PINT Avocats Newsletter mars 2019 : CGV, clauses abusives ou illicites
PINT Avocats : Newsletter mars 2019
Clauses abusives ou illicites : que nous apprennent les décisions contre Google et Twitter sur vos CGV ? Sont-elles conformes ?
Le 12 février 2019, le Tribunal de grande instance de Paris a déclaré illicites ou abusives 38 clauses des conditions générales et de la politique de confidentialité de Google pour le service Google + dans le cadre d’une action initiée par UFC Que Choisir.
Dans les mêmes circonstances, le Tribunal de grande instance de Paris avait également annulé 265 clauses des conditions générales d’utilisation (et politique de confidentialité) de Twitter (sur les 269 clauses critiquées par UFC Que Choisir) dans une décision du 7 août 2018.
C’est l’occasion de faire le point sur vos conditions générales et politique de gestion des données personnelles pour vous assurer de leur validité et de leur efficacité.
Le risque ? Que vos conditions soient inapplicables et/ou que vous soyez condamnés à des peines d’amendes pouvant être importantes (DGCCRF, CNIL) …
- Rappel :
-
- Le Code de la consommation sanctionne les clauses dites « abusives » dans les contrats conclus entre un professionnel et un consommateur (limitations de garanties et responsabilité, entrave aux recours, droit de modification unilatérale du contrat…).
Il impose également une obligation d’information précontractuelle générale au bénéfice du consommateur.
-
- Le Règlement général pour la protection des données personnelles (RGPD) en vigueur depuis le 25 mai 2018 et la loi Informatique et libertés modifiée le 20 juin 2018 imposent notamment de nouvelles mentions d’informations des personnes dont vous collectez les données.
- Quelques clauses à éviter ou à retravailler* :
-
- Acceptation et modification des conditions
« L’utilisation de nos Services implique votre acceptation des présentes Conditions d’Utilisation. Nous vous invitons à les lire attentivement. » (clause n°2 des conditions de Google)
Le fait que la seule inscription, et par suite la navigation ultérieure sur le site, emporte l’adhésion implicite de l’utilisateur aux conditions d’utilisation, est illicite car l’internaute n’a pas pu être informé au préalable
« Nous serons susceptibles de modifier les présentes Conditions à tout moment. (…). Nous nous efforcerons de vous avertir des modifications substantielles, par exemple via une notification de service ou un e-mail à l’adresse électronique associée à votre compte. En continuant d’accéder aux Services ou en les utilisant après l’entrée en vigueur de ces modifications, vous acceptez d’être lié(e) par les présentes Conditions. » (clause n°33 des conditions de Google)
Les clauses prévoyant la modification des conditions ou de la politique de confidentialité sans information ou accord de l’utilisateur (le professionnel ne peut s’arroger le droit de modifier unilatéralement les conditions applicables)
-
- Information sur les données personnelles :
« Nous pouvons collecter des données relatives à l’appareil que vous utilisez (ex : modèle, version du système d’exploitation, identifiants uniques de l’appareil et données relatives au réseau mobile, y compris votre numéro de téléphone). Google peut associer les identifiants de votre appareil ou votre numéro de téléphone à votre Compte Google. » (Clause n°7 des Règles de confidentialité de Google)
N’oubliez pas que toutes les données techniques (IP, logs de connexion, géolocalisation, historique de navigation, données concernant l’appareil utilisé) peuvent être des données personnelles.
Vous devez informer les internautes de la collecte de ces données et si nécessaire recueillir leur consentement.
La nature réelle des informations collectées doit être précisée. Eviter les termes évasifs de type « informations », « contenus » ou « coordonnées » sans préciser qu’il y a une collecte de données personnelles.
« Les informations que nous collectons servent à améliorer les services proposés à tous nos utilisateurs. » (Clause n° 4 des Règles de confidentialité de Google)
Les finalités du traitement doivent être bien détaillées et correspondre à la réalité. En particulier, la finalité « d’amélioration des services » n’est pas suffisante surtout lorsqu’en réalité, il y a une exploitation publicitaire ou commerciale des données.
« Twitter utilise les services de prestataires tiers variés pour l’aider à fournir les Services, comme l’hébergement des différents blogs et wikis ou à comprendre l’utilisation qui est faite des Services, comme Google Analytics. Ces prestataires de service tiers collectent des informations envoyées par votre navigateur dans une requête de page Web, comme les cookies et votre adresse IP. » (Clause n°14 de la Politique de confidentialité de Twitter)
La référence à un transfert à « des prestataires de services » n’est pas suffisamment explicite. De même, la communication de données à des partenaires, même prévue avec le consentement de l’utilisateur, doit préciser les catégories de destinataires et les finalités de cette communication.
