle peut être
légalement contrainte de divulguer les données personnelles des
utilisateurs aux autorités publiques et gouvernementales, cette
possibilité étant prévue par le considérant 31 du RGPD.
Elle soutient que l’association UFC-QUE CHOISIR produit au débat
de manière volontairement tronquée les informations qu’elle
communique aux utilisateurs en présentant des phrases sorties de leur
contexte et en faisant abstraction du document « Apple Music et
confidentialité ».
Elle soumet au débat trois clauses issues de l’Engagement de
confidentialité.
Engagement de confidentialité version du 09 mai 2019 (V5)
Divulgation à des tiers
Apple peut parfois mettre certaines données personnelles à la
disposition de tiers afin de fournir ou améliorer nos produits et
services, y compris pour livrer les produits à votre demande, ou pour
aider Apple à commercialiser ses produits auprès des clients. Dans ces
cas-là, nous exigeons desdits tiers qu’ils traitent ces données
conformément aux lois applicables. Les données personnelles ne seront
jamais partagées avec des tiers à des fins marketing. Par exemple,
lorsque vous achetez et activez votre iPhone, vous autorisez Apple et
votre opérateur à échanger les informations que vous divulguez
pendant la procédure d’activation afin d’exécuter le service, y compris
les informations sur votre appareil. À compter de l’activation du service,
votre compte sera régi par les engagements de confidentialité respectifs
d’Apple et de votre opérateur.
Fournisseurs de services
Apple partage des données personnelles avec des sociétés qui
fournissent des services tels que le traitement d’informations,
l’extension de crédit, l’exécution de commandes client, la livraison de
produits, la gestion et le développement de données clients, la
fourniture d’un service client, l’évaluation de votre intérêt pour nos
produits et services, et la réalisation d’enquêtes de satisfaction ou de
développement de clientèle. Ces sociétés sont dans l’obligation de
protéger vos données et peuvent se trouver dans tout pays dans lequel
Apple exerce des activités.
Autres
Apple pourra être amenée, du fait de la loi, dans le cadre d’une
procédure en justice, d’un litige et/ou d’une requête des autorités
publiques de votre pays de résidence ou autre, à divulguer vos données
personnelles.
Nous pouvons également divulguer des informations vous concernant
si nous pensons qu’à des fins de sécurité nationale, d’application de la
loi ou autre sujet d’intérêt public, la divulgation est nécessaire ou
appropriée. Nous pouvons également divulguer des informations vous
concernant, mais uniquement si c’est légalement justifié, si nous
pensons que cette divulgation est raisonnablement nécessaire pour faire
valoir le respect de nos conditions générales d’utilisation, ou pour
protéger nos activités ou nos utilisateurs. Cela peut inclure fournir des
informations aux autorités publiques ou gouvernementales. En outre,
en cas de restructuration, de fusion ou de vente, nous pouvons
transférer toutes les données personnelles recueillies au tiers concerné.
Le principe de transparence énoncé dans du RGPD au sein de son
considérant 39 exige que les informations et communications adressées
à la personne concernée relatives au traitement de ses données à
caractère personnel soient aisément accessibles, faciles à comprendre
et formulées en des termes clairs et simples. Les informations doivent
être fournies « par écrit ou par d’autres moyens y compris, lorsque c’est
approprié, par voie électronique » et être concises, transparentes,
compréhensibles, aisément accessibles et formulées en des termes clairs
et simples (article 12-1 du RGPD).
Aux termes des articles 13-2 (e) et 14-1 (e) du même texte le
responsable du traitement doit informer la personne concernée par le
traitement, que ses données à caractère personnel sont collectées auprès
d’elle directement ou indirectement, vis-à-vis des destinataires ou des
catégories de destinataires de ces données à caractère personnel.
En l’espèce, les clauses critiquées, extraites des documents contractuels
« Conditions d’utilisation », « Engagement de Confidentialité » et « Apple
Music et confidentialité » traitent de la communication des données à
caractère personnel des utilisateurs du service « Apple Music », si Apple
l’estime raisonnablement nécessaire ou approprié pour faire appliquer
et/ou vérifier le respect de toute disposition du présent contrat, aux
forces de l’ordre, aux autorités publiques « et/ou à des tiers », à « des
entités à travers le monde, ou être accessibles à celles-ci », l’utilisateur
étant responsable du partage de ses informations qu’il met en ligne.
Les clauses produites par la société ADI (Apple) révèlent qu’en outre
la société est tenue de communiquer certaines informations non
personnelles relatives à l’emploi de l’utilisateur du service Apple Music
à des partenaires du service, tels que des maisons de disque, les artistes
des statistiques d’écoute et démographiques (comme l’âge et le sexe des
utilisateurs) non personnelles agrégées. Des informations personnelles,
telles que le nom de l’opérateur de téléphonie mobile, peuvent
également être communiquées aux distributeurs ou partenaires de
vente. Ces clauses indiquent que la société partage (c’est-à-dire
transmet) les données à caractère personnel des utilisateurs du service
Apple Music avec des fournisseurs de services de traitement
d’informations, des agents d’extension de crédit, d’exécution de
commandes client, de livraison de produits, de gestion et de
développement de données clients ainsi que de fourniture d’un service
client, d’évaluation de l’intérêt pour les produits et services (d’Apple)
et de réalisation d’enquêtes de satisfaction ou de développement de
clientèle.
S’agissant de l’exécution de l’obligation d’information concernant les
catégories de destinataires de ses données à caractère personnel,
l’utilisateur doit se référer à au moins trois documents : « Conditions
d’utilisation », « Engagement de Confidentialité » et « Apple Music et
confidentialité » selon qu’il utilise le service de manière classique ou sur
le web.
Aucun lien hypertexte ni autre dispositif n’est prévu pour que cette
information soit aisément accessible à partir de chacun des trois
documents cités, alors que la société ADI affirme dans ses conclusions
que l’information relative au traitement des données à caractère
personnel des utilisateurs du Service Apple Music lui est aisément
accessible grâce à l’adoption par la société d’une communication par
« strate » ou par « niveau » au moyen d’un document d’information plus
générale (l’Engagement de Confidentialité), qui conduirait l’utilisateur
à des informations plus spécifiques au service d’Apple Music (cf.
conclusions ADI pp. 115, 116 et 119/203 et l’argumentaire
antérieurement développé par la société ADI à l’occasion de l’examen
de la clause portant sur les finalités de traitement ; v. également le point
5 Partie III-B de la présente décision).
Concernant la première clause critiquée, l’adoption d’une phraséologie
complexe utilisant par cinq fois le « ou » inclusif (et/ou), qui exprime la
possibilité de choix d’une des deux propositions ou d’opter pour les
deux propositions à la fois (cf. « Apple est en droit de divulguer des
données et/ou des informations aux forces de l’ordre, aux autorités
publiques et/ou à des tiers, si Apple l’estime raisonnablement
nécessaire ou approprié pour faire appliquer et/ou vérifier le respect
de toute disposition du présent contrat (y compris notamment le droit
d’Apple de coopérer dans le cadre de toute procédure judiciaire
relative à votre utilisation des services et/ou du contenu et/ou sur
réclamation de tiers relative à votre utilisation illicite des services
et/ou du contenu et/ou en violation des droits de ces tiers), ne simplifie
pas non plus la compréhension par l’utilisateur.
De même, s’agissant de la deuxième clause critiquée l’utilisation de
termes vagues, comme l’emploi du verbe pouvoir (« peut », « peuvent »)
et celui d’ »entités » (« Toutes les informations que vous fournissez
peuvent être transférées à des entités à travers le monde » ; « Ces
sociétés sont dans l’obligation de protéger vos données et peuvent se
trouver dans tout pays dans lequel Apple exerce des activités ») ne
permet pas à l’utilisateur d’appréhender quelles structures exactes sont
concernées par le transfert de ses données à caractère personnel ni dans
quelles circonstances elles seraient transférées.
Par ailleurs, en utilisant une syntaxe compliquée et des termes vagues,
la clause ne répond pas l’exigence de clarté et de compréhensibilité
posée par l’article L.211-1 du code de la consommation.
De plus, en conférant au professionnel un droit exclusif d’interpréter la
clause litigieuse dans le sens qui lui serait le plus favorable, créant ainsi
un déséquilibre significatif entre les droits et obligations des parties au
contrat, la clause précitée est irréfragablement abusive au sens l’article
R.212-1 4°) du code de la consommation.
Elle sera donc réputée non écrite à ce titre.
En revanche l’association ne démontre pas dans ses conclusions en quoi
la dernière clause « Apple Music et confidentialité (version du 17
septembre 2017) » contreviendrait aux articles 13-1 (e) et 14 (e) du
RGPD, elle sera donc déboutée de ce chef.
De sorte qu’en dehors de cette clause, les clauses critiquées des
Conditions d’utilisation (version 22 mai 2018 (V4) et 09 mai 2019
(V5)) et de l’Engagement de Confidentialité (version 22 mai 2018
(V4) et 9 mai 2019 (V5)), illicite au regard des articles 13-1 (e), 14-1
(e) du RGPD, L.211-1 du code de la consommation est abusive au
sens de l’article R.212-1 4°) du code de la consommation. Elles
seront donc réputées non écrites.
(l) Sur l’existence d’un profilage et d’une prise
de décision automatisée (Point 13, Partie IIIB) :
Engagement de Confidentialité – « Services de géolocalisation » :
« Pour fournir des services de géolocalisation sur les produits Apple,
Apple et ses partenaires et licenciés [VERSION DU 09 mai 2019 : « tels
que les fournisseurs de données de cartographique »] peuvent
recueillir, utiliser et partager des données de localisation précises,
notamment la localisation géographique en temps réel de votre
ordinateur ou appareil Apple. Le cas échéant, les services de
géolocalisation peuvent utiliser le GPS, le Bluetooth et votre adresse
IP, ainsi que les emplacements des bornes Wi-Fi communautaires et des
antennes relais, ou encore d’autres technologies afin de déterminer la
localisation approximative de vos appareils. Sauf consentement de votre
part, ces données de localisation sont collectées anonymement dans un
format ne permettant pas de vous identifier. Elles sont utilisées par
Apple et ses partenaires et licenciés pour fournir et améliorer les
produits et services de géolocalisation. Par exemple, nous pouvons
partager la localisation géographique avec des fournisseurs
d’applications si vous acceptez leurs services de localisation.
