Une décision attendue depuis près de quatre ans, celle du Tribunal de Grande Instance de Paris dans l’affaire qui oppose UFC-Que Choisir au réseau social Twitter, a finalement été rendue. Bien qu’il s’agisse d’une décision de première instance, susceptible d’appel voire d’un pourvoi en cassation, elle revêt une importance particulière par la multiplicité des thèmes et questions qu’elle aborde.
Le 24 mai 2014, l’association de protection des consommateurs UFC-Que choisir, déclarée d’utilité publique, a décidé de faire reconnaître comme abusives plusieurs centaines de clauses contenues dans les conditions de services d’utilisation du réseau social Twitter, de sa politique de confidentialité et de ses « Règles Twitter ». Plusieurs versions de cet ensemble contractuel sont attaquées : la version du 25 juin 2012, celle du 21 octobre 2013, celle du 8 septembre 2014, celle du 18 mai 2015, celle du 27 janvier 2016 et, finalement, celle du 30 septembre 2016. Aucune de ces versions n’est soumise au Règlement Général sur la Protection des données (RGPD) qui n’est entré en vigueur qu’au 25 mai 2018. Toutefois, la dernière version de ces documents, celle du 30 septembre 2016, a été mise en œuvre après l’adoption du RGPD. C’est donc tant sous l’angle de l’anticipation du RGPD que sous celui de son application qu’il faut lire cette décision.
1. Une action fondée sur le droit de la consommation
Le premier apport de cette décision est de reconnaître que le droit de la consommation peut s’appliquer au contrat passé entre un réseau social (Twitter) et un utilisateur. On sait que le droit de la consommation s’applique à la relation entre un professionnel et un consommateur. Reste à savoir si la fourniture d’un service de communication électronique à titre gratuit constitue un tel contrat. Sur ce point, Twitter avance que la gratuité empêche l’application du Code de la consommation.
Le raisonnement des juges se fait en deux temps.
Tout d’abord ils constatent que le Code civil qualifie d’onéreux le contrat qui est proposé en contrepartie d’un avantage (ancien article 1106 du Code civil, renuméroté à l’article 1107). Après une analyse succincte des documents contractuels, les juges en déduisent que si l’utilisateur reçoit un avantage (un service), Twitter perçoit un avantage en contrepartie de la fourniture de ce service : des données à caractère personnel, que la société peut valoriser auprès d’autres structures, et notamment auprès de structures qui souhaitent proposer de la publicité aux utilisateurs. La gratuité de l’utilisation de Twitter n’est donc pas synonyme d’absence d’avantages réciproques.
Bien que l’expression ne soit pas utilisée par le TGI, Twitter est en réalité au centre d’un marché biface, un marché qui contient « deux faces indissociables » : d’un côté une collecte de données personnelles ; de l’autre, l’exploitation commerciale de celles-ci (V. Avis de l’autorité de la concurrence n° 18-A-03 du 6 mars 2018 portant sur l’exploitation des données dans le secteur de la publicité sur internet). Aussi, pour le TGI :
« Il résulte de ce qui précède que, si la société Twitter propose aux utilisateurs de la plate-forme des services dépourvus de contrepartie monétaire, elle commercialise à titre onéreux auprès d’entreprises partenaires, publicitaires ou marchands, des données, à caractère personnel ou non, déposées gratuitement par l’utilisateur à l’occasion de son inscription sur la plate-forme et lors de son utilisation. »
Dans un second temps, les juges relèvent que le critère de la gratuité ou de l’onérosité d’un contrat est indifférent à l’application du Code de la consommation, et notamment de son article L.121-1 relatif aux clauses abusives. Ne doit être pris en compte que l’existence d’une relation entre le consommateur et le professionnel.
Le droit de la consommation s’appliquant, reste à rechercher si les clauses soulevées devant le TGI sont abusives au sens de l’article L.212-1 du Code de la consommation (ancien article L.132-1) et si elles créent un « déséquilibre significatif » entre les droits du professionnel et les droits du consommateur.
2. La confusion par Twitter des qualifications juridiques applicables
Les « déséquilibres significatifs » constatés par les juges se fondent pour une grande partie sur le manquement par Twitter à ses obligations d’information. Dans le cas de Twitter, deux sources juridiques servent de fondement à la reconnaissance de son obligation d’information : le Code de la consommation, et notamment son article L.111-1 ; la Loi Informatique et Libertés (LIL) dans sa version en vigueur au moment des faits. Or, l’application de la LIL suppose de déterminer la personne responsable de traitement.
Pour ne pas se voir qualifier de responsable de traitement, Twitter avance l’argument selon lequel « elle n’est pas « le responsable de traitement » au sens de l’article 3 de la Loi Informatique et Libertés » puisque c’est « l’utilisateur, qui détermine, en qualité de « responsable éditorial » de ses publications, la finalité de ces publications et qui doit être considéré comme le responsable du traitement. » Par conséquent, et toujours selon Twitter, « [c’est] donc sur [l’utilisateur] que pèse l’essentiel des obligations prévues par la Loi Informatique et Libertés (information, collecte du consentement, etc.). Par exemple, lorsqu’il choisit de publier une photo de ses voisins, il [appartient à l’utilisateur] de leur demander leur consentement. » Twitter ne serait en réalité qu’un simple « prestataire technique chargé d’héberger les données publiées par l’utilisateur » qui « agit la plupart du temps en qualité de « sous-traitant ». »
2.1. L’appréciation de la qualification d’hébergeur par le TGI
L’argument est balayé par le TGI, qui distingue la qualification hébergeur et celle de sous-traitant retenue par Twitter.