-
- Recueillez bien le consentement quand nécessaire. Ce consentement doit être éclairé (après information) et spécifique (pour chaque type de traitement). Il ne doit pas être « noyé » dans les conditions, il faut prévoir une case à cocher différente pour chaque consentement.
Les mécanismes d’opposition au dépôt de cookies doivent être véritablement efficaces et simples. Le fait de pouvoir supprimer les cookies ultérieurement n’est pas suffisant.
-
- Anonymisation des données :
« Informations publiques et non personnelles : Nous pouvons être amenés à partager et divulguer vos informations publiques, agrégées ou à caractère non personnel, telles que les informations de votre profil public, vos Tweets publics, les personnes que vous suivez ou qui vous suivent et le nombre de fois où des personnes interagissent sur un Tweet (…), ainsi qu’à fournir des rapports aux annonceurs concernant les utilisateurs uniques ayant vu leurs annonces ou cliqué sur celles-ci, et ce, après avoir supprimé toute information personnelle et privée (telle que votre nom ou vos coordonnées). » (Clause n°24 de la Politique de confidentialité de Twitter)
Le Tribunal rappelle qu’il ne suffit pas de supprimer des éléments en eux-mêmes « identifiants », comme le « nom » ou les « coordonnées » de l’utilisateur (notamment car des données personnelles collectées via les cookies peuvent permettre l’identification et que ces données ne sont pas supprimées).
-
- Attention aux contenus utilisateurs qui sont postés sur votre site, notamment s’ils peuvent comporter des données personnelles, qui doivent respecter également les principes (collecte loyale, information, finalités, etc.).
-
- Bien déterminer et préciser les durées de conservation des données
« Nous conservons ou divulguons vos informations si nous estimons que cela est raisonnablement nécessaire pour se conformer à une loi, une réglementation ou à des demandes juridiques (…) » (Clause n° 18 de la Politique de confidentialité de Twitter)
Cette clause est illicite car elle ne précise aucune durée.
-
- Faites attention aux clauses limitatives de garantie ou responsabilité : ont été sanctionnées les clauses suivantes :
-
-
- Risque de dysfonctionnement en cas de désactivation des cookies : « Il convient toutefois de rappeler que bon nombre de nos services sont susceptibles de ne pas fonctionner correctement si vous désactivez les cookies. » (Clause n° 21 des Règles de confidentialité de Google)
-
-
-
- Obligation de moyens, limitation de garantie pour la fourniture des services, services fournis « en l’état ».
-
« L’accès aux Services et aux Contenus et leur utilisation seront à vos risques et périls. Vous comprenez et acceptez que les Services vous soient fournis ‘EN L’ÉTAT’ et ‘SELON DISPONIBILITÉ’. » (Clause n°5 des Conditions d’utilisation de Twitter)
« Sauf tel qu’expressément prévu par les présentes Conditions d’Utilisation ou des conditions d’utilisation additionnelles, ni Google, ni ses fournisseurs ou distributeurs, ne font aucune promesse spécifique concernant les Services. »
« Notre offre de Services est soumise à une obligation de moyens, dans les limites de ce qui est commercialement raisonnable » (Clauses n°25 et n°26 des Conditions d’utilisation de Google)
-
- De plus, les clauses prévoyant la responsabilité de l’utilisateur et la sanction de ses manquements ne doivent pas être trop « abruptes ».
Les CGU ne doivent pas comporter une présomption de responsabilité de l’utilisateur, par exemple : « Vous êtes responsable de la protection de votre compte ; nous vous invitons donc à utiliser un mot de passe fort et à limiter son utilisation à ce compte. Nous déclinons toute responsabilité en cas de perte ou de préjudice qui découlerait du non-respect par vous de ce qui précède. » (Clause n°4.7 § 1 des Conditions d’utilisation de Twitter)
S’agissant des sanctions (suspension / résiliation du compte), le consommateur doit pouvoir s’expliquer et les sanctions doivent être progressives.
-
- Bien spécifier les destinataires des données et en cas de transfert des données hors Union européenne, les pays de destination.
« Nous traitons vos données personnelles sur des serveurs Google situés dans de nombreux pays à travers le monde. Vos données personnelles sont donc susceptibles d’être traitées sur un serveur situé hors de votre pays de résidence. » (Clause n° 19 des Règles de confidentialité de Google)
*Il s’agit ici de quelques exemples issus du jugement du 12 février 2019 (136 pages, 209 clauses analysées) ainsi que du jugement du 7 août 2018 contre Twitter (235 pages, 269 clauses analysées) ne pouvant être exhaustifs au vu du nombre de clauses concernées.
Nous sommes à votre disposition pour revoir et adapter si besoin vos documents contractuels.