Certains services de géolocalisation proposés par Apple, tels que la
fonctionnalité « Localiser mon iPhone », ont besoin de vos données
personnelles pour fonctionner. »
Engagement de Confidentialité et Apple Music et confidentialité :
« Pour identifier et empêcher la fraude, les données d’utilisation de
votre appareil, notamment le nombre approximatif d’appels passés et
reçus ou d’e-mails envoyés et reçus, sont utilisées pour calculer un
indice de confiance de l’appareil lors d’une tentative d’achat. » ;
« Nous pouvons également vérifier les informations que vous nous
fournissez lorsque vous créez un identifiant Apple avec un tiers, dans
un objectif [VERSION DU 09 mai 2019 : « à des fins »] de sécurité et
de prévention de la fraude ».
L’association avance que les données collectées dans le cadre de la
géolocalisation et dans le cadre de l’identification et la lutte contre la
fraude sont des données à caractère personnel et non pas des « données
non personnelles » comme le prétend la société ADI. Elle affirme que
la société ADI nie l’existence d’un profilage de l’utilisateur, alors que
les pratiques de géolocalisation de l’utilisateur sont susceptibles de
porter atteinte à la vie privée de l’utilisateur et que la détection de la
fraude peut engendrer à son détriment un refus de service, voire des
poursuites sur la base de ce traitement.
Elle en déduit qu’en n’informant pas de l’existence d’un profilage de
l’utilisateur et d’un traitement automatisé, les clauses critiquées sont
illicites au regard des articles 13 et 14 du RGPD et de l’article L.211-1
du code de la consommation, et relèvent de la prohibition des pratiques
commerciales trompeuses édictée à l’article L.121-2 du code de la
consommation.
En préalable, la société ADI réplique que la géolocalisation est un
traitement qui ne concerne pas le service Apple Music, tout en
avançant que les prétendues données de géolocalisation qu’elle collecte
à partir de l’utilisation d’Apple Music ne sont pas des données à
caractère personnel.
Elle affirme ensuite qu’elle ne procède pas effectivement à un
profilage. Elle indique que même si la géolocalisation peut permettre
par la suite à un profilage, ce dernier constitue un traitement distinct et
supplémentaire des données de géolocalisation, généralement couplé
avec d’autres données pour constituer un profil. Elle se réfère dans ses
conclusions (note de bas de page n° 181, p. 169/203) aux lignes
directrices qui visent à clarifier l’application du régime spécial prévu
par l’article 22 du RGPD relatif au profilage et à la prise de décision
individuelle automatisée -que celle-ci soit ou non basée sur le profilage
– , adopté le 03 octobre 2017 et révisé le 6 février 2018 par le G29
(Groupe de travail Article 29 sur la protection des données, ancien
organe consultatif de l’Union Européenne) et reprises depuis l’entrée
en vigueur du RGPD par le CEPD (Comité Européen de Protection des
Données).
Enfin elle fait valoir que l’association UFC-QUE CHOISIR ne
démontre pas qu’elle collecte non seulement les données de
géolocalisation mais en plus qu’elle les utilise aux fins de profilage.
(i) Sur l’existence d’un profilage :
Aux termes des articles 13-2 g°) et 14-2 g°) du RGPD, le responsable
du traitement fournit à la personne concernée en plus des informations
visées à leur paragraphe 1 respectif, les informations nécessaires pour
garantir un traitement équitable et transparent à l’égard de la personne
concernée, notamment l’existence d’une prise de décision automatisée,
y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au
moins en pareils cas, des informations utiles concernant la logique
sous-jacente, ainsi que l’importance et les conséquences prévues de ce
traitement pour la personne concernée.
L’article 4 4°) du RGPD définit le profilage comme « toute forme de
traitement automatisé de données à caractère personnel consistant à
utiliser ces données à caractère personnel, certains aspects personnels
relatifs à une personne physique, notamment pour analyser ou prédire
des éléments concernant le rendement au travail, la situation
économique, la santé, les préférences personnelles, les intérêts, la
fiabilité, le comportement, la localisation ou les déplacements de cette
personne physique ».
Ainsi aux termes de l’article 4 4°) du RGPD, le profilage d’une
personne physique peut consister en un traitement automatisé de
données à caractère personnel effectué pour analyser des éléments
concernant le comportement, la localisation ou les déplacements de
cette personne physique.
De sorte que le profilage vise l’ensemble du processus aboutissant à
l’établissement d’un profil (collecte, stockage et traitement en vue
d’établir des corrélations) et non uniquement sa résultante
(l’application de la corrélation à une personne pour identifier ses
caractéristiques présentes ou son comportement futur).
Tel est pourtant le cas des clauses à présent critiquées, lorsqu’elles sont
lues en combinaison avec les clauses reproduites en Point 2, Partie IIIB,
sur l’information relative aux traitements des données à caractère
personnel, la clause reproduite en Point 6, Partie III-B, sur les
catégories de données collectées auprès de sources tierces et la clause
reproduite en Point 7, Partie III-B, sur la communication des sources
tierces, précédemment examinées et déclarées illicites par le Tribunal
au regard des articles L. 211-1 du code de la consommation, des
articles 4, 12, 13, 14 du RGPD et abusives au sens des articles L.212-1
et R.212-1 4°).
En effet les clauses reproduites en point 2, Partie III-B de la présente
décision portent sur l’information relative aux traitements des données
à caractère personnel de l’utilisateur, qualifiées au demeurant par la
clause « de donnés techniques », ainsi que sur toutes les informations qui
leur sont associées. Ces informations « techniques » concernent le
dispositif de l’utilisateur, son système, son logiciel d’application (cf.
Conditions d’utilisation), le métier, la langue, le code postal, l’indicatif
régional, l’identifiant unique de l’appareil, l’URL de référence, le lieu
et le fuseau horaire dans lesquels un produit Apple est utilisé. Elles
sont destinées à mieux comprendre le comportement du client et à
améliorer ses produits, services et publicité (cf. Engagement de
confidentialité). Leurs données concernent les activités du client à
partir des autres produits et services, lesdites données rassemblées
étant considérées comme des données non personnelles aux fins de
l’Engagement de confidentialité de la société et étant utilisées pour lui
permettre de fournir des informations plus utiles aux clients et pour
savoir quels aspects de leur site web et de leurs produits ou services
sont les plus populaires.
La même clause (Point 2, Partie III-B, Engagement de confidentialité)
envisage de collecter et de stocker des informations sur la façon dont
l’utilisateur utilise les services, notamment les recherches qu’il
effectue. Les informations ainsi collectées sont utilisées selon la clause
pour améliorer la pertinence des résultats fournis par les services et
associés à l’adresse IP de l’utilisateur « dans de rares cas » afin
d’assurer la qualité des services sur Internet. La clause prévoit
également de traiter les données collectées par les cookies et autres
technologies comme des données non personnelles, alors qu’il s’agit
de données à caractère personnel, ainsi qu’il en a été précédemment
décidé à la suite de l’examen par le Tribunal de la clause précitée.
Cette même clause conçoit que les sociétés Apple et ses partenaires et
licenciés recueillent, utilisent et partagent (collecte et traite), via des
cookies et autres technologies (GPS, Bluetooth), l’adresse IP des
utilisateurs, ainsi que les emplacements des bornes Wi-Fi
communautaires et des antennes relais ou encore d’autres technologies,
afin de déterminer la « localisation approximative » des appareils de
l’utilisateur, notamment la localisation géographique en temps réel de
l’ordinateur ou appareil Apple de l’utilisateur, « pour fournir des
services de géolocalisation sur les produits ». Il en est ainsi déduit qu’il
s’agit de produits Apple et de produits proposés par les « partenaires et
licenciés », initiateurs et bénéficiaires de la collecte des données
précitée et ce, sans accord préalable de l’utilisateur, sans information
claire et complète sur les finalités d’un tel accès.
Enfin, la clause extraite d’ »Apple Music et confidentialité » envisage,
lors de la création du profil de l’utilisateur, la collecte notamment d’un
nom, d’une photo et « d’autres informations », ces « informations » étant
« stockées » dans le compte de l’utilisateur. Le « recueil » (la collecte) de
ces « informations » constituerait autant de données à caractère
personnel de l’utilisateur (son adresse IP, son appareil, l’ »app ou
l’accessoire auto » utilisé lors de la lecture de morceaux de musique,
l’heure et la durée de lecture), dans le but d’analyser le « comportement
des utilisateurs » et améliorer le service.
Il n’en est pas autrement des clauses reproduites en point 6 et 7, Partie
III-B portant sur le grief d’absence d’indication des catégories de
données collectées auprès de sources tierces et de l’identité des sources
tierces issue de l’Engagement de confidentialité qui envisagent
l’utilisation par la société ADI d’ »ensembles de données » contenant des
images, des voix ou « d’autres données », pour des finalités de recherche
et développement ou pour créer, développer, utiliser, livrer et améliorer
les produits, les services, les contenus et les publicités de la société
ADI et pour des finalités de prévention des pertes et de lutte contre la
fraude.
Ainsi, les données précitées qui constituent autant de données à
caractère personnel au sens de l’article 4 du RGPD, parce qu’associées
à l’utilisateur, permettent, du fait d’un traitement automatisé,
l’établissement d’un profil individualisé mettant en évidence son
comportement sur le site, ses habitudes d’achat, ses préférences
personnelles, ses intérêts, son comportement, sa localisation, ses
déplacements c’est-à-dire certains des aspects personnels relatifs à la
personne physique au sens de l’article 4-4 du RGPD.
En n’informant pas l’utilisateur qu’il fait l’objet d’un profilage,
serait-ce a minima pour les besoins de l’exécution du contrat
de streaming musical qu’il a souscrit, la clause critiquée,
illicite au regard des articles 13-2 g°) et 14-2 g°) du RGPD 13 et
14 du RGPD est également illicite au regard de l’article L.211-1
du code de la consommation. Elle sera donc réputée non écrite.
Cependant, l’association ne démontre pas en quoi les clauses
critiquées révèleraient des pratiques commerciales trompeuses.
Elle sera déboutée de ce chef.
(ii) Sur l’existence d’une décision automatisée :
L’association ne démontre pas en quoi l’utilisateur ferait l’objet en
sus du profilage d’une décision automatisée.
Elle sera déboutée de ce chef.
(m) Sur l’exonération de responsabilité de la
société ADI concernant la sécurité des
données à caractère personnel (Point 14,
Partie III-B) :
Conditions d’Utilisation :
« Sauf dans les cas indiqués au paragraphe (d) ci-dessous ou dans le
cas où vous exercez un droit à remboursement ou à compensation qui
vous est conféré par la loi, Apple, ses dirigeants, cadres, salariés,
membres affiliés, agents, contractants ou concédants de licence ne
pourront en aucun cas être tenus pour responsables de perte ou
dommage causé par Apple, ses salariés ou agents lorsque : (v) cette
perte ou ce dommage résulte d’une perte de revenu, d’activité ou de
bénéfice ou d’une perte ou une corruption de données en relation avec
votre utilisation du Service. »
L’association UFC-QUE CHOISIR prétend que la société ADI exclut
sa responsabilité en cas de dommage lié à une perte ou une corruption
de données, données à caractère personnel de l’utilisateur comprises.
