RÉPUBLIQUE FRANÇAISE

AU NOM DU PEUPLE FRANÇAIS

 

TRIBUNAL JUDICIAIRE DE PARIS

JUGEMENT DU 9 JUIN 2020

 

R.G. n° 16/09799.

 

DEMANDEUR :

ASSOCIATION UNION FÉDÉRALE DES CONSOMMATEURS – QUE CHOISIR (UFC QUE-CHOISIR)

 

DÉFENDEUR :

SOCIÉTE APPLE DISTRIBUTION INTERNATIONAL (ADI)

 

COMPOSITION DU TRIBUNAL : Philippe Valleix (Premier Vice-Président), Aurélie Gaillotte (Vice-Présidente), Martine Charre Serveau (juge).

Greffier : Marie Farey (greffier).

Avocats : Maître Ronan Hardouin, Maître Jean-Philippe Arroyo

 

La société iTunes, société à responsabilité limitée de droit luxembourgeois, filiale à 100 % de la société Apple Inc., a été absorbée par la société ASSL (Apple Software Services limited). Cette société a été elle-même absorbée par la société ADI (Apple Distribution International), société de droit irlandais dont le siège social est situé à Cork en Irlande. Par le jeu de ces absorptions successives et de la reprise de l’ensemble des droits et obligations de la société iTunes, la société ADI est devenue l’ayant-cause universel de la société iTunes.

La société ADI a pour activité la vente de produits culturels (films, séries télévisées, musiques, ebooks (livres électroniques), jeux et applications mobiles via « l’Apple store »), ainsi que la fourniture de services en ligne. Depuis le 30 juin 2015 un service de streaming musical payant appelé « Apple Music » a été proposé via l’iTunes Store.

Ce service de streaming musical est payant moyennant le paiement d’un abonnement mensuel individuel de 9,99 euros ou d’un abonnement familial de 14,99 euros dont l’utilisation est limitée à six personnes au plus. C’est un service sans engagement qui est reconduit automatiquement tous les mois sauf résiliation par l’utilisateur. L’accès au service nécessite pour l’utilisateur de disposer d’une part d’un identifiant Apple (« Apple ID »), lequel est constitué d’une adresse email et d’un mot de passe, et d’autre part d’un compte iTunes qui intègre le moyen de paiement.

Par assignation du 2 juin 2016 l’association UNION FÉDÉRALE DES CONSOMMATEURS - QUE CHOISIR (ci-après UFC-QUE CHOISIR) a fait citer la société ADI devant le tribunal de grande instance de Paris, devenu tribunal judiciaire de Paris, aux fins de faire constater le caractère abusif et/ou illicite des clauses des « Conditions d’Utilisation » de la société ADI, dans la version du 30 juin 2015, dénommée par les parties « Conditions générales V1 », de mars 2016 « Conditions générales V2 », du 13 septembre 2016 « Conditions générales V3 », du 17 septembre 2018 « Conditions générales V4 » et du 13 mai 2019 « Conditions générales V5 », le caractère illicite des clauses des « Politiques de confidentialité », dont le document intitulé « Engagement de Confidentialité » dans les versions des 22 mai 2018, 9 mai 2019, le document intitulé « Apple Music et confidentialité » du 18 septembre 2018 ainsi que le document intitulé « A propos du lecteur Web Apple Music et de la confidentialité », les faire supprimer et/ou modifier, de les faire réputées non écrites et de réparer le préjudice causé à l’intérêt collectif des consommateurs.

[*]

Aux termes de ses dernières écritures signifiées par voie électronique par le Réseau privé virtuel avocats (RPVA) le 10 juin 2019, au visa du code de la consommation, du RGPD et de la Loi Informatique et Libertés, de l’article R. 625-10 du code pénal, de l’article 15 de la loi pour la confiance dans l’économie numérique (L.C.E.N.), de la loi n° 94-665 du 4 août 1994 et de l’article 1382 du code civil, l’ association UNION FEDERALE DES CONSOMMATEURS QUE CHOISIR (UFC-QUE CHOISIR) a demandé de :

DIRE ET JUGER recevable et bien fondée l’action de l’association UFC-QUE CHOISIR à l’encontre de la société ADI.

DÉCLARER abusives et illicites l’ensemble des clauses figurant dans des documents contractuels non fournis sur support durable.

DÉCLARER abusives et/ou illicites, les clauses suivantes des Conditions d’Utilisation :

– La clause « EXCLUSIONS DE GARANTIES ; LIMITATIONS DE RESPONSABILITÉ » dans les versions V2, V3, V4 et V5 ;

– La clause « DIVERS » (« Autres stipulations ») (clause d’exonération de responsabilité dans les versions V1, V2, V3, V4 et V5 et clause d’indivisibilité dans les versions V1, V3, V4 et V5) ;

– Les clauses « ENVOI DE CONTENU AU SERVICE APPLE MUSIC » dans la version V1 et « VOS ENVOIS SUR NOS SERVICES » dans les versions V3, V4 et V5 ;

– La clause « DISPONIBILITE DU CONTENU » dans la version V1 ;

– La clause « RÉSILIATION » dans la version V1 ;

– La clause « RÉSILIATION ET SUSPENSION DES SERVICES » dans les versions V3, V4 et V5 ;

– La clause « UTILISATION DE CONTENU » dans la version V1 ;

Les clauses « MODIFICATIONS » dans la version V1 et « MODIFICATIONS DU CONTRAT » dans les versions V3, V4 et V5.

DÉCLARER abusive la Politique de Confidentialité d’ADI dans son ensemble comme créant un déséquilibre significatif entre les droits et obligations d’ADI et des consommateurs, et la déclarer illicite comme contraire, dans son ensemble également, au principe de transparence prévu par le RGPD et le Code de la consommation, ou, à tout le moins,

DÉCLARER illicites et/ou abusives les clauses détaillées dans le tableau en Pièce n° 8 et reproduites pour la bonne forme ci-après :

Dans les Conditions d’Utilisation (V4 et V5) :

« Vous acceptez que le concédant puisse collecter et utiliser des données techniques et toute information associée, y compris, notamment, les informations techniques concernant votre dispositif, votre système et votre logiciel d’application, ainsi que les périphériques, et qui sont recueillies périodiquement afin de faciliter la fourniture de mises à jour de logiciels, de services d’assistance technique relative au produit, ainsi que d’autres services (le cas échéant) se rapportant à l’application sous licence. Le concédant peut utiliser ces informations aussi longtemps qu’elles sont sous une forme ne permettant pas de vous identifier personnellement, afin d’améliorer ses produits ou de vous fournir des services ou des technologies. »

« Vous reconnaissez qu’Apple est en droit de divulguer des données et/ou des informations aux forces de l’ordre, aux autorités publiques et/ou à des tiers, si Apple l’estime raisonnablement nécessaire ou approprié pour faire appliquer et/ou vérifier le respect de toute disposition du présent contrat (y compris notamment le droit d’Apple de coopérer dans le cadre de toute procédure judiciaire relative à votre utilisation des services et/ou du contenu et/ou sur réclamation de tiers relative à votre utilisation illicite des services et/ou du contenu et/ou en violation des droits de ces tiers). »

« Sauf dans les cas indiqués au paragraphe (d) ci-dessous ou dans le cas où vous exercez un droit à remboursement ou à compensation qui vous est conféré par la loi, Apple, ses dirigeants, cadres, salariés, membres affiliés, agents, contractants ou concédants de licence ne pourront en aucun cas être tenus pour responsables de perte ou dommage causé par Apple, ses salariés ou agents lorsque : (v) cette perte ou ce dommage résulte d’une perte de revenu, d’activité ou de bénéfice ou d’une perte ou une corruption de données en relation avec votre utilisation du Service. »

Dans l’Engagement de Confidentialité (version du 22 mai 2018 et version du 9 mai 2019) :

« Collecte et utilisation des données non personnelles Nous collectons également des données dont la forme ne nous permet pas de faire un rapprochement direct avec une personne en particulier.

Nous pouvons recueillir, utiliser, transférer et divulguer des données non personnelles à quelque fin que ce soit. Vous trouverez ci-après des exemples de données non personnelles que nous collectons et la façon dont nous pouvons les utiliser :

Nous pouvons collecter des informations telles que le métier, la langue, le code postal, l’indicatif régional, l’identifiant unique de l’appareil, l’URL de référence, le lieu et le fuseau horaire dans lesquels un produit Apple est utilisé afin de nous permettre de mieux comprendre le comportement du client et d’améliorer nos produits, services et publicité.

Nous pouvons recueillir des données concernant les activités du client sur notre site web, les services iCloud, l’iTunes Store, l’App Store, le Mac App Store, l’App Store de l’Apple TV, les iBooks Stores et à partir de nos autres produits et services. Ces données sont rassemblées et utilisées pour nous permettre de fournir des informations plus utiles à nos clients et pour savoir quels aspects de notre site web, de nos produits et de nos services sont les plus populaires. Les informations rassemblées sont considérées comme des données non personnelles aux fins du présent Engagement de confidentialité.

Nous pouvons collecter et stocker des informations sur votre utilisation de nos services, notamment les recherches que vous effectuez. Ces informations peuvent être utilisées pour améliorer la pertinence des résultats fournis par nos services. Elles ne sont pas associées à votre adresse IP, excepté dans de rares cas afin d’assurer la qualité de nos services sur Internet. Avec votre consentement explicite, nous pouvons collecter des données sur la façon dont vous utilisez votre appareil et vos applications afin d’aider les développeurs à améliorer leurs apps.

Si nous associons des données non personnelles à des données personnelles, les données ainsi combinées sont traitées comme des données à caractère personnel tant qu’elles restent associées. »

« Nous traitons les données collectées par les cookies et autres technologies comme des données non personnelles. Toutefois, si les adresses IP (Internet Protocol) ou des identifiants similaires sont considérés comme des données personnelles par la loi locale, nous traitons également ces identifiants comme des données personnelles. De la même manière, si des données non personnelles sont associées à des données personnelles, nous traitons les informations ainsi associées comme des données personnelles aux fins du présent Engagement de confidentialité. »

« Pour fournir des services de géolocalisation sur les produits Apple, Apple et ses partenaires et licenciés [VERSION DU 9 mai 2019 : « tels que les fournisseurs de données de cartographique »] peuvent recueillir, utiliser et partager des données de localisation précises, notamment la localisation géographique en temps réel de votre ordinateur ou appareil Apple. Le cas échéant, les services de géolocalisation peuvent utiliser le GPS, le Bluetooth et votre adresse IP, ainsi que les emplacements des bornes Wi-Fi communautaires et des antennes relais, ou encore d’autres technologies afin de déterminer la localisation approximative de vos appareils. Sauf consentement de votre part, ces données de localisation sont collectées anonymement dans un format ne permettant pas de vous identifier. »

« Si vous activez l’option Suivi publicitaire limité sur votre appareil mobile, les apps tierces ne peuvent pas utiliser l’identifiant publicitaire (un identifiant d’appareil non personnel) pour diffuser des annonces ciblées. »

« Les données personnelles, relatives aux services Apple, concernant les personnes résidant dans un État membre de l’Espace économique européen et en Suisse, sont contrôlées par Apple Distribution International en Irlande, et traitées pour son compte par Apple Inc. Apple utilise des clauses contractuelles types approuvées pour le transfert international des données personnelles collectées dans l’Espace économique européen et en Suisse. En tant qu’entreprise internationale, Apple possède de nombreuses entités juridiques situées au sein de différentes juridictions qui sont responsables des données personnelles qu’elles collectent et qui sont traitées en leur nom par Apple Inc. Par exemple, les informations sur le point de vente au sein de nos entités commerciales situées en dehors des États-Unis sont contrôlées par les entités commerciales individuelles dans chaque pays. Les données personnelles associées à Apple, au magasin [VERSION DU 9 mai 2019 : « à l’Apple Store »] en ligne et à iTunes peuvent également être contrôlées par des entités juridiques en dehors des États-Unis, tel que cela est spécifié dans les conditions générales de chaque service. »

« Vous êtes responsable des données personnelles que vous décidez de soumettre de cette façon. »

« Si vous avez des questions ou des inquiétudes concernant l’Engagement de confidentialité Apple ou le traitement des données, vous pouvez contacter notre délégué européen à la protection des données »

« Nous pouvons également utiliser les données personnelles à des fins internes, par exemple pour des audits, analyses de données et recherches ans le but d’améliorer les produits, services et communications clients d’Apple. »

« Dans certaines juridictions, nous pouvons vous demander une pièce d’identité officielle, mais uniquement dans certains cas, par exemple, lors de l’ouverture d’un compte mobile et de l’activation de votre appareil, lors de la décision d’étendre un crédit commercial, pour gérer des réservations, ou encore si la loi l’exige. »

« À des fins de recherche et développement, nous pouvons utiliser des ensembles de données tels que ceux contenant [VERSION DU 9 mai 2019 : « telles que celles qui contiennent »] des images, voix ou autres données pouvant être associées à une personne identifiable. »

« Nous utilisons également vos données personnelles pour créer, développer, utiliser, livrer et améliorer nos produits, services, contenus et publicités, et à des fins de prévention des pertes et de lutte contre la fraude. Nous pouvons aussi utiliser vos données personnelles dans des objectifs de sécurité des comptes et réseaux, notamment afin de protéger nos services pour le bénéfice de tous nos utilisateurs [VERSION DU 9 mai 2019 : « ainsi que filtrer et analyser tout contenu chargé pour nous assurer qu’il ne contient pas de contenus illégaux, tels que des abus sexuels sur mineurs »]. Lorsque nous utilisons vos données à des fins de lutte contre la fraude, c’est suite à une transaction en ligne auprès de nous. Nous limitons notre utilisation des données à des fins de lutte contre la fraude aux données strictement nécessaires et dans le cadre de nos intérêts légitimes estimés afin de protéger nos clients et nos services. Pour certaines transactions en ligne, nous pouvons également vérifier les informations que vous nous avez fournies auprès de sources publiquement disponibles. »

« Nous pouvons également divulguer vos données [VERSION DU 9 mai 2019 : « des informations vous concernant »] si nous pensons qu’à des fins de sécurité nationale, d’application de la loi ou autre sujet d’intérêt public, la divulgation est nécessaire ou appropriée. » « Apple peut parfois mettre certaines données personnelles à la disposition de partenaires stratégiques travaillant avec Apple pour la fourniture de produits et services, ou aidant Apple à commercialiser ses produits auprès des clients. Par exemple, lorsque vous achetez et activez votre iPhone, vous autorisez Apple et votre opérateur à échanger les informations que vous divulguez pendant la procédure d’activation afin d’exécuter le service. »

« À des fins de recherche et développement, nous pouvons utiliser des ensembles de données tels que ceux contenant [VERSION DU 9 mai 2019 : « telles que celles qui contiennent »] des images, voix ou autres données pouvant être associées à une personne identifiable. Lorsque nous acquérons ce type d’ensemble de données, nous le faisons conformément à la loi applicable dans la juridiction dans laquelle se trouve l’ensemble de données. »

« Il peut nous arriver de recevoir des données personnelles vous concernant par le biais de tiers, si ces personnes partagent leur contenu avec vous à l’aide de produits Apple, vous envoient des chèques cadeaux et des produits, ou vous invitent à participer à des services ou forums Apple. Nous pouvons également vérifier les informations que vous nous fournissez lorsque vous créez un identifiant Apple avec un tiers, dans un objectif [VERSION DU 9 mai 2019 : « à des fins »] de sécurité et de prévention de la fraude. »

« Pour certaines transactions en ligne, nous pouvons également vérifier les informations que vous nous avez fournies auprès de sources publiquement disponibles. »

« Nous conservons vos données personnelles pendant la durée nécessaire aux finalités décrites dans le présent Engagement de confidentialité et nos récapitulatifs spécifiques aux services. Pour estimer ces durées, nous déterminons avec soin si nous avons besoin de collecter des données personnelles et, si nous établissons un tel besoin, nous les conservons uniquement pendant la durée la plus courte possible nécessaire à la réalisation de l’objectif de la collecte, sauf si une durée de conservation plus longue est requise par la loi. »

« Nous pouvons traiter vos données personnelles dans les objectifs décrits dans cet Engagement de confidentialité avec votre consentement, pour nous conformer à une obligation légale à laquelle Apple est soumise ou lorsque nous estimons que cela est nécessaire pour atteindre les objectifs légitimes poursuivis par Apple ou un tiers à qui nous pouvons être amenés à divulguer ces données » « Vous pouvez nous aider à faire en sorte que vos coordonnées et préférences soient exactes, complètes et à jour en vous connectant à la page de votre compte Apple. Nous vous fournissons un accès aux autres données personnelles que nous détenons, et une copie de celles-ci, pour que vous puissiez éventuellement nous demander de les corriger si elles sont inexactes ou de les supprimer, à condition qu’Apple ne soit pas obligée de les conserver du fait de la loi ou à des fins commerciales légitimes. Nous pouvons refuser de traiter les demandes futiles/vexatoires, les demandes mettant en péril la confidentialité des données de tiers, les demandes qui sont extrêmement difficiles à mettre en place ou celles pour lesquelles un accès n’est pas imposé autrement par la loi applicable. Nous pouvons également refuser certains aspects de demandes de suppression ou d’accès si nous pensons que, ce faisant, nous nuirions à notre utilisation légitime des données à des fins de lutte contre la fraude ou de sécurité, comme nous l’avons vu précédemment. »

« De temps en temps, nous pouvons utiliser vos données personnelles pour envoyer des notifications importantes, telles que des communications sur les achats, et les modifications apportées à nos conditions d’utilisation et politiques. Ces informations étant importantes pour vos relations avec Apple, vous ne pouvez pas vous opposer à la réception de ces communications. »

« Toutes les informations que vous fournissez peuvent être transférées à des entités à travers le monde, ou être accessibles à celles-ci, tel que décrit dans le présent Engagement de confidentialité. »

« Ces sociétés sont dans l’obligation de protéger vos données et peuvent se trouver dans tout pays dans lequel Apple exerce des activités. »

« Apple et ses partenaires utilisent également des cookies et d’autres technologies pour se souvenir de vos données personnelles lorsque vous utilisez un site web, des services en ligne et des applications. Dans ce cas, notre objectif est de rendre votre visite plus pratique et de la personnaliser. »

« Services de géolocalisation

Pour fournir des services de géolocalisation sur les produits Apple, Apple et ses partenaires et licenciés [VERSION DU 9 mai 2019 : « tels que les fournisseurs de données de cartographique »] peuvent recueillir, utiliser et partager des données de localisation précises, notamment la localisation géographique en temps réel de votre ordinateur ou appareil Apple. Le cas échéant, les services de géolocalisation peuvent utiliser le GPS, le Bluetooth et votre adresse IP, ainsi que les emplacements des bornes Wi-Fi communautaires et des antennes relais, ou encore d’autres technologies afin de déterminer la localisation approximative de vos appareils. Sauf consentement de votre part, ces données de localisation sont collectées anonymement dans un format ne permettant pas de vous identifier. Elles sont utilisées par Apple et ses partenaires et licenciés pour fournir et améliorer les produits et services de géolocalisation. Par exemple, nous pouvons partager la localisation géographique avec des fournisseurs d’applications si vous acceptez leurs services de localisation.

Certains services de géolocalisation proposés par Apple, tels que la fonctionnalité « Localiser mon iPhone », ont besoin de vos données personnelles pour fonctionner. »

« Pour identifier et empêcher la fraude, les données d’utilisation de votre appareil, notamment le nombre approximatif d’appels passés et reçus ou d’emails envoyés et reçus, sont utilisées pour calculer un indice de confiance de l’appareil lors d’une tentative d’achat. »

« Prise de décision automatisée et profilage

Apple ne prend aucune décision impliquant l’utilisation d’algorithmes ou de profilage susceptibles de vous affecter de façon significative. » « Les sites web, les services en ligne, les applications interactives, les e-mails et les publicités d’Apple peuvent utiliser des « cookies » et d’autres technologies, telles que des « pixel tags » et des balises web.

Ces technologies nous permettent de mieux comprendre le comportement des utilisateurs, nous indiquent quelles parties de nos sites web sont les plus visitées, et facilitent et mesurent l’efficacité des publicités et recherches Internet. Nous traitons les données collectées par les cookies et autres technologies comme des données non personnelles. Toutefois, si les adresses IP (Internet Protocol) ou des identifiants similaires sont considérés comme des données personnelles par la loi locale, nous traitons également ces identifiants comme des données personnelles. De la même manière, si des données non personnelles sont associées à des données personnelles, nous traitons les informations ainsi associées comme des données personnelles aux fins du présent Engagement de confidentialité.

Les annonces diffusées par la plateforme publicitaire d’Apple peuvent apparaître dans Apple News et dans l’App Store. Si vous ne souhaitez pas recevoir des annonces ciblées en fonction de vos centres d’intérêt de la part de la plate-forme publicitaire d’Apple, vous pouvez choisir d’activer l’option Suivi publicitaire limité, ce qui permettra à votre identifiant Apple de ne pas recevoir des annonces de ce type, et ce quel que soit l’appareil que vous utilisez. Si vous activez l’option Suivi publicitaire limité sur votre appareil mobile, les apps tierces ne peuvent pas utiliser l’identifiant publicitaire (un identifiant d’appareil non personnel) pour diffuser des annonces ciblées. Vous pouvez toujours voir les annonces dans l’App Store ou Apple News, en fonction du contexte, tel qu’une demande de recherche ou la chaîne que vous lisez. Dans les apps tierces, vous pouvez voir des annonces basées sur d’autres informations.

Apple et ses partenaires utilisent également des cookies et d’autres technologies pour se souvenir de vos données personnelles lorsque vous utilisez un site web, des services en ligne et des applications. Dans ce cas, notre objectif est de rendre votre visite plus pratique et de la personnaliser. Par exemple, le fait de connaitre votre prénom nous permettra de vous souhaiter la bienvenue lors de votre prochaine visite sur l’Apple Store en ligne. Le fait de connaître votre pays et votre langue, et si vous êtes enseignant, le nom de votre école, nous permet de vous proposer une visite personnalisée plus efficace. Le fait de savoir qu’une personne utilisant votre ordinateur ou appareil a acheté un certain produit ou utilisé un service particulier nous aide à rendre nos communications publicitaires et électroniques plus pertinentes en fonction de vos centres d’intérêt. Enfin, le fait de connaître vos coordonnées et vos identifiants matériels, et d’avoir des informations à propos de votre ordinateur ou appareil, nous aide à personnaliser votre système d’exploitation, à configurer votre service iCloud et à vous fournir un meilleur service client.

Si vous utilisez le navigateur web Safari et que vous souhaitez désactiver les cookies, allez dans les préférences Safari, puis dans le volet Confidentialité où une option vous permettra de gérer vos préférences. Sur votre appareil mobile Apple, accédez à Réglages > Safari, faites défiler l’écran vers le bas pour atteindre la section Confidentialité et sécurité, puis appuyez sur « Bloquer les cookies » pour gérer vos préférences. Pour les autres navigateurs, veuillez consulter votre fournisseur pour savoir comment désactiver les cookies. Veuillez noter que certaines fonctionnalités du site web Apple ne seront plus disponibles une fois les cookies désactivés. À l’instar de nombreux sites web, nous collectons certaines informations automatiquement et nous les stockons dans des historiques [VERSION DU 9 mai 2019 : « fichiers journaux »]. Ces données [VERSION DU 9 mai 2019 : « informations »] comprennent les adresses IP (Internet Protocol), le type de navigateur et la langue, le fournisseur d’accès à Internet (FAI), les sites web et applications de renvoi et de sortie, le système d’exploitation, la date et l’heure [VERSION DU 9 mai 2019 : « la date/l’heure »], ainsi que [VERSION DU 9 mai 2019 : « et »] les données relatives à votre parcours sur le site.

Nous utilisons ces données pour connaître et analyser les tendances, administrer le site, suivre le comportement des utilisateurs sur le site, améliorer nos produits et services, et collecter des informations démographiques à propos de l’ensemble de nos utilisateurs. Apple peut utiliser ces informations pour ses services marketing et publicitaires.

Dans certains de nos e-mails, nous utilisons des « URL de destination » liées au contenu du site web Apple. Lorsque les clients cliquent sur l’une de ces URL, ils sont transférés vers un autre serveur web avant d’arriver sur la page de destination de notre site web. Nous suivons ces données de clic pour nous aider à déterminer [VERSION DU 9 mai 2019 : « pour déterminer »] l’intérêt porté à certains sujets et mesurer l’efficacité de nos communications clients. Si vous préférez ne pas être suivi de cette façon, vous ne devez pas cliquer sur les liens texte ou graphiques figurant dans les e-mails.

Les balises « pixel tags » nous permettent d’envoyer des e-mails dans un format que les clients peuvent lire et de savoir si les messages ont été ouverts. Nous pouvons utiliser ces informations pour réduire ou supprimer les messages adressés aux clients »

Dans le document « Apple Music et confidentialité » (version du 17 septembre 2018) :

« Lorsque vous créez un profil sur Apple Music, nous vous recommandons d’autres abonnés à Apple Music avec lesquels vous pourriez devenir ami. Apple ne collecte et ne stocke aucune information concernant vos contacts lors de la recherche d’amis à recommander.

Seuls des hachages abrégés et chiffrés des numéros de téléphone et adresses e-mail de vos contacts sont envoyés à Apple ; les abonnés à Apple Music correspondants à recommander sont ensuite recherchés localement sur votre appareil. »

« Il est possible que nous recueillions, utilisions, transférions ou divulguions des informations non personnelles, quel que soit le motif. Par exemple, nous sommes susceptibles d’agréger vos données non personnelles et celles d’autres utilisateurs d’Apple Music dans le but d’améliorer le service. »

« Nous sommes tenus de communiquer certaines informations non personnelles relatives à votre emploi d’Apple Music à des partenaires du service, tels que des maisons de disque, de sorte qu’ils puissent évaluer leurs performances, satisfaire aux normes comptables et régler les droits d’auteurs dus, de même qu’améliorer leurs produits et services. Nous communiquons également aux artistes des statistiques d’écoute et démographiques (comme l’âge et le sexe des utilisateurs) non personnelles agrégées pour leur permettre de mieux cerner leur public. »

« Si nous apprenons que nous avons collecté les données personnelles d’un enfant de moins de 13 ans, ou de l’âge minimum équivalent selon la juridiction, dans des circonstances autres que celles susmentionnées, nous prenons des mesures pour supprimer ces informations le plus rapidement possible » « Cet indice est stocké pendant une durée déterminée sur nos serveurs. »

« Les informations relatives à votre bibliothèque musicale iCloud vous sont associées pendant toute la durée de votre abonnement et pendant une courte période après sa résiliation. »

« Nous conservons les données concernant les morceaux que vous écoutez pendant les durées spécifiées par les lois en vigueur relatives aux états financiers. »

« Prenez garde lorsque vous choisissez de partager des informations en ligne ; certaines pourraient être rendues publiques. Les données partagées depuis Apple Music vers d’autres sites web ou réseaux sociaux sont régies par les engagements de confidentialité de ces services. »

« Nous pouvons également vérifier les informations que vous nous fournissez lorsque vous créez un identifiant Apple avec un tiers, dans un objectif [VERSION DU 9 mai 2019 : « à des fins »] de sécurité et de prévention de la fraude. »

DECLARER abusive et illicite la clause de cession globale des droits de propriété intellectuelle sur les contenus utilisateurs, contenue dans les Conditions d’Utilisation proposées par la société ADI, tant dans leur version V3 de septembre 2016 que dans leur version V4 de septembre 2018 (version en vigueur au jour des présentes).

En conséquence,

ORDONNER la suppression de l’ensemble des clauses visées, qu’elles figurent dans un contrat en cours ou non, proposé ou non, et ce sous astreinte de 300 euros par clause et par jour de retard, postérieurement à l’expiration d’un délai de 8 jours à compter de la signification du jugement à intervenir.

DECLARER l’ensemble des clauses précédemment citées comme non écrites dans tous les contrats conclus entre la société ADI et des consommateurs.

ORDONNER à la société ADI de réécrire la Politique de Confidentialité d’ADI dans un format clair et lisible permettant une information transparente des utilisateurs concernant les traitements de données à caractère personnel, au titre de la cessation des agissements illicites visée par l’article L. 621-2 du Code de la consommation, à peine d’astreinte de 10.000 euros par jour de retard une fois expiré un délai d’un mois à compter de la signification du jugement à intervenir.

ORDONNER, aux frais de la société ADI, la diffusion du communiqué judiciaire ci-après dans trois quotidiens nationaux au choix de l’UFC QUE CHOISIR, sans que le coût de chaque insertion puisse être inférieur à 10.000 euros, ainsi que dans un encart sur la page d’accueil du service Apple Music pendant une durée de 3 mois :

« COMMUNIQUE JUDICIAIRE :

Par décision en date du […], le Tribunal de Grande Instance de Paris, à la demande de l’Association UFC-QUE CHOISIR, a condamné la société ADI en raison de clauses illicites et/ou abusives contenues dans les conditions contractuelles qu’elle propose aux consommateurs.

Le Tribunal a ordonné en conséquence la suppression de ces clauses sous astreinte, et a déclaré celles-ci inopposables aux consommateurs. Vous pouvez prendre connaissance de l’intégralité de cette décision sur la page d’accueil du site internet exploité par la société ADI : http://www.apple.com/fr/music/

Ce communiqué judiciaire est diffusé pour informer les consommateurs ».

ORDONNER, aux frais de la société ADI, la publication de la décision au moyen d’un lien activable figurant sur la page d’accueil du site internet exploité par la société ADI www.apple.com/fr/music/ dans un délai d’un mois à compter de la signification du jugement à intervenir, la décision devant être ainsi accessible pendant un délai de six mois.

ORDONNER la mise en place de ce lien sur la page d’accueil de ce site, précédé du titre en rouge « COMMUNIQUE JUDICIAIRE » sous le contrôle d’un huissier qu’il plaira au Tribunal de céans de désigner, à peine d’astreinte de 10.000 euros par jour de retard une fois expiré le délai d’un mois à compter de la signification du jugement à intervenir.

CONDAMNER la société ADI à payer à l’association UFC-QUE CHOISIR la somme de 200.000 euros en réparation du préjudice causé à l’intérêt collectif des consommateurs. CONDAMNER la société ADI à payer à l’association UFC-QUE

CHOISIR la somme de 50.000 euros en réparation de son préjudice associatif.

CONDAMNER la société ADI à payer à l’association UFC-QUE CHOISIR la somme de 50.000 euros sur le fondement de l’article 700 du Code de procédure civile. DEBOUTER la société ADI de l’ensemble de ses demandes, fins et conclusions.

ORDONNER l’exécution provisoire du jugement à intervenir.

CONDAMNER la société ADI aux dépens dont distraction au profit de Maître Ronan Hardouin en application de l’article 699 du Code de procédure civile.

