Cinq ans après le début de la procédure, le Tribunal de Grande Instance (« TGI ») de Paris a enfin rendu sa décision dans le litige qui opposait Google contre l’UFC – Que Choisir pour des faits relatifs au service Google +. Malgré la fermeture définitive du réseau social, ce jugement est l’occasion de revenir sur les obligations relatives au droit de la consommation et à la protection des données personnelles pesant sur le moteur de recherche.
Le 12 mars 2014, l’association Union Fédérale des Consommateurs (UFC) Que Choisir a assigné la société Google devant le Tribunal de Grande Instance de Paris afin de faire reconnaître comme abusives et illicites plus de 200 clauses contenues dans les Conditions d’utilisation et les Règles de confidentialité de Google +. Ces deux ensembles contractuels formaient le socle contractuel commun, auquel l’utilisateur devait adhérer après s’être inscrit, pour pouvoir bénéficier du service.
Afin de déterminer le caractère abusif et illicite des clauses, les juges se sont tout d’abord penchés sur la question de l’application du droit de la consommation ainsi que de la Loi Informatique et Libertés (« LIL ») contestée par Google pour ensuite analyser chaque clause afin de déterminer si celle-ci était ou non abusive conformément aux dispositions précitées.
1. Sur l’application du droit de la consommation
Comme dans la décision Twitter du 7 août dernier, le TGI reconnait l’application du droit de la consommation au contrat passé entre un réseau social, en l’espèce, Google + et un utilisateur.
Dans un premier temps, les juges relèvent que le service fourni par Google n’est pas gratuit. En effet, en contrepartie de l’accès et de l’utilisation de ses services, Google commercialise les données des utilisateurs auprès d’entreprises partenaires afin que ces dernières puissent placer des publicités ciblées. L’exploitation commerciale des données s’analyse ici comme un avantage, au sens de l’article 1107 du Code civil. Le contrat conclu entre Google et l’utilisateur est donc à titre onéreux et non à titre gratuit.
Le TGI de Paris conclut donc en indiquant qu’« en collectant des données déposées gratuitement par l’utilisateur à l’occasion de son accès à la plate-forme et en les commercialisant à titre onéreux, la société Google, agissant à des fins commerciales, tire profit de son activité, de sorte qu’elle est un professionnel ».
Enfin, les juges rappellent que les règles applicables aux clauses abusives n’exigent pas que le contrat soit à titre onéreux. Ainsi, seule la qualité de chacune des parties au contrat : un professionnel d’une part et un consommateur d’autre part, détermine l’application de ces dispositions.
2. Sur l’application de la Loi informatique et libertés
Contrairement à la décision Twitter, ni la qualité d’hébergeur ni la qualité de responsable de traitement n’était débattue. Cependant, la société Google arguait que les dispositions contenues dans la LIL ne s’appliquaient pas en l’espèce car selon elle, la LIL poursuivait des finalités qui « n’intéressent pas l’intérêt collectif des consommateurs ». Or, selon le TGI de Paris « cette loi a pour objectif principal la protection des libertés individuelles et notamment de la vie privée face au développement de l’informatique. Ses finalités concourent donc parfaitement avec celles du droit de la consommation visant notamment à sanctionner tout déséquilibre contractuelle significatif entre les professionnels et les simples particuliers ». Par conséquent, les dispositions de la LIL s’appliquaient au socle contractuel du service Google +.
3. Sur le caractère illicite ou abusif des clauses
S’agissant des clauses contenues dans les Règles de confidentialité
Les juges retiennent le caractère illicite et abusif de plusieurs clauses contenues dans les Règles de confidentialité de Google + en raison de l’absence d’information quant aux finalités poursuivies ainsi qu’aux destinataires éventuels des données personnelles des utilisateurs, en violation de l’article 32 I de la Loi informatique et libertés. Les clauses en question ne mentionnaient pas la finalité première consistant à l’envoi de publicité ciblée ou faisaient référence à des finalités évasives.
Par ailleurs, plusieurs clauses sont également réputées non-écrites dans la mesure où Google ne recueille pas le consentement des utilisateurs pour le traitement de leurs données de localisation, pour le croisement de leurs données personnelles ou encore pour le dépôt des cookies en violation des articles 2 et 6 de la LIL.