Elle ajoute que cette exclusion de responsabilité est d’autant plus large
qu’elle porte sur les dommages causés « par Apple, ses salariés ou
agents » en incluant de ce fait ses sous-traitants.
Elle rappelle que l’obligation de sécurité des données est une obligation
indissociable de la fourniture des services de la société ADI, dans la
mesure où ces services impliquent le traitement de données à caractère
personnel. Elle en déduit que la clause est illicite au regard des articles
32 et 82 précités du RGPD ; la société ADI ne saurait donc ainsi limiter
sa responsabilité vis-à-vis des consommateurs en cas de manquement
à cette obligation.
Elle en conclue que la clause est illicite au titre des articles 32 et 82 du
RGPD, des articles L.211-1 et L.221-15 du code de la consommation
et de l’article 15 de la LCEN.
Elle précise que la clause qui a pour objet de « supprimer ou réduire le
droit à réparation du préjudice subi par le consommateur en cas de
manquement par le professionnel à l’une quelconque de ses
obligations » est abusive au sens de l’article R. 212-1 du code de la
consommation. Elle sera par conséquent présumée abusive de manière
irréfragable.
La société ADI réplique que L’Engagement de Confidentialité n’est pas
un document contractuel, la réglementation relative au contrat à
distance n’étant donc pas applicable.
Elle ajoute que l’article 32 du RGPD prévoit une obligation pour le
responsable de traitement de « mettre en oeuvre les mesures techniques
et organisationnelles appropriées afin de garantir un niveau de
sécurité adapté au risque ». Cette obligation ne relève donc pas pour la
société de l’exécution du contrat, mais d’une exigence réglementaire,
la responsabilité du responsable du traitement n’étant pas une
responsabilité de plein droit en matière de sécurité des données.
Aux termes de l’article L.211-1 du code de la consommation, les
clauses des contrats proposés par les professionnels aux consommateurs
doivent être présentées et rédigées de façon claire et compréhensible.
Le second alinéa du même article prévoit qu’en cas de doute les clauses
s’interprètent dans le sens le plus favorable au consommateur tout en
excluant que ces dernières dispositions s’appliquent aux procédures
engagées sur le fondement de l’article L.621-8 du même code.
L’article L.221-1 du code de la consommation qualifie de contrat à
distance, tout contrat conclu entre un professionnel et un
consommateur, dans le cadre d’un système organisé de vente ou de
prestation de services à distance, sans la présence physique simultanée
du professionnel et du consommateur, par le recours exclusif à une ou
plusieurs techniques de communication à distance jusqu’à la conclusion
du contrat (article L.221-1, I, 1°)). Aux termes du même article, les
dispositions du Titre « Règles de formation et d’exécution du contrat de
certains contrats » (dont le contrat conclus à distance), s’appliquent au
contrat en vertu duquel le professionnel fournit ou s’engage à fournir un
service au consommateur en contrepartie duquel le consommateur en
paie ou s’engage à en payer le prix (article L.221-1, II).
L’article L.221-5 du code de la consommation prévoit que,
préalablement à la conclusion d’un contrat de fourniture de services, le
professionnel communique au consommateur, de manière lisible et
compréhensible, les informations prévues aux articles L.111-1 et
L.111-2, 1°) du même code.
Aux termes de l’alinéa 1er de l’article L.111-1 du code de la
consommation, le professionnel doit communiquer de manière lisible
et compréhensible au consommateur, avant qu’il ne soit lié par un
contrat de fourniture de services les caractéristiques essentielles du
service, compte tenu du support de communication utilisé et du service
concerné, les dispositions des articles L.111-1 s’appliquant sans
préjudice des dispositions particulières en matière d’information des
consommateurs propres à certaines activités (article L.111-3 du code
de la consommation).
L’article L.221-15 du code de la consommation institue à la charge du
professionnel une responsabilité plein droit à l’égard du consommateur
quant à la bonne exécution des obligations résultant du contrat conclu
à distance, que ces obligations soient exécutées par le professionnel qui
a conclu ce contrat ou par d’autres prestataires de services, sans
préjudice de son droit de recours contre ceux-ci.
Le Tribunal ayant eu l’occasion de répondre à cette argumentation dans
le cadre de l’examen de la clause n° 1 des Conditions Générales du
Service d’ADI dans ses versions V2, V3, V4, V5, il conviendra de
déclarer la clause pour des motifs identiques à ceux exposés la clause
précitée illicite au regard des articles L.211-1, L.221-5, L.221-15 du
code de la consommation, est abusive au sens de l’article L.212-1 du
code de la consommation.
L’article 32 (Sécurité du traitement) dispose que compte tenu de l’état
des connaissances, des coûts de mise en oeuvre et de la nature, de la
portée, du contexte et des finalités du traitement ainsi que des risques,
dont le degré de probabilité et de gravité varie, pour les droits et
libertés des personnes physiques, le responsable du traitement et le
sous-traitant mettent en oeuvre les mesures techniques et
organisationnelles appropriées afin de garantir un niveau de sécurité
adapté au risque, y compris entre autres, selon les besoins.
L’article 82 du RGPD (droit à réparation et responsabilité) prévoit que
toute personne ayant subi un dommage matériel ou moral du fait d’une
violation du présent règlement a le droit d’obtenir du responsable du
traitement ou du sous-traitant réparation du préjudice subi.
Par ailleurs en prévoyant que l’utilisateur ne pourra engager la
responsabilité de la société Apple, ses dirigeants, ses cadres, ses
salariés, ses membres affiliés, ses agents, ses contractants ou ses
concédants de licence pour les pertes qu’il pourrait subir du fait de
l’utilisation du service, la clause, qui institue une exonération totale de
responsabilité de l’opérateur lors de l’utilisation des services d’Apple
Music par l’utilisateur dans tous les cas, même lorsque le niveau de
sécurité qu’il a adopté n’est pas adapté au risque encouru, est illicite au
regard des articles 32 et 82 du RGPD.
En conséquence, la clause, illicite au regard des articles L.211-1,
L.221-5, L.221-15 du code de la consommation, des articles 32 et 82
du RGPD, est abusive au sens de l’article L.212-1 du code de la
consommation. Elle sera donc réputée non écrite.
(n) Sur l’information relative aux cookies
(Point 15, Partie III-B) :
Engagement de Confidentialité :
« Les sites web, les services en ligne, les applications interactives, les
e-mails et les publicités d’Apple peuvent utiliser des « cookies » et
d’autres technologies, telles que des « pixel tags » et des balises web
[…].
Si vous utilisez le navigateur web Safari et que vous souhaitez
désactiver les cookies, allez dans les préférences Safari, puis dans le
volet Confidentialité où une option vous permettra de gérer vos
préférences. Sur votre appareil mobile Apple, accédez à Réglages >
Safari, faites défiler l’écran vers le bas pour atteindre la section
Confidentialité et sécurité, puis appuyez sur « Bloquer les cookies »
pour gérer vos préférences. Pour les autres navigateurs, veuillez
consulter votre fournisseur pour savoir comment désactiver les cookies.
Veuillez noter que certaines fonctionnalités du site web Apple ne seront
plus disponibles une fois les cookies désactivés […].
Dans certains de nos e-mails, nous utilisons des « URL de destination
» liées au contenu du site web Apple. Lorsque les clients cliquent sur
l’une de ces URL, ils sont transférés vers un autre serveur web avant
d’arriver sur la page de destination de notre site web. Nous suivons ces
données de clic pour nous aider à déterminer [VERSION DU 9 mai
2019 : « pour déterminer »] l’intérêt porté à certains sujets et mesurer
l’efficacité de nos communications clients. Si vous préférez ne pas être
suivi de cette façon, vous ne devez pas cliquer sur les liens texte ou
graphiques figurant dans les e-mails.
Les balises « pixel tags » nous permettent d’envoyer des e-mails dans
un format que les clients peuvent lire et de savoir si les messages ont été
ouverts. Nous pouvons utiliser ces informations pour réduire ou
supprimer les messages adressés aux clients ».
L’association reproche à la clause de ne pas fournir aux utilisateurs du
service une information complète et transparente quant aux traitements
de leurs données à caractère personnel, et notamment quant aux droits
dont ils jouissent vis-à-vis de ces traitements.
Selon l’association, l’utilisateur n’est pas en mesure de différencier les
cookies « purement techniques » de ceux soumis à son consentement
préalable. faute de disposer de cette information, il ne serait par
conséquent pas en mesure de s’opposer aux cookies soumis à son
consentement.
Elle précise en outre qu’il ne dispose d’aucune information précise
concernant les conséquences de son opposition aux cookies, lesquelles
sont évoquées de façon particulièrement vague.
Elle appuie son argumentation sur la délibération de la CNIL n° 2013-
378 du 05 décembre 2013 portant adoption d’une recommandation
relative aux cookies et autres traceurs et sur l’arrêt n° 412589 du
Conseil d’État des 9ème et 10ème chambres réunies du 06 juin 2018
(« Challenges »), lequel a confirmé la position de la CNIL sur le fait que
le paramétrage du navigateur n’était pas un mode valable d’opposition
aux dépôts de cookies.
Elle conclue à un double manquement de la société ADI à l’obligation
d’information et à l’obligation de prévoir un mécanisme d’opposition
aux cookies pour les utilisateurs et aux obligations prévues par l’article
32.II de la Loi Informatique et Libertés.
Les clauses précitées devraient, selon elle, être déclarées illicites
comme contraires à cet article, de même qu’à l’article L.211-1 du code
de la consommation, ainsi qu’à l’article L.121-2 du même code
prohibant les pratiques commerciales trompeuses, dans la mesure où
elles dissimulent à l’utilisateur ses droits véritables quant aux
différentes catégories de cookies.
Elles seraient également abusives en tant qu’elles introduisent un
déséquilibre significatif entre les droits et obligations des utilisateurs
et d’ADI, en empêchant ces derniers d’exercer leurs droits relatifs aux
cookies et en permettant à ADI de tracer librement le comportement
des utilisateurs via les cookies.
Elle fait valoir que l’information relative aux cookies est fournie dans
l’Engagement de confidentialité, mais surtout par la page « Utilisation
des cookies par Apple « . À ce titre, elle produit cette page accessible
sur le site internet d’Apple à partir d’un bandeau figurant en bas de
page du site internet d’Apple (conclusions ADI page 174/203). Elle
affirme que les cookies utilisés par le service Apple sont soit
strictement nécessaires à la fourniture du service de communication en
ligne, soit nécessaires pour maintenir la performance du service auquel
l’utilisateur a souscrit et en déduit que la « distinction fondamentale »
effectuée par l’association UFC entre les cookies techniques et les
autres cookies est donc bien présente dans l’information communiquée
par ADI aux utilisateurs.