[*]

En défense, par dernières conclusions notifiées par la voie électronique par RPVA le 23 septembre 2019, la société de droit irlandais APPLE DISTRIBUTION INTERNATIONAL (ADI) a demandé de :

À titre principal, sur la recevabilité :

DÉCLARER l’UFC – Que Choisir irrecevable en ses demandes additionnelles principales ou subsidiaires fondées sur la réglementation relative à la protection des données personnelles et visant la « Politique de Confidentialité » telle que déterminée par l’UFC, faute de lien suffisant avec les demandes d’origine ;

DÉCLARER l’UFC – Que Choisir irrecevable à agir en ses demandes visant l’Engagement de Confidentialité dans ses versions V1 ou V2, ainsi qu’en sa demande visant une « fragmentation » de l’information relative à la protection des données personnelles, faute de lien avec l’objet du litige ;

DÉCLARER l’UFC – Que Choisir irrecevable en ses demandes relatives aux clauses issues des Conditions Générales d’ADI de juin 2015 (V1), de mars 2016 (V2), septembre 2016 (V3) et septembre 2018 (V4) telles que visées par l’UFC – Que Choisir dans les motifs de ses conclusions, puisque le contrat sur lequel sont fondées les prétentions de l’UFC n’est plus ni proposé, ni destiné aux consommateurs et n’est plus en cours d’exécution ;

DÉCLARER l’UFC – Que Choisir irrecevable, sur le fondement des articles L. 621-7 et L. 621-8 du Code de la consommation, en ses demandes relatives aux clauses « DIVERS » (clause d’indivisibilité) des Conditions Générales d’ADI (V1, V2, V3,V4 et V5) ; à la clause de licence des Conditions Générales d’ADI (V1, V2, V3 et V4) incriminée au titre des dispositions du Code de la propriété intellectuelle (conclusions n°3 d’UFC, p. 69 à 74) ; aux clauses incriminées au titre de la règlementation applicable sur la protection des données personnelles dans tous les documents visés par l’UFC (conclusions UFC n°3, p.30 à 69), puisque ces demandes ne sont pas fondées sur un agissement illicite contrevenant aux dispositions transposant les directives mentionnées à l’article 1er de la Directive 2009/22/CE tel qu’exigé par l’article L. 621-7 du Code de la consommation ;

DÉCLARER l’UFC – Que Choisir irrecevable, sur le fondement des articles L. 621-1 et L. 6212 du Code de la consommation, en ses demandes relatives (i) aux clauses des Conditions Générales d’ADI (V1, V2, V3,V4 et V5) telles que visées par l’UFC – Que Choisir dans ses conclusions, notamment la clause de licence des Conditions Générales d’ADI (V1, V2, V3 et V4) et (ii) aux clauses et documents d’ADI visés aux points 1 à 15 du B) de la Partie III des dernières conclusions de l’UFC (p. 37 à 68) dès lors que ces demandes ne se peuvent être liées à aucune infraction pénale ouvrant droit à l’exercice de l’action civile ;

DÉCLARER l’UFC – Que Choisir irrecevable en ses demandes relatives à la clause de licence des Conditions Générales d’ADI (V1, V2, V3 et V4) au titre des dispositions du Code de la propriété intellectuelle ; aux clauses incriminées sous les points 1 à 15 du B) de la Partie III des conclusions de l’UFC (p. 37 à 68) au titre de la réglementation applicable relative à la protection des données personnelles, dans la mesure où l’UFC ne dispose d’aucun intérêt à agir en défense de l’intérêt collectif des auteurs ou de l’intérêt collectif des personnes concernées au sens de la règlementation relative aux données personnelles ;

DÉCLARER l’UFC – Que Choisir irrecevable en ses demandes relatives aux clauses des Conditions Générales d’ADI (V1, V2, V3, V4 et V5) ; aux documents concernant la protection des données personnelles regroupés sous les points 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14 et 15 du B de la Partie III des conclusions de l’UFC (p. 37 à 68), en ce que ces demandes sont fondées sur une règle d’interprétation prévue par l’article L. 211.1 du Code de la consommation qui est insusceptible de caractériser un agissement illicite et encore moins une infraction pénale ;

À titre subsidiaire, sur le fond :

Sur les clauses des Conditions Générales d’ADI de mai 2019 (V5) :

Juger infondée la demande de l’UFC visant à faire déclarer abusives et illicites l’ensemble des clauses figurant dans des contractuels non fournis sur support durable ;

Juger que les clauses ci-après des Conditions Générales d’ADI de mai 2019 (V5) sont licites et ne sont pas abusives :

- La clause « EXCLUSIONS DE GARANTIE ; LIMITATIONS DE RESPONSABILITE » ;

- La clause « DIVERS » (« Autres stipulations ») (clause d’exonération de responsabilité) ;

- La clause « VOS ENVOIS SUR NOS SERVICES » ;

- La clause « RESILIATION ET SUSPENSION DES SERVICES » ;

- La clause « MODIFICATIONS DU CONTRAT » ;

Sur les clauses des Conditions Générales d’ADI de juin 2015 (V1), de mars 2016 (V2), de septembre 2016 (V3) et de septembre 2018 (V4), juger que les clauses des Conditions Générales d’ADI V1, V2, V3 et V4 telles que visées par l’UFC - Que Choisir dans les motifs de ses conclusions sont licites et ne sont pas abusives ;

Sur les clauses des Conditions Générales de mai 2019 (V5), juger que l’ensemble des clauses des Conditions Générales d’ADI (V5) visées par l’UFC, et plus particulièrement la clause « DIVERS » (« Autres stipulations ») (clause d’exonération de responsabilité et clause d’indivisibilité) et la clause de cession globale des droits de propriété intellectuelle sur les contenus utilisateurs sont licites et ne sont pas abusives ;

Sur les documents et clauses incriminés au titre de la réglementation applicable sur la protection des données personnelles dans tous les documents visés par l’UFC (Conditions Générales d’ADI, « Engagement de Confidentialité », « Apple Music et confidentialité », « A propos du lecteur Web Apple Music et Confidentialité ») :

Juger que les documents et clauses incriminés par l’UFC au titre de la réglementation applicable sur la protection des données personnelles regroupées sous les points 1 à 15 dans la Partie III, B de ses conclusions pour tous les documents visés par l’UFC (Conditions Générales d’ADI, « Engagement de Confidentialité », « Apple Music et confidentialité », « A propos du lecteur Web Apple Music et Confidentialité ») sont licites par rapport aux exigences d’information prévues par la règlementation applicable relative à la protection des données personnelles ;

Juger que les documents et clauses incriminés par l’UFC au titre de la réglementation applicable sur la protection des données personnelles regroupées sous les points 1 à 15 dans la Partie III, B de ses conclusions pour tous les documents visés par l’UFC (Conditions Générales d’ADI, « Engagement de Confidentialité », « Apple Music et confidentialité », « A propos du lecteur Web Apple Music et Confidentialité ») sont licites, ne sont pas abusives et ne sont pas trompeurs ;

En conséquence,

DÉCLARER l’UFC infondée en la totalité de ses demandes visant les Conditions Générales d’ADI V1, V2, V3, V4 et V5 ;

DÉCLARER l’UFC infondée en la totalité de ses demandes au titre de la réglementation applicable sur la protection des données personnelles regroupées sous les points 1 à 15 dans la Partie III, B de ses conclusions pour tous les documents visés par l’UFC (Conditions Générales d’ADI, « Engagement de Confidentialité », « Apple Music et confidentialité », « A propos du lecteur Web Apple Music et Confidentialité ») ;

DÉBOUTER l’UFC de l’ensemble de ses demandes, fins et conclusions ;

À titre également subsidiaire, au fond :

DÉCLARER l’UFC irrecevable et en tout état de cause infondée en ses demandes de suppression et d’inopposabilité des clauses telles que visées dans son dispositif ;

DÉCLARER l’UFC irrecevable et en tout état de cause infondée en ses demandes de réécriture des clauses dans un format clair et lisible permettant une information transparente des utilisateurs concernant les traitements de données à caractère personnel ;

DÉCLARER l’UFC irrecevable en ses demandes de réparation du préjudice porté à l’intérêt collectif des consommateurs ;

JUGER que la demande de l’UFC en réparation du préjudice porté à l’intérêt collectif des consommateurs est en tout état de cause infondée ;

JUGER que la demande de l’UFC en réparation du préjudice associatif est infondée ;

JUGER que les demandes de publication de l’UFC sont infondées ;

JUGER que la demande d’exécution provisoire de l’UFC est infondée ;

JUGER que les demandes d’astreinte de l’UFC ne sont pas fondées ;

DÉBOUTER l’UFC de l’ensemble de ses demandes, fins et conclusions ;

En tout état de cause :

REJETER la demande de l‘UFC au titre de l’article 700 du code de procédure civile ;

Condamner l’UFC au paiement à ADI de la somme de 50.000 euros sur le fondement de l’article 700 du code de procédure civile, ainsi qu’aux entiers dépens.

Conformément aux dispositions de l’article 455 du code de procédure civile, les moyens développés par chacune des parties à l’appui de leurs prétentions respectives sont directement énoncés dans la partie

DISCUSSION de la présente décision.

Après clôture des débats par ordonnance du 22 octobre 2019 du Juge de la mise en état et évocation de cette affaire lors de l’audience civile collégiale du 3 décembre 2019, au cours de laquelle chacun des conseils des parties a réitéré et développé ses précédentes écritures, la décision a été mise en délibéré au 3 mars 2020, prorogée au 28 avril 2020 puis prorogée au 9 juin 2020, en tenant compte du plan de continuité d’activité du tribunal judiciaire de Paris du 16 mars 2020, adopté en application de la loi n° 2020-290 du 23 mars 2020 d’urgence sanitaire pour faire face à l’épidémie de covid-19.

 

DISCUSSION :

I. SUR LES FINS DE NON RECEVOIR :

Une fin de non-recevoir au sens de l’article 122 du code de procédure civile est un moyen qui vise à faire déclarer irrecevable la demande de l’adversaire, sans examen au fond, pour défaut de droit d’agir, comme le défaut de qualité, le défaut d’intérêt, la prescription, le délai préfix, la chose jugée.

Les moyens développés par la société ADI tendent à démontrer l’irrecevabilité des demandes de l’association UFC-QUE CHOISIR : en l’occurrence, des demandes additionnelles visant la « Politique de Confidentialité » - faute de lien suffisant avec la demande initiale -, des demandes de l’association visant des versions des Conditions Générales qui ne sont plus proposées, ni destinées aux consommateurs ni appliquées à un contrat en cours d’exécution, des demandes prétendument non-conformes au domaine procédural défini par les articles L. 621-7 et L. 621-8 du code de la consommation au regard de la notion d’agissement illicite et des demandes fondées sur l’article L. 211-1 du code de la consommation. La société ADI invoque également l’absence d’intérêt à agir de l’association demanderesse en défense de l’intérêt collectif des consommateurs en leur qualité de « personnes concernées » et d’« auteur ».

 

A. Sur les irrecevabilités :

1. Sur l’irrecevabilité des demandes additionnelles visant la « Politique de Confidentialité :

La société ADI sollicite du Tribunal que soient déclarées irrecevables, faute de lien suffisant avec les demandes initiales, les demandes additionnelles formées en cours d’instance, notamment celles qui visent des documents autres que les Conditions Générales. Elle fait valoir que l’UFC a formé 16 nouveaux griefs qui ne figuraient pas dans son assignation, au visa du Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ; que les conclusions de l’association n’intègrent plus que 28 pages relatives aux Conditions Générales pour 38 pages incriminant des clauses relatives à l’information de l’utilisateur dans le cadre de la législation sur la protection des données personnelles. Elle ajoute que demandes de l’UFC ne visent plus exclusivement des documents en lien avec le service Apple Music, d’autres mais en lien avec des services proposés par la défenderesse.

L’association UFC-QUE CHOISIR réplique que ses demandes les plus récentes ne sont pas « déconnectées » des demandes initiales, puisqu’elles présentent un lien suffisant, au sens de l’article 70 du code de procédure civile, avec les demandes originaires. Elle précise qu’elle a modifié les fondements de ses demandes initiales en raison de l’évolution de la législation applicable à la protection des données à caractère personnel. Elle fait valoir qu’en raison de la transversalité des documents relatifs au service Apple Music, elle a élargi le nombre de documents initiaux concernant les clauses soumises à la critique à d’autres documents se référant à d’autres services de la défenderesse, les premiers documents renvoyant aux seconds notamment par lien hypertexte.

[*]

Aux termes des articles 65 et 70 du code de procédure civile une demande additionnelle est une demande par laquelle une partie modifie ses prétentions antérieures ou complète celle-ci par d’autres demandes.

Elle n’est recevable en tant que demande distincte que si elle se rattache aux prétentions originaires par un lien suffisant.

Ainsi, la demande additionnelle est celle qui modifie les prétentions antérieures ou ajoute à celles-ci sous réserve d’un lien suffisant de connexité. Elle se caractérise par un objet différent de celui des prétentions antérieures, non compris dans ces dernières. A l’inverse, le simple aménagement d’une demande antérieure ne constitue pas une demande additionnelle au sens des articles précités, dès lors que l’objet est le même, peu important que soient avancé un nouveau fondement pour soutenir la prétention initiale et que soient développés de nouveaux moyens de fait ou de droit ou que soient invoqués de nouveaux éléments de preuve.

Il ressort du débat et des conclusions de la société ADI (p. 14/202) que l’action de l’association comportait dès l’origine une demande de suppression et de déclaration de clauses réputées non écrites contenues dans les « Conditions Générales » et dans l’« Engagement de confidentialité », portant sur l’utilisation des données à caractère personnel de l’utilisateur du service de streaming mis en place par la société iTunes (devenue la société ADI) en raison de leur caractère prétendument abusif et/ou illicite.

Ces prétentions tendent aux mêmes fins que celles soumises dans la demande initiale. Elles ne constituent donc pas des prétentions nouvelles au sens de l’article 65 du code de procédure civile, même si leur fondement juridique est différent. Dès lors qu’elles restent dans le cadre d’une évolution raisonnable de l’instance, les parties ont toujours la possibilité au cours de l’instance de produire de nouvelles pièces ou de proposer de nouvelles preuves.

En conséquence la demande d’irrecevabilité formée par la société ADI concernant les demandes additionnelles de l’UFC sera rejetée.

 

2. Sur l’irrecevabilité des demandes visant des versions des Conditions Générales qui ne sont plus proposées, ni destinées aux consommateurs ni appliquées à un contrat en cours d’exécution :

La société ADI subdivise dans ses conclusions les motifs allégués d’irrecevabilité des demandes de l’association UFC-QUE CHOISIR : irrecevabilité des demandes dues à l’augmentation du nombre des versions des Conditions Générales, irrecevabilité des demandes tenant à la modification des fondements juridiques au regard de la loi applicable aux demandes de l’association, irrecevabilité des demandes de l’UFC visant les versions V1 (juin 2015), V2 (mars 2016), V3 (septembre 2016) et V4 (septembre 2018) des Conditions Générales. L’ensemble des moyens développés par la société ADI vise à contester la recevabilité des demandes relatives aux versions des Conditions Générales qui ne sont plus proposées, ni destinées aux consommateurs ni appliquées à un contrat en cours d’exécution.

Ainsi, la société ADI affirme que les dispositions des articles L. 621-7 et L. 621-8 du code de la consommation ne peuvent trouver application aux contrats ou aux dispositions contractuelles qui ne sont plus proposées ou destinés aux consommateurs ou qui ne sont plus en cours d’exécution.

A l’appui de ses affirmations, elle fait valoir que la notion de « contrat en cours ou non » qui figurait dans les anciens articles L. 421-2 et L. 421-6 du code de la consommation a été remplacée au sein des articles L. 621-2, L. 621-7 et L. 621-8 par la notion de « contrat en cours d’exécution » par l’ordonnance n° 2016-301 du 14 mars 2016, portant recodification du code de la consommation et entrée en vigueur le 1^er juillet 2016.

Elle ajoute que l’article L. 621-8 du code de la consommation prévoit dans ses alinéa 1 et 2 deux étapes distinctes mais liées : celle qui consiste en la demande de suppression des clauses visées par le juge saisi (al. 1) et celle qui permet ensuite à l’association de demander au juge saisi de déclarer que les clauses supprimées soient réputées non écrites dans « les contrats identiques conclus par le même professionnel avec des consommateurs » (al. 2).

Elle soutient que la demande l’association L’UFC-QUE CHOISIR en suppression des clauses abusives est dépourvue d’objet, lorsque les clauses ou le contrat contesté ne sont plus proposés au consommateur à la date où le juge statue.

Elle précise que, dans la mesure où il existe un acte positif d’acceptation par l’utilisateur de chaque nouvelle version des Conditions Générales, chaque utilisateur du service Apple Music est actuellement soumis aux Conditions Générales (V5) et qu’il n’existe pas d’utilisateur qui soit soumis aux versions antérieures des Conditions Générales.

Elle en conclue que les versions V1, V2, V3 et V4 des Conditions Générales ne peuvent faire l’objet d’une demande de suppression, ces versions n’étant plus proposées ou destinés aux consommateurs.

L’association L’UFC-QUE CHOISIR fait valoir que l’action engagée par l’UFC-QUE CHOISIR était, au jour de l’introduction de l’instance, fondée sur la présence au sein des documents contractuels de la société ADI de clauses abusives effectivement proposées aux consommateurs à cette date.

Elle excipe de la directive 93/13 CEE du 5 avril 1993, des arrêts de la CJUE notamment de la jurisprudence « Invitel » (CJUE 26 avril 2012, aff. C-472/10) et de l’arrêt de la première chambre civile de la cour de cassation du 26 avril 2017 n° 15-18.970 (Air France) permettant de déclarer abusives des clauses stipulées dans un contrat alors même qu’elles n’étaient plus proposées aux consommateurs.

Elle ajoute que l’objectif préventif et curatif de l’action en suppression des clauses illicites ou abusives vise à prémunir la collectivité des consommateurs contre l’utilisation par le professionnel de l’ensemble de ces clauses, y compris celles qui sont supprimées en cours d’instance. Elle en déduit que les prétentions des associations concernant des clauses y compris celles relatives à des clauses qui ne seraient plus applicables sont recevables, dès lors que la suppression est postérieure à l’assignation.

Elle souligne que le code de la consommation a fait l’objet d’importantes modifications rédactionnelles à l’occasion de l’adoption de la loi du 17 mars 2014 (dite « loi HAMON ») – à l’occasion de laquelle l’article L. 421-6 (ancien) du code de la consommation a admis que les associations peuvent demander que soient réputées non écrites, y compris les clauses figurant dans des contrats qui ne sont plus proposés aux consommateurs – et la loi 6 août 2015 (dite « Loi Macron »).

Elle prétend que ces textes ont rappelé que les actions désormais prévues aux articles L. 621-2, L. 621-7 et L. 621-8 (nouveaux) du code de la consommation devaient s’appliquer à l’ensemble des versions des contrats qui ont pu être proposés par les professionnels. Elle en conclue que l’association UFC-QUE CHOISIR est recevable dans l’intégralité de ses demandes, y compris celles relatives à des clauses qui ne seraient plus applicables alors même que les modifications ou suppressions de clauses sont postérieures à la date de délivrance de l’assignation et soutient que l’examen par le juge les clauses des versions V1, V2 et V3 est nécessaire malgré leur remplacement par la V4.

Dans le présent débat sont en cause les contrats proposés par la société ADI dans les versions des mois de juin 2015 (V1), mars 2016 (V2), septembre 2016 (V3) et septembre 2018 (V4).

La société ADI et l’association UFC-QUE CHOISIR observent à juste titre qu’une succession de modifications rédactionnelles ont affecté - en l’espace de trois ans - la rédaction de l’article L. 421-6 (ancien), devenu l’article L. 621-8 du code de la consommation par l’ordonnance du 14 mars 2016 portant recodification du code de la consommation, entrée en vigueur le 1^er juillet 2016.

En effet, la loi du 17 mars 2014 (dite « loi Hamon ») a modifié le texte de l’article L. 421-6 en insérant en son sein un troisième alinéa, offrant ainsi aux associations agissant dans le cadre d’une action en cessation de l’illicite, la possibilité de solliciter du juge saisi que soit déclarée « réputée non écrite » la clause incriminée dans « tous les contrats identiques conclus par le même professionnel avec des consommateurs », « y compris dans les contrats qui ne sont plus proposés ». L’introduction de la sanction du « réputé non écrit » est la traduction de la volonté du législateur français à se conformer à la volonté du législateur européen. Au sens de l’article 6.1 de la directive n° 93/13/CEE du 5 avril 1993 – laquelle appréhendait l’ensemble des contrats déjà conclus avec des consommateurs – la clause illicite ou abusive visée par la critique ne lie pas le consommateur (« les États membres prévoient que les clauses abusives (…) ne lient pas les consommateurs, dans les conditions fixées par leurs droits nationaux, et que le contrat restera contraignant pour les parties selon les mêmes termes, s’il peut subsister sans les clauses abusives »).

La loi du 6 août 2015 (dite « loi Macron ») a pris en compte, mais uniquement dans l’action en suppression de clauses illicite ou abusive, les contrats en cours mais aussi ceux qui ne l’étaient pas ou ne l’étaient plus, en modifiant la rédaction du deuxième alinéa de l’article L. 421-6 dans un sens où elle permettait au juge d’ordonner la suppression d’une clause « dans tout contrat ou tout type de contrat en cours ou non, proposé ou destiné au consommateur », la même loi supprimant dans le 3ème alinéa, s’agissant de la sanction du « réputé non écrit », l’expression « y compris dans les contrats qui ne sont plus proposés », qui avait été introduite par la loi du 17 mars 2014.

L’ordonnance du 14 mars 2016 portant recodification à droit constant du code de la consommation, entrée en vigueur le 1er juillet 2016, a, sans modification de fond, créé un nouvel article L. 621-8, remplaçant le deuxième et le troisième alinéa de l’ancien article L. 421-6 du code de la consommation. Ce faisant, le remplacement de cet article par L. 621-8 s’est accompagné - s’agissant uniquement de l’action en suppression des clauses illicites ou abusives (L. 621-8 al.1) - d’une modification de la formulation du texte, qui a substitué à l’expression « en cours ou non », l’expression « dans tout contrat en cours d’exécution ». La rédaction du deuxième alinéa du même article - concernant la sanction du « réputé non-écrit » (nouvel article L. 621-8 al.2) - est demeurée inchangée par rapport à celle qui figurait au deuxième alinéa de L. 421-6 (ancien) du code de la consommation.

Ainsi, l’actuel article L. 621-7 du code de la consommation autorise les associations agréées d’agir devant la juridiction civile pour faire cesser ou interdire tout agissement illicite au regard des dispositions transposant les directives mentionnées à l’article 1^er de la directive 2009/22/CE du Parlement européen et du Conseil du 23 avril 2009 (modifiée), relative aux actions en cessation en matière de protection des intérêts des consommateurs, l’article L. 621-8 du même code ouvrant aux associations de consommateurs la possibilité de solliciter du juge saisi d’ordonner, le cas échéant sous astreinte, la « suppression » d’une clause illicite ou abusive « dans tout contrat ou type de contrat proposé ou destiné au consommateur » (c’est-à-dire des contrats qui n’ont pas fait encore l’objet d’une souscription par un consommateur) ou « dans tout contrat en cours d’exécution » (cf. L. 621-8 al.1) et de la même manière (« également ») que soit déclarée « réputée non écrite » cette clause « dans tous les contrats identiques » conclus par le même professionnel avec des consommateurs (article L. 621-8 al. 2).

De sorte que les associations de consommateurs peuvent désormais solliciter du juge saisi dans le cadre de l’action en cessation de l’illicite, en présence de clauses illicites ou abusives, l’application à ces clauses de deux sanctions : la sanction de « suppression matérielle » d’une clause jugée illicite ou abusive qui contraint le professionnel à procéder à son retrait dans tout contrat en cours d’exécution (article L. 621-8 al. 1) et la sanction du « réputé non écrit » de la clause dans tous les contrats identiques conclus par le même professionnel avec des consommateurs (article L. 621-8 al. 2).

En l’espèce, la société ADI n’établit pas avoir substitué chaque nouvelle version des conditions générales d’abonnement au service de streaming à la précédente version. Elle ne prouve donc pas que les versions antérieures ne sont plus applicables aux utilisateurs du service ni que la société les ait informés des modifications affectant les Conditions Générales de leur abonnement. Il en résulte que les contrats souscrits, qui ne sont désormais plus proposés aux consommateurs souscripteurs d’un abonnement auprès de la société ADI, peuvent encore à ce jour être en cours d’exécution, les utilisateurs restant de ce fait soumis aux conditions générales d’utilisation en vigueur à la date de la conclusion de son contrat.

En conséquence, contrairement à ce que la société ADI prétend l’action de l’association UFC-QUE CHOISIR n’est pas sans objet quant aux clauses contenues dans des contrats qui ne sont plus proposés. Le Tribunal examinera donc l’ensemble des versions des contrats les conditions générales des contrats d’abonnement proposés par la société ADI datées des mois de juin 2015 (V1), mars 2016 (V2), septembre 2016 (V3) et septembre 2018 (V4), même si ces contrats ne sont plus proposés et ce, bien qu’ils soient antérieurs aux lois du 06 août 2015 et à l’ordonnance du 14 mars 2016, ces textes n’ayant qu’un caractère interprétatif et non créateur de nouveaux droits ou nouvelles obligations.

La demande d’irrecevabilité formée par la société ADI portant sur les demandes de l’UFC concernant les versions des Conditions Générales qui ne sont plus proposés sera rejetée.

 

3. Sur l’irrecevabilité des demandes de l’association prétendument non conformes au cadre procédural de l’action en cessation d’agissements illicites défini par les articles L. 621-7 et L. 621-8 du code de la consommation :

La société ADI prétend que les demandes de l’UFC-QUE CHOISIR portant sur la clause 3 dite « clause de licence » dans les versions des Conditions Générales V1, V2, V3, V4 ou V5, ainsi que les clauses visant les documents relatifs à la protection des données personnelles, ne sont pas recevables sur le fondement des articles L. 621-7 et L. 621- 8 du code de la consommation, car elles ne constituent pas des agissements illicites contrevenant aux dispositions transposées des directives mentionnées à l’article 1er de la directive 2009/22.

L’article L. 621-7 du code de la consommation dispose que « les associations mentionnées à l’article L. 621-1 et les organismes justifiant de leur inscription sur la liste publiée au Journal officiel de l’Union européenne en application de l’article 4 de la directive 2009/22/ CE du Parlement européen et du Conseil du 23 avril 2009 modifiée relative aux actions en cessation en matière de protection des intérêts des consommateurs, peuvent agir devant la juridiction civile pour faire cesser ou interdire tout agissement illicite au regard des dispositions transposant les directives mentionnées à l’article 1er de la directive précitée. »

L’agissement illicite est au sens de l’article précité, l’agissement du professionnel qui contrevient au droit européen de la consommation, c’est-à-dire aux textes transposés en droit interne de l’une des directives européennes visées par l’article 1^er de la directive 2009/22/CE du 23 avril 2009 (modifiée) relative aux actions en cessation en matière de protection des consommateurs. Dans la liste des directives européennes visées par l’article 1er de la directive de 2009 figurent des directives dont les textes transposés en droit interne trouvent application en l’espèce, soit en raison des demandes de l’association UFC QUE-CHOISIR relatives à la suppression et à la réputation non écrite de clauses illicites ou abusives, soit en raison de la nature du service fourni par la société ADI.

Ainsi, constituent des « agissements illicites » au sens de l’article L. 621-7 de la consommation, les infractions commises par le professionnel aux règles issues de la directive 93/13/CEE du Conseil du 5 avril 1993 (portant sur les clauses abusives dans les contrats conclus avec les consommateurs) et transposées en droit interne.

Constituent également des « agissements illicites » les manquements du professionnel aux dispositions transposées en droit interne, issus de la directive 97/7/CE du Parlement et du conseil du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance, abrogée et remplacée par la directive 2011/83/UE du 25 octobre 2011 relative aux droits des consommateurs, modifiant la directive 93/13/CEE du Conseil et la directive 1999/44/CE du Parlement européen et du Conseil et abrogeant la directive 85/577/CEE du Conseil et la directive 97/7/CE du Parlement européen et du Conseil, soit les articles L. 221-1 à L. 221-7 du code de la consommation, le service de streaming musical fourni par la société ADI aux consommateurs utilisateurs français s’analysant en un contrat conclu à distance.

De la même manière, le service mis en place par la société ADI s’analysant comme un contrat de fourniture en ligne de services numériques de streaming musical exploité par un opérateur via une plate-forme en ligne, constituent des agissements illicites au sens de l’article L. 621-8 du code de la consommation, les atteintes portées par le professionnel aux textes issus de la transposition en droit interne de la « Directive sur le commerce électronique » 2000/31/CE du Parlement et du Conseil du 8 juin 2000, relative à certains aspects juridiques des services de la société de l’information et notamment du commerce électronique dans le marché intérieur (la loi n° 2004-575 du 21 juin 2004 dite « loi pour la confiance dans l’économie numérique (LCEN) » ; de l’ordonnance du 16 juin 2005 relative à l’accomplissement des formalités contractuelles par voie électronique modifiant le chapitre VII du Titre II du livre III du code civil, c’est-à-dire les articles 1325 à 1375, 1369-1 à 1369-11, devenus les articles 1125 à 1177 (nouveaux) du code civil ; de la loi n° 2016-1321 du 07 octobre 2016 dite « La loi pour une république numérique », portant notamment sur la loyauté des plateformes et l’information des consommateurs, la protection de la vie privée en ligne et la protection des données à caractère personnel, en modifiant à cette occasion la loi n° 78-17 du 06 janvier 1978 dite Loi Informatique et Libertés.

C’est ainsi que pèsent sur les opérateurs de plateformes en ligne en leur qualité de responsables de traitement de données à caractère personnel des obligations issues des textes précités mais également des dispositions du RGPD (règlement général de protection des données personnelles) du 27 avril 2016, transposées en droit interne par l’ordonnance du 12 décembre 2018, laquelle a modifié la loi n° 78-17 du 06 janvier 1978 dite « Loi Informatique et Libertés ». Ces obligations imposent au responsable du traitement une exigence de loyauté et de transparence en matière de collecte et de traitement des données à caractère personnel des personnes/utilisatrices des plateformes, en les contraignant avant la collecte de leurs données à caractère personnel le recueil du consentement éclairé des personnes/utilisatrices de la plateforme.

De même, il est fait obligation aux plateformes en ligne de se conformer aux règles protégeant les droits de propriété intellectuelle, et plus spécialement les droits d’auteur, les contenus et données des partenaires et d’utilisateurs risquant d’être affectés à l’occasion de l’exploitation de l’activité des plateformes numériques.

La demande d’irrecevabilité formée par la société ADI, portant sur la non-conformité au cadre procédural de l’action en cessation d’agissements illicites défini par les articles L. 621-7 et L. 621-8 du code de la consommation, sera donc rejetée.

 

4. Sur l’irrecevabilité de la demande de l’association fondée sur l’article L. 211-1 du code de la consommation :

La société ADI avance que L’UFC QUE-CHOISIR n’a pas d’intérêt à agir sur le fondement de l’article L. 211-1 du code de la consommation, qui constitue, selon elle, une simple règle d’interprétation des contrats insusceptible de caractériser un agissement illicite au sens de l’article 1er de la directive 2009/22/CE précitée.

L’association UFC-QUE CHOISIR répond que le premier alinéa de l’article L. 211-1 du code de la consommation impose aux professionnels de proposer aux consommateurs des clauses « présentées et rédigées de façon claire et compréhensible » et précise qu’une clause qui ne serait pas présentée de façon claire et précise doit être considérée comme une clause illicite. Elle fait valoir que la règle d’interprétation intervient à l’alinéa 2 selon lequel les clauses « s’interprètent en cas de doute dans le sens le plus favorable au consommateur ».

L’article L. 211-1 du code de la consommation dispose que « les clauses des contrats proposés par les professionnels aux consommateurs doivent être présentées et rédigées de façon claire et compréhensible.

Elles s’interprètent en cas de doute dans le sens le plus favorable au consommateur. Les dispositions du présent alinéa ne sont toutefois pas applicables aux procédures engagées sur le fondement de l’article L. 621-8.

Un décret en Conseil d’État précise, en vue d’assurer l’information du consommateur, les modalités de présentation des contrats mentionnés au premier alinéa. »

L’obligation de clarté et de compréhensibilité est une obligation transverse qui imprègne l’ensemble du droit de la consommation. Elle est notamment contenue dans l’article L. 211-1 du code de la consommation, qui résulte d’une exigence issue du 20ème considérant de la directive 93/13/CE du 5 avril 1993 (précitée) relative aux clauses abusives, lequel indique que « les contrats doivent être rédigées en termes clairs et compréhensibles ; (…) le consommateur doit avoir effectivement l’occasion de prendre connaissance de toutes les clauses et (…) en cas de doute, doit prévaloir l’interprétation la plus favorable au consommateur » et de l’article 5 de la même directive. Cet article formule la même exigence de clarté et de compréhensibilité dans la rédaction des clauses des contrat à destination de consommateurs en ces termes : « dans le cas ou des contrats dont toute ou certaines clauses proposées au consommateur sont rédigées par écrit, ces clauses doivent toujours être rédigées de façon claire et compréhensible. En cas de doute sur le sens d’une clause, l’interprétation la plus favorable prévaut. ».

C’est précisément l’article 5 de la directive précitée qui a été transposé par la loi 95-96 du 1^er février 1995 dans l’ancien article L. 133-2, devenu l’article L. 211-1 du code de la consommation, figurant dans le chapitre consacré à la présentation des contrats.

D’où il suit que – contrairement à ce que la société ADI prétend – l’exigence de clarté et de compréhensibilité contenue dans l’article L. 211-1 est un impératif qui participe du dispositif de droit européen de la consommation en matière de lutte contre les clauses abusives, tant il est vrai que le consommateur ne peut consentir à une clause dont il n’a pu prendre connaissance, parce qu’elle est matériellement illisible et/ou parce que sa rédaction inintelligible rend difficile l’accès effectif au contenu du contrat.

D’où il suit que la demande d’irrecevabilité formée par la société ADI, fondée sur l’article L. 211-1 du code de la consommation, sera rejetée.

 

B. Sur le défaut d’intérêt à agir de l’association en défense de l’intérêt collectif des consommateurs en leur qualité de « personnes concernées » et d’« auteur » :

La société ADI affirme que l’UFC- QUE CHOISIR ne dispose pas d’un droit d’agir en relation avec tout type d’agissement qu’elle considère comme illicite et qui contreviendrait à n’importe quelle règle du droit français, quand bien même des consommateurs seraient concernés. Elle soutient que dans la mesure où l’association agit dans l’intérêt collectif des consommateurs, l’association UFC- QUE CHOISIR n’a pas d’intérêt à agir au visa de la réglementation de protection des données personnelles protégeant les personnes concernées ni au visa de dispositions du code de la propriété intellectuelle protégeant les auteurs.

Elle affirme qu’aucune disposition du RGPD et de la loi n° 78-17 du 06 janvier 1978 ne font partie des dispositions ayant vocation à transposer en droit interne l’une des directives visées à l’article 1er de la directive 2009/22/CE. Selon la société, l’association UFC-QUE CHOISIR ne dispose d’aucune habilitation légale lui permettant d’agir en défense de l’intérêt collectif des auteurs et ne peut invoquer les dispositions de l’article 31 du code de procédure civile pour fonder son intérêt à agir.

L’association UFC-QUE CHOISIR réplique que l’analyse menée par la société ADI est fondée sur un découpage artificiel de la qualité de consommateur, d’auteur et de personne concernée, selon lequel un même individu, pris dans les liens d’un même contrat, ne pourrait être à la fois un consommateur et un individu concerné par des questions relatives au droit d’auteur ou à la protection de ses données personnelles, la collecte et l’exploitation de données personnelles faisant partie intégrante de l’« expérience-utilisateur » et des rapports qui s’établissent entre consommateurs et éditeurs de services numériques tels qu’Apple Music.

[*]

Aux termes de l’article 31 du code de procédure civile l’action en justice est ouverte à tous ceux qui ont un intérêt légitime au succès ou au rejet d’une prétention, sous réserve des cas dans lesquels la loi attribue le droit d’agir aux seules personnes qu’elle qualifie pour élever ou combattre une prétention, ou pour défendre un intérêt déterminé.

L’article L. 811-1 du code de la consommation prévoit que les associations de défense des consommateurs peuvent être agréées après avis du ministère public, les conditions dans lesquelles ces associations peuvent être agréées compte tenu de leur représentativité sur le plan national ou local ainsi que les conditions de retrait de cet agrément étant fixées par décret.

L’article L. 621-7 du code de la consommation par référence à l’article L. 621-1 du même code habilite les associations régulièrement déclarées ayant pour objet statutaire explicite la défense des intérêts des consommateurs, si elles ont été agréées à cette fin en application de l’article L. 811-1, à agir devant la juridiction civile pour faire cesser ou interdire tout agissement illicite au regard des dispositions transposant les directives mentionnées à l’article 1er de la directive 2009/22/CE du Parlement européen et du Conseil du 23 avril 2009 relative aux actions en cessation en matière de protection des intérêts des consommateurs.

Ainsi les articles L. 621-1 et L. 621-7 du code de la consommation autorisent les associations de consommateurs agréées à solliciter en justice la cessation d’agissements illicites et la suppression de clauses abusives ou illicites dans tout contrat ou type de contrat proposé ou destiné à un consommateur, l’agissement illicite, au sens des articles précités, n’étant pas nécessairement constitutif d’une infraction pénale.

En l’espèce, l’association UFC-QUE CHOISIR produit à l’appui de sa demande le décret du 5 aout 2011 portant renouvellement de son agrément pour cinq ans à compter du 22 septembre 2011. L’association justifie ainsi de la condition d’agrément prévue par les articles L. 621-1 et L. 621-7 du code de la consommation.

Par ailleurs, pour que soient ouvertes aux associations de consommateurs agréées les actions en cessation de l’illicite et en suppression des clauses abusives ou illicites précitées, il suffit que le contrat litigieux soit proposé ou destiné au consommateur.

Tel est le cas du contrat de fourniture d’un service de streaming musical, lorsque l’utilisateur de ce service a la qualité de « consommateur » au sens de l’article liminaire du code de la consommation, soit une personne physique agissant à des fins n’entrant pas dans le cadre de son activité commerciale, industrielle, artisanale, libérale ou agricole. Pour assurer la satisfaction de ses besoins personnels, la personne physique à laquelle est fait référence dans l’article liminaire précité est amenée à conclure des contrats avec un professionnel.

En l’espèce, les contrats de consommation dans les liens desquels le consommateur de services numériques fournis en ligne se trouve, sont régis notamment par le droit commun des contrats - les plateformes ne sauraient échapper au droit civil, leur activité reposant sur la conclusion de contrat avec chacun de leurs utilisateurs - le droit de la consommation mais également par des dispositions spécifiques régissant l’activité des plateformes qui distribuent ces services en ligne (cf. infra).