Tout d’abord, le tribunal relève que « la société Twitter ne peut, sans se contredire, affirmer d’une part que son activité consiste en une activité de microblogging, laquelle serait limitée en un service d’hébergement, défini à l’article 6.I.2 de la Loi pour la Confiance en l’Economie Numérique (L.C.E.N.) et revendiquer au titre de « l’objet principal » du contrat la concession d’une licence d’exploitation des contenus déposés par l’utilisateur lors de sa navigation sur réseau à son profit et au bénéfice de sociétés tierces. »
Autrement dit, les juges contestent partiellement et indirectement l’argumentaire de Twitter sans pour autant se prononcer sur l’application ou non du régime d’hébergeur à la société. Tout au plus notent-ils que la clause qui ne distingue pas les cas dans lesquels la responsabilité de Twitter peut être engagée, et notamment dans l’hypothèse où la société aurait connaissance du caractère illicite de l’activité ou de l’information, est « illicite car contraire à [la LCEN] ». Les juges prolongent l’analyse en relevant que certaines clauses permettent de constater que Twitter « relève de l’activité « a minima » d’hébergeur ». On peut regretter l’absence de prise de position claire sur les activités de Twitter de la part du TGI. Elle peut toutefois s’expliquer.
Les juges examinent si les clauses sont abusives ou non. Il n’est pas nécessaire pour cela de qualifier précisément Twitter d’hébergeur ou d’éditeur de contenu au sens de la loi de 1881 sur la liberté de la presse dès lors que les juges ont déjà qualifié Twitter de « professionnel » face à un consommateur. En effet, le statut d’hébergeur est un statut protecteur qui ne permet d’engager la responsabilité de l’hébergeur que dans des cas très particuliers. Or, si les clauses de Twitter sont abusives au regard de ces cas particuliers, on peut en déduire qu’elles le seront d’autant plus si Twitter est qualifié d’éditeur. En cela, la qualification « a minima d’hébergeur » permet au TGI de qualifier d’abusives certaines clauses, quand bien même la qualification de Twitter en hébergeur ou en éditeur serait débattue.
2.2. Le cumul du statut d’hébergeur et de responsable de traitement
Par ailleurs, la qualification d’hébergeur n’est pas débattue outre mesure car elle est déconnectée des notions de responsable de traitement ou de sous-traitant contenues dans la LIL.
En ce sens, la contestation de Twitter de sa qualification de responsable de traitement au prétexte d’être un simple hébergeur n’a pas de sens, les deux notions étant régies par des textes légaux différents et potentiellement cumulatifs.
L’avis 1/2010 du G29 adopté le 16 février 2010 est d’ailleurs clair sur le sujet puisqu’il distingue les données personnelles publiées par les utilisateurs de celles traitées par l’hébergeur.
En outre, la clause de la politique de confidentialité de Twitter, dans sa version du 18 mai 2015, indique que :
- Les transferts hors de l’Union européenne sont réalisés par le responsable de traitement (« data controller »), Twitter international company ;
- Twitter collecte des données « à travers [ses] différents sites Web, SMS, API, notifications par e-mail, applications, boutons, widgets, publicités, services de transactions commerciales (les « Services Twitter ») ainsi qu’à travers [ses] autres services qui sont couverts par, et renvoient vers cette Politique (collectivement, les « Services ») ou par l’intermédiaire de [ses] partenaires et autres tierces parties. »
À propos de la clause sur les « Prestataires de services », dans sa version en date du 30 septembre 2016, Twitter reconnait également donner des instructions à différents prestataires de services qui agissent sur les instructions de la société, mais également en son nom. Dès lors, on conçoit mal la tentative de justification par Twitter de sa qualité de sous-traitant.
Les deux affirmations ainsi que la clause précitée positionnaient donc clairement Twitter comme responsable de traitement, contrairement à la position défendue devant le juge.
Enfin, le TGI qualifie Twitter de responsable de traitement pour les données à caractère personnel collectées directement auprès des consommateurs-utilisateurs, mais également pour les données collectées par les cookies : « Il apparait à la lecture de la clause que la société Twitter est non seulement à l’origine du dépôt de cookies mais elle est également destinataire des données collectées par les sociétés tierces, données qu’elle utilise pour son propre compte et pour des finalités qu’elle a déterminées. »
Fort de sa qualité de professionnel, de responsable de traitement et « a minima » d’hébergeur, Twitter est donc soumis à trois obligations d’informations. Or, l’absence d’information au profit du consommateur-utilisateur crée immanquablement un déséquilibre significatif entre les parties. Par conséquent, le non-respect des obligations d’informations entraine dans la majorité des cas la qualification des clauses en clauses abusives. Et les manquements de Twitter sont tels, en la matière, que la décision du TGI fait figure de petit guide de la rédaction contractuelle des clauses sur les données personnelles.
Rendue sous l’empire de Loi Informatique et Libertés dans sa version antérieure à l’application du RGPD et bien que les clauses examinées aient été supprimées des conditions générales de Twitter, la décision du TGI préfigure l’application du RGPD aux réseaux sociaux. L’emphase mise sur l’obligation d’information, sur la qualité, la précision et la granularité des informations fournies aux personnes concernées en est la meilleure preuve. En outre, la tendance générale est au renforcement des obligations qui pèsent sur ces grands acteurs de l’Internet, comme en atteste le très récent rapport du gouvernement qui souhaite créer un statut spécifique applicable au « accélérateurs de contenus » dont les réseaux sociaux et moteurs de recherche.
(Commentaire 1 sur 2 de la décision).