Elle ajoute que l’arrêt du Conseil d’État, cité par l’UFC, n’est pas
applicable à l’espèce, d’une part parce que la Loi Informatique et
Libertés n’est pas applicable à l’utilisation de cookies, d’autre part
parce qu’elle fournit les informations nécessaires, telles qu’elles sont
exigées par la directive « ePrivacy » 2002/58/CE, modifiée par la
Directive 2009/136/CE, qui concerne l’utilisation des cookies. Elle
soutient qu’il existe une incertitude juridique quant aux règles
applicables aux cookies prévues par la directive « e-Privacy », parce
qu’elle fait référence à la directive 95/46/CE, qui a été abrogée par le
RGPD. Elle précise que les dispositions de la directive « e-Privacy »,
distincte du RGPD, ne prévoit pas de règles spécifiques à la
détermination du droit national applicable. Elle en conclue que la loi
applicable aux cookies utilisés par ADI devrait être le droit irlandais,
dans la mesure où ADI est établi en Irlande.
Toutefois, comme le Tribunal l’a précédemment relevé, l’article 32-II
(ancien) de la Loi Informatique et Libertés, issu de la transposition en
droit français la directive 2002/58/CE « Vie privée et Communications
électroniques » (autrement appelée directive « ePrivacy »), sur lequel
l’association fonde sa demande, a été renuméroté à l’occasion de la
réécriture de ladite loi, par l’ordonnance n° 2018-1125 du 12 décembre
2018. Désormais, son contenu est réparti entre l’article 48 de la LIL
(qui renvoie aux articles 12 à 14 du RGPD) et l’article 82 de la même
loi.
Le nouvel article 82 de la LIL reprend quasiment à l’identique les
dispositions figurant dans l’ancien article 32-II de la Loi Informatique
et Libertés. Il dispose que « tout abonné ou utilisateur d’un service de
communications électroniques doit être informé de manière claire et
complète, sauf s’il l’a été au préalable, par le responsable du traitement
ou son représentant :
1° De la finalité de toute action tendant à accéder, par voie de
transmission électronique, à des informations déjà stockées dans son
équipement terminal de communications électroniques, ou à inscrire
des informations dans cet équipement ;
2° Des moyens dont il dispose pour s’y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que
l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette
information, son consentement qui peut résulter de paramètres
appropriés de son dispositif de connexion ou de tout autre dispositif
placé sous son contrôle.
Ces dispositions ne sont pas applicables si l’accès aux informations
stockées dans l’équipement terminal de l’utilisateur ou l’inscription
d’informations dans l’équipement terminal de l’utilisateur :
1° Soit, a pour finalité exclusive de permettre ou faciliter la
communication par voie électronique ;
2° Soit, est strictement nécessaire à la fourniture d’un service de
communication en ligne à la demande expresse de l’utilisateur. »
En conséquence, cet article interdit aux responsables de traitement, dès
lors qu’ils ne bénéficient pas des exemptions précitées, de placer des
cookies et autres traceurs, quels qu’ils soient, sans avoir au préalable
recueilli, avant l’installation des cookies, avant toute opération
d’écriture ou de lecture, soit avant le début du traitement des données,
son consentement informé, c’est-à-dire après qu’il lui a fourni de
manière claire et complète une information intelligible et complète.
Les règles posées par l’article 82 de la LIL s’appliquent sans préjudice
des dispositions protectrices des données à caractère personnel posées
par le RGPD, lorsque de telles données sont collectées à l’aide de
cookies et autres traceurs. C’est pourquoi il doit être appliqué en
combinaison avec certaines dispositions du règlement.
Il en est ainsi de la référence au consentement, dans l’article 82 de la
LIL. Le consentement en question est celui qui est défini par l’article
4-11 du RGPD, à savoir toute manifestation de volonté, libre,
spécifique, éclairée et univoque par laquelle la personne concernée
accepte, par une déclaration ou par un acte positif clair, que des
données à caractère personnel la concernant fassent l’objet d’un
traitement.
Il en est de même de l’article 12 du RGPD qui impose au responsable
du traitement de fournir à la personne concernée par le traitement, en
des termes clairs et simples, une information concise, transparente
compréhensible et aisément accessible, lorsqu’elle est due au titre de
l’article 14 du RGPD, c’est-à-dire dans l’hypothèse où des données ont
été collectées indirectement auprès de cette personne notamment via
des cookies et autres traceurs. Étant précisé qu’à cette occasion, le
consentement doit être recueilli de façon indépendante et spécifique
pour chaque finalité pour laquelle les dispositifs sont utilisés. Cette
obligation d’information, qui doit être présentée à la personne
concernée par le responsable du traitement, vaut pour les finalités
initiales du traitement des données collectées, pour celles relevant de
traitements ultérieurs et pour les entités ayant recours à ces cookies et
autres traceurs.
Ainsi, aucun cookie ne doit être installé sur l’appareil de l’utilisateur
tant que l’utilisateur n’a pas été en mesure de manifester sa volonté
concernant l’installation de ces cookies et autres traceurs. Après qu’il
a été informé, l’utilisateur peut alors choisir librement d’accepter ou de
refuser les cookies ou certains d’entre eux, tout en se ménageant la
possibilité de modifier ultérieurement ses choix.
Sont soumises au débat deux clauses : la clause critiquée par
l’association et la clause produite en réponse à ses critiques dont la
société affirme qu’elle répond parfaitement aux exigences de la
directive « e-Privacy » dont elle se prévaut.
La clause critiquée par l’association, qui doit être lue en combinaison
avec celle examinée au point 2 partie III-B portant sur l’information et
concernant l’existence de donnée à caractère personnel, montre qu’elle
traite à la fois des « cookies » et d’ »autres technologies » ; elle ne donne
que peu d’informations sur les cookies. Parmi ces « autres
technologies », la clause cite les « pixel tags » et les « balises web »,
déposés sur l’appareil de l’utilisateur par la société Apple, lorsqu’il
visite les sites web de la société Apple, lorsqu’il utilise les applications
interactives de la société ou lorsqu’il reçoit des e-mails ou des
publicités diffusées par la société Apple.
La dernière partie de la clause donne cependant plus d’information sur
les « autres technologies » utilisées par la société Apple. C’est ainsi
qu’est décrit le fonctionnement des « URL de destination » liées au
contenu du site d’Apple et incluses dans les e-mails adressés à
l’utilisateur par la société Apple. La clause explique qu’une fois que
l’utilisateur active une de ces « URL de destination » (en cliquant sur le
lien), l’utilisateur est transféré « vers un autre serveur web »
(intermédiaire ?), avant d’arriver sur la page de destination du site
d’Apple, sans que l’utilisateur soit informé de la raison d’un tel
transfert. Il restera dans cette ignorance, à moins, qu’il ne lui vienne à
l’esprit d’établir spontanément un lien entre la phrase évoquant ce
transfert vers un autre serveur et la phrase qui suit, selon laquelle « les
données de clic » (à savoir les clics d’activation effectué par l’utilisateur
sur les « URL de destination ») servent à la société Apple, aux termes de
la clause, pour identifier l’intérêt porté par l’utilisateur à certains sujets
et pour mesurer l’efficacité de ses « communications clients ».
Ces « données de clic » constituent donc autant de données de suivi de
l’utilisateur et qui sont recueillies (collectées) via cette autre
technologie, sans qu’aucune information n’ait été fournie à l’utilisateur,
et, par suite, sans qu’il ait donné son consentement éclairé à ce suivi.
Il en est de même des « balises pixel tags », qui figurent dans des e-mails
envoyés par la société Apple à l’utilisateur, dont il est indiqué – outre
que leur « format » en permet la lecture par le client, ce qui est le moins
que l’on puisse attendre d’un message – qu’elles permettent de
recueillir des informations (sur l’ouverture ou la non ouverture du
message par l’utilisateur), qui permettent à la société d’envisager la
réduction ou la suppression desdits messages.
Par ailleurs, si l’information requise par l’article 82 de la LIL portant
sur la procédure à suivre pour désactiver les cookies – apparaissant
cependant plus complexe que celle qui a permis leur implantation – est
bien présente dans la clause, aucune information préalable n’est
dispensée à l’utilisateur sur les autres technologies utilisées par la
société Apple pour suivre son comportement. L’utilisateur ne dispose
pas non plus d’information sur l’éventualité du droit dont il pourrait
disposer pour s’opposer à la collecte d’informations le concernant via
de tels traceurs. Seul figure – à propos des « URL de destination » – le
conseil prodigué par la société Apple, dans le cas où l’utilisateur
« préfère ne pas être suivi de cette façon » (sic), de ne pas cliquer sur
« les liens texte ou graphiques figurant dans les e-mails ». Cette
recommandation d’ »abstention de clic » ne constitue pas en soi une
information sur le droit d’opposition permettant à l’utilisateur de
l’exercer.
Contestant les allégations de l’association, la société ADI produit une
autre clause extraite de la Page « Utilisation des cookies par Apple »,
accessible à partir d’un bandeau figurant en bas de la page du site
internet d’Apple. Selon la société l’information concernant les cookies
serait donc parfaitement réalisée grâce à cette page, qui complèterait
l’ »Engagement de confidentialité ». Elle ajoute que les cookies utilisés
par ADI ne requièrent pas le consentement des utilisateurs
conformément à la directive e-Privacy (cf. conclusions ADI, pp. 175 à
177).
Utilisation des cookies par Apple
Les sites web et services en ligne d’Apple sont susceptibles d’utiliser des
« cookies ». Les cookies vous permettent d’utiliser des paniers d’achat et
de personnaliser votre parcours sur nos sites. Ils nous indiquent quelles
pages de nos sites web sont les plus consultées, nous aident à mesurer
l’efficacité de la publicité et des recherches sur le Web et nous donnent
une idée du comportement des utilisateurs, ce qui nous permet
d’améliorer notre communication et nos produits.
Si vous souhaitez désactiver les cookies dans le navigateur web Safari,
allez dans Préférences, puis dans le volet Confidentialité et choisissez de
bloquer les cookies. Sur votre iPad, iPhone ou iPod touch, allez dans
Réglages, puis Safari, puis dans la section Cookies. Pour les autres
navigateurs, veuillez consulter votre fournisseur pour savoir comment
désactiver les cookies.
Comme les cookies sont très largement présents sur nos sites web, leur
désactivation risque de vous empêcher d’utiliser certaines parties de ces
sites.