Les dispositions spécifiques destinées à protéger les droits fondamentaux de l’utilisateur consommateur de ces services et celles destinées à protéger son droit d’auteur, lorsque des clauses du contrat qu’il a conclu sont susceptibles d’y porter atteinte ont également vocation à s’appliquer. La qualité de consommateur n’est donc pas exclusive de la qualité d’utilisateur, de personne concernée ou d’auteur, lorsque les clauses d’un contrat rédigé par un professionnel qu’il souscrit, mettent en jeu des règles relatives à la protection de ses données à caractère personnel et à la protection de son droit d’auteur, les opérateurs des plateformes en ligne devant se conformer à l’ensemble de ces règles.

Au surplus, la présence d’une clause dans un contrat qui porterait atteinte à la protection dont pourrait bénéficier le consommateur (notamment RGPD ou protection des droits de la propriété intellectuelle) peut conduire le consommateur à se méprendre sur l’étendue de ses droits et créer de ce fait un déséquilibre de la convention en sa défaveur au sens de l’article L. 212-1 du code de la consommation.

D’où il suit, que l’association UFC QUE-CHOISIR, a qualité pour agir dans la présente instance. Elle est recevable dans son action en cessation ou interdiction des agissements illicites telles que mentionnés à l’article L. 621-7 du même code et visant au sens de l’article L. 621-8 la suppression ou le « réputé non écrit » des clauses abusives ou illicites présentes dans les « Conditions générales » de la société ADI.

 

II. SUR LE FOND :

Dans le présent débat au fond, l’association UFC-QUE CHOISIR développe son argumentaire critique en trois parties :

- Une première partie concerne le prétendu caractère abusif et/ou illicite des clauses des conditions d’utilisation du service de streaming ;

- Une seconde porte sur la violation alléguée des règles de protection des données à caractère personnel ;

- La troisième partie intéresse l’absence d’application des règles gouvernant la propriété intellectuelle.

À titre liminaire, il sera observé que les clauses critiquées par l’association UFC-QUE CHOISIR sont extraites des « Conditions Générales » régissant l’utilisation du service de streaming musical en ligne proposé aux utilisateurs français dans leurs versions V1 (30 juin 2015), V2 (mars 2016), V3 (13 septembre 2016), V4 (septembre 2018) et V5 (mai 2019) et de l’« Engagement de confidentialité » d’ADI du 12 septembre 2016, de mai 2018 et du 9 mai 2019, ainsi que les pages « web » issues de l’adresse https://support.apple.com (mai et septembre 2018). Les documents produits au débat se présentent sous la forme d’un texte compact, dont les paragraphes, identifiés quelquefois par un titre en lettres majuscules, ne sont jamais pas numérotés. La numérotation des « clauses » critiquées par l’association – lorsqu’elle existe (uniquement pour la partie I des critiques) – reprend l’appellation formulée par l’association, cette appellation étant reprise par la société ADI. Les clauses critiquées relatives à la « Politique de confidentialité » de la société ADI reprend l’ordre des critiques exposées par l’association, cette identification par numéro de grief étant reprise par la société ADI.

S’agissant des « clauses » critiquées par l’association, elles se résument souvent en une phrase extraite d’un paragraphe et ne concernent pas le paragraphe en son entier. Toutefois, en application de l’article L. 212.1 du code de la consommation, le caractère abusif d’une clause s’apprécie par référence, au moment de la conclusion du contrat, non seulement à toutes les circonstances qui entourent sa conclusion, mais également au regard de toutes les autres clauses du contrat et de toutes celles qui seraient contenues dans un autre contrat, lorsque les deux contrats sont juridiquement liés dans leur conclusion ou leur exécution.

Par ailleurs, l’association sollicite de la juridiction que certaines clauses soient supprimées ou réputées non écrites et demande que soient en outre ordonnée la « modification » ou selon les clauses la « nullité » voire l’« inopposabilité » de ces clauses jugées illicites et/ou abusives.

Or, l’action en cessation des agissements illicites ouverte aux associations de consommateurs par les articles L. 621-7 et L. 621-8 du code de la consommation, qui permet à ces dernières de solliciter du juge saisi que soit ordonnée la suppression de clauses jugées illicites ou abusives dans tout contrat ou type de contrat proposé ou destiné au consommateur ou dans tout contrat en cours d’exécution et qu’elles soient réputées non écrite dans tous les contrats identiques conclus par le même professionnel avec des consommateurs, ne permet pas au juge d’ordonner la « modification », la « nullité » voire l’« inopposabilité » aux consommateurs des dispositions d’un contrat conclu entre un professionnel et un consommateur.

De sorte que la « modification » la « nullité » voire l’« inopposabilité » de dispositions, même jugées illicites et/ou abusives, ne figurant pas au rang des sanctions susceptibles d’être invoquées sur le fondement des articles précités, les demandes de l’association formulées à cette fin, infondées juridiquement, seront donc rejetées.

 

A. Sur le prétendu caractère abusif et/ou illicite des clauses des conditions d’utilisation du service de streaming :

1. Sur l’absence de clarté et de compréhensibilité de certaines clauses :

L’association affirme que les conditions contractuelles proposées par la société ADI aux utilisateurs du service ne respectent pas l’impératif de clarté et de compréhension requis par l’article L. 211-1 du code de la consommation ; elle sollicite la suppression et/ou la modification des clauses critiquées.

Selon la société ADI les demandes de l’association, qui ne visent plus que les clauses n° 1 à 7 des Conditions Générales V1 à V4 sont infondées, les clauses critiquées étant rédigées de manière claire et compréhensible.

 

a) Sur la clause n° 1 :

Clause n° 1 : EXCLUSION DE GARANTIES ; LIMITATIONS DE RESPONSABILITÉ (V1 (30 juin 2015), V2 (mars 2016), V3 (13 septembre 2016), V4 (septembre 2018) et V5 (mai 2019) : iTunes fournira le Service Apple Music avec diligence et dans le respect des règles de l’art. iTunes ne donne aucun autre engagement ni aucune autre garantie concernant le Service Apple Music et, en particulier, ne garantit pas que :

(…) Sauf dans les cas indiqués au paragraphe (d) ci-dessous ou dans le cas où vous exercez un droit à remboursement ou à compensation qui vous est conféré par la loi, iTunes, ses dirigeants, cadres, salariés, membres affiliés, agents, contractants ou concédants de licence ne pourront en aucun cas être tenus pour responsables de perte ou dommage causé par iTunes, ses salariés ou agents lorsque :

- il n’y a pas manquement à une obligation légale de précaution envers vous de la part d’iTunes ou de ses salariés ou agents ;

- cette perte ou ce dommage ne constitue pas une conséquence raisonnablement prévisible d’un tel manquement ;

- toute aggravation de cette perte ou ce dommage résulte d’un manquement de votre part, de quelque nature que ce soit, à l’une des dispositions du présent Contrat ;

- cette perte ou ce dommage résulte de la décision prise par iTunes, au cours de l’enquête sur une violation présumée du présent Contrat ou après le constat par iTunes qu’une violation du présent Contrat est intervenue, de supprimer ou de refuser de traiter une information ou un contenu, de vous avertir, de suspendre ou de résilier votre accès au Service Apple Music ou de prendre toute autre mesure ; ou cette perte ou ce dommage résulte d’une perte de revenu, d’activité ou de bénéfice ou d’une perte ou une corruption de données en relation avec votre utilisation du Service Apple Music.

(…) Aucune disposition du présent Contrat n’exclut ni ne limite la responsabilité d’iTunes en cas de fraude, de faute lourde, de faute volontaire, de mort ou de préjudice corporel.

(…)

L’association UFC-QUE CHOISIR reproche à la clause portant sur les exclusions de garanties et les limitations de responsabilité dans ses versions V2 à V5 de n’être pas claire et compréhensible.

Elle critique l’emploi de termes vagues et d’expressions imprécises ne permettant pas à l’utilisateur/consommateur de connaître l’engagement de la société ADI sur la qualité du service qu’il propose.

Elle prétend que le régime de responsabilité présenté dans la clause par la société ADI ne peut se comprendre qu’au prix d’une lecture combinant la première et la dernière phrase de la clause et d’un raisonnement qui n’est pas accessible à l’ensemble des consommateurs. Elle fait valoir que la société ADI met à la disposition des utilisateurs une prestation de service à distance d’écoute musical en streaming via son logiciel iTunes et précise que la personne qui exerce cette activité encourt à l’égard de l’utilisateur une responsabilité de plein droit, dont elle ne peut s’exonérer qu’en apportant la preuve que l’inexécution ou la mauvaise exécution du contrat ne lui est pas imputable, parce qu’elle est le fait de l’acheteur, le fait d’un tiers étranger à la fourniture des prestations prévues au contrat présentant un caractère imprévisible et insurmontable, soit à un cas de force majeure.

Elle souligne que le régime de responsabilité, prévu à l’article 15 de la LCEN (Loi pour la Confiance dans l’Économie Numérique) du 02 juin 2004, est rappelé à l’article L. 221-15 du code de la consommation.

Elle critique le fait que la clause ne reprenne pas ce régime de responsabilité et qu’elle laisse croire à l’utilisateur que la société ne pourrait pas voir sa responsabilité engagée vis-à-vis de lui.

Elle précise que la responsabilité de plein droit ne permet pas au présumé responsable de s’exonérer en fonction de la nature de la faute.

La société ADI répond que l’association UFC-QUE CHOISIR fait une lecture erronée de cette clause qui ne prévoit aucune limitation de responsabilité contraire au droit de la consommation.

Elle fait valoir que les points (i) à (v) n’excluent pas sa responsabilité de façon illicite ; ils rappellent au contraire les principes généraux de la responsabilité contractuelle (réparation du dommage prévisible, exception d’inexécution) qui s’appliquent indifféremment du fait qu’il s’agisse ou non d’une responsabilité de plein droit.

Elle ajoute que le point b) de la clause mentionne le cas où le consommateur exerce un droit à remboursement ou à compensation qui lui est conféré par la loi, les limitations de responsabilité d’ADI ne s’appliquant pas dans une telle hypothèse.

Elle en déduit que les « exclusions de garantie » ne remettent en cause ni les principes et exceptions prévus par l’article L. 221-15 du code de la consommation ni les principes figurant dans le paragraphe b) de la clause 1.

Elle prétend que la clause critiquée est claire et compréhensible et avance que l’énumération des cas de limitation de responsabilité de la société au sein de la clause est plus simple pour le consommateur, qui peut déduire à partir des cas non prévus par la clause, la possibilité pour lui d’engager la responsabilité de ADI dans le cadre de la fourniture du service, la notion de responsabilité de plein droit étant un concept difficilement compréhensible pour le profane.

[*]

Aux termes de l’article L. 211-1 du code de la consommation, les clauses des contrats proposés par les professionnels aux consommateurs doivent être présentées et rédigées de façon claire et compréhensible.

Le second alinéa du même article prévoit qu’en cas de doute les clauses s’interprètent dans le sens le plus favorable au consommateur tout en excluant que ces dernières dispositions s’appliquent aux procédures engagées sur le fondement de l’article L. 621-8 du code de la consommation, ce qui est le cas en l’espèce.

L’article L. 221-1 du même code qualifie de contrat à distance, tout contrat conclu entre un professionnel et un consommateur, dans le cadre d’un système organisé de vente ou de prestation de services à distance, sans la présence physique simultanée du professionnel et du consommateur, par le recours exclusif à une ou plusieurs techniques de communication à distance jusqu’à la conclusion du contrat (article L. 221-1, I, 1°)). Aux termes du même article, les dispositions du Titre « Règles de formation et d’exécution du contrat de certains contrats » (dont le contrat conclus à distance), s’appliquent au contrat en vertu duquel le professionnel fournit ou s’engage à fournir un service au consommateur en contrepartie duquel le consommateur en paie ou s’engage à en payer le prix (article L. 221-1, II).

L’article L. 221-5 prévoit que, préalablement à la conclusion d’un contrat de fourniture de services, le professionnel communique au consommateur, de manière lisible et compréhensible, les informations prévues aux articles L. 111-1 et L. 111-2, 1°).

Aux termes de l’alinéa 1er de l’article L. 111-1 du code de la consommation, le professionnel doit communiquer de manière lisible et compréhensible au consommateur, avant qu’il ne soit lié par un contrat de fourniture de services, les caractéristiques essentielles du service. Compte tenu du support de communication utilisé et du service concerné, les dispositions des articles L. 111-1 s’appliquent sans préjudice des dispositions particulières en matière d’information des consommateurs propres à certaines activités (article L. 111-3 du code de la consommation).

L’article L. 221-15 du code de la consommation institue à la charge du professionnel une responsabilité de plein droit à l’égard du consommateur quant à la bonne exécution des obligations résultant du contrat conclu à distance, que ces obligations soient exécutées par le professionnel qui a conclu ce contrat ou par d’autres prestataires de services, sans préjudice de son droit de recours contre ceux-ci.

Dans le présent débat, la clause n° 1 dans ses versions V2, V3, V4 et V5 se présente sous la forme de 5 paragraphes identifiées par les lettres minuscules (a), (b), (c), (d), (e), dont seules les paragraphes (a), (b) et (d) sont visées par la critique. Les paragraphes critiqués (a) et (b) sont subdivisés en 2 sous-parties pour le paragraphe (a) et 5 sous-parties pour le paragraphe (b), identifiées par les lettres (i) et (ii) pour le paragraphe (a) et [(i) à (v)] pour le paragraphe (b).

La première phrase du paragraphe (a), aux termes duquel « iTUnes » (version V2), Apple (V3, V4, V5), fournira le « Service Apple Music » (V2), « le Service » (V3, V4, V5) « avec diligence et dans le respect des règles de l’art », constitue une introduction aux limitations de responsabilité que la société iTunes devenue ADI (Apple) entend opposer à l’utilisateur du service de streaming musical.

La seconde phrase du même paragraphe indique ce que « iTunes » (V2) puis « Apple » (V3, V4, V5) entendent ne pas prendre en charge au titre des « pertes et dommages » que la société serait susceptible de causer à l’utilisateur et annonce ce que « en particulier » iTunes (Apple) « ne garantit pas ».

Suivent alors deux hypothèses, identifiées (i) et (ii), non critiquées par l’association, qui prévoient, en substance, l’absence de « garantie » de la société quant à la fourniture du service en cas d’interruption, suspension de service qui seraient due à des opérations de maintenance ou aux atteintes à la sécurité du Service constituant pour la société des événements de force majeure.

Le second « paragraphe (b) » est introduit par la préposition « Sauf » (cf. « sauf dans les cas indiqués au paragraphe (d) ci-dessous »). Cette préposition renvoie le lecteur/utilisateur au « paragraphe (d) », lequel ne donne en première lecture aucune précision sur ce que la société « garantirait » ou ne « garantirait pas » ou sur les circonstances qui permettraient à la société d’accueillir ou de dénier à l’utilisateur la possibilité de mettre en jeu une quelconque « garantie », le « paragraphe (d) » se contentant d’affirmer qu’aucune « disposition du présent contrat n’exclut ni ne limite la responsabilité d’Itunes (Apple) en cas de fraude, de faute lourde, faute volontaire, de mort ou de préjudice corporel ».

Arrivé à ce stade de lecture, l’utilisateur risque de supposer qu’il s’agit là de sa propre mort ou de son propre préjudice corporel, sans être bien certain de qui pourrait émaner les fraudes, faute lourde ou faute volontaire évoquées par la clause.

C’est seulement en reprenant la lecture, là où il l’avait laissée (pour rappel, « Sauf dans les cas indiqués au paragraphe (d) ») – le lecteur ayant dû par ce renvoi au paragraphe (d) s’abstraire d’une lecture continue du texte de la clause -, qu’il peut éventuellement mesurer – à condition toutefois qu’il soit doté de quelques rudiments de culture juridique -, qu’est ici formellement posé le principe d’irresponsabilité de la société iTunes, ses dirigeants, cadres, salariés, membres affiliés, agents, contractants ou concédants de licence d’iTunes, en cas de perte et dommage causé par la société (cf. « iTunes, ses dirigeants, (…) ne pourront en aucun cas être tenus pour responsables de perte ou dommage causé par iTunes, ses salariés ou agents lorsque : »).

L’évocation subséquente d’une série de 5 hypothèses numérotées de (i) à (v), portant toutes sur des restrictions à la mise en jeu de la responsabilité des personnages et des sociétés susmentionnés, parachève la construction du système d’exonération mis en place, en laissant entendre que leur responsabilité ne pourra être mise en cause, lorsqu’ils auront causé un dommage, lorsqu’ils observent une « obligation légale de précaution », ou lorsque le dommage ne « (…) constitue pas une conséquence raisonnablement prévisible », (lorsque) « l’aggravation de cette perte ou ce dommage résulte d’un manquement de (l’utilisateur) ou lorsque la « perte ou (le) dommage résulte de la décision prise par iTunes (…) de supprimer ou de refuser de traiter une information ou un contenu, d’avertir (l’utilisateur), de suspendre ou de résilier (son) accès au Service Apple Music ou de prendre toute autre mesure. »

De sorte qu’en fragmentant les informations relatives à l’exonération de la responsabilité de la société, de ses dirigeants, salariés, agents et contractants ou concédants, en disséminant des informations parcellaires au sein de la clause dans différents paragraphes et subdivisions de paragraphes, en contraignant de ce fait l’utilisateur à une lecture discontinue de la clause, en le contraignant à un raisonnement a contrario, en utilisant une terminologie non adaptée aux circonstances entourant la conclusion et l’exécution d’un contrat de fourniture de services numériques, en ayant recours à des expressions imprécises et restrictives (cf. « en particulier », s’agissant de l’absence de garantie de continuité du service promis), de formulations vagues et non-définies dans les Conditions Générales (« diligence », « respect des règles de l’art »), qui seules détermineraient l’engagement par l’utilisateur de la responsabilité des personnes physiques ou morales désignées par la clause, en ayant recours à des formulations obscures (« une conséquence raisonnablement prévisible ») ou en faisant référence à des obligations légales non déterminées (« vous exercez un droit à remboursement ou à compensation qui vous est conféré par la loi » ; « obligation légale de précaution »), la clause n’est ni claire ni compréhensible au regard des articles du code de la consommation précités.

De sorte qu’en rendant cette clause inintelligible pour l’utilisateur, la société ADI ne permet pas à l’utilisateur d’accéder au contenu effectif du contrat et notamment aux exonérations de responsabilité de l’opérateur.

D’où il suit qu’en laissant croire à l’utilisateur – qui serait allé au bout de la lecture et de la compréhension de la clause – qu’il ne pourrait engager la responsabilité de la société, de ses salariés et autres sociétés et individus cités par la clause qu’en cas de fraude, faute lourde ou de faute volontaire, voire en cas de mort de l’utilisateur ou de dommages corporels subis par lui, alors qu’il n’existe au bénéfice de l’utilisateur aucune restriction de responsabilité de nature équivalente dans les conditions générales produites au débat, la clause crée un déséquilibre significatif au détriment de l’utilisateur consommateur au sens de l’article L. 212-1 du code de la consommation,.

En conséquence, la clause n° 1 des Conditions Générales du Service d’ADI dans ses versions V2, V3, V4, V5, illicite au regard des articles L. 211-1, L. 221-5, L. 221-15 du code de la consommation, est abusive au sens de l’article L. 212-1 du code de la consommation. Elle sera donc réputée non écrite.

 

b) Sur la clause n° 2 : « autres stipulations » – DIVERS des versions V1 (30 juin 2015), V2 (mars 2016), V3 (13 septembre 2016), V4 (septembre 2018) et V5 (mai 2019) :

Clause n° 2 : « autres stipulations » (V1) :

DIVERS : iTunes ne sera pas tenu responsable en cas d’impossibilité de s’acquitter de ses obligations en raison de faits indépendants de sa volonté.

Clause « autres stipulations » (V2/V3/V4/V5) :

DIVERS : Apple ne sera pas tenue responsable en cas d’impossibilité de s’acquitter de ses obligations en raison de faits échappant à son contrôle.

L’association UFC-QUE CHOISIR prétend que cette clause est illicite. Elle avance que dans le cadre de la responsabilité de plein droit qui lui incombe, la société ADI doit répondre de tout manquement, sauf à justifier du fait imprévisible et insurmontable d’un tiers au contrat, ou de la survenance d’un cas de la force majeure et ajoute que la société ADI s’octroie un droit d’interprétation, qui lui permet d’éluder sa responsabilité à l’égard de l’utilisateur.

Elle fait valoir que des évènements « échappant au contrôle » de la société ne peuvent être cause d’exonération d’un régime de responsabilité de plein droit.

Elle souligne qu’en sa qualité de responsable de traitement la société ADI, est tenue d’une responsabilité de plein droit quant aux failles de sécurité susceptible d’affecter son système d’exploitation.

Elle précise que le régime de responsabilité de plein droit ne vise pas à ce que le préjudice subi par le consommateur/utilisateur soit nécessairement imputable à la société ADI, mais que le consommateur dispose d’un interlocuteur réparant son préjudice, à charge pour le professionnel d’exercer des recours dans les cas où elle serait tenue d’indemniser ses utilisateurs pour un dommage trouvant sa justification dans une faute qui ne serait pas de son fait.

La société ADI réplique que l’expression « faits indépendants échappant à son contrôle » fait référence à des faits qui ne sont pas imputables à Apple mais à une autre personne (le consommateur ou un tiers) ou dans un cas de force majeure. Elle concède que l’expression utilisée dans la clause n° 2 des Conditions Générales V4 ne reprend pas les termes de l’article L. 221-15 du code de la consommation et de l’article 15.1 de la LCEN et que la rédaction est « elliptique », mais plus simple et plus compréhensible pour le consommateur (conclusions société ADI, page p. 68). Elle ajoute qu’il n’est pas exigé par la loi que les contrats répliquent à la lettre les articles du code, dès lors qu’ils ne font pas apparaître de différence substantielle ou d’incompatibilité avec ceux-ci. Elle conclue que le contenu de la clause critiquée est parfaitement conforme aux trois cas d’exonération prévus par l’article L. 221-15 du code de la consommation.

[*]

Aux termes de l’article L. 221-15 du code de la consommation, le professionnel est responsable de plein droit à l’égard du consommateur de la bonne exécution des obligations résultant du contrat qu’il a conclu à distance avec le consommateur, que ces obligations soient exécutées par lui-même ou par d’autres sociétés prestataires de services, sans préjudice de son droit de recours contre celles-ci. Toutefois, le professionnel peut s’exonérer de tout ou partie de sa responsabilité s’il apporte la preuve que l’inexécution ou la mauvaise exécution du contrat est imputable au consommateur lui-même, à un fait, imprévisible et insurmontable d’un tiers au contrat ou à un cas de force majeure, c’est-à-dire à un événement présentant un caractère imprévisible lors de la conclusion du contrat et irrésistible au moment de son exécution.

Ainsi, en instituant une responsabilité de plein droit pesant sur le professionnel vis-à-vis du consommateur du fait de l’inexécution ou la mauvaise exécution des obligations nées du contrat, qu’il ait exécuté lui-même les prestations ou qu’il ait eu recours à des tiers pour les réaliser, l’article L. 221-15 du code de la consommation organise au profit du consommateur un principe de responsabilité contractuelle du fait d’autrui.

En l’espèce, la clause dans les versions V1, V2/V3/V4/V5 affirme que iTunes (V1) ou Apple, (V2 à V5) ne sera pas tenu responsable en cas d’impossibilité de s’acquitter de ses obligations en raison de « faits indépendants de sa volonté » (V1) ou de faits « échappant à son contrôle » (V2à V5). En se bornant à n’envisager que les « faits indépendants de sa volonté » ou les » faits échappant à son contrôle », en restreignant par suite la mise en jeu par l’utilisateur de sa propre responsabilité aux seuls faits volontaires et contrôlables qui lui seraient imputables – qui exclurait sa responsabilité dans les situations de défaillance technique ou de faille de sécurité de son système d’exploitation -, en omettant d’indiquer que la société ADI est responsable des prestations qu’elle exécute mais également de celles dont elle a confié l’exécution à des tiers, la clause fait échec aux dispositions impératives de l’article L. 221-15 du code de la consommation. Elle est donc illicite au sens de l’article L. 221-15 du code de la consommation.

L’association UFC-QUE CHOISIR affirme que cette clause ne respecte pas l’exigence de clarté et de compréhensibilité prévue par les dispositions de l’article L. 211-1 du code de la consommation, sans démontrer en quoi cette clause critiquée enfreindrait ces dispositions. Elle sera donc déboutée de ce chef.

Par conséquent la clause n° 2, dans les versions V1 (30 juin 2015), V2 (mars 2016), V3 (13 septembre 2016), V4 (septembre 2018) et V5 (mai 2019), illicite au sens de l’article L. 221-15 du code de la consommation, sera donc réputée non écrite.

 

c) Sur la « clause d’indivisibilité » (clause n° 3 des versions V1 (30 juin 2015), V3 (13 septembre 2016), V4 (septembre 2018) et V5 (mai 2019)) :

DIVERS : Si une disposition du présent Contrat est considérée nulle ou non opposable, cette disposition sera interprétée conformément au droit applicable afin de se rapprocher au mieux de la commune intention des parties, et les autres stipulations resteront en vigueur.

L’association UFC prétend que la clause ne permet pas à l’utilisateur d’appréhender les situations dans lesquelles le contrat peut être annulé, la société ADI écartant l’anéantissement du contrat dans l’hypothèse où une clause viendrait à être déclarée « nulle ou non opposable » sans distinguer selon que la clause est une clause essentielle du contrat ou non. Elle fait valoir qu’en instaurant une clause d’indivisibilité contractuelle sans distinguer les clauses portant sur les obligations essentielles du contrat des clauses portant sur des obligations accessoires, la société ADI méconnait l’article 1184 du code civil et la directive communautaire n°93/13/CE. Selon l’association, ce manque de clarté entacherait la clause d’illégalité au regard de l’article L. 221-1 du code de la consommation et priverait le consommateur d’une option d’anéantissement du contrat.

La société ADI réfute le caractère indivisible affectant la clause, puisqu’au contraire cette clause prévoit la divisibilité du contrat et le maintien du reste du contrat en cas d’annulation d’une clause. Elle ajoute que les actions fondées sur des dispositions qui ne sont pas susceptibles d’être invoquées pour fonder une action en cessation d’agissement illicite portée par une association de consommateurs ne sont pas recevables. Il en est ainsi, selon la société, de l’action fondée sur l’article 1184 du code civil.

Elle fait valoir que l’article 6 de la directive 93/13/CEE du 5 avril 1993 portant sur les clauses abusives dans les contrats conclus avec les consommateurs évoque la persistance du caractère contraignant du contrat pour les parties lorsqu’il peut subsister sans les clauses abusives. Elle précise que l’article L. 241-1 du code de la consommation prévoit de la même manière que le contrat reste applicable dans toutes ses dispositions autres que celles qui ont été jugées abusives si ce contrat peut subsister sans ces clauses. Elle excipe d’un arrêt de la CJUE du 15 mars 2012, Jana Perenicova et Vladislav Perenic, C- 453/10, affirmant que l’objectif poursuivi par le législateur de l’Union dans le cadre de la directive 93/13 consiste à rétablir l’équilibre entre les parties, tout en maintenant, en principe, la validité de l’ensemble d’un contrat, et non pas à annuler tous les contrats contenant des clauses abusives.

[*]

En l’espèce, la clause incriminée évoque l’hypothèse où certaines clauses du contrat puissent être « considérée nulle ou non opposable », les « autres stipulations rest(ant) en vigueur ».

L’article L. 241-1 du code de la consommation prévoit que le contrat reste applicable dans toutes ses dispositions autres que les clauses abusives réputées non écrites lorsque ce contrat peut subsister sans ces clauses, toute stipulation contractuelle contraire contreviendrait aux dispositions impératives de ce même article.

Tel est le cas envisagé par la clause n° 3 des Conditions Générales du contrat de service de streaming exploité par la société ADI, qui ne contrevient pas aux dispositions de l’article précité.

En conséquence, sans qu’il soit nécessaire de poursuivre la discussion sur les autres moyens échangés entre les parties à ce sujet, la clause n° 3 des Conditions Générales n’étant pas illicite au regard de l’article L. 241-1 du code de la consommation, il ne sera pas fait droit à la demande de l’UFC QUE CHOISIR concernant la suppression de cette clause dans l’intégralité de ses versions critiquées. Sa demande sera donc rejetée.

 

2. Sur le caractère illicite et/ou abusif de certaines clauses :

a) Sur le caractère illicite de la clause n° 5 dans ses versions V1 (30 juin 2015), V3 (13 septembre 2016), V4 (septembre 2018) et V5 (mai 2019), relative à l’envoi par l’utilisateur de contenu sur les Services :

Clause 5 version V1 (30 juin 2015) :

ENVOI DE CONTENU AU SERVICE APPLE MUSIC : Le contenu envoyé au Service Apple Music est soumis aux instructions suivantes (les « Instructions »), qui peuvent être mises à jour de temps à autre. […]

Vous n’êtes pas autorisé à utiliser le Service Apple Music aux fins de :

– publier du contenu répréhensible, injurieux ou préjudiciable, y compris, notamment, du contenu illicite, diffamatoire, menaçant, calomnieux, abusif, violent, obscène, vulgaire, portant atteinte à la vie privée d’autrui, haineux, incitant au racisme ou à la ségrégation ethnique, ou autrement répréhensible ;

Clause 5 version V3 (13 septembre 2016), V4 (septembre 2018) et V5 (mai 2019) :

C. VOS ENVOIS SUR NOS SERVICES :

Nos services peuvent vous permettre d’envoyer des éléments tels que des commentaires, des photos, des vidéos et des podcasts (y compris les métadonnées et illustrations associées). Votre utilisation de ces fonctionnalités doit respecter les instructions d’envoi ci-dessous, qui peuvent être mises à jour périodiquement. Si vous voyez des éléments qui ne sont pas conformes aux instructions d’envoi, utilisez la fonction Signaler un Problème. Vous concédez par les présentes à Apple une licence mondiale, gratuite, perpétuelle et non-exclusive pour utiliser les éléments que vous soumettez dans les services et à des fins marketing. Apple peut contrôler et décider de supprimer ou de modifier tout élément envoyé

Instructions d’envoi : Vous ne pouvez pas utiliser les services pour : - publier du contenu répréhensible, injurieux, illicite, trompeur ou préjudiciable ;

Pour l’UFC-QUE CHOISIR la clause, dans toutes les versions contestées, est illicite au sens de l’article L. 211-1 du code de la consommation, du fait de son imprécision. Elle est également abusive au regard de l’article R. 212-1-4°) du même code car elle permet à la société ADI d’interpréter discrétionnairement l’existence d’un agissement contraire aux dispositions contractuelles et d’imposer les sanctions prévues au contrat.

L’association ajoute que la société ADI peut mettre à jour la liste de ces agissements » de temps à autre » (version de 2015) ou « périodiquement » (version de 2016), sans prévoir d’information préalable de l’utilisateur.

La société ADI expose qu’Apple Music permet aux utilisateurs via son service « Connect » de mettre en ligne des commentaires portant sur des publications postées par des artistes, et d’associer des images à des playlists ou des profils d’utilisateurs. Elle précise que cette faculté d’expression publique est similaire à celle que l’on peut trouver sur des réseaux sociaux, tout en étant plus limitée, et qu’elle est susceptible d’être employée par des utilisateurs mal intentionnés, ou insuffisamment attentifs, pour mettre en ligne des contenus (textes, photos, liens vers des sites) répréhensibles. Elle fait valoir que la société ADI doit protéger ses utilisateurs – et en particulier les plus jeunes – contre des utilisateurs qui posteraient des commentaires répréhensibles ou abusifs.

Elle affirme qu’en fixant des règles de publication et en excluant l’envoi ou la publication de tout contenu « répréhensible, injurieux, illicite, trompeur ou préjudiciable » (V3, V4, V5), la clause n° 5 incriminée précise à l’utilisateur les conditions d’utilisation du service d’envoi de contenu.

Elle soutient que les termes incriminés par l’association UFC-QUE CHOISIR (« contenu répréhensible, injurieux (…) ou préjudiciable ») ne sont pas vagues car ils trouvent une définition dans le dictionnaire, voire dans le code pénal.

Elle ajoute que le consommateur évoluant dans un environnement numérique, régulièrement confronté à des contenus susceptibles de le heurter ou de lui être préjudiciables, est coutumier des politiques de publication des contenus mises en place par les hébergeurs. Il est, selon la société, à même de comprendre la portée des termes employés dans la clause. Pour la société la clause est donc claire et compréhensible, contrairement aux allégations de l’UFC.

[*]

La lecture de la clause n° 5 montre que la société ADI dans la version V1 du 30 juin 2015 liste un certain nombre de contenus interdits de publication : « répréhensible, injurieux ou préjudiciable, y compris, notamment, du contenu illicite, diffamatoire, menaçant, calomnieux, abusif, violent, obscène, vulgaire, portant atteinte à la vie privée d’autrui, haineux, incitant au racisme ou à la ségrégation ethnique, ou autrement répréhensible » et que la liste de ces contenus « non autorisés » (interdits d’envoi) est susceptible d’évoluer avec le temps. Si la qualification des contenus interdits par les adjectifs « injurieux, diffamatoire, menaçant, calomnieux, abusif, violent, obscène, vulgaire, ou les expressions portant atteinte à la vie privée d’autrui, haineux, incitant au racisme ou à la ségrégation ethnique » peut être comprise de l’utilisateur, il en est autrement des termes et expressions imprécis tels que « répréhensible », « préjudiciable » et « contenu illicite ». De même, les expressions et adverbes « y compris » et « notamment » laissent entendre à l’utilisateur d’une part que la liste des contenus non-autorisés n’est pas exhaustive et qu’elle peut faire l’objet d’une interprétation par la société ADI, d’autre part.

Il n’en est pas autrement de la mention de l’éventualité de mises à jour des conditions d’envoi de contenus, effectuées « de temps à autre » (version V1 du 30 juin 2015) ou « périodiquement » ((versions V3 (13 septembre 2016), V4 (septembre 2018) et V5 (mai 2019)), sans que soit prévue d’information préalable de l’utilisateur au sein de la clause critiquée, ce qui ne permet pas à l’utilisateur de connaître l’étendue exacte des contenus interdits d’envoi au moment où il utilise précisément ce service.

De sorte que la clause, qui ne permet pas d’informer exactement l’utilisateur des Conditions Générales du service, en usant de termes et expressions imprécis et ambigus, est illicite au sens de l’article L. 211-1 du code de la consommation.

Cette imprécision et cette ambiguïté ont également pour effet de conférer au professionnel un droit exclusif d’interpréter la clause ambiguë dans le sens qui lui serait le plus favorable ; elle est donc irréfragablement abusive au sens de l’article R. 212-1 4°) du code de la consommation.

D’où il suit que la clause n° 5 dans ses versions V1 (30 juin 2015), V3 (13 septembre 2016), V4 (septembre 2018) et V5 (mai 2019), relative à l’envoi par l’utilisateur de contenu sur les Services, illicite au sens de l’article L. 211-1 du code de la consommation, est abusive au regard de l’article R. 212-1 4°) du code de la consommation. Elle sera réputée non écrite.