De plus, le Tribunal considère que la clause consistant à informer l’utilisateur que ses données personnelles sont susceptibles d’être traitées sur un serveur en dehors de l’Union européenne viole les dispositions de l’article 68 de la LIL dans la mesure où Google présume acquis le consentement de l’utilisateur au transfert de ses données personnelles hors de l’UE et n’identifie pas les pays pouvant être destinataires des données, ni ne précise les garanties mises en place.
Enfin, les juges réputent non-écrite la clause permettant à Google de conserver des données personnelles erronées et ayant fait l’objet d’une rectification par la personne concernée via l’exercice de son droit d’accès à des fins commerciales légitimes. Le TGI considère ainsi qu’une telle clause créée un déséquilibre significatif entre les parties et est en contrariété avec l’article 40 de la LIL prévoyant le droit de rectification.
Cette décision ne fait pas référence au RGPD dès lors que ce dernier n’était pas encore entré en application lorsque les Règles de confidentialité ont été contestées. Cependant, les griefs retenus par les juges sont à mettre en parallèle avec la décision de la CNIL, ayant condamné Google à une amende de 50 millions d’euros pour un manquement aux obligations de transparence et d’information figurant aux articles 12 et 13 du RGPD. La CNIL reprochait alors à Google un manque de précision dans la définition des finalités, ne permettant pas à l’utilisateur de prendre conscience de l’ampleur de la collecte des données le concernant et de la portée de son propre engagement.
S’agissant des clauses contenues dans les Conditions d’utilisation<
Le Tribunal invalide la clause selon laquelle l’utilisation des services de Google + implique l’acceptation par l’utilisateur des Conditions d’Utilisation sur le fondement des articles L. 111-1 et 111-2 du Code de la consommation. Ainsi, l’information précontractuelle incombant à tout professionnel est ici non pas délivrée en amont du consentement de l’utilisateur à l’exécution des services mais a posteriori. L’utilisateur consent alors à l’application de dispositions contractuelles, sans avoir pu en prendre connaissance avant.
En outre, plusieurs clauses relatives à la concession par l’utilisateur d’une licence au profit de Google sur les contenus générés sur le service sont réputées non-écrites. En effet, le Tribunal a relevé que les clauses ne précisaient pas de manière suffisante les contenus visés par la licence, la nature des droits conférés et les exploitations autorisées, contrairement aux dispositions des articles L. 131-1, L.131-2 et L.131-3 du Code de la propriété intellectuelle. Ces dispositions imposent au bénéficiaire de la cession, de préciser le contenu visé, les droits conférés ainsi que les exploitations autorisées par le titulaire des droits.
La clause 17 des Conditions d’utilisation est également réputée non-écrite par le TGI, dans la mesure où cette clause est contraire à l’article 6 2° de la LIL. Ainsi, cette clause prévoyait la possibilité pour Google, sur sa seule initiative, de faire apparaitre les photos de profil des utilisateurs ainsi qu’un certain nombre d’activités exercées par les utilisateurs, sans que la finalité précise de cette diffusion soit précisée. Les juges ont considéré que faute de mention d’une finalité déterminée, explicite et du fait des données des plus sensibles en jeu (photos, noms, commentaires), la clause était illicite.
Enfin, le Tribunal répute non-écrite une clause portant sur les droits des utilisateurs sur leurs données personnelles, notamment le droit d’accès, considérant que la rédaction de la clause est « maladroite et inappropriée » dans la mesure où la clause donne l’impression que c’est au bon vouloir de l’opérateur de donner droit à la demande de droit d’accès de l’utilisateur, et ce en violation des articles 38 et 40 de la LIL.
Malgré l’invalidation de nombreuses clauses, ce jugement est à relativiser, Google n’ayant été condamnée à verser que la somme de 30 000 euros au titre du préjudice moral occasionné à l’intérêt collectif des consommateurs. Cette somme est peu significative dans la mesure où l’ensemble des clauses litigieuses n’étaient plus présentes dans les Règles de confidentialité de Google et les Conditions d’utilisation.
In fine, ce jugement aura permis de rappeler les règles applicables aux traitements des données à caractère personnel, à savoir l’obligation de mentionner avec précision les finalités des traitements, les destinataires des données à caractère personnel, l’existence ou non d’éventuels transferts de données ainsi que l’interdiction de présumer le consentement de l’utilisateur quant à la collecte de ses données personnelles. Par ailleurs, en décembre 2018, Google a annoncé l’arrêt de Google + en avril 2019, dès lors Google ne devrait plus être inquiété s’agissant de ce service. Prochain jugement à suivre : Facebook c. UFC – Que Choisir.