Les cookies auxquels nos sites web ont recours ont été classés à partir
des directives réunies dans le guide des cookies publié par la CCI du
Royaume-Uni. Ainsi, nous utilisons les catégories suivantes sur nos sites
web et pour d’autres services en ligne :
Catégorie 1 – Cookies strictement nécessaires
Ces cookies sont essentiels pour vous permettre de parcourir nos sites
web et d’en utiliser les fonctionnalités. Sans ces cookies, des services tels
que les paniers d’achat et la facturation électronique ne peuvent pas être
assurés.
Catégorie 2 – Cookies de suivi
Ces cookies recueillent des informations sur votre utilisation de nos sites
web : par exemple, les pages que vous consultez le plus souvent. Ces
données peuvent nous servir à optimiser nos sites web et à les rendre
plus faciles à parcourir. Ces cookies permettent également à nos affiliés
de savoir si vous avez accédé à l’un de nos sites web à partir de leur site
et si votre visite a donné lieu à l’utilisation ou à l’achat d’un produit ou
d’un service auprès de nous, en incluant les références du produit ou du
service ainsi acheté. Ces cookies ne recueillent aucune information
permettant de vous identifier. Toutes les informations qu’ils recueillent
sont agrégées et, par conséquent, anonymes.
Catégorie 3 – Cookies de fonctionnalité
Ces cookies permettent à nos sites web de mémoriser les choix que vous
avez faits lors de votre visite. Nous pouvons, par exemple, conserver
votre localisation géographique dans un cookie afin de veiller à vous
présenter notre site web dans la langue de votre pays. Nous pouvons
également retenir des préférences telles que la taille et la police des
caractères et d’autres éléments configurables. Ces cookies peuvent aussi
servir à garder la trace des produits ou des vidéos que vous avez
consultés, afin d’éviter toute répétition. Les informations qu’ils
recueillent ne permettront pas de vous identifier personnellement, ni de
suivre votre activité d’exploration sur des sites web ne dépendant pas
d’Apple.
Contrairement à la clause critiquée par l’association, l’analyse de la
clause intitulée « Utilisation des cookies par Apple » produite par la
société ADI révèle qu’elle ne vise que les cookies qu’elle dépose sur
l’appareil de l’utilisateur, lorsqu’il visite les sites web et les services en
ligne d’Apple, et non « les autres technologies » précédemment cités
dans la clause critiquée par l’association.
En introduction, la clause présente d’une manière générale ces cookies
(« très largement présents sur (ses) sites web »), comme permettant à
l’utilisateur de personnaliser son parcours sur le site et de faciliter ses
achats (cf. paniers d’achat, facturation électronique). Elle mentionne
également le fait que les informations collectées grâce aux cookies, en
donnant une idée du comportement des utilisateurs, permettent à la
société d’évaluer les pages les plus consultées par l’utilisateur et de
mesurer l’efficacité de sa publicité, ce qui permet d’améliorer sa
communication et ses produits.
A la suite de cette introduction générale, la clause distingue 3
catégories de cookies : les cookies strictement nécessaires, les cookies
de suivi et les cookies de fonctionnalité.
La première catégorie de cookies nécessaires présente ces cookies
comme ceux sans lesquels les services de paniers d’achat et de
facturation ne pourraient s’accomplir.
La seconde catégorie de cookies dit de suivi collecte (recueille) des
« informations » sur l’utilisation des sites web par l’utilisateur aux fins
d’optimisation des sites et de facilitation de parcours sur lesdits sites.
Elle évoque dans cette catégorie l’utilisation d’une technologie de
pistage, permettant le suivi de sa navigation à partir d’un site d’un
affilié de la société Apple vers le site d’Apple, d’informer ledit
« affilié », de l’achat d’un produit Apple ou l’utilisation d’un service
Apple par l’utilisateur « en incluant les références du produit ou du
service ainsi acheté ». La clause affirme toutefois que les informations
recueillies ne permettent pas d’identifier l’utilisateur parce qu’elles
seraient agrégées.
La troisième catégorie de cookies dits de fonctionnalité permet selon
la clause de mémoriser les choix effectués par l’utilisateur lors de ces
visites (par exemple la localisation géographique de l’utilisateur), ses
préférences (par exemple la taille et police de caractère et autres
éléments configurables), les cookies gardant la trace des produits ou
vidéos consultés « afin d’éviter toute répétition ». L’utilisateur est
informé que ces « informations » ne permettent pas d’identifier
l’utilisateur personnellement si de suivre son activité d’exploration sur
des sites web ne dépendant pas d’Apple.
La société ADI assure que le consentement de l’utilisateur n’est pas
nécessaire pour l’ensemble de ces cookies qu’elle utilise y compris les
cookies de suivi (catégorie 2), parce que les données seraient limitées
à l’éditeur du site, qu’elles seraient anonymes et agrégées, collectées à
des fins statistiques et qu’elles constitueraient des cookies de mesure
d’audience. Elle soutient également que les catégories de cookies 1 et
3 entrent dans le cadre des cas d’exemption prévus par la directive e-
Privacy et ne nécessitent donc pas l’obtention du consentement de
l’utilisateur.
La clause produite par la société prévoit tout de même un processus de
désactivation de ces cookies en trois phases pour les produits Apple et
renvoie pour les autres navigateurs au fournisseur de ces derniers. Elle
évoque sans plus de précisions le risque en cas de désactivation de ces
cookies d’empêchement « d’utilis(ation) (de) certaines parties de ces
sites », sans plus d’explications.
Cependant l’article 82 de la LIL, dont le Tribunal a rappelé qu’il était
issu d’une transposition en droit français de la directive e-Privacy, dont
se prévaut la société, retient des deux hypothèses qui exempte le
responsable du traitement de recueillir le consentement de l’abonné ou
l’utilisateur du service, sans pour autant le dispenser de son obligation
d’information. La première hypothèse concerne l’existence d’une
finalité exclusive de ces dispositifs qui permettrait ou faciliterait la
communication par voie électronique (avec l’abonné ou l’utilisateur).
La seconde relève du caractère strictement nécessaire de ces dispositifs
dont la vocation serait d’assurer la fourniture d’un service de
communication en ligne que l’abonné ou l’utilisateur aurait sollicité
expressément.
Tel n’est pas le cas des cookies des catégories 2 et 3 présentés par la
clause produite par la société ADI. En effet, cette clause montre que les
cookies de catégorie 2 (cookies de suivi), permettent notamment de
« pister » l’utilisateur à partir du site d’un « affilié » d’Apple vers le site
de la société et de divulguer à cet affilié l’utilisation faite par
l’utilisateur du service d’Apple ou l’achat d’un produit auprès d’Apple,
en incluant les références du produit ou du service ainsi acheté.
L’utilisation ainsi décrite dans la clause de cette catégorie de cookies
ne permet pas d’en déduire qu’elle entre dans la catégorie de cookies
dont la finalité exclusive serait de permettre ou faciliter la
communication par voie électronique, le critère d’exclusivité requis par
le premier cas d’exemption de l’article 82 de la LIL précédemment
citée n’étant pas réalisé. Il en est de même de l’utilisation faite des
cookies de catégorie 3 qui gardent la trace des produits ou des vidéos
que l’utilisateur a consulté. Cette dernière catégorie ne répond pas
davantage à l’exigence d’une stricte nécessité de l’utilisation de
cookies, au sens du même article, pour la fourniture d’un service de
communication en ligne, demandé expressément par l’utilisateur. D’où
il suit que la société ADI ne démontre pas qu’elle observe dans une
autre clause qu’elle produit au débat les dispositions de l’article 82 de
la Loi Informatique et Libertés.
En conséquence, la clause critiquée par l’association, en n’informant
pas la personne concernée par le traitement (l’utilisateur du service)
d’une façon concise, transparente, compréhensible et aisément
accessible, en n’employant pas des termes clairs et simples concernant
la lecture et l’écriture de cookies ou autres traceurs implantés dans son
équipement terminal de communications électroniques (ordinateur,
tablette, mobile etc.), en ne l’informant pas clairement des finalités des
informations déjà stockées sur son appareil, en ne recueillant pas son
consentement informé, en ne permettant pas à l’utilisateur de s’opposer
aux autres traceurs et en ne l’informant pas des conséquences qu’il
pourrait subir en cas de désactivation des cookies est illicite au regard
des articles 4-11, 12, 13, 14 du RGPD et de l’article 82 de la Loi
Informatique et Libertés.
Par ailleurs, en répartissant les informations concernant les cookies et
autres technologies dans deux documents différents (l’ »Engagement de
confidentialité » (pour les cookies et autres technologies) et la page
« Utilisation de cookies par Apple » (pour les cookies uniquement)), la
clause ne répond pas aux exigences de clarté et de compréhensibilité
exigée par l’article L. 211-1 du code de la consommation. L’utilisateur
doit ainsi spontanément activer cette page via un lien, figurant au
milieu de cinq autres liens en bas de page du site d’Apple, en utilisant
des termes techniques comme « pixels tags », « balises web », « URL de
destination » et « balises pixel tags », sans que ces termes soient définis
ni dans la clause ni dans aucun autre document produit au débat.
La clause critiquée est également abusive au sens de l’article L.221-1
du code de la consommation, car elle introduit un déséquilibre
significatif entre les droits et obligations des parties au contrat, en
empêchant les utilisateurs d’exercer aisément leurs droits relatifs aux
cookies et autres traceurs tout en permettant à la société ADI de tracer
librement le comportement des utilisateurs via ces cookies et autres
traceurs.
En conséquence la clause critiquée, illicite au regard des articles 4-
11, 12, 13, 14 du RGPD et de l’article 82 de la Loi Informatique et
Libertés, de l’article L. 211-1 du code de la consommation est
abusive au sens de l’article L. 221-1 du code de la consommation.
Elle sera donc réputée non écrite.
Toutefois, l’association ne démontre pas en quoi les clauses
critiquées révèleraient ainsi des pratiques commerciales
trompeuses.
C. Sur la violation alléguée des règles relatives au droit de la
propriété intellectuelle :
Article 5.C des Conditions d’Utilisation (version V3 du 13
septembre 2016) : « Vous concédez par les présentes à Apple une
licence mondiale, gratuite, perpétuelle et non-exclusive pour utiliser les
éléments que vous soumettez dans les services et à des fins marketing.