 

b) Sur les clauses « DISPONIBILITÉ DU CONTENU » (V1), n° 6 (V3 du 13 septembre 2016), n° 7 (V1 du 30 juin 2015), n° 7 (V3 du 13 septembre 2016, V4 de septembre 2018 et V5 de mai 2019) relatives à la modification, suspension, suppression et interruption et résiliation des Services :

DISPONIBILITÉ DU CONTENU (V1) (30 juin 2015) :

iTunes et ses concédants se réservent le droit de modifier, suspendre, supprimer, interrompre ou désactiver à tout moment et sans préavis l’accès au Service Apple Music et à tout Produit Apple Music, contenu ou autres fichiers dans le cadre du Service Apple Music. iTunes ne sera en aucun cas responsable de ces modifications. iTunes peut également imposer des limitations dans l’utilisation ou l’accès à certaines fonctionnalités ou parties du Service Apple Music, pour toute raison et sans préavis ni responsabilité

Clause 6 version V3 (13 septembre 2016) :

RESILIATION ET SUSPENSION DES SERVICES

Apple se réserve également le droit de modifier, suspendre ou interrompre les services (ou toute partie ou contenu de ceux-ci) à tout moment avec ou sans préavis ; Apple exclut toute responsabilité envers vous ou un tiers si elle exerce ces droits. Dans la mesure du possible, Apple vous informera à l’avance de toute modification, suspension ou interruption du Service. La résiliation du Service n’affectera pas le contenu déjà acquis. Cependant, vous pourriez être dans l’incapacité d’autoriser d’autres ordinateurs à utiliser le contenu.

Clause 7 version V1 (30 juin 2015) :

RÉSILIATION

En cas de manquement de votre part, ou si iTunes a des raisons sérieuses de penser que vous n’avez pas respecté une disposition quelconque du présent Contrat, iTunes pourra, à sa seule discrétion, sans préavis et sans renoncer à l’ensemble des sommes dues au titre de votre Compte : (i) résilier le présent Contrat et/ou votre Compte ; et/ou (ii) résilier la licence du logiciel ; et/ou (iii) vous interdire l’accès à tout ou partie du Service Apple Music.

Clause 7 version V3 (13 septembre 2016), V4 (septembre 2018) et V5 (mai 2019)

RESILIATION ET SUSPENSION DES SERVICES

Si vous ne respectez pas les dispositions du présent contrat ou si Apple suspecte un manquement de votre part à ces dispositions, Apple peut, sans préavis : (i) résilier le présent contrat et/ou votre identifiant Apple, et vous resterez responsable du paiement de toutes les sommes dues sous votre identifiant Apple jusqu’à la date de résiliation comprise ; et/ou (ii) résilier votre licence pour le logiciel ; et/ou (iii) vous empêcher d’accéder aux services.

L’association UFC-QUE CHOISIR expose que ces clauses réservent à la société un droit de suspension, d’annulation ou de résiliation de l’accès au service pour l’utilisateur, sans mise en demeure préalable de ce dernier pour des fautes qu’elle a listées dans des termes imprécis lui permettant d’interpréter de manière discrétionnaire l’existence d’agissement contraire aux dispositions contractuelles et lui imposer les sanctions prévues au contrat.

Pour l’association, les clauses critiquées sont abusives, au regard de l’article L. 212-1, L. 212-3 et L. 241-1 du code de la consommation, en ce qu’elles créent un déséquilibre significatif au détriment du consommateur qui se trouve privé de toute possibilité de régularisation ou de contestation.

Elle soutient que la clause n° 6 dans les deux versions critiquées serait également abusive de manière irréfragable au regard de l’article R. 212-1-6°) du code de la consommation car elle aurait pour objet ou pour effet de supprimer ou réduire le droit à indemnisation du consommateur.

Elle précise que les clauses 5, 6 et 7 prises ensembles dans leurs versions V1 de juin 2015 et V3 de septembre 2016 sont abusives au regard de l’article R. 212-1, 4°) du code de la consommation, car elles reconnaissent au professionnel la faculté de résilier les contrats sans préavis d’une durée raisonnable et font croire à l’utilisateur que l’interdiction immédiate d’accès au service ou la résiliation du contrat ne leur ouvrent droit à aucune indemnisation même dans le cas où la décision de la société ADI leur serait préjudiciable.

La société ADI prétend que la clause n° 6 dans la version V3 critiquée par l’UFC n’est pas une clause de résiliation du contrat entre ADI et l’utilisateur mais une clause qui a trait au droit de suspension, d’interruption ou de modification des Services ou du contenu des Services. Elle en déduit que l’article R. 212-2, 4°) du code de la consommation n’est donc pas applicable.

Elle ajoute que des raisons légitimes peuvent contraindre la société ADI à suspendre à modifier ou interrompre le service : des raisons techniques, des problèmes de réseaux, de sécurité, de protection du consommateur contre des cyberattaques, de maintenance, de piratage. Elle fait valoir que la spécificité du service de streaming musical, par nature évolutif, implique que le contenu proposé par Apple Music soit susceptible d’être modifié, la société devant être amenée à modifier ou à supprimer le contenu, si elle ne dispose plus des droits de propriété intellectuelle lui permettant de diffuser ou de publier ce contenu.

 

(1) Sur la portée juridique de la clause « DISPONIBILITE DU CONTENU » :

Au regard des dispositions d’ordre public de l’article L. 212-1 du code de la consommation, sont abusives les clauses des contrats conclus entre professionnels et consommateurs qui ont pour objet ou pour effet de créer, au détriment du consommateur, un déséquilibre significatif entre les droits et obligations des parties au contrat. En l’espèce, contrairement aux affirmations de la société ADI, la clause, critiquée par l’association, ne concerne que les versions des Conditions Générales V1 du 30 juin 2015 et V2 de mars 2016 et non la version V3 du 13 septembre 2016.

La lecture combinée de la clause précitée issue de la version V1 du 30 juin 2015 et de la clause n° 7 de la même version V1 des « Conditions Générales » révèle que iTunes et ses concédants d’une part (clause « DISPONIBILITE DU CONTENU », V1) et iTunes (clause n°7, V1) d’autre part), se réservent de la même manière le droit de supprimer ou désactiver l’accès de l’utilisateur au Service Apple Music et à tout Produit Apple Music, contenu ou autres fichiers dans le cadre du Service Apple Music » (clause « DISPONIBILITE DU CONTENU ») et, dans le cas d’un « manquement » de l’utilisateur (non défini par la clause), le droit de résilier le contrat et/ou le compte de l’utilisateur, la licence du logiciel et/ou d’interdire à l’utilisateur l’accès à tout ou partie du Service Apple Music (clause n° 7).

D’où il suit que, ni la clause « DISPONIBILITE (…) », ni aucune autre clause des « Conditions Générales », produites au débat, n’évoquant l’hypothèse d’un rétablissement de l’accès au Service par la société ADI, après qu’elle a pris la décision de supprimer ou de désactiver l’accès, la clause critiquée est bien une clause de résiliation, la suppression ou la désactivation de l’accès au service équivalant pour l’utilisateur à une résiliation du contrat.

 

(2) Sur le pouvoir discrétionnaire :

L’article L. 221-5 du code de la consommation impose au professionnel préalablement à la conclusion d’un contrat de fourniture de services, de communiquer au consommateur, de manière lisible et compréhensible, les caractéristiques essentielles du service, compte tenu du support de communication utilisé et du service concerné. Lorsque le contrat est conclu à distance, conformément aux dispositions de l’article L. 221-11 du code de la consommation – lequel reprend les obligations informatives contenues dans les articles des articles L. 111-1, L. 111-2 du code de la consommation – le professionnel fournit au consommateur, de manière lisible et compréhensible, les informations prévues à l’article L. 221-5 du code de la consommation ou les met à sa disposition par tout moyen adapté à la technique de communication à distance utilisée.

En l’espèce, les clauses critiquées reconnaissent la faculté d’exercer un pouvoir discrétionnaire sur l’accès au Service, en réservant à sa seule discrétion l’appréciation de l’opportunité de cette décision en considération de « manquements » de l’utilisateur ou lorsque iTunes « a des raisons sérieuses » de penser que l’utilisateur n’a pas respecté « une disposition quelconque du contrat ». De sorte que, pour justifier de sanctions prises à l’encontre de l’utilisateur, les clauses critiquées, invoquant d’une manière générale particulièrement équivoque et imprécise des » manquements » aux « Conditions Générales ou des « raisons sérieuses » (de penser que (…)), les clauses confèrent au professionnel un pouvoir discrétionnaire d’appréciation de ces manquements et des raisons qui conduiraient la société à prendre la décision de résiliation du contrat et par suite d’un droit exclusif d’interpréter une clause du contrat dans un sens qui lui serait favorable, privant ainsi l’utilisateur consommateur de déterminer précisément les cas où le Service pourrait être supprimé totalement, son compte étant résilié.

En conséquence, les clauses sont présumées abusives de manière irréfragable au regard de l’article R. 212-1 4°) du code de la consommation, parce qu’elle a pour effet d’accorder au seul professionnel le droit de déterminer si les services fournis sont conformes ou non aux stipulations du contrat et seront réputées non écrites.

 

(3) Sur l’éventualité d’un droit à indemnisation :

En l’espèce, en prévoyant que l’utilisateur consommateur ne peut engager la responsabilité de la société ADI mais que reste acquis à la société « l’ensemble des sommes dues au titre d(u) compte » (clause n° 7, V1), en cas de modification, suspension, suppression, interruption, désactivation de l’accès au service ou de résiliation du contrat le liant à la société ADI, les clauses ont pour objet ou pour effet de supprimer le droit à réparation du préjudice que l’utilisateur peut subir à la suite d’un manquement par la société à l’une quelconque de ses obligations,.

Elles sont donc abusives au regard de l’article R. 212-1, 6°) du code de la consommation et seront réputées non écrites de ce chef.

 

(4) Sur l’absence de préavis :

En prévoyant que la résiliation des services pourra s’opérer à l’initiative de ADI de manière discrétionnaire « à tout moment et sans préavis » (clause « DISPONIBILITE DU CONTENU », V1), « à tout moment avec ou sans préavis » (clause n° 6 (V3)), « à sa seule discrétion » (clause n° 7 (V1)), « sans préavis » (clause n° 7 (V3), V4 et V5), c’est-à-dire à tout moment, sans justification sans prévoir un délai de préavis raisonnable, les clauses sont abusives, en ce qu’elles privent le consommateur du bénéfice d’un délai de préavis. Elles créent ainsi au profit du professionnel et au détriment du consommateur un déséquilibre significatif au regard de l’article L. 221-1 du code de la consommation.

Ces clauses critiquées sont également irréfragablement abusives au regard de l’article R. 212-1 4°) du code de la consommation, en ce qu’elles ont pour objet ou pour effet d’accorder au seul professionnel, le droit de déterminer si la chose livrée ou les services fournis sont conformes ou non aux stipulations du contrat.

En conséquence, les clauses « DISPONIBILITÉ DU CONTENU » (V1), n° 6 (V3 du 13 septembre 2016), n° 7 (V1 du 30 juin 2015), n° 7 (V3 du 13 septembre 2016, V4 de septembre 2018 et V5 de mai 2019) relatives à la modification, suspension, suppression et interruption et résiliation des Services, illicites au sens des articles L. 111-1, L. 111-2, I, L. 221-5, L. 221-11, sont abusives au regard des articles L. 221-1, R. 212-1 4°) R. 212-1 6°) du code de la consommation. Elles seront donc réputées non écrites.

 

B. Sur la violation alléguée des règles de protection des données à caractère personnel :

L’association UFC-QUE CHOISIR invoque l’applicabilité à l’espèce du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) et de la « Loi Informatique et Libertés » (LIL) (loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés).

Elle affirme que de nombreuses clauses figurant dans les documents la « Politique de Confidentialité d’ADI » présentent un caractère abusif au sens des articles L. 212- 1, R. 212-1 et R. 212-2 du code de la consommation. Elle affirme que l’information sur le traitement de données à caractère personnel des utilisateurs délivrée par la société ADI est trop fragmentée, floue, voire trompeuse.

Pour la société ADI, le RGPD est le seul texte applicable pour déterminer si les obligations d’information sont ou non respectées en application des dispositions des articles 12 à 14 du RGPD dans le cadre des traitements de données personnelles effectués par ADI, aucune autre disposition de droit français n’étant applicable. L’UFC-QUE CHOISIR ne peut donc pas se référer aux dispositions de la Loi Informatique et Libertés.

Elle précise que la logique d’information suivie par ADI, n’a pas pour objectif d’assembler dans un seul et unique document (l’Engagement de Confidentialité) l’intégralité des informations relatives aux traitements des données personnelles des personnes pour tous les services et produits proposés par ADI et invoque une façon de dispenser aux utilisateurs l’information « par strate » (une approche à plusieurs niveaux) – plus facile d’accès pour les personnes/utilisateurs – entre un document d’information générale (Engagement de Confidentialité) et des informations plus spécifiques à Apple Music « Apple Music et confidentialité »), plutôt que fournir aux utilisateurs « en bloc » dans un long document des informations concernant leurs droits et de la gestion de leurs données personnelles, ce qui serait, selon la société, contraire aux exigences du RGPD.

 

1. Sur le socle contractuel critiqué :

L’association UFC-QUE CHOISIR affirme qu’un ensemble de documents qu’elle nomme « Politique de Confidentialité d’ADI », composé des « Conditions d’Utilisation », de l’« Engagement de Confidentialité », d’« Apple Music et confidentialité » et d’« À propos du lecteur Web Apple Music et de la confidentialité », qui tous auraient selon elle une valeur contractuelle, font partie intégrante du contrat souscrit par les utilisateurs des services iTunes et Apple Music et lierait par suite la société ADI aux utilisateurs de ces services.

Elle expose que cette « Politique de Confidentialité d’ADI », doit être déclarée illicite au regard de l’article L. 211-1 du code de la consommation qui impose une rédaction « claire et compréhensible » des contrats de consommation,

Elle fait valoir que les deux documents « Apple Music et confidentialité » (format « classique ») et « À propos du lecteur Web Apple Music et de la confidentialité » (format « lecteur Web »), qui détaillent les différents traitements des données à caractère personnel des utilisateurs mis en œuvre dans le cadre des services Apple Music, constituent des « récapitulatifs spécifiques aux services Apple Music » au sens de l’« Engagement de Confidentialité ».

Elle en conclue que l’« Engagement de Confidentialité » se référant expressément aux deux documents « Apple Music et confidentialité » et « À propos du lecteur Web Apple Music et de la confidentialité » pour détailler les modalités des traitements de données à caractère personnel entrent dans le champ contractuel.

La société ADI conteste l’expression « globalisante et artificielle » de la prétendue « Politique de Confidentialité d’ADI », le document « Engagement de Confidentialité » étant un document d’information générale et non un document d’information spécifique au service Apple Music.

Elle dément que la documentation d’ADI sur les traitements des données à caractère personnel (conclusions ADI p.123/202) constitue un document à valeur contractuelle.

Elle précise que seul le document « Apple Music et confidentialité », spécifique au service « Apple Music », doit être pris en considération et affirme que ce document est particulièrement explicite et précis.

Il ressort des pièces produites, que les « Conditions d’Utilisation » prévoient que « (l’utilisateur reconnaît) qu’Apple est en droit de divulguer des données et/ou des informations aux forces de l’ordre, aux autorités publiques et/ou à des tiers, si Apple l’estime raisonnablement nécessaire ou approprié pour faire appliquer et/ou vérifier le respect de toute disposition du présent contrat (…) » ; que les « Conditions générales des services Apple Media » du 13 septembre 2016 prévoit, dans sa rubrique B. UTILISATION DE NOS SERVICES – « PROTECTION DE LA VIE PRIVEE », que « l’utilisation des Services (d’Apple) » « est régi par l’« Engagement de Confidentialité d’Apple », disponible sur http://www.apple/legal/privacy, (Pièce ADI n° 3 ) ; que la rubrique « A. PRESENTATION DES SERVICES » du même document cite parmi les « Services d’Apple » les services « iTunes Store » et « Apple music » ; que l’« Engagement de Confidentialité » déclare que (la société Apple) a « élaboré un Engagement de confidentialité qui régit la manière dont (la société ADI) recueill(e) (c’est-à-dire collecte), utilis(e), divulgu(e), transfèr(e) et stock(e) (les) données personnelles (de l’utilisateur) » (Pièce UFC n° 9, « Engagement de confidentialité », mis à jour le 22 mai 2018 ; Pièce ADI, n° 19. « Engagement de confidentialité », mis à jour le 9 mai 2019) ; que la page « Apple Music et confidentialité » (Pièce UFC n° 10, publiée le 17 septembre 2018 et consultée le 20 septembre 2018) annonce que « le Service Apple Music est conçu pour protéger vos données et vous permettre de choisir ce que vous souhaite partager », tout en indiquant que « Apple recueille des informations sur votre activité dans Apple Music, comme les morceaux que vous avez écoutés et pendant combien de temps vous les avez écoutés, dans le but de personnaliser le service lorsque vous êtes abonné et de rémunérer ses partenaires » ; que la page « A propos du lecteur Web Apple Music et de la confidentialité » apprend que « Si (l’utilisateur) n’est pas connecté à Apple Music, le lecteur web Apple Music recueille (c’est-à-dire collecte), des informations associées à un identifiant unique qui est spécifique à la page que (l’utilisateur) visite. Si (l’utilisateur) est connecté à Apple Music, l’identifiant est le même sur toutes les pages dans lesquelles le lecteur se charge. Ces identifiants durent un jour et ne sont pas liés à l’identifiant Apple (de l’utilisateur) » ; que cette même page révèle que « lorsque (l’utilisateur) visit(e) un site Web auquel est intégré un lecteur Web Apple Music, Apple recueille, d’une manière respectueuse de la vie privée, des informations limitées sur l’endroit où le lecteur est intégré et sur la façon dont vous interagissez avec celui-ci, afin de comprendre comment le lecteur est utilisé et d’améliorer l’expérience d’interaction avec le -lecteur. Bien que le lecteur puisse être intégré dans des pages Web tierces, il est fourni par Apple et, par conséquent, Apple peut collecter des informations sur l’endroit et la façon dont il est utilisé- Ce document s’applique uniquement à la collecte, à l’utilisation et à la divulgation d’informations par Apple. Les pages Web que vous visitez et qui intègrent le lecteur Web peuvent également collecter séparément des informations à votre sujet, et ces informations seront régies par leurs propres politiques et pratiques. »

D’où il suit que, contrairement aux allégations de la société ADI, outre les « Conditions d’Utilisation », font partie du socle contractuel, auquel les utilisateurs des services iTunes et Apple Music sont soumis, les documents « Engagement de Confidentialité », « Apple Music et confidentialité » et « A propos du lecteur Web Apple Music et de la confidentialité », qui traitent de la manière dont sont protégées les données à caractère personnel des utilisateurs des « Services ».

 

2. Sur l’application des dispositions de la Loi Informatique et Libertés (LIL) et du RGPD :

L’association UFC-QUE CHOISIR invoque l’application à l’espèce du RGPD et de la LIL.

Pour la société ADI, le RGPD est le seul texte applicable pour déterminer si les obligations d’information sont ou non respectées au sens des articles 12 à 14 de ce texte dans le cadre des traitements de données personnelles effectués par la société ADI, aucune autre disposition de droit français n’étant applicable, l’UFC-QUE CHOISIR ne peut donc pas se référer aux dispositions de la Loi Informatique et Libertés (LIL).

Elle fait valoir que l’UFC se contente dans ses conclusions de formuler des critiques vagues et peu argumentées qui se concentrent sur les documents d’information généraux et, en particulier, l’Engagement de Confidentialité.

Elle précise que la logique d’information suivie par ADI, n’a pas pour objectif d’assembler dans un seul et unique document (« l’Engagement de Confidentialité ») l’intégralité des informations relatives aux traitements des données personnelles des personnes pour tous les services et produits proposés par ADI. Elle invoque à nouveau une façon de dispenser aux utilisateurs l’information plus facile d’accès pour les utilisateurs « par strates » (soit une approche à plusieurs niveaux) entre un document d’information générale (Engagement de Confidentialité) et des informations plus spécifiques à Apple Music « Apple Music et confidentialité », plutôt que fournir aux utilisateurs « en bloc » dans un long document des informations concernant leurs droits et de la gestion de leurs données personnelles, ce qui serait selon la société ADI contraire aux exigences du RGPD.

L’ordonnance n° 2018-1125 du 12 décembre 2018 a réécrit la Loi Informatique et Libertés, afin de mettre en cohérence et en conformité l’ensemble des dispositions nationales applicable à la législation relative à la protection des données à caractère personnel avec les dispositions du RGPD, la loi Informatique et Libertés renvoyant ainsi, à chaque fois que les dispositions du RGPD précité l’imposent, aux dispositions de ce règlement.

Cette même ordonnance a également procédé à la renumérotation des articles de la LIL. Ainsi, s’agissant du droit à l’information de la personne concernée, le contenu de l’ancien article 32 de la Loi Informatique et Libertés est désormais pour partie réparti dans les articles 48, 116, 82, et 79 de la LIL. L’article 48 (nouveau) de la LIL renvoie dorénavant aux articles 12 à 14 du RGPD, qui traitent du régime de l’information applicable aux collectes des données effectuées directement auprès de la personne concernée par le traitement ou indirectement via d’autres sources.

La protection des données à caractère personnel de la personne concernée par le traitement, collectées indirectement via des cookies et autres traceurs, est, pour sa part, assurée à la fois par l’article 82 de la LIL transposant en droit français la directive 2002/58/CE « Vie privée et Communications électroniques » (autrement appelée directive « ePrivacy ») et par le RGPD, en se référant notamment à la notion de consentement de la personne concernée définie par son article 4-11.

 

3. Sur les clauses portant prétendument atteinte à la protection des données à caractère personnel :

Dans le corps des conclusions consacrée à la discussion (pp. 32 à 40/88), l’association UFC-QUE CHOISIR expose 15 griefs relatif à la « Politique de confidentialité d’ADI ».

Pour le premier de ces griefs, elle sollicite de la juridiction, au motif pris de la trop grande fragmentation de la « Politique de confidentialité d’ADI » « pour permettre une information transparente de l’utilisateur moyen », que la « Politique de confidentialité » dans son intégralité (soit trois des quatre documents contractuels), soit déclarée illicite au regard des articles L. 211-1 du code de la consommation, des articles 12 à 14 du RGPD, de l’article 32 de la Loi Informatique et Libertés et abusive au regard des articles L. 212-1 et R. 212-1 du code de la consommation.

Pour les 14 griefs suivants, elle demande que certaines clauses qu’elle reproduit, soient déclarées illicites ou abusives dans le corps des conclusions, non numérotées et non datées, extraites de documents composant ce qu’elle nomme la « Politique de confidentialité d’ADI », ces prétentions ne faisant l’objet d’aucune indication de renvoi aux pièces présentées en annexe.

Dans le dispositif de ses conclusions, aux visas du « code de la consommation », du RGPD, de la Loi Informatique et Libertés, de l’article R. 625-10 du code pénal, de l’article 15 de la LCEN, de la loi n° 94-665 du 4 août 1994 et de l’article 1382 du code civil, l’association sollicite notamment de la juridiction, que la « Politique de confidentialité d’ADI » soit « dans son ensemble » déclarée abusive et illicite comme contraire au « principe de transparence » prévu par le RGPD et le code de la consommation, ou, « à tout le moins », que soient déclarées illicites et/ou abusives les clauses « détaillées » dans un tableau figurant dans sa pièce n° 8 annexée auxdites conclusions et reproduites dans le dispositif « pour la bonne forme », sur 7 pages, des clauses non numérotées des « Conditions d’Utilisation » (des versions « V4 et V5 »), de l’Engagement de confidentialité des 22 mai et 9 mai 2019 et du document « Apple Music et confidentialité » du 17 septembre 2018.

L’association formule ainsi dans le dispositif deux demandes alternatives : l’annulation du document en son entier ou, (« à tout le moins »), la déclaration de clauses illicites et/ou abusives, « détaillées » dans un tableau figurant dans sa pièce n° 8 annexée auxdites conclusions (2), l’association reproduisant dans le dispositif « pour la bonne forme », sur 7 pages, un ensemble de « clauses » non numérotées extraites des trois documents contractuels précités.

 

a) Sur la demande portant sur l’illicéité et le caractère abusif de la « Politique de confidentialité d’ADI » en son entier (Point 1, Partie III-B) :

L’association prétend que l’ensemble des documents qu’elle nomme la « Politique de Confidentialité d’ADI », composé de l’« Engagement de Confidentialité, « Apple Music et confidentialité » et « À propos du lecteur Web Apple Music et de la confidentialité » soit déclarée illicite au regard de l’article L. 211-1 du code de la consommation imposant une rédaction « claire et compréhensible » des contrats de consommation. Elle affirme que de nombreuses clauses figurant dans les documents composant la « Politique de Confidentialité d’ADI » présentent un caractère abusif au sens des articles L. 212-1, R. 212-1 et R. 212-2 du code de la consommation et que l’information sur le traitement de données à caractère personnel des utilisateurs délivrée par la société ADI est trop fragmentée, floue voire trompeuse.

Elle sollicite, en conséquence, de la juridiction que la « Politique de Confidentialité » dans son ensemble soit déclarée illicite au regard des dispositions du code de la consommation, du RGPD et de la Loi Informatique et Libertés et abusive au regard des articles L. 212-1 et R. 212-1 du code de la consommation.

Toutefois, le cadre de l’action en cessation ou en interdiction de l’illicite défini par l’article L. 621-7 du code de la consommation, qui autorise les associations, dans les conditions déterminées par l’article L. 621-8 du même code, de solliciter du juge saisi qu’il ordonne la suppression d’une clause illicite ou abusive et qu’elle soit réputée non écrite, ne permet pas l’examen d’une demande en suppression et en réputé non-écrit de l’intégralité d’un document contractuel, la demande devant être formulée clause par clause.

La demande de l’association sera rejetée de ce chef.

 

b) Sur les demandes portant sur l’illicéité des clauses composant la « Politique de confidentialité » produites au débat :

L’association sollicite de la juridiction que soient déclarées illicites et/ou abusives les clauses « détaillées » dans un tableau figurant dans sa pièce n° 8 annexée aux conclusions et reproduit à cette fin dans le dispositif « pour la bonne forme », sur 7 pages, les « clauses » non numérotées issues de trois documents contractuels composant « la Politique de confidentialité d’ADI ».

La société ADI estime que l’association UFC-QUE CHOISIR procède par voie d’affirmation, en se limitant dans ses conclusions à viser des articles du code de la consommation, du RGPD et de la Loi Informatique et Libertés, en formulant des critiques vagues et peu argumentées, sans prendre la peine de construire une argumentation pour chaque grief et/ou article qu’elle invoque, en se référant à une pièce n° 8, où figurent, dans un tableau de 24 pages, des arguments non formulés dans les conclusions de l’association.

Elle observe, que ce tableau ne constitue pas un simple résumé des prétentions et motivations que l’association UFC aurait développées dans ses conclusions mais d’ajouts non inclus dans la discussion. Elle affirme que ces développements sont hors-discussion conformément à l’article 753 du code de procédure civile.

 

(1) Sur l’intégration au débat de la pièce n° 8 :

Aux termes de l’article 753 du code de procédure civile, les conclusions doivent formuler expressément les prétentions des parties ainsi que les moyens en fait et en droit sur lesquels chacune de ces prétentions est fondée avec indication pour chaque prétention des pièces invoquées et de leur numérotation. Un bordereau énumérant les pièces justifiant ces prétentions est annexé aux conclusions.

Le même article précise que les conclusions comprennent distinctement un exposé des faits et de la procédure, une discussion des prétentions et des moyens ainsi qu’un dispositif récapitulant les prétentions. Les moyens qui n’auraient pas été formulés dans les conclusions précédentes doivent être présentés de manière formellement distincte.

Le tribunal ne statue que sur les prétentions énoncées au dispositif et n’examine les moyens au soutien de ces prétentions que s’ils sont invoqués dans la discussion.

En l’espèce, dans le dispositif de ses conclusions, l’association sollicite de la juridiction que soient déclarées illicites et/ou abusives les clauses « détaillées » dans un tableau figurant dans sa pièce n° 8 annexée auxdites conclusions. La lecture de cette pièce n°8 révèle qu’elle est constituée d’un tableau, conçu par l’association, censé « récapituler » les clauses de la politique de confidentialité critiquée, les fondements de ces critiques et les « explications résumées », qui renvoient « pour le détail des explications » aux « pages des conclusions UFC ».

Pourtant, dans la partie « Discussion » des conclusions, il n’est fait à aucun moment référence à cette pièce n° 8 à l’appui de chacune des prétentions développées, l’association se bornant à en évoquer l’existence dans les toutes premières lignes figurant en introduction de la partie III de ses conclusions (consacrée à la violation alléguée des règles de protection des données à caractère personnel) et ce, bien avant ses observations faites à titre liminaire.

Or, l’article 753 précité exige que soit indiqué dans le corps des conclusions, consacré à la discussion pour chacune des prétentions, les pièces invoquées et leur numérotation.

Tel n’est pas le cas de la pièce n°8 qui sera écartée des débats.

 

(2) Sur les clauses figurant dans la partie discussion et au dispositif des conclusions de l’UFC :

Il résulte de ce qui précède que ne peuvent faire l’objet d’un examen par le Tribunal que les clauses qui figurent à la fois dans le corps et dans le dispositif des conclusions de l’association.

Or, après rapprochement des clauses figurant dans la partie « Discussion » des conclusions et celles reproduites dans le dispositif, il apparait que nombre de clauses qui sont visées au dispositif ne sont pas critiquées dans le corps des conclusions ; elles ne pourront donc pas faire l’objet d’un examen par le Tribunal.

 

(a) Sur l’information relative à l’existence de traitements de données à caractère personnel (Point 2, Partie III-B) :

Conditions d’utilisation : « Vous acceptez que le concédant puisse collecter et utiliser des données techniques et toute information associée, y compris, notamment, les informations techniques concernant votre dispositif, votre système et votre logiciel d’application, ainsi que les périphériques, et qui sont recueillies périodiquement afin de faciliter la fourniture de mises à jour de logiciels, de services d’assistance technique relative au produit, ainsi que d’autres services (le cas échéant) se rapportant à l’application sous licence. Le concédant peut utiliser ces informations aussi longtemps qu’elles sont sous une forme ne permettant pas de vous identifier personnellement, afin d’améliorer ses produits ou de vous fournir des services ou des technologies. »

Engagement de Confidentialité : « Collecte et utilisation des données non personnelles Nous collectons également des données dont la forme ne nous permet pas de faire un rapprochement direct avec une personne en particulier. Nous pouvons recueillir, utiliser, transférer et divulguer des données non personnelles à quelque fin que ce soit. Vous trouverez ci-après des exemples de données non personnelles que nous collectons et la façon dont nous pouvons les utiliser : Nous pouvons collecter des informations telles que le métier, la langue, le code postal, l’indicatif régional, l’identifiant unique de l’appareil, l’URL de référence, le lieu et le fuseau horaire dans lesquels un produit Apple est utilisé afin de nous permettre de mieux comprendre le comportement du client et d’améliorer nos produits, services et publicité.

Nous pouvons recueillir des données concernant les activités du client sur notre site web, les services iCloud, l’iTunes Store, l’App Store, le Mac App Store, l’App Store de l’Apple TV, les iBooks Stores et à partir de nos autres produits et services. Ces données sont rassemblées et utilisées pour nous permettre de fournir des informations plus utiles à nos clients et pour savoir quels aspects de notre site web, de nos produits et de nos services sont les plus populaires. Les informations rassemblées sont considérées comme des données non personnelles aux fins du présent Engagement de confidentialité.

Nous pouvons collecter et stocker des informations sur votre utilisation de nos services, notamment les recherches que vous effectuez. Ces informations peuvent être utilisées pour améliorer la pertinence des résultats fournis par nos services. Elles ne sont pas associées à votre adresse IP, excepté dans de rares cas afin d’assurer la qualité de nos services sur Internet.

Avec votre consentement explicite, nous pouvons collecter des données sur la façon dont vous utilisez votre appareil et vos applications afin d’aider les développeurs à améliorer leurs apps.

Si nous associons des données non personnelles à des données personnelles, les données ainsi combinées sont traitées comme des données à caractère personnel tant qu’elles restent associées. »

« Nous traitons les données collectées par les cookies et autres technologies comme des données non personnelles. Toutefois, si les adresses IP (Internet Protocol) ou des identifiants similaires sont considérés comme des données personnelles par la loi locale, nous traitons également ces identifiants comme des données personnelles.

De la même manière, si des données non personnelles sont associées à des données personnelles, nous traitons les informations ainsi associées comme des données personnelles aux fins du présent Engagement de confidentialité. »

« Pour fournir des services de géolocalisation sur les produits Apple, Apple et ses partenaires et licenciés [VERSION DU 9 mai 2019 : « tels que les fournisseurs de données de cartographique »] peuvent recueillir, utiliser et partager des données de localisation précises, notamment la localisation géographique en temps réel de votre ordinateur ou appareil Apple. Le cas échéant, les services de géolocalisation peuvent utiliser le GPS, le Bluetooth et votre adresse IP, ainsi que les emplacements des bornes Wi-Fi communautaires et des antennes relais, ou encore d’autres technologies afin de déterminer la localisation approximative de vos appareils. Sauf consentement de votre part, ces données de localisation sont collectées anonymement dans un format ne permettant pas de vous identifier. »

« Si vous activez l’option Suivi publicitaire limité sur votre appareil mobile, les apps tierces ne peuvent pas utiliser l’identifiant publicitaire (un identifiant d’appareil non personnel) pour diffuser des annonces ciblées. »

Apple Music et la confidentialité : « Lorsque vous créez un profil sur Apple Music, nous vous recommandons d’autres abonnés à Apple Music avec lesquels vous pourriez devenir ami. Apple ne collecte et ne stocke aucune information concernant vos contacts lors de la recherche d’amis à recommander. Seuls des hachages abrégés et chiffrés des numéros de téléphone et adresses e-mail de vos contacts sont envoyés à Apple ; les abonnés à Apple Music correspondants à recommander sont ensuite recherchés localement sur votre appareil. »

« Il est possible que nous recueillions, utilisions, transférions ou divulguions des informations non personnelles, quel que soit le motif. Par exemple, nous sommes susceptibles d’agréger vos données non personnelles et celles d’autres utilisateurs d’Apple Music dans le but d’améliorer le service. »

« Nous sommes tenus de communiquer certaines informations non personnelles relatives à votre emploi d’Apple Music à des partenaires du service, tels que des maisons de disque, de sorte qu’ils puissent évaluer leurs performances, satisfaire aux normes comptables et régler les droits d’auteurs dus, de même qu’améliorer leurs produits et services. Nous communiquons également aux artistes des statistiques d’écoute et démographiques (comme l’âge et le sexe des utilisateurs) non personnelles agrégées pour leur permettre de mieux cerner leur public. »

L’association expose que les clauses critiquées n’informent pas l’utilisateur sur ce qu’est une donnée à caractère personnel au sens de l’article 4.1 du RGPD, à savoir une donnée pouvant être rattachée à une personne physique identifiable, y compris par combinaison avec d’autres données, et ce, par opposition aux données anonymes ou anonymisées. Elle se réfère à l’appui de sa demande et des avis des autorités de contrôle européennes (Avis « wp136 » sur le concept de données à caractère personnel du G29 (groupe de travail de l’article 29)).