Apple peut contrôler et décider de supprimer ou de modifier tout
élément envoyé. »
Article 5.C des Conditions d’Utilisation version du 17 septembre
2018 (versions V4 et V5 (version actuelle)) : « Vous concédez par les
présentes à Apple une licence mondiale, gratuite, perpétuelle et non
exclusive pour utiliser les éléments que vous soumettez dans les services
à des fins marketing et à des fins internes à Apple. Apple peut contrôler
et décider de supprimer ou de modifier tout élément envoyé. »
L’association UFC-QUE CHOISIR prétend que l’utilisateur qui
souhaite s’inscrire au service Apple Music est tenu de consentir au
profit de la société ADI une autorisation d’utilisation de l’ensemble des
contenus de toute nature qu’il soumettrait via le service. Ces clauses
sont selon elle prohibées par l’article L.131-1 du code de la propriété
intellectuelle parce qu’elles constituent une cession globale des oeuvres
futures et qu’elles ne respectent pas le formalisme imposé par l’article
L.131-3 du même code pour toute transmission des droits de l’auteur.
Elle ajoute que ces clauses sont également illicites car contraires aux
exigences de clarté et de compréhensibilité prévues par l’article L.211-
1 du code de la consommation.
La société ADI réplique que les termes de la clause incriminée ne
prévoient pas une cession de droits d’auteurs, ni une licence exclusive,
mais une licence non-exclusive, tout à fait légitime. Selon la société
l’utilisateur ne se dépossède pas de l’éventuel droit d’auteur sur le
contenu, dont il reste à tout moment titulaire et libre d’exploiter luimême
ou de céder et de donner en licence à tout tiers.
L’article L.131-1 du code de la propriété intellectuelle prévoit que « la
cession globale des oeuvres futures est nulle ».
Aux termes des articles L.131-2 et L.131-3 du même code, les contrats
par lesquels sont transmis des droits d’auteur doivent être constatés par
écrit, la transmission étant subordonnée à la condition que chacun des
droits cédés fasse l’objet d’une mention distincte dans l’acte de cession
et que le domaine d’exploitation des droits cédés soit délimité quant à
son étendue et à sa destination, quant au lieu et quant à la durée.
Aux termes de l’article L.211-1 du code de la consommation, les
clauses des contrats proposés par les professionnels aux consommateurs
doivent être présentées et rédigées de façon claire et compréhensible.
En l’espèce, les clauses critiquées, prévoient que l’utilisateur accorde
à la société une licence mondiale, gratuite, perpétuelle pour utiliser, les
« éléments », que l’utilisateur soumet dans les services, c’est-à-dire une
licence non-exclusive sans limitation de durée « à des fins marketing »
version V3 du 13 septembre 2016 » à des fins marketing et à des fins
internes à Apple versions V4 et V5 (version actuelle).
En l’espèce, les « éléments » transmis à la plate-forme par l’utilisateur,
susceptibles de comprendre des textes, photos et des vidéos, peuvent
faire l’objet d’une protection par le droit d’auteur.
Ainsi, la clause précitée confère au fournisseur du service un droit
d’utilisation à titre gratuit sur tous les éléments (contenus) générés par
l’utilisateur, y compris ceux d’entre eux qui seraient susceptibles d’être
protégés par le droit d’auteur, sans préciser de manière suffisante les
contenus visés, la nature des droits conférés et les exploitations
autorisées. Cette clause apparaît dès lors contraire aux dispositions de
l’article L.131-1, L.131-2, L.131-3 du code de la propriété
intellectuelle, lesquelles imposent au bénéficiaire de la cession, de
préciser le contenu visé, les droits conférés ainsi que les exploitations
autorisées par l’auteur du contenu protégé.
Cette clause, illicite au regard des dispositions précitées sera donc
réputée non écrite au regard des dispositions précitées.
De plus, la généralité des termes utilisés dans la clause (cf. « éléments »,
« à des fins marketing ») ne permet pas à l’utilisateur d’appréhender
correctement l’étendue de ses droits, la société se réservant, au sein de
la même clause, la possibilité de « contrôler et décider de supprimer ou
de modifier tout élément envoyé. »
De sorte que la clause critiquée, illicite au regard des dispositions
l’article L.131-1, L.131-2 L.131-3 du code de la propriété
intellectuelle, de l’article L.211-1 du code de la consommation, est
abusive au regard de l’article L.212-1 du code de la consommation,
en ce qu’elle a pour objet ou pour effet de créer, au détriment du
consommateur, un déséquilibre significatif entre les droits et
obligations des parties au contrat. Elle sera donc réputée non écrite
de ce chef.
III. Sur les autres demandes de l’association UFC-QUE CHOISIR :
A. Sur la cessation des agissements illicites :
1. Sur la demande d’astreinte :
L’association demande la suppression des clauses critiquées et ce pour
l’ensemble des versions critiquées, sous astreinte de 300,00 euros par
clause et par jour de retard, postérieurement à l’expiration d’un délai de
8 jours à compter de la signification du jugement à intervenir et ce
conformément aux dispositions de l’article L.421-6 du code de la
consommation. et de déclarer inopposables ces clauses à tous les
consommateurs. Elle sollicite également de déclarer ces clauses
inopposables.
Il n’apparaît pas nécessaire d’assortir de mesures d’astreinte la
déclaration de clauses susmentionnées en clauses réputées non-écrites.
L’ensemble de ces postes de demande sera en conséquence rejeté.
2. Sur la déclaration d’inopposabilité des clauses aux
consommateurs :
L’association demande dans le dispositif de ses conclusions que les
clauses critiquées soient déclarées inopposables à tous les
consommateurs.
Le Tribunal rappelle que les associations de consommateurs peuvent
solliciter du juge, saisi dans le cadre de l’action en cessation de
l’illicite, défini par l’article L.621-7 du code de la consommation,
l’application aux clauses qui seraient jugées illicites ou abusives, de la
sanction de suppression matérielle desdites clauses (article L.621-8 al.
1) et de la sanction du réputé non écrit de ces mêmes clauses figurant
dans tous les contrats identiques conclus par le même professionnel
avec des consommateurs (article L.621-8 al. 2).
La sanction consistant en une déclaration d’inopposabilité des clauses
à tous les consommateurs ne figurant pas au rang des sanctions
envisagées par les articles précités, l’association sera déboutée de sa
demande.
B. Sur la réparation du préjudice subi par la collectivité des
consommateurs et l’association UFC-QUE CHOISIR :
L’association sollicite de la juridiction que lui soit allouée la somme de
200.000 euros en réparation du préjudice causé à l’intérêt collectif des
consommateurs et 50.000 euros en réparation de son préjudice
associatif.
Le préjudice moral occasionné à l’intérêt collectif des consommateurs
du fait des clauses ayant dû être déclarées réputées non-écrites sera
arbitré à la somme 20.000 euros (vingt mille euros).
L’association UFC – QUE CHOISIR n’apportant pas la preuve de
l’existence d’un préjudice matériel distinct du préjudice moral subi par
l’intérêt collectif des consommateurs, ce second poste de demande de
dommages-intérêts en allégation de préjudice associatif sera rejeté.
C. Sur les demandes de publicité
Il n’apparaît pas utile de faire droit à la demande de l’association UFC –
QUE CHOISIR aux fins de publication du présent jugement par voie
de communication judiciaire.
Il convient toutefois de faire droit au principe de cette demande, en
ordonnant à la société ADI de permettre à l’ensemble de ses abonnés
français la lecture de l’intégralité du présent jugement par le moyen
d’un lien hypertexte sur la page d’accueil du site du service Apple
Music, ainsi que sur celles de ses applications sur tablettes et
téléphones mobiles pendant une durée de trois mois, ce lien hypertexte
devant être mis en place sur ces pages d’accueil dans un délai d’un
mois à compter de la signification de la présente décision.
La mesure qui précède sera mise en place dans les conditions
directement énoncées au dispositif de la présente décision. Il apparaît
par ailleurs utile d’assortir l’exécution de cette obligation d’information
d’une mesure d’astreinte, dans les conditions également directement
énoncées au dispositif de la présente décision.
En revanche, il n’apparaît pas nécessaire d’assortir la mise à exécution
de cette mesure d’un dispositif de contrôle par le concours d’un huissier
de justice.
D. Sur les frais irrépétibles et les dépens :
Il serait inéquitable, au sens des dispositions de l’article 700 du code de
procédure civile, de laisser à la charge de l’association UFC – QUE
CHOISIR les frais irrépétibles qu’elle a été contrainte d’engager à
l’occasion de cette instance. Il convient d’arbitrer à la somme de 10.000
euros (dix mille euros) dans les conditions générales et d’astreinte
directement énoncées au dispositif de la présente décision.
Compte tenu des motifs qui précèdent au titre des annulations de
clauses réputées non-écrite, la société ADI sera purement et simplement
déboutée de sa demande de défraiement au visa de l’article 700 du code
de procédure civile.
Enfin, succombant à l’instance, la société ADI en supportera les entiers
dépens.
E. Sur l’exécution provisoire :
Aucune situation d’urgence particulière ne justifie que la présente
décision soit assortie de l’exécution provisoire.
DÉCISION
Le Tribunal judiciaire statuant publiquement, par jugement mis à
disposition au greffe, contradictoire, rendu en premier ressort,
DÉCLARE RECEVABLE l’ensemble des demandes formées par
l’association UNION FÉDÉRALE DES CONSOMMATEURS QUE
CHOISIR (UFC-QUE CHOISIR) à l’encontre de la société de droit
irlandais APPLE DISTRIBUTION INTERNATIONAL (ADI) ;
DÉCLARE réputées non-écrites, en raison de leur caractère illicite ou
abusif, les clauses suivantes :
– La clause « EXCLUSIONS DE GARANTIES ; LIMITATIONS DE
RESPONSABILITÉ » dans les versions V2, V3, V4 et V5 ;
– La clause « DIVERS » (« Autres stipulations »), clause
d’exonération de responsabilité dans les versions V1, V2, V3, V4
et V5 et clause d’indivisibilité dans les versions V1, V3, V4 et V5) ;
– Les clauses « ENVOI DE CONTENU AU SERVICE APPLE
MUSIC » dans la version V1 et « VOS ENVOIS SUR NOS
SERVICES » dans les versions V3, V4 et V5 ;
– La clause « DISPONIBILITE DU CONTENU » dans la version V1 ;
– La clause « RESILIATION » dans la version V1 ;
– La clause « RESILIATION ET SUSPENSION DES SERVICES »
dans les versions V3, V4 et V5 ;
– La clause « UTILISATION DE CONTENU » dans la version V1 ;
Les clauses « MODIFICATIONS » dans la version V1 et «
MODIFICATIONS DU CONTRAT » dans les versions V3, V4 et V5.
Les clauses figurant dans les conditions d’Utilisation du service
Apple Music (Versions V4 (septembre 2018) et V5 (mai 2019), ciaprès
reproduites) :
« Vous acceptez que le concédant puisse collecter et utiliser des
données techniques et toute information associée, y compris,
notamment, les informations techniques concernant votre
dispositif, votre système et votre logiciel d’application, ainsi que
les périphériques, et qui sont recueillies périodiquement afin de
faciliter la fourniture de mises à jour de logiciels, de services
d’assistance technique relative au produit, ainsi que d’autres
services (le cas échéant) se rapportant à l’application sous
licence. Le concédant peut utiliser ces informations aussi
longtemps qu’elles sont sous une forme ne permettant pas de vous
identifier personnellement, afin d’améliorer ses produits ou de
vous fournir des services ou des technologies. »
« Vous reconnaissez qu’Apple est en droit de divulguer des
données et/ou des informations aux forces de l’ordre, aux autorités
publiques et/ou à des tiers, si Apple l’estime raisonnablement
nécessaire ou approprié pour faire appliquer et/ou vérifier le
respect de toute disposition du présent contrat (y compris
notamment le droit d’Apple de coopérer dans le cadre de toute
procédure judiciaire relative à votre utilisation des services et/ou
du contenu et/ou sur réclamation de tiers relative à votre
utilisation illicite des services et/ou du contenu et/ou en violation
des droits de ces tiers). »
« Sauf dans les cas indiqués au paragraphe (d) ci-dessous ou dans
le cas où vous exercez un droit à remboursement ou à
compensation qui vous est conféré par la loi, Apple, ses dirigeants,
cadres, salariés, membres affiliés, agents, contractants ou
concédants de licence ne pourront en aucun cas être tenus pour
responsables de perte ou dommage causé par Apple, ses salariés
ou agents lorsque : (v) cette perte ou ce dommage résulte d’une
perte de revenu, d’activité ou de bénéfice ou d’une perte ou une
corruption de données en relation avec votre utilisation du
Service. »
Les clauses figurant dans l’ »Engagement de confidentialité »
(version du 22 mai 2018 et version du 9 mai 2019), ci-après
reproduites :
« Collecte et utilisation des données non personnelles”
Nous collectons également des données dont la forme ne nous
permet pas de faire un rapprochement direct avec une personne
en particulier. Nous pouvons recueillir, utiliser, transférer et
divulguer des données non personnelles à quelque fin que ce soit.
Vous trouverez ci-après des exemples de données non personnelles
que nous collectons et la façon dont nous pouvons les utiliser :
Nous pouvons collecter des informations telles que le métier, la
langue, le code postal, l’indicatif régional, l’identifiant unique de
l’appareil, l’URL de référence, le lieu et le fuseau horaire dans
lesquels un produit Apple est utilisé afin de nous permettre de
mieux comprendre le comportement du client et d’améliorer nos
produits, services et publicité.
Nous pouvons recueillir des données concernant les activités du
client sur notre site web, les services iCloud, l’iTunes Store, l’App
Store, le Mac App Store, l’App Store de l’Apple TV, les iBooks
Stores et à partir de nos autres produits et services. Ces données
sont rassemblées et utilisées pour nous permettre de fournir des
informations plus utiles à nos clients et pour savoir quels aspects
de notre site web, de nos produits et de nos services sont les plus
populaires. Les informations rassemblées sont considérées comme
des données non personnelles aux fins du présent Engagement de
confidentialité. Nous pouvons collecter et stocker des informations
sur votre utilisation de nos services, notamment les recherches que
vous effectuez. Ces informations peuvent être utilisées pour
améliorer la pertinence des résultats fournis par nos services.
Elles ne sont pas associées à votre adresse IP, excepté dans de
rares cas afin d’assurer la qualité de nos services sur Internet.
Avec votre consentement explicite, nous pouvons collecter des
données sur la façon dont vous utilisez votre appareil et vos
applications afin d’aider les développeurs à améliorer leurs apps.
Si nous associons des données non personnelles à des données
personnelles, les données ainsi combinées sont traitées comme des
données à caractère personnel tant qu’elles restent associées. »
« Nous traitons les données collectées par les cookies et autres
technologies comme des données non personnelles. Toutefois, si
les adresses IP (Internet Protocol) ou des identifiants similaires
sont considérés comme des données personnelles par la loi locale,
nous traitons également ces identifiants comme des données
personnelles. De la même manière, si des données non
personnelles sont associées à des données personnelles, nous
traitons les informations ainsi associées comme des données
personnelles aux fins du présent Engagement de confidentialité. »
« Pour fournir des services de géolocalisation sur les produits
Apple, Apple et ses partenaires et licenciés [VERSION DU 09 mai
2019 : « tels que les fournisseurs de données de cartographique »]
peuvent recueillir, utiliser et partager des données de localisation
précises, notamment la localisation géographique en temps réel
de votre ordinateur ou appareil Apple. Le cas échéant, les services
de géolocalisation peuvent utiliser le GPS, le Bluetooth et votre
adresse IP, ainsi que les emplacements des bornes Wi-Fi
communautaires et des antennes relais, ou encore d’autres
technologies afin de déterminer la localisation approximative de
vos appareils. Sauf consentement de votre part, ces données de
localisation sont collectées anonymement dans un format ne
permettant pas de vous identifier. »
« Si vous activez l’option Suivi publicitaire limité sur votre
appareil mobile, les apps tierces ne peuvent pas utiliser
l’identifiant publicitaire (un identifiant d’appareil non personnel)
pour diffuser des annonces ciblées. »
« Les données personnelles, relatives aux services Apple,
concernant les personnes résidant dans un État membre de
l’Espace économique européen et en Suisse, sont contrôlées par
Apple Distribution International en Irlande, et traitées pour son
compte par Apple Inc. Apple utilise des clauses contractuelles
types approuvées pour le transfert international des données
personnelles collectées dans l’Espace économique européen et en
Suisse. En tant qu’entreprise internationale, Apple possède de
nombreuses entités juridiques situées au sein de différentes
juridictions qui sont responsables des données personnelles
qu’elles collectent et qui sont traitées en leur nom par Apple Inc.
Par exemple, les informations sur le point de vente au sein de nos
entités commerciales situées en dehors des États-Unis sont
contrôlées par les entités commerciales individuelles dans chaque
pays. Les données personnelles associées à Apple, au magasin
[VERSION DU 09 mai 2019 : « à l’Apple Store »] en ligne et à
iTunes peuvent également être contrôlées par des entités
juridiques en dehors des États-Unis, tel que cela est spécifié dans
les conditions générales de chaque service. »
« Si vous avez des questions ou des inquiétudes concernant
l’Engagement de confidentialité Apple ou le traitement des
données, vous pouvez contacter notre délégué européen à la
protection des données »
« Nous pouvons également utiliser les données personnelles à des
fins internes, par exemple pour des audits, analyses de données et
recherches ans le but d’améliorer les produits, services et
communications clients d’Apple. »
« Dans certaines juridictions, nous pouvons vous demander une
pièce d’identité officielle, mais uniquement dans certains cas, par
exemple, lors de l’ouverture d’un compte mobile et de l’activation
de votre appareil, lors de la décision d’étendre un crédit
commercial, pour gérer des réservations, ou encore si la loi
l’exige. »
« À des fins de recherche et développement, nous pouvons utiliser
des ensembles de données tels que ceux contenant [VERSION DU
09 mai 2019 : « telles que celles qui contiennent »] des images,
voix ou autres données pouvant être associées à une personne
identifiable. »
« Nous utilisons également vos données personnelles pour créer,
développer, utiliser, livrer et améliorer nos produits, services,
contenus et publicités, et à des fins de prévention des pertes et de
lutte contre la fraude. Nous pouvons aussi utiliser vos données
personnelles dans des objectifs de sécurité des comptes et réseaux,
notamment afin de protéger nos services pour le bénéfice de tous
nos utilisateurs [VERSION DU 09 mai 2019 : « ainsi que filtrer et
analyser tout contenu chargé pour nous assurer qu’il ne contient
pas de contenus illégaux, tels que des abus sexuels sur mineurs »].
Lorsque nous utilisons vos données à des fins de lutte contre la
fraude, c’est suite à une transaction en ligne auprès de nous. Nous
limitons notre utilisation des données à des fins de lutte contre la
fraude aux données strictement nécessaires et dans le cadre de nos
intérêts légitimes estimés afin de protéger nos clients et nos
services. Pour certaines transactions en ligne, nous pouvons
également vérifier les informations que vous nous avez fournies
auprès de sources publiquement disponibles. »
« Nous pouvons également divulguer vos données [VERSION DU
09 mai 2019 : « des informations vous concernant »] si nous
pensons qu’à des fins de sécurité nationale, d’application de la loi
ou autre sujet d’intérêt public, la divulgation est nécessaire ou
appropriée. »
« Apple peut parfois mettre certaines données personnelles à la
disposition de partenaires stratégiques travaillant avec Apple
pour la fourniture de produits et services, ou aidant Apple à
commercialiser ses produits auprès des clients. Par exemple,
lorsque vous achetez et activez votre iPhone, vous autorisez Apple
et votre opérateur à échanger les informations que vous divulguez
pendant la procédure d’activation afin d’exécuter le service. »
« À des fins de recherche et développement, nous pouvons utiliser
des ensembles de données tels que ceux contenant [VERSION DU
09 mai 2019 : « telles que celles qui contiennent »] des images,
voix ou autres données pouvant être associées à une personne
identifiable. Lorsque nous acquérons ce type d’ensemble de
données, nous le faisons conformément à la loi applicable dans la
juridiction dans laquelle se trouve l’ensemble de données. »
« Il peut nous arriver de recevoir des données personnelles vous
concernant par le biais de tiers, si ces personnes partagent leur
contenu avec vous à l’aide de produits Apple, vous envoient des
chèques cadeaux et des produits, ou vous invitent à participer à
des services ou forums Apple. Nous pouvons également vérifier les
informations que vous nous fournissez lorsque vous créez un
identifiant Apple avec un tiers, dans un objectif [VERSION DU 09
mai 2019 : « à des fins »] de sécurité et de prévention de la
fraude. »
« Pour certaines transactions en ligne, nous pouvons également
vérifier les informations que vous nous avez fournies auprès de
sources publiquement disponibles. »
« Nous conservons vos données personnelles pendant la durée
nécessaire aux finalités décrites dans le présent Engagement de
confidentialité et nos récapitulatifs spécifiques aux services. Pour
estimer ces durées, nous déterminons avec soin si nous avons
besoin de collecter des données personnelles et, si nous
établissons un tel besoin, nous les conservons uniquement pendant
la durée la plus courte possible nécessaire à la réalisation de
l’objectif de la collecte, sauf si une durée de conservation plus
longue est requise par la loi. »
« Nous pouvons traiter vos données personnelles dans les objectifs
décrits dans cet Engagement de confidentialité avec votre
consentement, pour nous conformer à une obligation légale à
laquelle Apple est soumise ou lorsque nous estimons que cela est
nécessaire pour atteindre les objectifs légitimes poursuivis par
Apple ou un tiers à qui nous pouvons être amenés à divulguer ces
données »
« Vous pouvez nous aider à faire en sorte que vos coordonnées et
préférences soient exactes, complètes et à jour en vous connectant
à la page de votre compte Apple. Nous vous fournissons un accès
aux autres données personnelles que nous détenons, et une copie
de celles-ci, pour que vous puissiez éventuellement nous demander
de les corriger si elles sont inexactes ou de les supprimer, à
condition qu’Apple ne soit pas obligée de les conserver du fait de
la loi ou à des fins commerciales légitimes. Nous pouvons refuser
de traiter les demandes futiles/vexatoires, les demandes mettant en
péril la confidentialité des données de tiers, les demandes qui sont
extrêmement difficiles à mettre en place ou celles pour lesquelles
un accès n’est pas imposé autrement par la loi applicable. Nous
pouvons également refuser certains aspects de demandes de
suppression ou d’accès si nous pensons que, ce faisant, nous
nuirions à notre utilisation légitime des données à des fins de lutte
contre la fraude ou de sécurité, comme nous l’avons vu
précédemment. »
« De temps en temps, nous pouvons utiliser vos données
personnelles pour envoyer des notifications importantes, telles que
des communications sur les achats, et les modifications apportées
à nos conditions d’utilisation et politiques. Ces informations étant
importantes pour vos relations avec Apple, vous ne pouvez pas
vous opposer à la réception de ces communications. »
« Toutes les informations que vous fournissez peuvent être
transférées à des entités à travers le monde, ou être accessibles à
celles-ci, tel que décrit dans le présent Engagement de
confidentialité. »
« Ces sociétés sont dans l’obligation de protéger vos données et
peuvent se trouver dans tout pays dans lequel Apple exerce des
activités. »
« Services de géolocalisation «
Pour fournir des services de géolocalisation sur les produits
Apple, Apple et ses partenaires et licenciés [VERSION DU 09 mai
2019 : « tels que les fournisseurs de données de cartographique »]
peuvent recueillir, utiliser et partager des données de localisation
précises, notamment la localisation géographique en temps réel
de votre ordinateur ou appareil Apple. Le cas échéant, les services
de géolocalisation peuvent utiliser le GPS, le Bluetooth et votre
adresse IP, ainsi que les emplacements des bornes Wi-Fi
communautaires et des antennes relais, ou encore d’autres
technologies afin de déterminer la localisation approximative de
vos appareils. Sauf consentement de votre part, ces données de
localisation sont collectées anonymement dans un format ne
permettant pas de vous identifier. Elles sont utilisées par Apple et
ses partenaires et licenciés pour fournir et améliorer les produits
et services de géolocalisation. Par exemple, nous pouvons
partager la localisation géographique avec des fournisseurs
d’applications si vous acceptez leurs services de localisation.