Elle reproche aux clauses d’entretenir une confusion permanente sur le caractère personnel ou non des données de l’utilisateur qu’elle collecte, la société ADI se réservant la faculté d’interpréter la qualification de données à caractère personnel, notamment en présence de données prétendument techniques relatives au terminal de l’ordinateur de l’utilisateur, de son adresse IP, qui varierait, selon une des clauses critiquées, en fonction de la « loi locale ».

Elle affirme, en renvoyant à la décision de la Cour de justice de l’union européenne prise à propos de l’adresse IP d’un terminal (CJUE C- 582/24 du 19 octobre 2016), qu’il revient au responsable du traitement de se conformer aux lois des pays où il a choisi d’opérer, qu’il doit adapter l’information fournie le cas échéant.

Elle observe que les clauses ne donneraient pas non plus d’information sur ce en quoi consiste les données non personnelles « associées » par la société ADI avec ses données personnelles.

Elle précise, en s’appuyant sur la décision du Conseil d’État (décision n° 393714, 9^ème  et 10^ème chambre réunies du 8 février 2017 (JC Decaux)), que le hachage ou la troncature de données à caractère personnel comme les numéros de téléphone et les adresses e-mail des contacts de l’utilisateur ne rendent pas anonymes ces données.

Elle relève, en se référant aux décisions de mise en demeure de la CNIL (MED n° 2018-022 et MED 2018-023 du 25 juin 2018), prises en matière de traceur SDK et de données de géolocalisation, que l’« identifiant publicitaire » – comme celui mis en œuvre par la société ADI -, ne doit être traité que comme une donnée à caractère personnel de même que les données de géolocalisation d’un terminal mobile dans la mesure où ils permettent d’identifier l’utilisateur du terminal concerné.

Elle fait valoir que les clauses critiquées sont de nature à créer un déséquilibre significatif entre les droits et les obligations des parties au contrat, en laissant croire à l’utilisateur que la société ADI, en sa qualité de professionnel, peut s’affranchir de son obligation d’informer l’utilisateur de la collecte, de l’utilisation ou du partage de ses données à caractère personnel et sont donc abusives au sens de l’article L. 212-1 du code de la consommation.

Elle ajoute qu’en utilisant à dessein un vocabulaire imprécis, en faisant référence à des notions juridiques hors de portée de l’utilisateur moyen, ces clauses ont pour objet ou pour effet de conférer à la société ADI le droit exclusif d’interpréter ces clauses et en déduit qu’elles sont présumées abusives de manière irréfragable au sens de l’article R. 212-1 du code de la consommation.

La société ADI affirme que le document « Apple Music et confidentialité » est le seul document qui s’applique de façon spécifique au service Apple Music. Elle précise que ce document est parfaitement clair sur le fait qu’elle est amenée à collecter et à traiter, dans le cadre des services et produits qu’elle propose, des données ayant un caractère personnel au sens de la règlementation.

Elle explique que la documentation d’information d’ADI sur le traitement des données à caractère personnel n’a pas de valeur contractuelle. Elle soutient que les informations qu’elle fournit sur le traitement des données personnelles s’adressent à des personnes situées dans des pays différents, y compris des pays non membres de l’Union Européenne. Elle ajoute que c’est pour cette raison que doit être précisé que certaines données, telle l’adresse IP, peuvent ne pas être considérées comme des données personnelles selon la législation applicable. Elle rappelle que la notion de « donnée à caractère personnel » fait l’objet d’une définition dans l’article 4 du RGPD ; qu’elle ne peut donc pas faire l’objet d’un quelconque droit exclusif d’interprétation.

Elle assure que les documents d’information aux personnes concernées ou les Conditions d’Utilisation des services Apple Media n’affirment à aucun moment, que les données techniques ne constituent pas des données à caractère personnel.

Elle fait valoir que lorsqu’un utilisateur lui demande une copie de ses informations personnelles en utilisant le portail « Données et Confidentialité » https://privacy.apple.com/, elle lui communique toutes les informations dont elle dispose sur lui pour l’utilisation du service Apple Music.

Elle réfute l’affirmation de l’association UFC selon laquelle elle s’abstiendrait d’informer l’utilisateur de l’existence d’une collecte de données à caractère personnel et qu’elle utiliserait un vocabulaire imprécis.

[*]

Aux termes de l’article 4.1 du RGPD constituent des données à caractère personnel, toute information se rapportant à une personne physique identifiée ou identifiable, la « personne physique identifiable » étant une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou social.

Au sens du 30ème considérant du RGPD, constituent des données à caractère personnel les traces laissées par les appareils, applications, outils et protocoles que les personnes physiques utilisent, comme les identifiants en ligne, les adresses IP et des témoins de connexion (« cookies ») ou autres identifiants, comme par exemple des étiquettes d’identification par radiofréquence, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs et qui peuvent servir à créer des profils de personnes physiques et à identifier ces personnes.

Ainsi, contrairement à ce qu’affirme la société ADI au sein des clauses critiquées et dans ses conclusions, constituent des données à caractère personnel au regard des dispositions du RGPD et notamment de son considérant no 30, les informations collectées et « rassemblées » par la société ADI comme la langue, le code postal, l’indicatif régional, l’identifiant unique de l’appareil, l’URL de référence, les informations techniques concernant le dispositif de l’utilisateur, son système, son logiciel d’application, les périphériques qu’il utilise, le lieu et le fuseau horaire, les activités de navigation de l’utilisateur (c’est-à-dire les recherches que l’utilisateur du service effectue sur le site web d’Apple Music, les services iCloud, l’iTunes Store, l’App Store, le Mac App Store, l’App Store de l’Apple TV, les iBooks Stores et sur d’autres produits et services d’Apple), bien que ces données personnelles soient considérées au sein de la clause comme des données non personnelles « au sens de son Engagement de confidentialité ».

Par ailleurs, la société ADI ne peut, sans se contredire, affirmer dans ses conclusions et suggérer dans la clause critiquée, que des données comme l’adresse IP peuvent ne pas être considérée comme des données à caractère personnel selon la législation applicable, tout en mentionnant dans ses Conditions d’Utilisation d’Apple Music d’une part que le service Apple Music n’est disponible qu’en France (Pièce UFC n° 4 et 5) et d’autre part que la France est désignée comme pays de résidence fiscale de l’utilisateur lors de la création d’un compte par l’utilisateur des services en France (Conditions générales des services Apple Media du 13 mai 2019, Pièce UFC n° 17). Il ne subsiste dès lors aucun doute sur le fait que les documents contractuels produits au débat ont été conçus et rédigés à la seule adresse des utilisateurs français du service, lesquels bénéficient, non pas d’une « loi locale », mais de la protection des données à caractère personnel instituée par le RGPD.

De la même manière, et contrairement aux allégations de la société ADI, (cf. « Nous traitons les données collectées par les cookies et autres technologies comme des données non personnelles »), la société Apple, ses partenaires et ses licenciés recueillent, utilisent (collecte et traite) via des cookies et autres technologies comme le GPS, le Bluetooth, les emplacements des bornes Wi-Fi communautaires, les antennes relais ou d’autres technologies, des données à caractère personnel comme l’adresse IP de l’utilisateur, des données de localisation précises relatives aux appareils de l’utilisateur, notamment des données permettant la localisation géographique en temps réel de l’ordinateur ou appareil Apple de l’utilisateur et de déterminer la localisation approximative des appareils de l’utilisateur, et ce, sans son accord préalable, sans information claire et complète sur les finalités d’un tel accès à ses données à caractère personnel, pour « fournir des services de géolocalisation sur les produits », produits dont on déduit à la lecture de la clause qu’il s’agit de produits Apple et de produits proposés par les partenaires et licenciés d’Apple, initiateurs et bénéficiaires de la collecte des données précitée.

De plus, la clause issue du document « Apple Music et la confidentialité » révèle, dans l’hypothèse d’une telle collecte des données de géolocalisation de l’ordinateur ou appareil Apple de l’utilisateur (cf. « la localisation géographique en temps réel »), que les « apps tierces », c’est-à-dire les applications tierces installées sur l’appareil de l’internaute ou du « mobinaute » par les entreprises partenaires d’Apple, ne peuvent utiliser l’« identifiant publicitaire » qu’à la condition que l’utilisateur active la fonction « l’option Suivi publicitaire limité » sur son appareil, c’est-à-dire qu’il y désactive précisément cet « identifiant publicitaire », préalablement déposé et activé par défaut sur son appareil. L’identifiant d’« appareil », considéré par la société ADI) comme non personnel consiste en réalité en un cookie déposé sur l’appareil de l’utilisateur, susceptible d’être couplé avec l’identifiant Apple de l’utilisateur et utilisé pour diffuser des annonces ciblées.

En définitive, à la lecture de cette seule clause et dans de telles circonstances de traitement de données de géolocalisation aux fins de « marketing ciblé », l’utilisateur ne dispose que d’un droit d’opposition, formulé a posteriori, sur la collecte et l’utilisation de ses données à caractère personnel, opérée sans son consentement explicite, celui-ci étant présumé avoir été donné d’emblée par l’utilisateur à Apple ainsi qu’à ses partenaires et ses licenciés, cette pratique entrant en contrariété avec les dispositions de l’article 82 de la LIL, (cf. les clauses relatives aux cookies critiquées en point 15, Partie III-B de la présente décision).

Il n’en pas autrement de l’ensemble des « témoins de connexion », c’est à- dire de l’ensemble des traceurs, déposés et/ou lus sur l’ordinateur, le téléphone mobile, la tablette ou l’objet connecté de l’utilisateur, à l’occasion de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile (cf. Conseil d’État n°412589 du 06 juin 2018, RGPD, considérant no 30). Ces témoins de connexions constituent des données à caractère personnel au sens de l’article 4.1 du RGPD.

Alors que nombre de données à caractère personnel de l’utilisateur sont collectées (« recueillies », « utilisées » et « partagées ») via des cookies ou autres dispositifs de connexion, la clause extraite des « Conditions d’utilisation », prévoit que l’utilisateur accepte (cf. « Vous acceptez (…) »), que le concédant (c’est-à-dire la société ADI, (Apple)), responsable du traitement au sens de l’article 4-7 du RGPD, puisse « collecter et utiliser des données techniques et toute information associée », en s’abstenant de fournir une information concise, transparente, compréhensible et aisément accessible aux personnes concernées par application des articles 12, 13, 14 du RGPD, lesquels imposent une obligation de transparence aux responsables du traitement. De sorte que l’utilisateur du service n’ayant pas été correctement informé de la collecte du traitement de ses données à caractère personnel et de ses modalités n’a pu en conséquence donner son consentement à ce traitement.

Par ailleurs, le procédé de « hachage » d’e-mail abrégés et chiffrés des numéros de téléphone et adresses e-mail des contacts de l’utilisateur, dont la société ADI affirme qu’ils sont les seuls à être envoyés à Apple, ne vise qu’à empêcher l’accès des tiers aux données, en laissant le responsable du traitement en mesure de procéder à l’identification des personnes concernées et en lui permettent de corréler des données relatives à un même individu et d’inférer des informations le concernant.

En présumant l’acceptation de l’utilisateur à la collecte de ses données à caractère personnel et à ses modalités, en s’abstenant d’informer l’utilisateur de l’existence de cette collecte, le consentement de l’utilisateur n’ayant été ni informé ni recueilli, la clause contrevient aux dispositions des articles 4, 12, 13 et 14 du RGPD.

L’association soutient également que les clauses critiquées utilisent un vocabulaire imprécis, en faisant référence à des notions juridiques hors de portée de l’utilisateur moyen ; qu’elles ont de ce fait pour objet ou pour effet, de conférer à la société ADI un droit exclusif d’interpréter ces clauses.

La société ADI réplique que cet argument ne fait l’objet d’aucune démonstration de la part de l’association UFC-QUE CHOISIR sur la prétendue imprécision des termes employés dans la clause. Toutefois, à l’évidence, en employant une terminologie imprécise : « y compris, notamment » ; « ainsi que d’autres services (le cas échéant) », tels que « , peuvent », « pouvons » (« collecter », « recueillir », « utiliser », « partager », « stocker » (des données)) « , « il est possible que nous » (recueillions, utilisions, transférions ou divulguions (des données)) ou non définie (« données techniques », « informations techniques » « toute information associée « , « le concédant » (la société ADI)), les clauses critiquées ne sont ni claires ni compréhensibles.

Au surplus, la clause ne répond pas non plus aux exigences de clarté et de compréhensibilité des dispositions contenues dans l’article L. 211-1 du code de la consommation, lorsqu’elle applique de manière inexacte voire trompeuse la double qualification d’ »option » et de « limité » au suivi publicitaire dont l’utilisateur fait l’objet par défaut (cf. « option suivi publicitaire limité »). En effet, l’« identifiant publicitaire », préinstallé sans information préalable et sans son consentement sur son appareil via un cookie, permet l’envoi de publicités ciblées. L’activation de cette « option » ne limite donc pas le suivi publicitaire mais de fait l’interdit, en permettant à l’utilisateur de s’opposer à ce suivi publicitaire.

En laissant croire à l’utilisateur que la qualification de données à caractère personnel reviendrait au seul opérateur de la plate-forme numérique (cf. « Les informations rassemblées sont considérées comme des données non personnelles aux fins du présent Engagement de confidentialité »), en présentant des exemples de données comme des données non personnelles, alors qu’il s’agit de données à caractère personnel, en suggérant à l’utilisateur qu’il ne peut s’opposer à une telle collecte (cf. « Vous acceptez que », « Nous collectons », « Nous pouvons recueillir, utiliser, transférer et divulguer » (…)), les clauses soumises à la critique sont d’une part abusives en ce qu’elles créent un déséquilibre significatif entre les droits et obligations des parties au contrat au détriment du consommateur au regard de l’article L. 212-1 du code de la consommation et d’autre part irréfragablement abusives au regard de l’article R. 212-1 4°) du code de la consommation, en ce qu’elles ont pour objet ou pour effet de conférer au professionnel un droit exclusif d’interpréter une clause ambiguë dans le sens qui lui serait le plus favorable.

En conséquence, les clauses précitées, illicites au regard des articles L. 211-1 du code de la consommation, des articles 4, 12, 13, 14 du RGPD, sont abusives au regard des articles L. 212-1 et R. 212-1 4°) du code de la consommation. Elles seront donc réputées non écrites.

 

(b) Sur l’identité du responsable des traitements (Point 3, Partie III-B) :

Engagement de Confidentialité :

« Les données personnelles, relatives aux services Apple, concernant les personnes résidant dans un État membre de l’Espace économique européen et en Suisse, sont contrôlées par Apple Distribution International en Irlande, et traitées pour son compte par Apple Inc. Apple utilise des clauses contractuelles types approuvées pour le transfert international des données personnelles collectées dans l’Espace économique européen et en Suisse. En tant qu’entreprise internationale, Apple possède de nombreuses entités juridiques situées au sein de différentes juridictions qui sont responsables des données personnelles qu’elles collectent et qui sont traitées en leur nom par Apple Inc. Par exemple, les informations sur le point de vente au sein de nos entités commerciales situées en dehors des États-Unis sont contrôlées par les entités commerciales individuelles dans chaque pays. Les données personnelles associées à Apple, au magasin [VERSION DU 9 mai 2019 : « à l’Apple Store »] en ligne et à iTunes peuvent également être contrôlées par des entités juridiques en dehors des États-Unis, tel que cela est spécifié dans les Conditions d’Utilisation de chaque service ».

L’association reproche à cette clause d’être vague et imprécise, les informations délivrées ne permettant pas à l’utilisateur d’identifier la personne responsable du traitement de ces données. Elle affirme que la société ADI entend par cette clause se décharger de sa qualité de responsable du traitement sur l’utilisateur, en lui faisant croire qu’il est juridiquement responsable du traitement de ses propres données.

Elle en déduit que la clause est abusive en ce qu’elle introduit un déséquilibre significatif au sens de l’article L. 212-1 du code de la consommation entre les droits et obligations de l’utilisateur et d’ADI, en transférant la responsabilité de la société ADI sur l’utilisateur. Pour la société, le responsable de traitement est identifié comme étant la société ADI. Elle rappelle que l’activité d’ADI et du groupe Apple est internationale et qu’il est donc nécessaire d’informer les personnes concernées et utilisateurs des services et produits Apple que l’identité du responsable de traitement peut varier selon le pays dans lequel les services ou produits Apple sont fournis. Elle souligne qu’il n’existe aucune obligation règlementaire de prévoir une rédaction spécifique pour chaque pays.

[*]

Aux termes de l’article 2-1 du RGPD toutes informations se rapportant à une personne physique identifiée ou identifiable (la « personne concernée ») constituent des « données à caractère personnel ». La « personne physique identifiable » est une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Au sens de l’article 4-7 du RGPD le responsable du traitement est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre.

Aux termes de l’article 13-1 (a) du RGPD, lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement. L’article 14-1 (a) du même texte prévoie dans l’hypothèse où les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, que le responsable du traitement lui fournit l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement.

En l’espèce, et contrairement à ce que l’association soutient, la clause ne laisse pas croire à l’utilisateur qu’il est juridiquement responsable du traitement de ses propres données, car elle identifie la société Apple Distribution International (ADI) située en Irlande comme le responsable du traitement de ses données à caractère personnel.

En revanche, cette clause ne donne aucun élément de contact lui permettant de joindre le responsable du traitement et, le cas échéant, le représentant du responsable du traitement, la société ADI n’invoquant dans ses conclusions aucune autre clause répondant à cette exigence.

En s’abstenant de fournir comme elle y est contrainte par les articles 13-1 (a) et 14-1 (a) du RGPD, d’indiquer les cordonnées permettant à l’utilisateur de contacter le responsable du traitement, la clause est illicite au regard des articles précités.

Elle sera réputée non écrite de ce chef.

 

(c) Sur la communication de l’identité et les coordonnées du délégué à la protection des données (Point 4, Partie III-B) :

Engagement de Confidentialité (version du 22 mai 2018 et version du 9 mai 2019 :

« Si vous avez des questions ou des inquiétudes concernant l’Engagement de confidentialité Apple ou le traitement des données, vous pouvez contacter notre délégué européen à la protection des données ».

L’association affirme que cette clause ne permet pas à l’utilisateur d’identifier et de contacter le délégué à la protection des données. Elle serait illicite au regard de l’article L. 211-1 du code de la consommation et des articles 12, 13 et 14 du RGPD.

La société ADI réplique que s’agissant de la communication avec le public, elle a choisi, comme le permettent expressément les lignes directrices concernant le délégué à la protection de données, de proposer aux personnes concernées une assistance par téléphone et un formulaire de contact spécifique adressé au délégué à la protection de données (DPD), qui est disponible sur son site internet.

Elle produit à ce titre la clause – complétée d’une phrase comprenant deux liens hypertextes – qui permet selon la société ADI de contacter le DPD : « Si vous voulez signaler une possible violation des lois locales relatives à la confidentialité, veuillez nous contacter. Vous pouvez toujours nous contacter par téléphone au numéro de l’assistance Apple correspondant à votre pays ou région. »

[*]

Aux termes de l’article 13-1 (b) du RGPD lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, le cas échéant, les coordonnées du délégué à la protection des données, l’article 14-1 (b) du RGPD prévoyant de la même manière que lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes le cas échéant, les coordonnées du délégué à la protection des données.

Contrairement à ce qu’affirme l’association UFC-QUE CHOISIR, les articles 13-1 (b) 14-1 (b) du RGPD n’exigent pas que le responsable du traitement mentionne l’identité du délégué à la protection des données.

En revanche, ces deux articles imposent au responsable du traitement de fournir les coordonnées du délégué à la protection des données, le verbe « fournir » impliquant que l’information doit être délivrée par le responsable du traitement et qu’il ne revient pas à la personne concernée (l’utilisateur) de la quérir.

Tel n’est pas le cas de la clause qui contraint l’utilisateur à prendre l’initiative de cliquer sur l’un et/ou l’autre des deux liens hypertexte non explicites présentés dans la clause critiquée, à savoir « nous contacter » et « assistance Apple », dans l’hypothèse unique où l’utilisateur voudrait « signaler » à la société ADI, responsable du traitement de ses données à caractère personnel (et non le DPD), « une possible violation des lois locales relatives à la confidentialité », l’article 38-4 du RGPD permettant aux personnes concernées par le traitement de prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l’exercice des droits que leur confère le RGPD.

En s’abstenant de fournir à l’utilisateur, comme le prévoient les articles 13-1 (b) et 14-1 (b) du RGPD, les cordonnées lui permettant de contacter le délégué à la protection des données, la clause est illicite au regard des articles précités.

En s’abstenant de délivrer les informations de contact permettant à l’utilisateur d’exercer ses droits à la protection de ses données à caractère personnel, la clause est illicite au regard de l’article L. 211-1 du code de la consommation, imposant au professionnel une rédaction claire et compréhensible des clauses du contrat qu’il propose au consommateur.

La clause critiquée, illicite au regard des articles 13-1 (b) et 14-1 (b) du RGPD, est illicite au regard de l’article L. 212-1 du code de la consommation.

Elle sera donc réputée non écrite.

 

(d) Sur les finalités de traitement (Point 5, Partie III-B) :

Engagement de Confidentialité : « Nous pouvons également utiliser les données personnelles à des fins internes, par exemple pour des audits, analyses de données et recherches dans le but d’améliorer les produits, services et communications clients d’Apple. » ;

« Dans certaines juridictions, nous pouvons vous demander une pièce d’identité officielle, mais uniquement dans certains cas, par exemple, lors de l’ouverture d’un compte mobile et de l’activation de votre appareil, lors de la décision d’étendre un crédit commercial, pour gérer des réservations, ou encore si la loi l’exige. »

« À des fins de recherche et développement, nous pouvons utiliser des ensembles de données tels que ceux contenant [VERSION DU 9 mai 2019 : « telles que celles qui contiennent »] des images, voix ou autres données pouvant être associées à une personne identifiable. »

« Nous utilisons également vos données personnelles pour créer, développer, utiliser, livrer et améliorer nos produits, services, contenus et publicités, et à des fins de prévention des pertes et de lutte contre la fraude. Nous pouvons aussi utiliser vos données personnelles dans des objectifs de sécurité des comptes et réseaux, notamment afin de protéger nos services pour le bénéfice de tous nos utilisateurs [VERSION DU 9 mai 2019 : « ainsi que filtrer et analyser tout contenu chargé pour nous assurer qu’il ne contient pas de contenus illégaux, tels que des abus sexuels sur mineurs »]. Lorsque nous utilisons vos données à des fins de lutte contre la fraude, c’est suite à une transaction en ligne auprès de nous. Nous limitons notre utilisation des données à des fins de lutte contre la fraude aux données strictement nécessaires et dans le cadre de nos intérêts légitimes estimés afin de protéger nos clients et nos services. Pour certaines transactions en ligne, nous pouvons également vérifier les informations que vous nous avez fournies auprès de sources publiquement disponibles. »

« Nous pouvons également divulguer vos données [VERSION DU 9 mai 2019 : « des informations vous concernant »] si nous pensons qu’à des fins de sécurité nationale, d’application de la loi ou autre sujet d’intérêt public, la divulgation est nécessaire ou appropriée. »

« Apple peut parfois mettre certaines données personnelles à la disposition de partenaires stratégiques travaillant avec Apple pour la fourniture de produits et services, ou aidant Apple à commercialiser ses produits auprès des clients. Par exemple, lorsque vous achetez et activez votre iPhone, vous autorisez Apple et votre opérateur à échanger les informations que vous divulguez pendant la procédure d’activation afin d’exécuter le service. »

L’association reproche aux clauses critiquées d’évoquer des finalités vagues, peu explicites et indéterminées, par le recours systématique à des énumérations non exhaustives, qui ne permettent pas à l’utilisateur de connaître l’étendue de l’utilisation des données à caractère personnel le concernant. Elle ajoute que ces formulations parcellaires et trop générales contreviennent à l’impératif de bonne information de l’utilisateur. Elle en conclue que ces clauses doivent être déclarées illicites comme contraires aux dispositions des articles 12, 13, 14 du RGPD, de l’article 32 de la Loi Informatique et Libertés et de l’article L. 211-1 du code de la consommation et abusive au regard de l’article R. 212-1 du code de la consommation, en ce qu’elles confèrent à la société ADI le pouvoir exclusif d’interpréter les hypothèses, dans lesquelles elle utilisera ou non les données à caractère personnel des utilisateurs pour telle ou telle fin.

La société ADI rappelle que les critiques de l’association UFC-QUE CHOISIR portent sur l’Engagement de confidentialité, document d’information non spécifique au service Apple Music ne présentant pas de lien avec le service, parce qu’il comprend des informations nécessairement générales. Elle soutient que seul le document spécifique « Apple Music et confidentialité » doit être pris en considération. Elle ajoute que ce document liste les finalités des traitements des données personnelles des personnes concernées sous forme de « bullet points » (c’est-à-dire des puces) pour fournir l’information relative aux finalités de traitement d’une manière pédagogique de la façon la plus simple possible, en donnant des exemples pratiques afin de permettre aux personnes concernées de comprendre rapidement et exactement la finalité visée.

Elle reproche à l’association, s’agissant de l’Engagement de confidentialité, d’avoir une interprétation personnelle et particulièrement excessive des exigences de la réglementation relative à l’information des personnes concernées sur le traitement de leurs données à caractère personnel et ajoute que l’information qu’elle fournit dans l’engagement de confidentialité est tronquée. Elle produit à l’appui de son affirmation, une clause de l’Engagement de confidentialité qui, selon elle, liste « les finalités » (conclusions ADI, page 141).

Elle conteste l’utilité de répondre clause par clause au caractère prétendument parcellaire des finalités communiquées aux personnes concernées dans l’Engagement de confidentialité, dans la mesure où a été mise en place par la société une logique d’information consistant en une approche sur plusieurs niveaux qui a pour effet de fournir une information générale dans l’Engagement de confidentialité laquelle est précisée dans le document « Apple Music et confidentialité » pour le service « Apple Music » (conclusions ADI p. 142/203). Aux termes de l’article 5 du RGPD, les données à caractère personnel des personnes concernées doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée (article 5-1, a)) ; être collectées pour des finalités déterminées, explicites et légitimes ; ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités, pour lesquelles elles sont traitées (principe de minimisation des données, article 5-1 c), le responsable du traitement, responsable du respect du paragraphe 1 du même article, devant être en mesure de démontrer que celui-ci est respecté (principe de responsabilité, article 5-2).

[*] [N.B. le paragraphe qui suit semble marquer le début de la réponse du Tribunal]

De la même manière, l’article 4 de la Loi Informatique et Libertés, entrée en vigueur le 1er juin 2019, prévoit que les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée (1°), collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités (2°), être adéquates et pertinentes et, au regard des finalités pour lesquelles elles sont traitées, limitées à ce qui est nécessaire.

Les articles 13 et 14 du RGPD disposent que lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne (article 13-1 (c)), et lorsqu’elles n’ont pas été collectées auprès de la personne concernée (article 14-1 (c)), le responsable du traitement lui fournit, au moment où les données en question sont obtenues (article 13-1), l’information sur les finalités du traitement auquel sont destinées les données à caractère personnel, ainsi que la base juridique du traitement.

Il ressort des articles précités que les principes de licéité, de loyauté et de transparence, qui gouvernent les règles protectrices des données à caractère personnel de la personne physique, imposent au responsable du traitement qu’il informe la personne concernée par le traitement de la finalité de ce traitement et que ses données, collectées initialement dans un but déterminé et légitime, ne soient pas traitées ultérieurement de manière incompatible avec l’objectif initial.

 

(i) Sur l’information concernant les finalités :

La lecture des clauses figurant dans le document intitulé « Apple Music et confidentialité », produit par la société ADI (conclusions Adi, page 138), montre que ce document a pour objet de décrire les fonctionnalités du service et la collecte des données à caractère personnel de l’utilisateur effectuée dans le cadre du service Apple Music par la société ADI et de permettre la personnalisation de ces fonctionnalités en fonction des goûts musicaux des utilisateurs, et ce, afin à la fois d’analyser leur comportement et d’améliorer le service.

Elles envisagent ainsi, lors de la création du profil par l’utilisateur, la collecte de données à caractère personnel telle que son nom, sa photo et « d’autres informations » (sans plus de précisions). Elles évoquent également, la collecte et le traitement, lors de l’exécution du service, d’informations relatives à ses goûts musicaux, mais également la collecte d’informations liées à son compte, son adresse IP, son appareil, l’« app ou l’accessoire auto », utilisé lors de la lecture de morceaux de musique, l’heure et la durée de lecture, c’est-à-dire une collecte de données fondée sur sa navigation sur le site. Ces données, qui constituent autant de données à caractère personnel de l’utilisateur, sont, selon les termes de la clause, stockées dans le compte de l’utilisateur à la fois pour qu’il puisse y accéder au service depuis n’importe quel appareil et pour que la société puisse analyser son comportement et améliorer le service.

Pour leur part, la clause critiquée, extraite de l’Engagement de confidentialité conçoit l’utilisation par la société ADI, d’« ensembles de données » des utilisateurs, contenant (cf. « tels que ») des images, des voix ou « d’autres données » (sans plus de précisions). Ces données constituent également des données à caractère personnel au sens de l’article 4 du RGPD, parce qu’associées à la personne concernée (l’utilisateur). Selon la clause, elles sont collectées (et par suite traitées) pour des finalités de recherche et développement, pour la création, le développement, l’utilisation, la livraison, l’amélioration des produits, des services, des contenus et des publicités d’Apple, pour prévenir les pertes (?) et pour lutter contre la fraude.

Il ressort de ce qui précède, que les finalités évoquées dans l’ensemble des clauses produites au débat sont formulées de manière indéterminée et confuse.

En effet, les finalités de traitement des données à caractère personnel de l’utilisateur, telles qu’exprimées dans la clause critiquée, ne lui permettent pas de distinguer celles qui relèvent strictement du fonctionnement du service (adéquation du service à ses goûts musicaux), de celles qui relèvent du développement commercial de l’entreprise ADI et de celles qui permettent à la société d’envoyer à destination une publicité ciblée, effectuée à partir de l’analyse de son comportement et de ses données personnelles collectées lors de la création du compte et de l’utilisation du service.

Ces ultimes finalités sont dès lors incompatibles avec les finalités de traitement initiales déterminées, explicites et légitimes qu’un responsable du traitement, fournisseur d’un service de streaming musical en ligne, pourrait mettre en œuvre, d’autant que certaines données à caractère personnel ont pu avoir été collectées indirectement sans le consentement informé et explicite de l’utilisateur, au moment de son inscription sur le site ou au cours de l’utilisation du service (cf. les clauses relatives aux cookies, point 15, partie III-B de la présente décision).

Parce qu’elles octroient à la société ADI la faculté de collecter des données à caractère personnel de l’utilisateur sans l’informer clairement et avec complétude des finalités de cette collecte et de la possibilité de s’y opposer, les clauses critiquées sont illicites au regard des articles 4, 5, 13 et 14 du RGPD.

 

(ii) Sur la clarté et la compréhensibilité des clauses critiquées et sur leur caractère abusif :

Au sein de la clause, les termes ou expressions (cf. « par exemple », « notamment », « tels que », employés pour évoquer les données collectées par la société ADI à l’occasion de la création du compte par l’utilisateur et de l’exécution du contrat de streaming musical qu’il a souscrit permettent une énumération non exhaustive des finalités de traitement des données à caractère personnel des utilisateurs envisagées par la société.

De même l’utilisation d’expressions imprécises ou non précisées (cf. « certaines (transactions) », « pouvons », « peut parfois », « sources publiquement disponibles ») conduisent à créer une incertitude quant au volume des données collectées. Cette incertitude est incompatible avec la notion de finalité déterminée et explicite contenue dans l’article 5 du RGPD.

En conséquence, les clauses critiquées ne permettent donc pas à l’utilisateur d’appréhender concrètement l’utilisation qui pourrait être faite à l’avenir de ses données à caractère personnel. Ces clauses sont donc illicites au regard de l’article L. 211-1 du code de la consommation qui impose une rédaction claire et compréhensible des clauses proposés par un professionnel au consommateur.

Du fait de l’imprécision de leur rédaction, ces clauses sont également abusives au sens de l’article R. 212-1 4°), car elles ont pour objet ou pour effet de conférer au seul professionnel le droit exclusif d’interpréter une quelconque clause du contrat.

En conséquence, la clause critiquée, illicite au regard des articles 4, 5, 13, 14 du RGPD et de l’article L. 211-1 du code de la consommation, et abusive au regard de l’article R. 212-1 4°) sera réputée non écrites.

 

(e) Sur l’indication des catégories de données collectées auprès de sources tierces (Point 6, Partie III-B) :

Engagement de Confidentialité : « À des fins de recherche et développement, nous pouvons utiliser des ensembles de données tels que ceux contenant [VERSION DU 9 mai 2019 : « telles que celles qui contiennent »] des images, voix ou autres données pouvant être associées à une personne identifiable. » « Il peut nous arriver de recevoir des données personnelles vous concernant par le biais de tiers, si ces personnes partagent leur contenu avec vous à l’aide de produits Apple, vous envoient des chèques cadeaux et des produits, ou vous invitent à participer à des services ou forums Apple. Nous pouvons également vérifier les informations que vous nous fournissez lorsque vous créez un identifiant Apple avec un tiers, dans un objectif [VERSION DU 9 mai 2019 : « à des fins »] de sécurité et de prévention de la fraude. »

L’association UFC-QUE CHOISIR reproche à la clause critiquée lorsque des données à caractère personnel ne sont pas collectées directement auprès de l’utilisateur mais auprès d’une source tierce, de ne lui fournir aucune information sur la nature des données ainsi collectées. Elle affirme que la clause est illicite au regard des article 12, 14 et L. 211-1 du code de la consommation.

La société ADI s’appuie sur le document « Apple Music et confidentialité » et estime que ce document mentionne de manière précise le cas spécifique dans lequel elle est susceptible des données personnelles de l’utilisateur de la part d’une source tierce.

Selon la société la source tierce peut être des opérateurs de téléphonie, qui proposent des abonnements à Apple Music, la donnée personnelle collectée par ADI étant le numéro de téléphone de l’utilisateur d’Apple Music.

Elle affirme n’être donc pas tenue de communiquer aux personnes concernées des informations dont la société ADI ne dispose pas encore puisque la collecte indirecte de données personnelles n’est pas systématique et ne concerne pas nécessairement tous les utilisateurs.