Certains services de géolocalisation proposés par Apple, tels que
la fonctionnalité « Localiser mon iPhone », ont besoin de vos
données personnelles pour fonctionner. »
« Pour identifier et empêcher la fraude, les données d’utilisation
de votre appareil, notamment le nombre approximatif d’appels
passés et reçus ou d’emails envoyés et reçus, sont utilisées pour
calculer un indice de confiance de l’appareil lors d’une tentative
d’achat. »
« Prise de décision automatisée et profilage »
« Les sites web, les services en ligne, les applications interactives,
les e-mails et les publicités d’Apple peuvent utiliser des
« cookies » et d’autres technologies, telles que des « pixel tags »
et des balises web.
Si vous utilisez le navigateur web Safari et que vous souhaitez
désactiver les cookies, allez dans les préférences Safari, puis dans
le volet Confidentialité où une option vous permettra de gérer vos
préférences. Sur votre appareil mobile Apple, accédez à Réglages
> Safari, faites défiler l’écran vers le bas pour atteindre la section
Confidentialité et sécurité, puis appuyez sur « Bloquer les cookies
» pour gérer vos préférences. Pour les autres navigateurs, veuillez
consulter votre fournisseur pour savoir comment désactiver les
cookies. Veuillez noter que certaines fonctionnalités du site web
Apple ne seront plus disponibles une fois les cookies désactivés.
Dans certains de nos e-mails, nous utilisons des « URL de
destination » liées au contenu du site web Apple. Lorsque les
clients cliquent sur l’une de ces URL, ils sont transférés vers un
autre serveur web avant d’arriver sur la page de destination de
notre site web. Nous suivons ces données de clic pour nous aider
à déterminer [VERSION DU 09 mai 2019 : « pour déterminer »]
l’intérêt porté à certains sujets et mesurer l’efficacité de nos
communications clients. Si vous préférez ne pas être suivi de cette
façon, vous ne devez pas cliquer sur les liens texte ou graphiques
figurant dans les e-mails.
Les balises « pixel tags » nous permettent d’envoyer des e-mails
dans un format que les clients peuvent lire et de savoir si les
messages ont été ouverts. Nous pouvons utiliser ces informations
pour réduire ou supprimer les messages adressés aux clients »
Les clauses figurant dans le document « Apple Music et
confidentialité » (version du 17 septembre 2018) ci-après
reproduites :
« Lorsque vous créez un profil sur Apple Music, nous vous
recommandons d’autres abonnés à Apple Music avec lesquels
vous pourriez devenir ami. Apple ne collecte et ne stocke aucune
information concernant vos contacts lors de la recherche d’amis
à recommander. Seuls des hachages abrégés et chiffrés des
numéros de téléphone et adresses e-mail de vos contacts sont
envoyés à Apple ; les abonnés à Apple Music correspondants à
recommander sont ensuite recherchés localement sur votre
appareil. »
« Il est possible que nous recueillions, utilisions, transférions ou
divulguions des informations non personnelles, quel que soit le
motif. Par exemple, nous sommes susceptibles d’agréger vos
données non personnelles et celles d’autres utilisateurs d’Apple
Music dans le but d’améliorer le service. »
« Nous sommes tenus de communiquer certaines informations non
personnelles relatives à votre emploi d’Apple Music à des
partenaires du service, tels que des maisons de disque, de sorte
qu’ils puissent évaluer leurs performances, satisfaire aux normes
comptables et régler les droits d’auteurs dus, de même
qu’améliorer leurs produits et services. Nous communiquons
également aux artistes des statistiques d’écoute et
démographiques (comme l’âge et le sexe des utilisateurs) non
personnelles agrégées pour leur permettre de mieux cerner leur
public. »
« Cet indice est stocké pendant une durée déterminée sur nos
serveurs. »
« Les informations relatives à votre bibliothèque musicale iCloud
vous sont associées pendant toute la durée de votre abonnement
et pendant une courte période après sa résiliation. »
« Nous conservons les données concernant les morceaux que vous
écoutez pendant les durées spécifiées par les lois en vigueur
relatives aux états financiers. »
« Prenez garde lorsque vous choisissez de partager des
informations en ligne ; certaines pourraient être rendues
publiques. Les données partagées depuis Apple Music vers
d’autres sites web ou réseaux sociaux sont régies par les
engagements de confidentialité de ces services. »
« Nous pouvons également vérifier les informations que vous nous
fournissez lorsque vous créez un identifiant Apple avec un tiers,
dans un objectif [VERSION DU 09 mai 2019 : « à des fins »] de
sécurité et de prévention de la fraude. »
ORDONNE à la société ADI de permettre à l’ensemble de ses abonnés
français la lecture de l’intégralité du présent jugement par le moyen
d’un lien hypertexte devant figurer sur la page d’accueil de son site
Internet ainsi que sur celles de ses applications sur tablettes et
téléphones pendant une durée de trois mois, ce lien hypertexte devant
être mis en place et activable sur ces pages d’accueil ;
DIT que la mesure qui précède devra être mise en place dans un délai
d’un mois à compter de la signification de la présente décision et sous
astreinte provisoire de 3.000,00 euros (trois mille euros) par jour de
retard à l’expiration de ce délai, cette mesure d’astreinte ne pouvant
courir que pendant six mois consécutifs ;
CONDAMNE la société ADI à payer au profit de l’association UFC –
QUE CHOISIR la somme de 20.000 euros (vingt mille euros) à titre de
dommages-intérêts en réparation du préjudice occasionné à l’intérêt
collectif des consommateurs ;
CONDAMNE la société ADI à payer au profit de l’association UFC –
QUE CHOISIR une indemnité de 10.000 euros (dix mille euros) sur le
fondement de l’article 700 du code de procédure civile ;
REJETTE la demande d’exécution provisoire de la présente décision ;
DÉBOUTE les parties de leurs demandes plus amples ou contraires ;
CONDAMNE la société ADI aux entiers dépens de l’instance et
ordonne en tant que de besoin l’application des dispositions de l’article
699 du code de procédure civile au profit de Me HARDOUIN, Avocat
au barreau de Paris.
Textes cités dans la décision
- Directive 2009/136/CE du 25 novembre 2009
- Directive ePrivacy - Directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)
- Directive 2009/22/CE du 23 avril 2009 relative aux actions en cessation en matière de protection des intérêts des consommateurs (version codifiée)
- Directive 2011/83/UE du 25 octobre 2011 relative aux droits des consommateurs
- Directive 85/577/CEE du 20 décembre 1985 concernant la protection des consommateurs dans le cas de contrats négociés en dehors des établissements commerciaux
- Directive 1999/44/CE du 25 mai 1999 sur certains aspects de la vente et des garanties des biens de consommation
- RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
- Directive Clauses abusives - Directive 93/13/CEE du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs
- Directive 97/7/CE du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance
- Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
- Directive Commerce électronique - Directive 2000/31/CE du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur (
- Loi n°95-96 du 1 février 1995
- Loi n° 94-665 du 4 août 1994
- Loi n° 2004-575 du 21 juin 2004
- Loi n° 78-17 du 6 janvier 1978
- LOI n°2014-344 du 17 mars 2014
- LOI n°2015-990 du 6 août 2015
- LOI n°2016-1321 du 7 octobre 2016
- LOI n°2020-290 du 23 mars 2020
- Code de la propriété intellectuelle
- Code de la consommation
- Code de procédure civile
- Code pénal
- Code civil
- Code des postes et des communications électroniques
- CODE PENAL
Par un jugement du Tribunal Judiciaire de Paris du 9 juin 2020, l'association UFC Que Choisir a encore une fois obtenu la condamnation d'un géant d'internet, en raison de clauses jugées illicites et abusives dans les conditions générales de iTunes et de Apple Music. De manière non-exhaustive, le Tribunal a considéré illicites et non-écrites : De nombreuses stipulations de la politique de confidentialité d'Apple en raison de son manque de clarté et de son imprécision notamment concernant sa qualité de responsable de traitement, l'absence de fourniture d'élément de contact aux utilisateurs, …