Elle fait valoir que l’obligation d’informer des catégories de données susceptibles d’être recueillies auprès de sources tierces et de l’identité de ces sources tierces n’est effective, qu’une fois la collecte indirecte effectuée conformément au point 3 de l’article 14 du RGPD.

[*]

Au sens de l’article 4-1 du RGPD, toute information se rapportant à une personne physique identifiée ou identifiable est une donnée à caractère personnel. La personne physique identifiable est une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

L’article 12-1 du RGPD prévoit que le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 (…) en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.

L’article 14-1 du RGPD impose au responsable du traitement de fournir à la personne concernée par le traitement, lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, l’identité et les coordonnées du responsable du traitement et, le cas échéant (a), les coordonnées du délégué à la protection des données (b), les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement (c) ; les catégories de données à caractère personnel concernées (d), le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel (e), le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition (f).

En l’espèce, la généralité des termes employés dans la clause critiquée, qui énonce qu’il « peut » arriver à la société ADI de recevoir de la part de tiers, des données à caractère personnel concernant l’utilisateur, en cas de « partage » (de collecte et de transfert) de « contenu » de ces tiers avec l’utilisateur (cf. « si ces personnes partagent leur contenu avec l’utilisateur à l’aide de produits Apple »), dépasse largement le cadre restreint de l’hypothèse, évoquée dans ses conclusions par la société ADI, selon laquelle le transfert de donnée à caractère personnel au sens de l’article 4 du RGPD collectée par un tiers se résumerait à la transmission du seul numéro de téléphone de l’utilisateur collecté par l’opérateur de téléphonie et transmis à la société ADI aux fins de souscription à l’abonnement au service « Apple Music » et de l’exécution de cet abonnement, alors que la clause ci-après critiquée fait état d’« ensemble de données » contenant « des images, voix ou autres données pouvant être associées à une personne identifiable », soit des données à caractère personnel au sens de l’article 2-1 du RGPD, précédemment cité dans le point 2 partie II-B de la présente décision.

Par conséquent, en s’abstenant d’informer l’utilisateur de l’existence de catégories de données à caractère personnel collectées par des tiers et transférées à la société ADI, plaçant l’utilisateur dans l’impossibilité d’en appréhender la nature et le volume, la clause critiquée ne répond pas aux exigences des articles 2-1, 4, 12 et 14 du RGPD. Elle est donc illicite à leur égard.

En s’abstenant d’informer dans le cadre du contrat qui lie la société ADI à l’utilisateur du service qu’elle propose de l’existence d’un transfert à son bénéfice de catégories données à caractère personnel collectées par des tiers, la clause critiquée est également illicite au regard des articles L. 211-1 du code de la consommation.

En conséquence, la clause critiquée, illicite au regard des articles 2-1, 4, 12,14 du RGPD, est également illicite au regard de l’article L. 211-1 du code de la consommation. Elle sera donc réputée non écrite.

 

(f) Sur la communication de l’identité des sources tierces (Point 7, Partie III B) :

Apple Music et confidentialité :

« Nous pouvons également vérifier les informations que vous nous fournissez lorsque vous créez un identifiant Apple avec un tiers, dans un objectif [VERSION DU 9 mai 2019 : « à des fins »] de sécurité et de prévention de la fraude. »

Engagement de Confidentialité :

« Pour certaines transactions en ligne, nous pouvons également vérifier les informations que vous nous avez fournies auprès de sources publiquement disponibles. »

« À des fins de recherche et développement, nous pouvons utiliser des ensembles de données tels que ceux contenant [VERSION DU 9 mai 2019 : « telles que celles qui contiennent »] des images, voix ou autres données pouvant être associées à une personne identifiable. Lorsque nous acquérons ce type d’ensemble de données, nous le faisons conformément à la loi applicable dans la juridiction dans laquelle se trouve l’ensemble de données. »

L’association UFC-QUE CHOISIR reproche à la clause critiquée de n’apporter aucune information sur l’identité des tiers à l’origine de la collecte de données à caractère personnel des utilisateurs du service et de leur transmission à la société ADI.

Elle ajoute que les clauses évoquent la collecte, voire l’achat de fichiers de données auprès de tiers, sans jamais désigner clairement les tiers auprès de qui ces informations sont acquises, les utilisateurs concernés n’étant donc pas en mesure de savoir auprès de qui circulent leurs données à caractère personnel.

Elle en conclue que les clauses sont illicites au regard de l’obligation d’information prévue par l’article 14 du RGPD, du principe de transparence et de collecte loyale respectivement prévus par les articles 12 et 5.1.a) du RGPD et illicites au regard de l’article L. 211-1 du code de la consommation, la société ADI n’apportant aucune information utile à l’utilisateur.

La société ADI réplique que la possibilité pour ADI de vérifier les informations que l’utilisateur lui fournit lorsqu’il créé un identifiant Apple avec un tiers, dans un objectif de sécurité et de prévention de la fraude, n’entre pas dans le cadre d’une collecte indirecte de données personnelles, visée par l’article 14 du RGPD mais d’une vérification de certaines informations, comme cela peut se faire pour la sécurisation des paiements en ligne avec les banques, sans qu’aucune collecte de données personnelles provenant de ces tiers ne soit prévue. Elle rappelle que l’obligation d’informer des catégories de données susceptibles d’être recueillies auprès de sources tierces et de l’identité de ces sources tierces n’est effective qu’une fois la collecte indirecte effectuée conformément au point 3 de l’article 14 du RGPD. Elle maintient qu’elle n’est pas tenue de communiquer aux personnes concernées des informations qu’elles auront simultanément lors des partages de contenu, d’envois de chèques cadeaux ou de produits ou d’invitations par des tiers directement destinées aux personnes concernées ou dont elle ne dispose pas encore puisque la collecte indirecte de données personnelles n’est pas systématique et ne concerne pas nécessairement tous les utilisateurs.

[*]

L’article 5-1 (a) impose au responsable du traitement que les données à caractère personnel soient traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence).

Aux termes de l’article 12-1 du RGPD (« Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée »), le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. L’article 14-2 du RGPD impose au responsable du traitement, lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, de fournir en plus des informations visées au paragraphe 1 (14-1), le responsable du traitement fournit à la personne concernée les informations suivantes nécessaires pour garantir un traitement équitable et transparent à l’égard de la personne concernée : la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée (a) ; lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers (b) ; l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s’opposer au traitement et du droit à la portabilité des données (c) ; lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci (d) ; le droit d’introduire une réclamation auprès d’une autorité de contrôle (e) ; la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public (f) ; l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée (g).

L’article 14-3 impose au responsable du traitement de fournir les informations visées aux paragraphes 1 et 2 (14-1 et 14-2) dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées (a) ; si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne (b) ; ou s’il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois (c).

Il ressort des clauses critiquées qu’elles autorisent la société ADI à vérifier à des fins de sécurité et de prévention de la fraude les informations que l’utilisateur a fourni à la société ADI, lorsque cet utilisateur créé un identifiant Apple avec un tiers.

L’association UFC-QUE CHOISIR ne démontre pas en quoi cette opération de vérification se traduirait en une collecte de données à caractère personnel de l’utilisateur et constituerait un traitement déloyal.

Elle sera donc déboutée de ce chef.

En revanche, la clause selon laquelle la société ADI achète des ensembles de données contenant des données à caractère personnel de l’utilisateur (des images, voix ou autres données pouvant être associées à une personne identifiable) auprès de tiers sans informer l’utilisateur de la collecte indirecte de ces données, de leur traitement et de l’identité des tiers qui cèdent à la société ADI ces données à caractère personnel contre paiement, est illicite comme contraire aux principes de licéité, loyauté, transparence dans le traitement des données à caractère personnel au sens de l’article 5-1 a) du RGPD, de transparence des informations et des communications de l’article 12 et 14 du même texte.

En plaçant l’utilisateur d’un service de streaming musical dans l’impossibilité de connaître auprès de qui transitent ses données à caractère personnel dans le cadre du contrat qui le lie au fournisseur de ce service, la clause est illicite au regard de l’article L. 211-1 du code de la consommation.

En conséquence la clause critiquée est illicite au regard des articles 5-1 a), 12 et 14 du RGPD et de l’article L. 211-1 du code de la consommation. Elle sera donc réputée non écrite.

 

(g) Sur la généralité et l’imprécision des durées de conservation (Point 8, Partie III B) :

Engagement de Confidentialité : « Nous conservons vos données personnelles pendant la durée nécessaire aux finalités décrites dans le présent Engagement de confidentialité et nos récapitulatifs spécifiques aux services. Pour estimer ces durées, nous déterminons avec soin si nous avons besoin de collecter des données personnelles et, si nous établissons un tel besoin, nous les conservons uniquement pendant la durée la plus courte possible nécessaire à la réalisation de l’objectif de la collecte, sauf si une durée de conservation plus longue est requise par la loi. »

Apple Music et la confidentialité :

« Cet indice est stocké pendant une durée déterminée sur nos serveurs. »

« Les informations relatives à votre bibliothèque musicale iCloud vous sont associées pendant toute la durée de votre abonnement et pendant une courte période après sa résiliation. »

« Nous conservons les données concernant les morceaux que vous écoutez pendant les durées spécifiées par les lois en vigueur relatives aux états financiers. »

L’association reproche aux clauses de la « Politique de Confidentialité d’ADI », de ne donner que peu d’informations relatives à la durée de conservation des données à caractère personnel de l’utilisateur, en s’abstenant de se prononcer sur une durée spécifique, en se contentant d’utiliser un vocabulaire imprécis et de formulations vagues telles que « une durée déterminée », ou encore « une courte période ». Elle conclue que ces clauses sont illicites au regard des articles L. 211-1 du code de la consommation, des articles 12, 13 et 14 du RGPD, de l’article 32 de la loi Informatique et Libertés. Elle en déduit que ces clauses, qui conférent à la société ADI la faculté d’interpréter la durée de conservation de ces données, sont présumées abusives de manière irréfragable au sens de l’article R. 212-1 du code de la consommation.

La société ADI répond que la détermination de la durée de conservation et sa communication aux personnes concernées est un exercice complexe et que l’association UFC-QUE CHOISIR ne s’applique pas ses propres critiques dans la mesure où elle ne communiquait pas jusqu’à très récemment la moindre information s’agissant de la durée de conservation des données personnelles qu’elle traite.

Elle ajoute qu’en raison de cette complexité, la communication des durées de conservation pour chaque finalité et pour chaque catégorie de données personnelles n’est pas possible. Elle explique qu’elle a choisi, comme le permet expressément la règlementation, de communiquer aux personnes concernées uniquement les critères utilisés permettant de déterminer les durées de conservation dans le document « Apple Music et confidentialité » et dans l’« Engagement de confidentialité ».

Elle en déduit que les personnes concernées (les utilisateurs) sont informées des critères utilisés par ADI pour les durées de conservation de leurs données personnelles. A ce titre, elle cite le critère de la nécessité de la conservation des données et la durée la plus courte possible nécessaire à la réalisation de la finalité de la collecte, sauf dans le cas où une durée de conservation plus longue est requise par la loi.

Elle réfute l’argument de l’association UFC-QUE CHOISIR selon lequel les informations qu’elle communique lui confèreraient un « droit exclusif d’interpréter » les durées de conservation celles-ci étant déterminées par le responsable de traitement dans les limites fixées par la règlementation.

[*]

S’agissant de l’argument selon lequel l’association UFC-QUE CHOISIR ne s’appliquerait pas ses propres critiques dans la mesure où elle ne communiquait pas jusqu’à très récemment la moindre information sur la durée de conservation des données personnelles qu’elle traite, le Tribunal rappelle qu’il n’est pas saisi de l’examen de la validité des clauses des conditions générales d’abonnement à l’UFC QUE CHOISIR. Le moyen tiré d’une pratique ancienne prétendument inadéquate est donc sans effet.

L’article 5-1 (a) du RGPD impose au responsable du traitement que les données à caractère personnel soient traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) et soient conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (5-1 (e)).

Aux termes des articles 12, 13 et 14 du RGPD, le responsable du traitement informe la personne concernée par le traitement, d’une manière concise, transparente, compréhensible et aisément accessible, en utilisant des termes clairs et simples, en particulier lorsque l’information est destinée spécifiquement à un enfant (art. 12-1), de la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée, et ce, quelles que soient les modalités de cette collecte, qu’elle ait été effectué directement auprès de cette personne (art. 13-2 (a)) ou indirectement (art. 14-2 (a)).

En l’espèce la clause extraite de l’« Engagement de Confidentialité » invoque une durée de conservation « nécessaire aux finalités décrites dans le présent Engagement de confidentialité et (les) récapitulatifs (de la société ADI) spécifiques aux services », la durée de conservation étant estimée (cf. détermin(ée) avec soin) par la société ADI, si (lorsque ?) la société ADI ressent le besoin de collecter des données personnelles, la société les conservant alors pendant « la durée la plus courte possible nécessaire à la réalisation de l’objectif de la collecte, sauf si une durée de conservation plus longue est requise par la loi » (Clause « Engagement de Confidentialité »).

En évoquant une durée de conservation indéterminée pour les données à caractère personnel qu’elle a collectées directement ou indirectement auprès de l’utilisateur, cette durée étant « estimé(e) » par la société ADI en fonction des données personnelles dont elle « détermin(e) avec soin » (cf. dont elle « ressent ») le « besoin » de collecte, en affirmant qu’elle conserve alors ces données pour une durée « nécessaire aux finalités (…) », « pendant une durée déterminée », « pendant une courte période après sa résiliation »), pour une durée « la plus courte possible », ou « pendant les durées spécifiées par les lois en vigueur relatives aux états financiers », les clauses critiquées ne répondent pas aux exigences de transparence, clarté et compréhensibilité posées par les articles 5, 12 à 14 du RGPD.

Ces clauses, illicites au regard des articles 5, 12 à 14 du RGPD, seront réputées non écrites.

 

(h) Sur l’absence d’indication des bases juridiques des différents traitements (Point 9, Partie III B) :

Engagement de Confidentialité :

« Nous pouvons traiter vos données personnelles dans les objectifs décrits dans cet Engagement de confidentialité avec votre consentement, pour nous conformer à une obligation légale à laquelle Apple est soumise ou lorsque nous estimons que cela est nécessaire pour atteindre les objectifs légitimes poursuivis par Apple ou un tiers à qui nous pouvons être amenés à divulguer ces données ».

Selon l’association UFC-QUE CHOISIR, l’Engagement de Confidentialité établi par la société ADI ne respecte pas l’obligation d’information des personnes concernées imposée au responsable du traitement par les articles 13.1 d) et 14.2 b) du RGPD sur les bases juridiques de ce traitement, telles qu’elles sont énoncées à l’article 6 du RGPD.

En conséquence, elle conteste la licéité d’une telle clause en raison des considérations laconiques qu’elle contient, l’utilisateur n’étant pas en mesure d’identifier la base juridique de chaque traitement et par suite de distinguer les traitements qui nécessiteraient un consentement spécifique de l’utilisateur, de ceux qui seraient justifiés par la fourniture technique du service.

Elle fait valoir que faute de connaître cette base juridique, les personnes concernées par le traitement ne sont pas en mesure de savoir à quel traitement elles peuvent ou non s’opposer, sachant que, conformément aux articles 15 à 22 du RGPD, l’utilisateur ne peut pas s’opposer aux traitements des données à caractère personnel nécessaires à l’exécution du contrat, alors qu’il peut s’opposer aux traitements fondés sur une mission d’intérêt public ou sur un intérêt légitime allégué par le responsable du traitement.

Du fait de l’absence d’information sur la base juridique des différents traitements, l’association en déduit que cette clause est illicite comme contraire aux dispositions des articles 12, 13 et 14 du RGPD et de l’article L. 211-1 du code de la consommation.

Elle soutient également que la clause doit être réputée abusive de façon irréfragable au sens de l’article R. 212-1 du code de la consommation, car elle confère à la société ADI le droit exclusif d’interpréter, ce que recouvrent ses obligations légales et ses intérêts légitimes vis-à-vis de l’utilisateur.

Selon la société ADI, la base juridique du traitement est une notion juridique qui devrait être communiquée aux personnes concernées sous une forme compréhensible et pratique. Elle assure qu’elle informe les personnes concernées dans l’Engagement de Confidentialité que le traitement de leurs données personnelles peut avoir comme base juridique, selon le traitement concerné, soit le consentement, soit l’exécution d’un contrat, soit l’obligation légale, soit l’intérêt légitime du responsable de traitement, conformément à l’article 6 du RGPD.

La société explique qu’il est plus pertinent pour les personnes concernées de comprendre ce qu’implique la base juridique du traitement que de s’attacher stricto sensu aux notions juridiques de « consentement », « d’exécution d’une obligation légale ou règlementaire », « d’exécution d’un contrat ou de mesures précontractuelles » ou encore d’ »intérêt légitime du responsable de traitement ou d’un tiers ».

C’est pourquoi, elle produit au débat une clause qui fait suite à la clause critiquée par l’association. Selon la société, cette clause informerait de façon pratique les personnes concernées des bases juridiques des traitements.

Engagement de Confidentialité (suite) : « Les données personnelles que nous recueillons nous permettent de vous informer des dernières annonces produits, des mises à jour logicielles et des événements Apple à venir. Si vous ne souhaitez pas faire partie de notre liste de diffusion, vous pouvez décider de vous désinscrire à tout moment en modifiant vos préférences. Nous utilisons également vos données personnelles pour créer, développer, utiliser, livrer et améliorer nos produits, services, contenus et publicités, et à des fins de prévention des pertes et de lutte contre la fraude.

Nous pouvons aussi utiliser vos données personnelles dans des objectifs de sécurité des comptes et réseaux, notamment afin de protéger nos services pour le bénéfice de tous nos utilisateurs, ainsi que filtrer et analyser tout contenu chargé pour nous assurer qu’il ne contient pas de contenus illégaux, tels que des abus sexuels sur mineurs.

Lorsque nous utilisons vos données à des fins de lutte contre la fraude, c’est suite à une transaction en ligne auprès de nous. Nous limitons notre utilisation des données à des fins de lutte contre la fraude aux données strictement nécessaires et dans le cadre de nos intérêts légitimes estimés afin de protéger nos clients et nos services. Pour certaines transactions en ligne, nous pouvons également vérifier les informations que vous nous avez fournies auprès de sources publiquement disponibles.

Nous pouvons utiliser vos données personnelles, notamment votre date de naissance, pour vérifier votre identité, identifier des utilisateurs et déterminer les services appropriés. Par exemple, nous pouvons déterminer l’âge du détenteur d’un compte Apple grâce à sa date de naissance.

De temps en temps, nous pouvons utiliser vos données personnelles pour envoyer des notifications importantes, telles que des communications sur les achats, et les modifications apportées à nos conditions d’utilisation et politiques. Ces informations étant importantes pour vos relations avec Apple, vous ne pouvez pas vous opposer à la réception de ces communications.

Nous pouvons également utiliser les données personnelles à des fins internes, par exemple pour des audits, analyses de données et recherches dans le but d’améliorer les produits, services et communications clients d’Apple.

Si vous participez à un tirage au sort, un concours ou un événement promotionnel similaire, nous pouvons utiliser les informations que vous communiquez dans le cadre de la gestion de ces programmes. Si vous postulez pour un poste chez Apple ou si nous recevons vos informations en lien avec un rôle potentiel chez Apple, nous pouvons utiliser vos informations pour évaluer votre candidature ou vous contacter. Si vous êtes candidat à un poste, vous recevrez davantage d’informations sur la manière dont Apple gère les données personnelles des candidats au moment de la candidature. »

La société ADI affirme que le premier paragraphe de cette clause, permettant à la personne concernée de décider de se désinscrire à tout moment, montre (cf. « cela implique ») que le traitement est fondé sur un intérêt légitime du responsable de traitement » et que la personne concernée « peut s’opposer à ce traitement ».

Elle soutient également qu’il est explicitement indiqué dans la clause (4ème paragraphe) de que les traitements réalisés en vue des finalités évoquées sont fondés sur les intérêts légitimes d’ADI (cf. « Nous limitons notre utilisation des données à des fins de lutte contre la fraude aux données strictement nécessaires et dans le cadre de nos intérêts légitimes estimés afin de protéger nos clients et nos services »).

Elle estime que l’information (contenue dans le 6ème paragraphe) selon laquelle « ces informations étant importantes pour vos relations avec Apple, vous ne pouvez pas vous opposer à la réception de ces communications », conduit l’utilisateur à identifier cette finalité comme fondée sur l’exécution du contrat.

[*]

L’article 6-1 (a) du RGPD relatif à la licéité du traitement affirme que le traitement des données à caractère personnel des personnes physiques n’est licite que si au moins une des 6 conditions qu’elle énumère est réalisée, la réalisation d’une seule des conditions constituant la base juridique du traitement envisagé. Au premier rang de ces conditions figure le consentement de la personne concernée au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques.

D’autres conditions, lorsqu’elles sont réalisées, peuvent constituer la base juridique du traitement : l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci (6-1 (b)) ; le respect d’une obligation légale à laquelle le responsable du traitement est soumis (6-1 (c)) ; la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique(6-1 (d)) ; l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement (art. 6-1 (e)) ; les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant (art. 6-1 (f)).

Aux termes de l’article 12 du RGPD, intitulé « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », le responsable du traitement doit prendre des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34, en ce qui concerne le traitement à la personne concernée, d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.

Selon l’article 13-1 du RGPD, lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne et lorsque le traitement est fondé sur l’article 6-1 (f), le responsable du traitement doit l’informer, au moment où les données en question sont obtenues, sur les intérêts légitimes que lui-même ou un tiers poursuit (art. 13-1 (d)). De la même manière, lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement doit l’informer, lorsque le traitement est fondé sur l’article 6-1 (a) (consentement « normal »), ou sur l’article 9-2 (a) (consentement « explicite », s’agissant de données sensibles), sur son droit de révoquer à tout moment son consentement, sans qu’il soit porté atteinte à la licéité du traitement fondé sur ce consentement alors qu’il a été donné avant le retrait de celui-ci (art. 14-2 (d)).

Ainsi, les articles 12, 13 et 14 du RGPD contraignent-ils le responsable du traitement, en l’occurrence le fournisseur d’un service de streaming en ligne, à fournir à l’utilisateur de ce service, via ses documents contractuels et par des moyens appropriés, notamment par voie électronique, une information portant sur les bases juridiques des traitements des données à caractère personnel de l’utilisateur, concise, transparente, compréhensible, aisément accessible et rédigée en des termes clairs et simples.

Aux termes de l’article L. 211-1 du code de la consommation, les professionnels sont contraints de la même manière de présenter et rédiger de façon claire et compréhensible les clauses des contrats qu’ils proposent aux consommateurs.

L’article R. 212-1, 4°) prévoit dans ces mêmes contrats que les clauses ayant pour objet ou pour effet de conférer au professionnel le droit exclusif d’interpréter une quelconque clause du contrat sont présumées abusives de manière irréfragable, au sens des dispositions des premier et quatrième alinéas de l’article L. 212-1 du code de la consommation, et dès lors interdites.

En l’espèce, la clause critiquée par l’UFC-QUE CHOISIR prévoit d’une manière générale le droit pour la société ADI de traiter les données à caractère personnel de l’utilisateur (cf. « Nous pouvons traiter vos données personnelles »), conformément « aux objectifs décrits dans l’Engagement de confidentialité », avec le consentement de l’utilisateur, ou conformément à une obligation légale (« pour que l’entreprise ADI se conforme à une obligation légale à laquelle Apple est soumise »), ou lorsque la société ADI « estime que cela est nécessaire pour atteindre les objectifs légitimes poursuivis par Apple ou un tiers à qui la société ADI peut être amenée à divulguer ces données ».

Hormis le consentement de la personne concernée, la lecture de la clause issue de l’engagement de confidentialité critiquée par l’UFC montre que sont également évoquées deux autres conditions figurant à l’article 6 du RGPD précédemment cité, qui, si elles sont réalisées, constituent les bases juridiques des traitements envisagés : l’exécution du contrat qui lie l’utilisateur au fournisseur du service ainsi que les intérêts légitimes de ce dernier.

Cependant, s’agissant du recours à l’une ou l’autre des deux dernières bases juridiques invoquées et contrairement à ce que soutient la société ADI, l’analyse combinée des clauses, à laquelle la société ADI convie le Tribunal, montre que l’information qu’elles dispensent ne permet pas à l’utilisateur d’être informé clairement des traitements envisagés d’une façon concise, transparente, compréhensible et aisément accessible – le responsable du traitement devant utiliser pour ce faire des termes clairs et simples – selon l’article 12 du RGPD précité.

En effet, les clauses produites au débat par l’UFC et par la société ADI, en l’occurrence : « Nous pouvons traiter vos données personnelles dans les objectifs décrits dans cet Engagement de confidentialité » (clause critiquée par l’UFC) et « vous pouvez décider de vous désinscrire à tout moment en modifiant vos préférences » (clause produite au débat par la société ADI) devraient conduire, d’après cette dernière, l’utilisateur à déduire et par suite à admettre (cf. « cela implique que », conclusions ADI, page 152/203), que le traitement de ses données personnelles « recueillies » (collectées) directement ou indirectement auprès de lui (via le placement de cookies par exemple ou par l’acquisition de données personnelles auprès de tiers) serait conforme à l’intérêt légitime poursuivi le responsable du traitement.

Or, les dispositions de l’art. 6-1 (f)), imposent au responsable du traitement de mettre en balance l’intérêt légitime qu’il allègue avec les intérêts ou les libertés et droits fondamentaux de la personne concernée, qui exigent une protection des données à caractère personnel, et non de déterminer ce qui est légitime ou non en considération des seuls objectifs qu’il s’assignerait. À cette fin, il doit s’assurer que les intérêts qu’il poursuit et le bénéfice qu’il tire du traitement, ne créent pas de déséquilibre « au détriment des droits et intérêts des personnes dont les données sont traitées » (art. 6-1 (f) du RGPD précité).

Il en est de même des clauses suivantes, dont la lecture combinée avec la clause critiquée par l’UFC-QUE CHOISIR révèle l’existence d’une confusion opérée par la société ADI entre, d’une part les « objectifs poursuivis » par la société Apple, c’est-à-dire les finalités poursuivies par ladite société ou un tiers – les « objectifs » étant qualifiés à l’occasion de « légitimes » par la société (cf. « lorsque nous estimons que cela est nécessaire pour atteindre les objectifs légitimes poursuivis par Apple ou un tiers à qui nous pouvons être amenés à divulguer ces données ») – et d’autre part les « intérêts légitimes », tels qu’ils sont définis à l’article 6-1 (f) du RGPD.

La confusion entre ces deux notions ne résulte toutefois pas d’un fourvoiement de la société ADI, qui discerne dans ses conclusions le lien « intime » existant entre finalité et base juridique, en recommandant au Tribunal que « les notions de finalité et de base juridique (…) intimement liées (…) doivent être lues ensemble », (cf. conclusions société ADI, p. 152/203). Toutefois, ces deux notions, même si elles sont étroitement liées, demeurent distinctes au sens du RGPD.

Par ailleurs, aucun outil constituant un moyen d’opposition au traitement de ses données à caractère personnel n’est mis à la disposition de l’utilisateur serait-ce par un renvoi textuel ou un lien hypertexte lui permettant de s’opposer au traitement de ses données à caractère personnel.

S’agissant de la base juridique du traitement relevant de l’exécution du contrat, l’article 6-1 (b) prévoit que constitue un fondement juridique au traitement des données à caractère personnel de la personne concernée, l’exécution d’un contrat dans les situations où le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci.

À ce titre, la société ADI fait valoir que l’information contenue dans la clause selon laquelle « ces informations étant importantes pour vos relations avec Apple, vous ne pouvez pas vous opposer à la réception de ces communications », conduit l’utilisateur à identifier cette finalité comme fondée sur l’exécution du contrat.

Or, le seul fait que des informations soient importantes pour la société Apple, (cf. : « Nous pouvons utiliser vos données personnelles pour envoyer des notifications importantes »), ne justifie pas que l’« utilisation » (c’est-à-dire le traitement) des « informations » (c’est-àdire des données à caractère personnel de l’utilisateur) soient « de temps en temps » nécessaires à l’exécution du contrat, dans des hypothèses figurant dans une liste non exhaustive (cf. « telles que »).

En conséquence en n’informant pas clairement l’utilisateur (la personne concernée par le traitement), comme l’exige les articles 12, 13, 14 du RGPD, des bases juridiques qui servent de fondement au traitement de ses données à caractère personnel ni des modalités qui lui permette de s’opposer à de tels traitements, la clause critiquée est illicite au regard de l’article L. 211-1 du code de la consommation.

Par ailleurs, la généralité des termes employés par la clause ne permet pas à l’utilisateur d’appréhender à quel traitement il peut ou non s’opposer, de sorte que la clause est présumée abusive de manière irréfragable au sens de l’article R. 212-1 4°) du code de la consommation, parce qu’elle a pour objet ou pour effet de conférer au professionnel le droit exclusif d’interpréter une quelconque clause du contrat.

D’où il suit que la clause critiquée par l’association, illicite au regard des articles 6, 12, 13, 14 du RGPD et de l’article L. 211-1 du code de la consommation, est abusive au sens de l’article R. 212-1 4°) du code de la consommation. Elle sera donc réputée non écrite.

 

(i) Sur le droit à la portabilité, le droit à la limitation du traitement, le droit au retrait du consentement, le droit d’opposition et le droit de définir des directives relatives au sort des données de l’utilisateur après sa mort (Point 10, Partie III B) :

L’association UFC-QUE CHOISIR reproche à la « Politique de Confidentialité d’ADI » de ne pas prévoir d’information complète quant aux droits des utilisateurs à la portabilité de leurs données à caractère personnel, à la limitation du traitement, au retrait du consentement, au droit d’opposition et au droit de définir des directives relatives au sort des données de l’utilisateur après sa mort. Selon l’association, cette information devrait s’étendre aux modalités de ces droits et au moyen de les exercer par application du principe de transparence fixé par l’article 12 du RGPD selon lequel « (le) responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22 ». L’utilisateur qui ne dispose pas d’information sur ses droits, n’est donc pas mis en mesure de les exercer.

L’association soutient que la Politique de Confidentialité d’ADI viole les dispositions des articles 13 et 14 du RGPD, de l’article 32 de la Loi Informatique et Libertés et du code pénal, relatives à l’obligation d’information et au principe de transparence et maintient qu’elle est également contraire aux exigences de l’article L. 211-1 du code de la consommation.

La société ADI produit deux clauses de l’Engagement de confidentialité, qui selon elle, montrent que les personnes sont informées de l’existence de leurs droits. Elle ajoute qu’elle met en œuvre des moyens pour faciliter l’exercice des droits conférés aux utilisateurs conformément à l’article 12 du RGPD et une série de captures d’écran montrant les fonctionnalités accessibles aux utilisateurs après sa connexion à son compte Apple avec son identifiant Apple. Elle précise que les utilisateurs des services disposent lorsqu’ils se connectent à leur compte Apple d’un outil permettant la gestion de leurs données personnelles.

Toutefois, comme il l’a été précisé antérieurement lors de l’examen de la demande portant sur l’illicéité et le caractère abusif de la « Politique de confidentialité d’ADI » en son entier, le cadre de l’action en cessation ou en interdiction de l’illicite défini par l’article L. 621-7 du code de la consommation, qui autorise les associations, dans les conditions déterminées par l’article L. 621-8 du même code, de solliciter du juge saisi qu’il ordonne la suppression d’une clause illicite ou abusive et qu’elle soit réputée non écrite, ne permet pas l’examen d’une demande en suppression et en réputé non-écrit de l’intégralité d’un document contractuel, la demande devant être formulée clause par clause.

La demande de l’association sera rejetée de ce chef.

 

(j) Sur le caractère trompeur et contraires aux exigences du RGPD des modalités d’exercice des droits d’accès, de rectification et du droit à l’effacement des données (Point 11, Partie III-B) :

Engagement de Confidentialité :

« Vous pouvez nous aider à faire en sorte que vos coordonnées et préférences soient exactes, complètes et à jour en vous connectant à la page de votre compte Apple. Nous vous fournissons un accès aux autres données personnelles que nous détenons, et une copie de celles-ci, pour que vous puissiez éventuellement nous demander de les corriger si elles sont inexactes ou de les supprimer, à condition qu’Apple ne soit pas obligée de les conserver du fait de la loi ou à des fins commerciales légitimes. Nous pouvons refuser de traiter les demandes futiles/vexatoires, les demandes mettant en péril la confidentialité des données de tiers, les demandes qui sont extrêmement difficiles à mettre en place ou celles pour lesquelles un accès n’est pas imposé autrement par la loi applicable. Nous pouvons également refuser certains aspects de demandes de suppression ou d’accès si nous pensons que, ce faisant, nous nuirions à notre utilisation légitime des données à des fins de lutte contre la fraude ou de sécurité, comme nous l’avons vu précédemment. »

« De temps en temps, nous pouvons utiliser vos données personnelles pour envoyer des notifications importantes, telles que des communications sur les achats, et les modifications apportées à nos Conditions d’Utilisation et politiques. Ces informations étant importantes pour vos relations avec Apple, vous ne pouvez pas vous opposer à la réception de ces communications. »

Selon l’association UFC-QUE CHOISIR la société ADI s’autorise par avance à refuser toute demande dès lors qu’elle serait « futile » ou « vexatoire » ; qu’elle « mettrait en péril la confidentialité de données de tiers » ; qu’elle serait « extrêmement difficile à mettre en place » ; que le respect de cette demande ne serait pas « imposé autrement par la loi applicable » ; que le respect de cette demande nuirait « à une utilisation légitime des données à des fins de lutte contre la fraude ou la sécurité ».

Elle reproche à la clause, s’agissant plus du droit à l’effacement des données, qu’elle n’y fera droit que sous la condition « qu’Apple ne soit pas obligée de les conserver du fait de la loi ou à des fins commerciales légitimes ».

Elle en déduit que, ce faisant, la société ADI introduit de nouvelles exceptions aux droits des personnes concernées, non prévues par le RGPD, en soumettant ces exceptions à sa seule appréciation, par le recours à des notions vagues telles que « futile », « vexatoire », « la loi applicable », « difficile à mettre en place », ou encore « des fins commerciales légitimes ». Elle fait valoir que ces restrictions ont pour objet de décourager par avance toute tentative d’exercice de leurs droits par les personnes concernées, alors que le responsable du traitement est tenu par l’article 12 du RGPD de « faciliter » l’exercice de ces droits. Elle ajoute que la société ADI supprime le droit d’opposition des utilisateurs à la réception de notifications, au seul motif que ces notifications sont « importantes pour vos relations avec Apple », alors que ce droit d’opposition est imposé par l’article L. 34-5 du code des postes et des communications électroniques pour l’envoi de courriers électroniques « destiné à promouvoir, directement ou indirectement, des biens, des services ou l’image d’une personne vendant des biens ou fournissant des services ».

Elle en déduit que l’ensemble des clauses précitées sont illicites au regard de l’article 12 du RGPD, de l’article L. 211-1 du code de la consommation, de l’article L.121-2 du même code prohibant les pratiques commerciales trompeuses. Elles seraient également abusives de façon irréfragable au sens de l’article R. 212-1 du code de la consommation en ce qu’elles réservent à la société ADI le droit exclusif d’interpréter les cas dans lesquels elle pourra choisir ou non de donner suite à une demande d’exercice de droit d’accès, de rectification ou d’effacement.

La société ADI répond que la possibilité de refuser de donner suite à ce type de demandes est prévue par l’article 12-5 du RGPD, lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement pouvant exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ou refuser de donner suite à ces demandes.

Elle soutient qu’elle informe les utilisateurs des raisons pour lesquelles elle pourrait légitimement refuser de répondre à une demande et prétend que cette information n’a pas pour effet de dissuader les utilisateurs d’exercer leurs droits, sauf à ce que les personnes considèrent elles-mêmes leur demande comme illégitime.

Elle conteste l’application de l’article L.34-5 du code des postes et des communications électroniques car les notifications ne se font pas nécessairement par courrier électronique les notifications importantes pouvant être adressées via des fenêtres spécifiques à dérouler. Elle ajoute que l’article L. 34-5 précité n’a vocation à s’appliquer que dans les cas où les communications visent la prospection, promotion des ventes de produits ou de services. Tel n’est pas le cas des notifications envisagées dans l’Engagement de Confidentialité qui traitent de « communications sur les achats » de notification sur la sécurité des produits ou services achetés et de communications sur « les modifications apportées [aux] Conditions Générales d’Utilisation et politiques ».

[*]

L’article 12 du RGPD, intitulé « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », prévoit que le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens (art. 12-1).

Aux termes de l’article 12-5 du même texte, aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut exiger le paiement de frais raisonnables, qui tiennent compte des coûts administratifs supportés pour fournir les informations, 12-5 (a), ou refuser de donner suite à ces demandes, 12-5 (b). Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

Les modalités d’exercice des droits de la personne concernée s’inscrivent dans le cadre défini par l’article 12-5 du RGPD, qui s’intéresse principalement aux coûts administratifs engendrés par les demandes de la personne concernée relatives aux informations, communications ou mesures requises aux articles 13 et 14 du même texte et à l’éventualité de frais raisonnables qui pourraient leur être imputés lorsque ces demandes seraient manifestement infondées ou excessives en raison notamment de leur caractère répétitif.

En l’espèce, la clause critiquée par l’association concerne les modalités d’exercice des droits d’accès, de rectification et d’effacement des données personnelles de l’utilisateur du service (la personne concernée par le traitement) en évoquant la possibilité pour la société ADI de refuser de faire droit à ces demandes lorsqu’elles sont « futiles » ou « vexatoires », lorsqu’elles « mettent en péril la confidentialité des données de tiers », en raison « de la difficulté de leur mise en œuvre » ou pour une obscure raison qui aurait pour origine de ce que l’accès à ces données « n’est pas imposé autrement (d’une autre manière ?) par la loi applicable (quelle loi ?) ». S’agissant plus spécifiquement du droit à l’effacement des données, la clause prévoit que la société ADI puisse opposer une « obligation » de « conservation » de ces données, lorsqu’elle estimerait par exemple que cette conservation est nécessaire notamment à la réalisation de finalités « commerciales légitimes » qu’elle déterminerait.

De sorte qu’en n’informant pas les utilisateurs, en des termes clairs et simples, d’une façon concise, transparente, compréhensible et aisément accessible, des modalités d’exercice de leurs droits d’accès et de rectification et de leur droit à l’effacement de leurs données à caractère personnel, la clause critiquée contrevient aux obligations d’information imposées par l’article 12-5 du RGPD. Au surplus, en soumettant l’exercice de leurs droits à la réalisation de conditions non prévues par le règlement, la clause porte atteinte aux droits dont ils disposent par le même texte quant à la maitrise de leurs données à caractère personnel et par suite à leur protection.

Par ailleurs, en usant de termes de contenus insuffisants (« futile », « vexatoire ») ou d’expressions vagues (« extrêmement difficile à mettre en place », « une utilisation légitime des données à des fins de lutte contre la fraude ou la sécurité »), mal définies (« mettrait en péril la confidentialité de données de tiers ») ou encore ambiguës, voire obscures (« imposé autrement par la loi applicable »), la clause critiquée ne présente pas les caractères de clarté et de compréhensibilité exigées par l’article L. 211-1 du code de la consommation. Elle est donc illicite au regard de ses dispositions.

En conférant au professionnel un droit exclusif d’interpréter la clause litigieuse dans le sens qui lui serait le plus favorable, créant ainsi un déséquilibre significatif entre les droits et obligations des parties au contrat, la clause précitée est irréfragablement abusive au sens l’article R. 212-1 4°) du code de la consommation. Elle sera réputée non écrite à ce titre.

En précisant que l’utilisateur ne peut s’opposer à ce que « de temps en temps » la société ADI utilise les données personnelles de l’utilisateur pour lui envoyer des « notifications importantes », « telles que » des « communications sur les achats » et des « modifications apportées aux conditions d’utilisation et politiques », parce que ces informations sont importantes pour les relations de l’utilisateur avec Apple, la clause répond à la même critique d’absence de clarté et d’imprécision, l’utilisation du vocable « telle que » et de l’expression non définie « notifications », dont la société ADI estimerait seule l’importance, laissant entendre que d’autres envois qui ne seraient pas de nature contractuelle puissent être adressés à l’utilisateur sans qu’il puisse s’y opposer.

L’association ne démontre toutefois pas en quoi les clauses critiquées « dissimuleraient » les véritables obligations de la société ADI et révèleraient ainsi des pratiques commerciales trompeuses. Elle sera déboutée de ce chef.

D’où il suit que les clauses, illicites au regard des articles 12, 13, 14 du RGPD et de l’article L. 211-1 du code de la consommation, sont abusives au sens l’article R. 212-1 4°) du code de la consommation.

Elles seront donc réputées non écrites.

 

(k) Sur l’identification des différents destinataires de données (Point 12, Partie IIIB) :

Conditions d’utilisation (version 22 mai 2018 (V4) et 9 mai 2019 (V5)) : « Vous reconnaissez qu’Apple est en droit de divulguer des données et/ou des informations aux forces de l’ordre, aux autorités publiques et/ou à des tiers, si Apple l’estime raisonnablement nécessaire ou approprié pour faire appliquer et/ou vérifier le respect de toute disposition du présent contrat (y compris notamment le droit d’Apple de coopérer dans le cadre de toute procédure judiciaire relative à votre utilisation des services et/ou du contenu et/ou sur réclamation de tiers relative à votre utilisation illicite des services et/ou du contenu et/ou en violation des droits de ces tiers). »

Engagement de Confidentialité (version 22 mai 2018 (V4) et 9 mai 2019 (V5)) :

« Toutes les informations que vous fournissez peuvent être transférées à des entités à travers le monde, ou être accessibles à celles-ci, tel que décrit dans le présent Engagement de confidentialité. »

« Ces sociétés sont dans l’obligation de protéger vos données et peuvent se trouver dans tout pays dans lequel Apple exerce des activités. »

Apple Music et confidentialité (version du 17 septembre 2017) :

« Prenez garde lorsque vous choisissez de partager des informations en ligne ; certaines pourraient être rendues publiques. Les données partagées depuis Apple Music vers d’autres sites web ou réseaux sociaux sont régies par les engagements de confidentialité de ces services. »

Pour l’association, les clauses critiquées sont vagues et imprécises. Il est selon elle, impossible de savoir à qui les données sont transférées, par qui elles sont accessibles, sous quelles conditions et dans quelles circonstances, puisque la formulation relève de l’hypothétique (« peuvent être transférées », peuvent se trouver », « pourraient être rendues publiques »). Elle ajoute que, s’agissant du partage de données à des fins commerciales, l’Engagement de Confidentialité s’avère contradictoire, en affirmant tour à tour que les données « ne sont pas partagées avec des tiers à des fins marketing », mais qu’ADI dispose en réalité d’une « plateforme publicitaire », et que des « apps tierces » peuvent accéder à un identifiant publicitaire de l’utilisateur pour diffuser leurs annonces. L’association relève qu’il est indiqué « (qu’) Apple et ses partenaires utilisent également des cookies et d’autres technologies pour se souvenir de vos données personnelles lorsque vous utilisez un site web, des services en ligne et des applications. Dans ce cas, notre objectif est de rendre votre visite plus pratique et de la personnaliser. »

Elle affirme que la société ADI permet à des tiers d’accéder à des données relatives à ses utilisateurs pour des fins marketing ou commerciales, la position de principe affichée de la société selon laquelle les données « ne sont pas partagées avec des tiers à des fins marketing » étant donc parfaitement trompeuse.

Elle maintient que les formulations dans la clause adoptées par la société ADI sont difficilement compréhensibles.

Selon la société ADI, les responsables de traitement peuvent communiquer aux personnes une information sur les destinataires ou les catégories de destinataires. Elle précise qu’elle a fait le choix d’une information sur les catégories de destinataires dans le document « Apple Music et confidentialité » et dans l’« Engagement de Confidentialité ».

Elle affirme que les utilisateurs d’Apple Music disposent donc d’une information spécifique claire et précise relative aux catégories de destinataires à qui elle est susceptible de transmettre des données personnelles ou non : les maisons de disques, les artistes, ses distributeurs ou ses partenaires de vente.

Elle conteste l’argument de l’association selon lequel la plateforme publicitaire d’ADI permettrait de partager notamment via le placement de cookies par des tiers des données personnelles à des fins commerciales afin qu’ils puissent adresser des publicités aux utilisateurs du service. Elle soutient qu’au contraire la plateforme publicitaire permet à la société de ne pas partager les données personnelles avec des tiers à des fins commerciales, les publicités proposées par les tiers étant mises en oeuvre par l’intermédiaire d’ADI et les tiers ne disposant pas des informations permettant l’identification des personnes.

S’agissant enfin des clauses relatives aux transferts de données à des autorités publiques ou gouvernementales, elle rappelle qu’elle peut être légalement contrainte de divulguer les données personnelles des utilisateurs aux autorités publiques et gouvernementales, cette possibilité étant prévue par le considérant 31 du RGPD.

Elle soutient que l’association UFC-QUE CHOISIR produit au débat de manière volontairement tronquée les informations qu’elle communique aux utilisateurs en présentant des phrases sorties de leur contexte et en faisant abstraction du document « Apple Music et confidentialité ».

Elle soumet au débat trois clauses issues de l’Engagement de confidentialité.

Engagement de confidentialité version du 9 mai 2019 (V5)

Divulgation à des tiers Apple peut parfois mettre certaines données personnelles à la disposition de tiers afin de fournir ou améliorer nos produits et services, y compris pour livrer les produits à votre demande, ou pour aider Apple à commercialiser ses produits auprès des clients. Dans ces cas-là, nous exigeons desdits tiers qu’ils traitent ces données conformément aux lois applicables. Les données personnelles ne seront jamais partagées avec des tiers à des fins marketing. Par exemple, lorsque vous achetez et activez votre iPhone, vous autorisez Apple et votre opérateur à échanger les informations que vous divulguez pendant la procédure d’activation afin d’exécuter le service, y compris les informations sur votre appareil. À compter de l’activation du service, votre compte sera régi par les engagements de confidentialité respectifs d’Apple et de votre opérateur.

Fournisseurs de services

Apple partage des données personnelles avec des sociétés qui fournissent des services tels que le traitement d’informations, l’extension de crédit, l’exécution de commandes client, la livraison de produits, la gestion et le développement de données clients, la fourniture d’un service client, l’évaluation de votre intérêt pour nos produits et services, et la réalisation d’enquêtes de satisfaction ou de développement de clientèle. Ces sociétés sont dans l’obligation de protéger vos données et peuvent se trouver dans tout pays dans lequel Apple exerce des activités.

Autres

Apple pourra être amenée, du fait de la loi, dans le cadre d’une procédure en justice, d’un litige et/ou d’une requête des autorités publiques de votre pays de résidence ou autre, à divulguer vos données personnelles.

Nous pouvons également divulguer des informations vous concernant si nous pensons qu’à des fins de sécurité nationale, d’application de la loi ou autre sujet d’intérêt public, la divulgation est nécessaire ou appropriée. Nous pouvons également divulguer des informations vous concernant, mais uniquement si c’est légalement justifié, si nous pensons que cette divulgation est raisonnablement nécessaire pour faire valoir le respect de nos conditions générales d’utilisation, ou pour protéger nos activités ou nos utilisateurs. Cela peut inclure fournir des informations aux autorités publiques ou gouvernementales. En outre, en cas de restructuration, de fusion ou de vente, nous pouvons transférer toutes les données personnelles recueillies au tiers concerné.

[*]

Le principe de transparence énoncé dans du RGPD au sein de son considérant 39 exige que les informations et communications adressées à la personne concernée relatives au traitement de ses données à caractère personnel soient aisément accessibles, faciles à comprendre et formulées en des termes clairs et simples. Les informations doivent être fournies « par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique » et être concises, transparentes, compréhensibles, aisément accessibles et formulées en des termes clairs et simples (article 12-1 du RGPD).

Aux termes des articles 13-2 (e) et 14-1 (e) du même texte le responsable du traitement doit informer la personne concernée par le traitement, que ses données à caractère personnel sont collectées auprès d’elle directement ou indirectement, vis-à-vis des destinataires ou des catégories de destinataires de ces données à caractère personnel.

En l’espèce, les clauses critiquées, extraites des documents contractuels « Conditions d’utilisation », « Engagement de Confidentialité » et « Apple Music et confidentialité » traitent de la communication des données à caractère personnel des utilisateurs du service « Apple Music », si Apple l’estime raisonnablement nécessaire ou approprié pour faire appliquer et/ou vérifier le respect de toute disposition du présent contrat, aux forces de l’ordre, aux autorités publiques « et/ou à des tiers », à « des entités à travers le monde, ou être accessibles à celles-ci », l’utilisateur étant responsable du partage de ses informations qu’il met en ligne.

Les clauses produites par la société ADI (Apple) révèlent qu’en outre la société est tenue de communiquer certaines informations non personnelles relatives à l’emploi de l’utilisateur du service Apple Music à des partenaires du service, tels que des maisons de disque, les artistes des statistiques d’écoute et démographiques (comme l’âge et le sexe des utilisateurs) non personnelles agrégées. Des informations personnelles, telles que le nom de l’opérateur de téléphonie mobile, peuvent également être communiquées aux distributeurs ou partenaires de vente. Ces clauses indiquent que la société partage (c’est-à-dire transmet) les données à caractère personnel des utilisateurs du service Apple Music avec des fournisseurs de services de traitement d’informations, des agents d’extension de crédit, d’exécution de commandes client, de livraison de produits, de gestion et de développement de données clients ainsi que de fourniture d’un service client, d’évaluation de l’intérêt pour les produits et services (d’Apple) et de réalisation d’enquêtes de satisfaction ou de développement de clientèle.

S’agissant de l’exécution de l’obligation d’information concernant les catégories de destinataires de ses données à caractère personnel, l’utilisateur doit se référer à au moins trois documents : « Conditions d’utilisation », « Engagement de Confidentialité » et « Apple Music et confidentialité » selon qu’il utilise le service de manière classique ou sur le web.

Aucun lien hypertexte ni autre dispositif n’est prévu pour que cette information soit aisément accessible à partir de chacun des trois documents cités, alors que la société ADI affirme dans ses conclusions que l’information relative au traitement des données à caractère personnel des utilisateurs du Service Apple Music lui est aisément accessible grâce à l’adoption par la société d’une communication par « strate » ou par « niveau » au moyen d’un document d’information plus générale (l’Engagement de Confidentialité), qui conduirait l’utilisateur à des informations plus spécifiques au service d’Apple Music (cf. conclusions ADI pp. 115, 116 et 119/203 et l’argumentaire antérieurement développé par la société ADI à l’occasion de l’examen de la clause portant sur les finalités de traitement ; v. également le point 5 Partie III-B de la présente décision).

Concernant la première clause critiquée, l’adoption d’une phraséologie complexe utilisant par cinq fois le « ou » inclusif (et/ou), qui exprime la possibilité de choix d’une des deux propositions ou d’opter pour les deux propositions à la fois (cf. « Apple est en droit de divulguer des données et/ou des informations aux forces de l’ordre, aux autorités publiques et/ou à des tiers, si Apple l’estime raisonnablement nécessaire ou approprié pour faire appliquer et/ou vérifier le respect de toute disposition du présent contrat (y compris notamment le droit d’Apple de coopérer dans le cadre de toute procédure judiciaire relative à votre utilisation des services et/ou du contenu et/ou sur réclamation de tiers relative à votre utilisation illicite des services et/ou du contenu et/ou en violation des droits de ces tiers), ne simplifie pas non plus la compréhension par l’utilisateur.

De même, s’agissant de la deuxième clause critiquée l’utilisation de termes vagues, comme l’emploi du verbe pouvoir (« peut », « peuvent ») et celui d’ »entités » (« Toutes les informations que vous fournissez peuvent être transférées à des entités à travers le monde » ; « Ces sociétés sont dans l’obligation de protéger vos données et peuvent se trouver dans tout pays dans lequel Apple exerce des activités ») ne permet pas à l’utilisateur d’appréhender quelles structures exactes sont concernées par le transfert de ses données à caractère personnel ni dans quelles circonstances elles seraient transférées.

Par ailleurs, en utilisant une syntaxe compliquée et des termes vagues, la clause ne répond pas l’exigence de clarté et de compréhensibilité posée par l’article L. 211-1 du code de la consommation.

De plus, en conférant au professionnel un droit exclusif d’interpréter la clause litigieuse dans le sens qui lui serait le plus favorable, créant ainsi un déséquilibre significatif entre les droits et obligations des parties au contrat, la clause précitée est irréfragablement abusive au sens l’article R. 212-1 4°) du code de la consommation.

Elle sera donc réputée non écrite à ce titre.

En revanche l’association ne démontre pas dans ses conclusions en quoi la dernière clause « Apple Music et confidentialité (version du 17 septembre 2017) » contreviendrait aux articles 13-1 (e) et 14 (e) du RGPD, elle sera donc déboutée de ce chef.

De sorte qu’en dehors de cette clause, les clauses critiquées des Conditions d’utilisation (version 22 mai 2018 (V4) et 9 mai 2019 (V5)) et de l’Engagement de Confidentialité (version 22 mai 2018 (V4) et 9 mai 2019 (V5)), illicite au regard des articles 13-1 (e), 14-1 (e) du RGPD, L. 211-1 du code de la consommation est abusive au sens de l’article R. 212-1, 4°) du code de la consommation. Elles seront donc réputées non écrites.

 

(l) Sur l’existence d’un profilage et d’une prise de décision automatisée (Point 13, Partie IIIB) :

Engagement de Confidentialité – « Services de géolocalisation » :

« Pour fournir des services de géolocalisation sur les produits Apple, Apple et ses partenaires et licenciés [VERSION DU 9 mai 2019 : « tels que les fournisseurs de données de cartographique »] peuvent recueillir, utiliser et partager des données de localisation précises, notamment la localisation géographique en temps réel de votre ordinateur ou appareil Apple. Le cas échéant, les services de géolocalisation peuvent utiliser le GPS, le Bluetooth et votre adresse IP, ainsi que les emplacements des bornes Wi-Fi communautaires et des antennes relais, ou encore d’autres technologies afin de déterminer la localisation approximative de vos appareils. Sauf consentement de votre part, ces données de localisation sont collectées anonymement dans un format ne permettant pas de vous identifier. Elles sont utilisées par Apple et ses partenaires et licenciés pour fournir et améliorer les produits et services de géolocalisation. Par exemple, nous pouvons partager la localisation géographique avec des fournisseurs d’applications si vous acceptez leurs services de localisation.

Certains services de géolocalisation proposés par Apple, tels que la fonctionnalité « Localiser mon iPhone », ont besoin de vos données personnelles pour fonctionner. »

Engagement de Confidentialité et Apple Music et confidentialité :

« Pour identifier et empêcher la fraude, les données d’utilisation de votre appareil, notamment le nombre approximatif d’appels passés et reçus ou d’e-mails envoyés et reçus, sont utilisées pour calculer un indice de confiance de l’appareil lors d’une tentative d’achat. » ;

« Nous pouvons également vérifier les informations que vous nous fournissez lorsque vous créez un identifiant Apple avec un tiers, dans un objectif [VERSION DU 9 mai 2019 : « à des fins »] de sécurité et de prévention de la fraude ».

L’association avance que les données collectées dans le cadre de la géolocalisation et dans le cadre de l’identification et la lutte contre la fraude sont des données à caractère personnel et non pas des « données non personnelles » comme le prétend la société ADI. Elle affirme que la société ADI nie l’existence d’un profilage de l’utilisateur, alors que les pratiques de géolocalisation de l’utilisateur sont susceptibles de porter atteinte à la vie privée de l’utilisateur et que la détection de la fraude peut engendrer à son détriment un refus de service, voire des poursuites sur la base de ce traitement.

Elle en déduit qu’en n’informant pas de l’existence d’un profilage de l’utilisateur et d’un traitement automatisé, les clauses critiquées sont illicites au regard des articles 13 et 14 du RGPD et de l’article L. 211-1 du code de la consommation, et relèvent de la prohibition des pratiques commerciales trompeuses édictée à l’article L.121-2 du code de la consommation.

En préalable, la société ADI réplique que la géolocalisation est un traitement qui ne concerne pas le service Apple Music, tout en avançant que les prétendues données de géolocalisation qu’elle collecte à partir de l’utilisation d’Apple Music ne sont pas des données à caractère personnel.

Elle affirme ensuite qu’elle ne procède pas effectivement à un profilage. Elle indique que même si la géolocalisation peut permettre par la suite à un profilage, ce dernier constitue un traitement distinct et supplémentaire des données de géolocalisation, généralement couplé avec d’autres données pour constituer un profil. Elle se réfère dans ses conclusions (note de bas de page n° 181, p. 169/203) aux lignes directrices qui visent à clarifier l’application du régime spécial prévu par l’article 22 du RGPD relatif au profilage et à la prise de décision individuelle automatisée -que celle-ci soit ou non basée sur le profilage – , adopté le 03 octobre 2017 et révisé le 6 février 2018 par le G29 (Groupe de travail Article 29 sur la protection des données, ancien organe consultatif de l’Union Européenne) et reprises depuis l’entrée en vigueur du RGPD par le CEPD (Comité Européen de Protection des Données).

Enfin elle fait valoir que l’association UFC-QUE CHOISIR ne démontre pas qu’elle collecte non seulement les données de géolocalisation mais en plus qu’elle les utilise aux fins de profilage.

 

(i) Sur l’existence d’un profilage :

Aux termes des articles 13-2 g°) et 14-2 g°) du RGPD, le responsable du traitement fournit à la personne concernée en plus des informations visées à leur paragraphe 1 respectif, les informations nécessaires pour garantir un traitement équitable et transparent à l’égard de la personne concernée, notamment l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

L’article 4 4°) du RGPD définit le profilage comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel, certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

Ainsi aux termes de l’article 4 4°) du RGPD, le profilage d’une personne physique peut consister en un traitement automatisé de données à caractère personnel effectué pour analyser des éléments concernant le comportement, la localisation ou les déplacements de cette personne physique.

De sorte que le profilage vise l’ensemble du processus aboutissant à l’établissement d’un profil (collecte, stockage et traitement en vue d’établir des corrélations) et non uniquement sa résultante (l’application de la corrélation à une personne pour identifier ses caractéristiques présentes ou son comportement futur).

Tel est pourtant le cas des clauses à présent critiquées, lorsqu’elles sont lues en combinaison avec les clauses reproduites en Point 2, Partie IIIB, sur l’information relative aux traitements des données à caractère personnel, la clause reproduite en Point 6, Partie III-B, sur les catégories de données collectées auprès de sources tierces et la clause reproduite en Point 7, Partie III-B, sur la communication des sources tierces, précédemment examinées et déclarées illicites par le Tribunal au regard des articles L. 211-1 du code de la consommation, des articles 4, 12, 13, 14 du RGPD et abusives au sens des articles L. 212-1 et R. 212-1 4°).

En effet les clauses reproduites en point 2, Partie III-B de la présente décision portent sur l’information relative aux traitements des données à caractère personnel de l’utilisateur, qualifiées au demeurant par la clause « de donnés techniques », ainsi que sur toutes les informations qui leur sont associées. Ces informations « techniques » concernent le dispositif de l’utilisateur, son système, son logiciel d’application (cf. Conditions d’utilisation), le métier, la langue, le code postal, l’indicatif régional, l’identifiant unique de l’appareil, l’URL de référence, le lieu et le fuseau horaire dans lesquels un produit Apple est utilisé. Elles sont destinées à mieux comprendre le comportement du client et à améliorer ses produits, services et publicité (cf. Engagement de confidentialité). Leurs données concernent les activités du client à partir des autres produits et services, lesdites données rassemblées étant considérées comme des données non personnelles aux fins de l’Engagement de confidentialité de la société et étant utilisées pour lui permettre de fournir des informations plus utiles aux clients et pour savoir quels aspects de leur site web et de leurs produits ou services sont les plus populaires.

La même clause (Point 2, Partie III-B, Engagement de confidentialité) envisage de collecter et de stocker des informations sur la façon dont l’utilisateur utilise les services, notamment les recherches qu’il effectue. Les informations ainsi collectées sont utilisées selon la clause pour améliorer la pertinence des résultats fournis par les services et associés à l’adresse IP de l’utilisateur « dans de rares cas » afin d’assurer la qualité des services sur Internet. La clause prévoit également de traiter les données collectées par les cookies et autres technologies comme des données non personnelles, alors qu’il s’agit de données à caractère personnel, ainsi qu’il en a été précédemment décidé à la suite de l’examen par le Tribunal de la clause précitée.

Cette même clause conçoit que les sociétés Apple et ses partenaires et licenciés recueillent, utilisent et partagent (collecte et traite), via des cookies et autres technologies (GPS, Bluetooth), l’adresse IP des utilisateurs, ainsi que les emplacements des bornes Wi-Fi communautaires et des antennes relais ou encore d’autres technologies, afin de déterminer la « localisation approximative » des appareils de l’utilisateur, notamment la localisation géographique en temps réel de l’ordinateur ou appareil Apple de l’utilisateur, « pour fournir des services de géolocalisation sur les produits ». Il en est ainsi déduit qu’il s’agit de produits Apple et de produits proposés par les « partenaires et licenciés », initiateurs et bénéficiaires de la collecte des données précitée et ce, sans accord préalable de l’utilisateur, sans information claire et complète sur les finalités d’un tel accès.

Enfin, la clause extraite d’ »Apple Music et confidentialité » envisage, lors de la création du profil de l’utilisateur, la collecte notamment d’un nom, d’une photo et « d’autres informations », ces « informations » étant « stockées » dans le compte de l’utilisateur. Le « recueil » (la collecte) de ces « informations » constituerait autant de données à caractère personnel de l’utilisateur (son adresse IP, son appareil, l’« app ou l’accessoire auto » utilisé lors de la lecture de morceaux de musique, l’heure et la durée de lecture), dans le but d’analyser le « comportement des utilisateurs » et améliorer le service.

Il n’en est pas autrement des clauses reproduites en point 6 et 7, Partie III-B portant sur le grief d’absence d’indication des catégories de données collectées auprès de sources tierces et de l’identité des sources tierces issue de l’Engagement de confidentialité qui envisagent l’utilisation par la société ADI d’ »ensembles de données » contenant des images, des voix ou « d’autres données », pour des finalités de recherche et développement ou pour créer, développer, utiliser, livrer et améliorer les produits, les services, les contenus et les publicités de la société ADI et pour des finalités de prévention des pertes et de lutte contre la fraude.

Ainsi, les données précitées qui constituent autant de données à caractère personnel au sens de l’article 4 du RGPD, parce qu’associées à l’utilisateur, permettent, du fait d’un traitement automatisé, l’établissement d’un profil individualisé mettant en évidence son comportement sur le site, ses habitudes d’achat, ses préférences personnelles, ses intérêts, son comportement, sa localisation, ses déplacements c’est-à-dire certains des aspects personnels relatifs à la personne physique au sens de l’article 4-4 du RGPD.

En n’informant pas l’utilisateur qu’il fait l’objet d’un profilage, serait-ce a minima pour les besoins de l’exécution du contrat de streaming musical qu’il a souscrit, la clause critiquée, illicite au regard des articles 13-2 g°) et 14-2 g°) du RGPD 13 et 14 du RGPD est également illicite au regard de l’article L. 211-1 du code de la consommation. Elle sera donc réputée non écrite.

Cependant, l’association ne démontre pas en quoi les clauses critiquées révèleraient des pratiques commerciales trompeuses.

Elle sera déboutée de ce chef.

 

(ii) Sur l’existence d’une décision automatisée :

L’association ne démontre pas en quoi l’utilisateur ferait l’objet en sus du profilage d’une décision automatisée.

Elle sera déboutée de ce chef.

 

(m) Sur l’exonération de responsabilité de la société ADI concernant la sécurité des données à caractère personnel (Point 14, Partie III-B) :

Conditions d’Utilisation : « Sauf dans les cas indiqués au paragraphe (d) ci-dessous ou dans le cas où vous exercez un droit à remboursement ou à compensation qui vous est conféré par la loi, Apple, ses dirigeants, cadres, salariés, membres affiliés, agents, contractants ou concédants de licence ne pourront en aucun cas être tenus pour responsables de perte ou dommage causé par Apple, ses salariés ou agents lorsque : (v) cette perte ou ce dommage résulte d’une perte de revenu, d’activité ou de bénéfice ou d’une perte ou une corruption de données en relation avec votre utilisation du Service. »

L’association UFC-QUE CHOISIR prétend que la société ADI exclut sa responsabilité en cas de dommage lié à une perte ou une corruption de données, données à caractère personnel de l’utilisateur comprises. Elle ajoute que cette exclusion de responsabilité est d’autant plus large qu’elle porte sur les dommages causés « par Apple, ses salariés ou agents » en incluant de ce fait ses sous-traitants. Elle rappelle que l’obligation de sécurité des données est une obligation indissociable de la fourniture des services de la société ADI, dans la mesure où ces services impliquent le traitement de données à caractère personnel. Elle en déduit que la clause est illicite au regard des articles 32 et 82 précités du RGPD ; la société ADI ne saurait donc ainsi limiter sa responsabilité vis-à-vis des consommateurs en cas de manquement à cette obligation.

Elle en conclue que la clause est illicite au titre des articles 32 et 82 du RGPD, des articles L. 211-1 et L. 221-15 du code de la consommation et de l’article 15 de la LCEN. Elle précise que la clause qui a pour objet de « supprimer ou réduire le droit à réparation du préjudice subi par le consommateur en cas de manquement par le professionnel à l’une quelconque de ses obligations » est abusive au sens de l’article R. 212-1 du code de la consommation. Elle sera par conséquent présumée abusive de manière irréfragable.

La société ADI réplique que L’Engagement de Confidentialité n’est pas un document contractuel, la réglementation relative au contrat à distance n’étant donc pas applicable.

Elle ajoute que l’article 32 du RGPD prévoit une obligation pour le responsable de traitement de « mettre en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Cette obligation ne relève donc pas pour la société de l’exécution du contrat, mais d’une exigence réglementaire, la responsabilité du responsable du traitement n’étant pas une responsabilité de plein droit en matière de sécurité des données.

[*]

Aux termes de l’article L. 211-1 du code de la consommation, les clauses des contrats proposés par les professionnels aux consommateurs doivent être présentées et rédigées de façon claire et compréhensible. Le second alinéa du même article prévoit qu’en cas de doute les clauses s’interprètent dans le sens le plus favorable au consommateur tout en excluant que ces dernières dispositions s’appliquent aux procédures engagées sur le fondement de l’article L. 621-8 du même code.

L’article L. 221-1 du code de la consommation qualifie de contrat à distance, tout contrat conclu entre un professionnel et un consommateur, dans le cadre d’un système organisé de vente ou de prestation de services à distance, sans la présence physique simultanée du professionnel et du consommateur, par le recours exclusif à une ou plusieurs techniques de communication à distance jusqu’à la conclusion du contrat (article L. 221-1, I, 1°)). Aux termes du même article, les dispositions du Titre « Règles de formation et d’exécution du contrat de certains contrats » (dont le contrat conclus à distance), s’appliquent au contrat en vertu duquel le professionnel fournit ou s’engage à fournir un service au consommateur en contrepartie duquel le consommateur en paie ou s’engage à en payer le prix (article L. 221-1, II).

L’article L. 221-5 du code de la consommation prévoit que, préalablement à la conclusion d’un contrat de fourniture de services, le professionnel communique au consommateur, de manière lisible et compréhensible, les informations prévues aux articles L. 111-1 et L. 111-2, 1°) du même code.

Aux termes de l’alinéa 1^er de l’article L. 111-1 du code de la consommation, le professionnel doit communiquer de manière lisible et compréhensible au consommateur, avant qu’il ne soit lié par un contrat de fourniture de services les caractéristiques essentielles du service, compte tenu du support de communication utilisé et du service concerné, les dispositions des articles L. 111-1 s’appliquant sans préjudice des dispositions particulières en matière d’information des consommateurs propres à certaines activités (article L. 111-3 du code de la consommation).

L’article L. 221-15 du code de la consommation institue à la charge du professionnel une responsabilité plein droit à l’égard du consommateur quant à la bonne exécution des obligations résultant du contrat conclu à distance, que ces obligations soient exécutées par le professionnel qui a conclu ce contrat ou par d’autres prestataires de services, sans préjudice de son droit de recours contre ceux-ci.

Le Tribunal ayant eu l’occasion de répondre à cette argumentation dans le cadre de l’examen de la clause n° 1 des Conditions Générales du Service d’ADI dans ses versions V2, V3, V4, V5, il conviendra de déclarer la clause pour des motifs identiques à ceux exposés la clause précitée illicite au regard des articles L. 211-1, L. 221-5, L. 221-15 du code de la consommation, est abusive au sens de l’article L. 212-1 du code de la consommation.

L’article 32 (Sécurité du traitement) dispose que compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins.

L’article 82 du RGPD (droit à réparation et responsabilité) prévoit que toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

Par ailleurs en prévoyant que l’utilisateur ne pourra engager la responsabilité de la société Apple, ses dirigeants, ses cadres, ses salariés, ses membres affiliés, ses agents, ses contractants ou ses concédants de licence pour les pertes qu’il pourrait subir du fait de l’utilisation du service, la clause, qui institue une exonération totale de responsabilité de l’opérateur lors de l’utilisation des services d’Apple Music par l’utilisateur dans tous les cas, même lorsque le niveau de sécurité qu’il a adopté n’est pas adapté au risque encouru, est illicite au regard des articles 32 et 82 du RGPD.

En conséquence, la clause, illicite au regard des articles L. 211-1, L. 221-5, L. 221-15 du code de la consommation, des articles 32 et 82 du RGPD, est abusive au sens de l’article L. 212-1 du code de la consommation. Elle sera donc réputée non écrite.

 

(n) Sur l’information relative aux cookies (Point 15, Partie III-B) :

Engagement de Confidentialité : « Les sites web, les services en ligne, les applications interactives, les e-mails et les publicités d’Apple peuvent utiliser des « cookies » et d’autres technologies, telles que des « pixel tags » et des balises web […].

 Si vous utilisez le navigateur web Safari et que vous souhaitez désactiver les cookies, allez dans les préférences Safari, puis dans le volet Confidentialité où une option vous permettra de gérer vos préférences. Sur votre appareil mobile Apple, accédez à Réglages > Safari, faites défiler l’écran vers le bas pour atteindre la section Confidentialité et sécurité, puis appuyez sur « Bloquer les cookies » pour gérer vos préférences. Pour les autres navigateurs, veuillez consulter votre fournisseur pour savoir comment désactiver les cookies. Veuillez noter que certaines fonctionnalités du site web Apple ne seront plus disponibles une fois les cookies désactivés […].

Dans certains de nos e-mails, nous utilisons des « URL de destination » liées au contenu du site web Apple. Lorsque les clients cliquent sur l’une de ces URL, ils sont transférés vers un autre serveur web avant d’arriver sur la page de destination de notre site web. Nous suivons ces données de clic pour nous aider à déterminer [VERSION DU 9 mai 2019 : « pour déterminer »] l’intérêt porté à certains sujets et mesurer l’efficacité de nos communications clients. Si vous préférez ne pas être suivi de cette façon, vous ne devez pas cliquer sur les liens texte ou graphiques figurant dans les e-mails.

Les balises « pixel tags » nous permettent d’envoyer des e-mails dans un format que les clients peuvent lire et de savoir si les messages ont été ouverts. Nous pouvons utiliser ces informations pour réduire ou supprimer les messages adressés aux clients ».

 L’association reproche à la clause de ne pas fournir aux utilisateurs du service une information complète et transparente quant aux traitements de leurs données à caractère personnel, et notamment quant aux droits dont ils jouissent vis-à-vis de ces traitements.

Selon l’association, l’utilisateur n’est pas en mesure de différencier les cookies « purement techniques » de ceux soumis à son consentement préalable. Faute de disposer de cette information, il ne serait par conséquent pas en mesure de s’opposer aux cookies soumis à son consentement.

Elle précise en outre qu’il ne dispose d’aucune information précise concernant les conséquences de son opposition aux cookies, lesquelles sont évoquées de façon particulièrement vague.

Elle appuie son argumentation sur la délibération de la CNIL n° 2013- 378 du 05 décembre 2013 portant adoption d’une recommandation relative aux cookies et autres traceurs et sur l’arrêt n° 412589 du Conseil d’État des 9ème et 10ème chambres réunies du 06 juin 2018 (« Challenges »), lequel a confirmé la position de la CNIL sur le fait que le paramétrage du navigateur n’était pas un mode valable d’opposition aux dépôts de cookies.

Elle conclue à un double manquement de la société ADI à l’obligation d’information et à l’obligation de prévoir un mécanisme d’opposition aux cookies pour les utilisateurs et aux obligations prévues par l’article 32.II de la Loi Informatique et Libertés.

Les clauses précitées devraient, selon elle, être déclarées illicites comme contraires à cet article, de même qu’à l’article L. 211-1 du code de la consommation, ainsi qu’à l’article L.121-2 du même code prohibant les pratiques commerciales trompeuses, dans la mesure où elles dissimulent à l’utilisateur ses droits véritables quant aux différentes catégories de cookies.

Elles seraient également abusives en tant qu’elles introduisent un déséquilibre significatif entre les droits et obligations des utilisateurs et d’ADI, en empêchant ces derniers d’exercer leurs droits relatifs aux cookies et en permettant à ADI de tracer librement le comportement des utilisateurs via les cookies.

Elle fait valoir que l’information relative aux cookies est fournie dans l’Engagement de confidentialité, mais surtout par la page « Utilisation des cookies par Apple « . À ce titre, elle produit cette page accessible sur le site internet d’Apple à partir d’un bandeau figurant en bas de page du site internet d’Apple (conclusions ADI page 174/203). Elle affirme que les cookies utilisés par le service Apple sont soit strictement nécessaires à la fourniture du service de communication en ligne, soit nécessaires pour maintenir la performance du service auquel l’utilisateur a souscrit et en déduit que la « distinction fondamentale » effectuée par l’association UFC entre les cookies techniques et les autres cookies est donc bien présente dans l’information communiquée par ADI aux utilisateurs.

Elle ajoute que l’arrêt du Conseil d’État, cité par l’UFC, n’est pas applicable à l’espèce, d’une part parce que la Loi Informatique et Libertés n’est pas applicable à l’utilisation de cookies, d’autre part parce qu’elle fournit les informations nécessaires, telles qu’elles sont exigées par la directive « ePrivacy » 2002/58/CE, modifiée par la Directive 2009/136/CE, qui concerne l’utilisation des cookies. Elle soutient qu’il existe une incertitude juridique quant aux règles applicables aux cookies prévues par la directive « e-Privacy », parce qu’elle fait référence à la directive 95/46/CE, qui a été abrogée par le RGPD. Elle précise que les dispositions de la directive « e-Privacy », distincte du RGPD, ne prévoit pas de règles spécifiques à la détermination du droit national applicable. Elle en conclue que la loi applicable aux cookies utilisés par ADI devrait être le droit irlandais, dans la mesure où ADI est établi en Irlande. Toutefois, comme le Tribunal l’a précédemment relevé, l’article 32-II (ancien) de la Loi Informatique et Libertés, issu de la transposition en droit français la directive 2002/58/CE « Vie privée et Communications électroniques » (autrement appelée directive « ePrivacy »), sur lequel l’association fonde sa demande, a été renuméroté à l’occasion de la réécriture de ladite loi, par l’ordonnance n° 2018-1125 du 12 décembre 2018. Désormais, son contenu est réparti entre l’article 48 de la LIL (qui renvoie aux articles 12 à 14 du RGPD) et l’article 82 de la même loi.

Le nouvel article 82 de la LIL reprend quasiment à l’identique les dispositions figurant dans l’ancien article 32-II de la Loi Informatique et Libertés. Il dispose que « tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

2° Des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

2° Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. »

En conséquence, cet article interdit aux responsables de traitement, dès lors qu’ils ne bénéficient pas des exemptions précitées, de placer des cookies et autres traceurs, quels qu’ils soient, sans avoir au préalable recueilli, avant l’installation des cookies, avant toute opération d’écriture ou de lecture, soit avant le début du traitement des données, son consentement informé, c’est-à-dire après qu’il lui a fourni de manière claire et complète une information intelligible et complète.

Les règles posées par l’article 82 de la LIL s’appliquent sans préjudice des dispositions protectrices des données à caractère personnel posées par le RGPD, lorsque de telles données sont collectées à l’aide de cookies et autres traceurs. C’est pourquoi il doit être appliqué en combinaison avec certaines dispositions du règlement.

Il en est ainsi de la référence au consentement, dans l’article 82 de la LIL. Le consentement en question est celui qui est défini par l’article 4-11 du RGPD, à savoir toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Il en est de même de l’article 12 du RGPD qui impose au responsable du traitement de fournir à la personne concernée par le traitement, en des termes clairs et simples, une information concise, transparente compréhensible et aisément accessible, lorsqu’elle est due au titre de l’article 14 du RGPD, c’est-à-dire dans l’hypothèse où des données ont été collectées indirectement auprès de cette personne notamment via des cookies et autres traceurs. Étant précisé qu’à cette occasion, le consentement doit être recueilli de façon indépendante et spécifique pour chaque finalité pour laquelle les dispositifs sont utilisés. Cette obligation d’information, qui doit être présentée à la personne concernée par le responsable du traitement, vaut pour les finalités initiales du traitement des données collectées, pour celles relevant de traitements ultérieurs et pour les entités ayant recours à ces cookies et autres traceurs.

Ainsi, aucun cookie ne doit être installé sur l’appareil de l’utilisateur tant que l’utilisateur n’a pas été en mesure de manifester sa volonté concernant l’installation de ces cookies et autres traceurs. Après qu’il a été informé, l’utilisateur peut alors choisir librement d’accepter ou de refuser les cookies ou certains d’entre eux, tout en se ménageant la possibilité de modifier ultérieurement ses choix.

Sont soumises au débat deux clauses : la clause critiquée par l’association et la clause produite en réponse à ses critiques dont la société affirme qu’elle répond parfaitement aux exigences de la directive « e-Privacy » dont elle se prévaut.

La clause critiquée par l’association, qui doit être lue en combinaison avec celle examinée au point 2 partie III-B portant sur l’information et concernant l’existence de donnée à caractère personnel, montre qu’elle traite à la fois des « cookies » et d’ »autres technologies » ; elle ne donne que peu d’informations sur les cookies. Parmi ces « autres technologies », la clause cite les « pixel tags » et les « balises web », déposés sur l’appareil de l’utilisateur par la société Apple, lorsqu’il visite les sites web de la société Apple, lorsqu’il utilise les applications interactives de la société ou lorsqu’il reçoit des e-mails ou des publicités diffusées par la société Apple.

La dernière partie de la clause donne cependant plus d’information sur les « autres technologies » utilisées par la société Apple. C’est ainsi qu’est décrit le fonctionnement des « URL de destination » liées au contenu du site d’Apple et incluses dans les e-mails adressés à l’utilisateur par la société Apple. La clause explique qu’une fois que l’utilisateur active une de ces « URL de destination » (en cliquant sur le lien), l’utilisateur est transféré « vers un autre serveur web » (intermédiaire ?), avant d’arriver sur la page de destination du site d’Apple, sans que l’utilisateur soit informé de la raison d’un tel transfert. Il restera dans cette ignorance, à moins, qu’il ne lui vienne à l’esprit d’établir spontanément un lien entre la phrase évoquant ce transfert vers un autre serveur et la phrase qui suit, selon laquelle « les données de clic » (à savoir les clics d’activation effectué par l’utilisateur sur les « URL de destination ») servent à la société Apple, aux termes de la clause, pour identifier l’intérêt porté par l’utilisateur à certains sujets et pour mesurer l’efficacité de ses « communications clients ».

Ces « données de clic » constituent donc autant de données de suivi de l’utilisateur et qui sont recueillies (collectées) via cette autre technologie, sans qu’aucune information n’ait été fournie à l’utilisateur, et, par suite, sans qu’il ait donné son consentement éclairé à ce suivi.

Il en est de même des « balises pixel tags », qui figurent dans des e-mails envoyés par la société Apple à l’utilisateur, dont il est indiqué – outre que leur « format » en permet la lecture par le client, ce qui est le moins que l’on puisse attendre d’un message – qu’elles permettent de recueillir des informations (sur l’ouverture ou la non ouverture du message par l’utilisateur), qui permettent à la société d’envisager la réduction ou la suppression desdits messages.

Par ailleurs, si l’information requise par l’article 82 de la LIL portant sur la procédure à suivre pour désactiver les cookies – apparaissant cependant plus complexe que celle qui a permis leur implantation – est bien présente dans la clause, aucune information préalable n’est dispensée à l’utilisateur sur les autres technologies utilisées par la société Apple pour suivre son comportement. L’utilisateur ne dispose pas non plus d’information sur l’éventualité du droit dont il pourrait disposer pour s’opposer à la collecte d’informations le concernant via de tels traceurs. Seul figure – à propos des « URL de destination » – le conseil prodigué par la société Apple, dans le cas où l’utilisateur « préfère ne pas être suivi de cette façon » (sic), de ne pas cliquer sur « les liens texte ou graphiques figurant dans les e-mails ». Cette recommandation d’« abstention de clic » ne constitue pas en soi une information sur le droit d’opposition permettant à l’utilisateur de l’exercer.

Contestant les allégations de l’association, la société ADI produit une autre clause extraite de la Page « Utilisation des cookies par Apple », accessible à partir d’un bandeau figurant en bas de la page du site internet d’Apple. Selon la société l’information concernant les cookies serait donc parfaitement réalisée grâce à cette page, qui complèterait l’« Engagement de confidentialité ». Elle ajoute que les cookies utilisés par ADI ne requièrent pas le consentement des utilisateurs conformément à la directive e-Privacy (cf. conclusions ADI, pp. 175 à 177).

Utilisation des cookies par Apple

Les sites web et services en ligne d’Apple sont susceptibles d’utiliser des « cookies ». Les cookies vous permettent d’utiliser des paniers d’achat et de personnaliser votre parcours sur nos sites. Ils nous indiquent quelles pages de nos sites web sont les plus consultées, nous aident à mesurer l’efficacité de la publicité et des recherches sur le Web et nous donnent une idée du comportement des utilisateurs, ce qui nous permet d’améliorer notre communication et nos produits.

Si vous souhaitez désactiver les cookies dans le navigateur web Safari, allez dans Préférences, puis dans le volet Confidentialité et choisissez de bloquer les cookies. Sur votre iPad, iPhone ou iPod touch, allez dans Réglages, puis Safari, puis dans la section Cookies. Pour les autres navigateurs, veuillez consulter votre fournisseur pour savoir comment désactiver les cookies.

Comme les cookies sont très largement présents sur nos sites web, leur désactivation risque de vous empêcher d’utiliser certaines parties de ces sites.

Les cookies auxquels nos sites web ont recours ont été classés à partir des directives réunies dans le guide des cookies publié par la CCI du Royaume-Uni. Ainsi, nous utilisons les catégories suivantes sur nos sites web et pour d’autres services en ligne :

Catégorie 1 – Cookies strictement nécessaires

Ces cookies sont essentiels pour vous permettre de parcourir nos sites web et d’en utiliser les fonctionnalités. Sans ces cookies, des services tels que les paniers d’achat et la facturation électronique ne peuvent pas être assurés.

Catégorie 2 – Cookies de suivi

Ces cookies recueillent des informations sur votre utilisation de nos sites web : par exemple, les pages que vous consultez le plus souvent. Ces données peuvent nous servir à optimiser nos sites web et à les rendre plus faciles à parcourir. Ces cookies permettent également à nos affiliés de savoir si vous avez accédé à l’un de nos sites web à partir de leur site et si votre visite a donné lieu à l’utilisation ou à l’achat d’un produit ou d’un service auprès de nous, en incluant les références du produit ou du service ainsi acheté. Ces cookies ne recueillent aucune information permettant de vous identifier. Toutes les informations qu’ils recueillent sont agrégées et, par conséquent, anonymes.

Catégorie 3 – Cookies de fonctionnalité

Ces cookies permettent à nos sites web de mémoriser les choix que vous avez faits lors de votre visite. Nous pouvons, par exemple, conserver votre localisation géographique dans un cookie afin de veiller à vous présenter notre site web dans la langue de votre pays. Nous pouvons également retenir des préférences telles que la taille et la police des caractères et d’autres éléments configurables. Ces cookies peuvent aussi servir à garder la trace des produits ou des vidéos que vous avez consultés, afin d’éviter toute répétition. Les informations qu’ils recueillent ne permettront pas de vous identifier personnellement, ni de suivre votre activité d’exploration sur des sites web ne dépendant pas d’Apple.

Contrairement à la clause critiquée par l’association, l’analyse de la clause intitulée « Utilisation des cookies par Apple » produite par la société ADI révèle qu’elle ne vise que les cookies qu’elle dépose sur l’appareil de l’utilisateur, lorsqu’il visite les sites web et les services en ligne d’Apple, et non « les autres technologies » précédemment cités dans la clause critiquée par l’association.

En introduction, la clause présente d’une manière générale ces cookies (« très largement présents sur (ses) sites web »), comme permettant à l’utilisateur de personnaliser son parcours sur le site et de faciliter ses achats (cf. paniers d’achat, facturation électronique). Elle mentionne également le fait que les informations collectées grâce aux cookies, en donnant une idée du comportement des utilisateurs, permettent à la société d’évaluer les pages les plus consultées par l’utilisateur et de mesurer l’efficacité de sa publicité, ce qui permet d’améliorer sa communication et ses produits.

A la suite de cette introduction générale, la clause distingue 3 catégories de cookies : les cookies strictement nécessaires, les cookies de suivi et les cookies de fonctionnalité.

La première catégorie de cookies nécessaires présente ces cookies comme ceux sans lesquels les services de paniers d’achat et de facturation ne pourraient s’accomplir.

La seconde catégorie de cookies dit de suivi collecte (recueille) des « informations » sur l’utilisation des sites web par l’utilisateur aux fins d’optimisation des sites et de facilitation de parcours sur lesdits sites.

Elle évoque dans cette catégorie l’utilisation d’une technologie de pistage, permettant le suivi de sa navigation à partir d’un site d’un affilié de la société Apple vers le site d’Apple, d’informer ledit « affilié », de l’achat d’un produit Apple ou l’utilisation d’un service Apple par l’utilisateur « en incluant les références du produit ou du service ainsi acheté ». La clause affirme toutefois que les informations recueillies ne permettent pas d’identifier l’utilisateur parce qu’elles seraient agrégées.

La troisième catégorie de cookies dits de fonctionnalité permet selon la clause de mémoriser les choix effectués par l’utilisateur lors de ces visites (par exemple la localisation géographique de l’utilisateur), ses préférences (par exemple la taille et police de caractère et autres éléments configurables), les cookies gardant la trace des produits ou vidéos consultés « afin d’éviter toute répétition ». L’utilisateur est informé que ces « informations » ne permettent pas d’identifier l’utilisateur personnellement si de suivre son activité d’exploration sur des sites web ne dépendant pas d’Apple.

La société ADI assure que le consentement de l’utilisateur n’est pas nécessaire pour l’ensemble de ces cookies qu’elle utilise y compris les cookies de suivi (catégorie 2), parce que les données seraient limitées à l’éditeur du site, qu’elles seraient anonymes et agrégées, collectées à des fins statistiques et qu’elles constitueraient des cookies de mesure d’audience. Elle soutient également que les catégories de cookies 1 et 3 entrent dans le cadre des cas d’exemption prévus par la directive e- Privacy et ne nécessitent donc pas l’obtention du consentement de l’utilisateur.

La clause produite par la société prévoit tout de même un processus de désactivation de ces cookies en trois phases pour les produits Apple et renvoie pour les autres navigateurs au fournisseur de ces derniers. Elle évoque sans plus de précisions le risque en cas de désactivation de ces cookies d’empêchement « d’utilis(ation) (de) certaines parties de ces sites », sans plus d’explications.

Cependant l’article 82 de la LIL, dont le Tribunal a rappelé qu’il était issu d’une transposition en droit français de la directive e-Privacy, dont se prévaut la société, retient des deux hypothèses qui exempte le responsable du traitement de recueillir le consentement de l’abonné ou l’utilisateur du service, sans pour autant le dispenser de son obligation d’information. La première hypothèse concerne l’existence d’une finalité exclusive de ces dispositifs qui permettrait ou faciliterait la communication par voie électronique (avec l’abonné ou l’utilisateur). La seconde relève du caractère strictement nécessaire de ces dispositifs dont la vocation serait d’assurer la fourniture d’un service de communication en ligne que l’abonné ou l’utilisateur aurait sollicité expressément.

Tel n’est pas le cas des cookies des catégories 2 et 3 présentés par la clause produite par la société ADI. En effet, cette clause montre que les cookies de catégorie 2 (cookies de suivi), permettent notamment de « pister » l’utilisateur à partir du site d’un « affilié » d’Apple vers le site de la société et de divulguer à cet affilié l’utilisation faite par l’utilisateur du service d’Apple ou l’achat d’un produit auprès d’Apple, en incluant les références du produit ou du service ainsi acheté.

L’utilisation ainsi décrite dans la clause de cette catégorie de cookies ne permet pas d’en déduire qu’elle entre dans la catégorie de cookies dont la finalité exclusive serait de permettre ou faciliter la communication par voie électronique, le critère d’exclusivité requis par le premier cas d’exemption de l’article 82 de la LIL précédemment citée n’étant pas réalisé. Il en est de même de l’utilisation faite des cookies de catégorie 3 qui gardent la trace des produits ou des vidéos que l’utilisateur a consulté. Cette dernière catégorie ne répond pas davantage à l’exigence d’une stricte nécessité de l’utilisation de cookies, au sens du même article, pour la fourniture d’un service de communication en ligne, demandé expressément par l’utilisateur. D’où il suit que la société ADI ne démontre pas qu’elle observe dans une autre clause qu’elle produit au débat les dispositions de l’article 82 de la Loi Informatique et Libertés.

En conséquence, la clause critiquée par l’association, en n’informant pas la personne concernée par le traitement (l’utilisateur du service) d’une façon concise, transparente, compréhensible et aisément accessible, en n’employant pas des termes clairs et simples concernant la lecture et l’écriture de cookies ou autres traceurs implantés dans son équipement terminal de communications électroniques (ordinateur, tablette, mobile etc.), en ne l’informant pas clairement des finalités des informations déjà stockées sur son appareil, en ne recueillant pas son consentement informé, en ne permettant pas à l’utilisateur de s’opposer aux autres traceurs et en ne l’informant pas des conséquences qu’il pourrait subir en cas de désactivation des cookies est illicite au regard des articles 4-11, 12, 13, 14 du RGPD et de l’article 82 de la Loi Informatique et Libertés.

Par ailleurs, en répartissant les informations concernant les cookies et autres technologies dans deux documents différents (l’« Engagement de confidentialité » (pour les cookies et autres technologies) et la page « Utilisation de cookies par Apple » (pour les cookies uniquement)), la clause ne répond pas aux exigences de clarté et de compréhensibilité exigée par l’article L. 211-1 du code de la consommation. L’utilisateur doit ainsi spontanément activer cette page via un lien, figurant au milieu de cinq autres liens en bas de page du site d’Apple, en utilisant des termes techniques comme « pixels tags », « balises web », « URL de destination » et « balises pixel tags », sans que ces termes soient définis ni dans la clause ni dans aucun autre document produit au débat. La clause critiquée est également abusive au sens de l’article L. 221-1 du code de la consommation, car elle introduit un déséquilibre significatif entre les droits et obligations des parties au contrat, en empêchant les utilisateurs d’exercer aisément leurs droits relatifs aux cookies et autres traceurs tout en permettant à la société ADI de tracer librement le comportement des utilisateurs via ces cookies et autres traceurs.

En conséquence la clause critiquée, illicite au regard des articles 4- 11, 12, 13, 14 du RGPD et de l’article 82 de la Loi Informatique et Libertés, de l’article L. 211-1 du code de la consommation est abusive au sens de l’article L. 221-1 du code de la consommation. Elle sera donc réputée non écrite.

Toutefois, l’association ne démontre pas en quoi les clauses critiquées révèleraient ainsi des pratiques commerciales trompeuses.

 

C. Sur la violation alléguée des règles relatives au droit de la propriété intellectuelle :

Article 5.C des Conditions d’Utilisation (version V3 du 13 septembre 2016) : « Vous concédez par les présentes à Apple une licence mondiale, gratuite, perpétuelle et non-exclusive pour utiliser les éléments que vous soumettez dans les services et à des fins marketing. Apple peut contrôler et décider de supprimer ou de modifier tout élément envoyé. »

Article 5.C des Conditions d’Utilisation version du 17 septembre 2018 (versions V4 et V5 (version actuelle)) : « Vous concédez par les présentes à Apple une licence mondiale, gratuite, perpétuelle et non exclusive pour utiliser les éléments que vous soumettez dans les services à des fins marketing et à des fins internes à Apple. Apple peut contrôler et décider de supprimer ou de modifier tout élément envoyé. »

L’association UFC-QUE CHOISIR prétend que l’utilisateur qui souhaite s’inscrire au service Apple Music est tenu de consentir au profit de la société ADI une autorisation d’utilisation de l’ensemble des contenus de toute nature qu’il soumettrait via le service. Ces clauses sont selon elle prohibées par l’article L. 131-1 du code de la propriété intellectuelle parce qu’elles constituent une cession globale des oeuvres futures et qu’elles ne respectent pas le formalisme imposé par l’article L. 131-3 du même code pour toute transmission des droits de l’auteur. Elle ajoute que ces clauses sont également illicites car contraires aux exigences de clarté et de compréhensibilité prévues par l’article L. 211- 1 du code de la consommation.

La société ADI réplique que les termes de la clause incriminée ne prévoient pas une cession de droits d’auteurs, ni une licence exclusive, mais une licence non-exclusive, tout à fait légitime. Selon la société l’utilisateur ne se dépossède pas de l’éventuel droit d’auteur sur le contenu, dont il reste à tout moment titulaire et libre d’exploiter lui-même ou de céder et de donner en licence à tout tiers.

[*]

L’article L. 131-1 du code de la propriété intellectuelle prévoit que « la cession globale des œuvres futures est nulle ».

Aux termes des articles L. 131-2 et L. 131-3 du même code, les contrats par lesquels sont transmis des droits d’auteur doivent être constatés par écrit, la transmission étant subordonnée à la condition que chacun des droits cédés fasse l’objet d’une mention distincte dans l’acte de cession et que le domaine d’exploitation des droits cédés soit délimité quant à son étendue et à sa destination, quant au lieu et quant à la durée.

Aux termes de l’article L. 211-1 du code de la consommation, les clauses des contrats proposés par les professionnels aux consommateurs doivent être présentées et rédigées de façon claire et compréhensible. En l’espèce, les clauses critiquées, prévoient que l’utilisateur accorde à la société une licence mondiale, gratuite, perpétuelle pour utiliser, les « éléments », que l’utilisateur soumet dans les services, c’est-à-dire une licence non-exclusive sans limitation de durée « à des fins marketing » version V3 du 13 septembre 2016 » à des fins marketing et à des fins internes à Apple versions V4 et V5 (version actuelle).

En l’espèce, les « éléments » transmis à la plate-forme par l’utilisateur, susceptibles de comprendre des textes, photos et des vidéos, peuvent faire l’objet d’une protection par le droit d’auteur.

Ainsi, la clause précitée confère au fournisseur du service un droit d’utilisation à titre gratuit sur tous les éléments (contenus) générés par l’utilisateur, y compris ceux d’entre eux qui seraient susceptibles d’être protégés par le droit d’auteur, sans préciser de manière suffisante les contenus visés, la nature des droits conférés et les exploitations autorisées. Cette clause apparaît dès lors contraire aux dispositions de l’article L. 131-1, L. 131-2, L. 131-3 du code de la propriété intellectuelle, lesquelles imposent au bénéficiaire de la cession, de préciser le contenu visé, les droits conférés ainsi que les exploitations autorisées par l’auteur du contenu protégé.

Cette clause, illicite au regard des dispositions précitées sera donc réputée non écrite au regard des dispositions précitées.

De plus, la généralité des termes utilisés dans la clause (cf. « éléments », « à des fins marketing ») ne permet pas à l’utilisateur d’appréhender correctement l’étendue de ses droits, la société se réservant, au sein de la même clause, la possibilité de « contrôler et décider de supprimer ou de modifier tout élément envoyé. »

De sorte que la clause critiquée, illicite au regard des dispositions l’article L. 131-1, L. 131-2 L. 131-3 du code de la propriété intellectuelle, de l’article L. 211-1 du code de la consommation, est abusive au regard de l’article L. 212-1 du code de la consommation, en ce qu’elle a pour objet ou pour effet de créer, au détriment du consommateur, un déséquilibre significatif entre les droits et obligations des parties au contrat. Elle sera donc réputée non écrite de ce chef.

 

III. Sur les autres demandes de l’association UFC-QUE CHOISIR :

A. Sur la cessation des agissements illicites :

1. Sur la demande d’astreinte :

L’association demande la suppression des clauses critiquées et ce pour l’ensemble des versions critiquées, sous astreinte de 300,00 euros par clause et par jour de retard, postérieurement à l’expiration d’un délai de 8 jours à compter de la signification du jugement à intervenir et ce conformément aux dispositions de l’article L. 421-6 du code de la consommation. et de déclarer inopposables ces clauses à tous les consommateurs. Elle sollicite également de déclarer ces clauses inopposables.

Il n’apparaît pas nécessaire d’assortir de mesures d’astreinte la déclaration de clauses susmentionnées en clauses réputées non-écrites.

L’ensemble de ces postes de demande sera en conséquence rejeté.

 

2. Sur la déclaration d’inopposabilité des clauses aux consommateurs :

L’association demande dans le dispositif de ses conclusions que les clauses critiquées soient déclarées inopposables à tous les consommateurs.

Le Tribunal rappelle que les associations de consommateurs peuvent solliciter du juge, saisi dans le cadre de l’action en cessation de l’illicite, défini par l’article L. 621-7 du code de la consommation, l’application aux clauses qui seraient jugées illicites ou abusives, de la sanction de suppression matérielle desdites clauses (article L. 621-8 al. 1) et de la sanction du réputé non écrit de ces mêmes clauses figurant dans tous les contrats identiques conclus par le même professionnel avec des consommateurs (article L. 621-8 al. 2).

La sanction consistant en une déclaration d’inopposabilité des clauses à tous les consommateurs ne figurant pas au rang des sanctions envisagées par les articles précités, l’association sera déboutée de sa demande.

 

B. Sur la réparation du préjudice subi par la collectivité des consommateurs et l’association UFC-QUE CHOISIR :

L’association sollicite de la juridiction que lui soit allouée la somme de 200.000 euros en réparation du préjudice causé à l’intérêt collectif des consommateurs et 50.000 euros en réparation de son préjudice associatif.

Le préjudice moral occasionné à l’intérêt collectif des consommateurs du fait des clauses ayant dû être déclarées réputées non-écrites sera arbitré à la somme 20.000 euros (vingt mille euros).

L’association UFC-QUE CHOISIR n’apportant pas la preuve de l’existence d’un préjudice matériel distinct du préjudice moral subi par l’intérêt collectif des consommateurs, ce second poste de demande de dommages-intérêts en allégation de préjudice associatif sera rejeté.

 

C. Sur les demandes de publicité :

Il n’apparaît pas utile de faire droit à la demande de l’association UFC-QUE CHOISIR aux fins de publication du présent jugement par voie de communication judiciaire.

Il convient toutefois de faire droit au principe de cette demande, en ordonnant à la société ADI de permettre à l’ensemble de ses abonnés français la lecture de l’intégralité du présent jugement par le moyen d’un lien hypertexte sur la page d’accueil du site du service Apple Music, ainsi que sur celles de ses applications sur tablettes et téléphones mobiles pendant une durée de trois mois, ce lien hypertexte devant être mis en place sur ces pages d’accueil dans un délai d’un mois à compter de la signification de la présente décision.

La mesure qui précède sera mise en place dans les conditions directement énoncées au dispositif de la présente décision. Il apparaît par ailleurs utile d’assortir l’exécution de cette obligation d’information d’une mesure d’astreinte, dans les conditions également directement énoncées au dispositif de la présente décision.

En revanche, il n’apparaît pas nécessaire d’assortir la mise à exécution de cette mesure d’un dispositif de contrôle par le concours d’un huissier de justice.

 

D. Sur les frais irrépétibles et les dépens :

Il serait inéquitable, au sens des dispositions de l’article 700 du code de procédure civile, de laisser à la charge de l’association UFC-QUE CHOISIR les frais irrépétibles qu’elle a été contrainte d’engager à l’occasion de cette instance. Il convient d’arbitrer à la somme de 10.000 euros (dix mille euros) dans les conditions générales et d’astreinte directement énoncées au dispositif de la présente décision.

Compte tenu des motifs qui précèdent au titre des annulations de clauses réputées non-écrite, la société ADI sera purement et simplement déboutée de sa demande de défraiement au visa de l’article 700 du code de procédure civile.

Enfin, succombant à l’instance, la société ADI en supportera les entiers dépens.

 

E. Sur l’exécution provisoire :

Aucune situation d’urgence particulière ne justifie que la présente décision soit assortie de l’exécution provisoire.

 

DÉCISION :

Le Tribunal judiciaire statuant publiquement, par jugement mis à disposition au greffe, contradictoire, rendu en premier ressort,

DÉCLARE RECEVABLE l’ensemble des demandes formées par l’association UNION FÉDÉRALE DES CONSOMMATEURS QUE CHOISIR (UFC-QUE CHOISIR) à l’encontre de la société de droit irlandais APPLE DISTRIBUTION INTERNATIONAL (ADI) ;

DÉCLARE réputées non-écrites, en raison de leur caractère illicite ou abusif, les clauses suivantes :

- La clause « EXCLUSIONS DE GARANTIES ; LIMITATIONS DE RESPONSABILITÉ » dans les versions V2, V3, V4 et V5 ;

- La clause « DIVERS » (« Autres stipulations »), clause d’exonération de responsabilité dans les versions V1, V2, V3, V4 et V5 et clause d’indivisibilité dans les versions V1, V3, V4 et V5) ;

- Les clauses « ENVOI DE CONTENU AU SERVICE APPLE MUSIC » dans la version V1 et « VOS ENVOIS SUR NOS SERVICES » dans les versions V3, V4 et V5 ;

- La clause « DISPONIBILITE DU CONTENU » dans la version V1 ;

- La clause « RESILIATION » dans la version V1 ;

- La clause « RESILIATION ET SUSPENSION DES SERVICES » dans les versions V3, V4 et V5 ;

- La clause « UTILISATION DE CONTENU » dans la version V1 ;

Les clauses « MODIFICATIONS » dans la version V1 et « MODIFICATIONS DU CONTRAT » dans les versions V3, V4 et V5.

Les clauses figurant dans les conditions d’Utilisation du service Apple Music (Versions V4 (septembre 2018) et V5 (mai 2019), ci-après reproduites) :

« Vous acceptez que le concédant puisse collecter et utiliser des données techniques et toute information associée, y compris, notamment, les informations techniques concernant votre dispositif, votre système et votre logiciel d’application, ainsi que les périphériques, et qui sont recueillies périodiquement afin de faciliter la fourniture de mises à jour de logiciels, de services d’assistance technique relative au produit, ainsi que d’autres services (le cas échéant) se rapportant à l’application sous licence. Le concédant peut utiliser ces informations aussi longtemps qu’elles sont sous une forme ne permettant pas de vous identifier personnellement, afin d’améliorer ses produits ou de vous fournir des services ou des technologies. »

« Vous reconnaissez qu’Apple est en droit de divulguer des données et/ou des informations aux forces de l’ordre, aux autorités publiques et/ou à des tiers, si Apple l’estime raisonnablement nécessaire ou approprié pour faire appliquer et/ou vérifier le respect de toute disposition du présent contrat (y compris notamment le droit d’Apple de coopérer dans le cadre de toute procédure judiciaire relative à votre utilisation des services et/ou du contenu et/ou sur réclamation de tiers relative à votre utilisation illicite des services et/ou du contenu et/ou en violation des droits de ces tiers). »

« Sauf dans les cas indiqués au paragraphe (d) ci-dessous ou dans le cas où vous exercez un droit à remboursement ou à compensation qui vous est conféré par la loi, Apple, ses dirigeants, cadres, salariés, membres affiliés, agents, contractants ou concédants de licence ne pourront en aucun cas être tenus pour responsables de perte ou dommage causé par Apple, ses salariés ou agents lorsque : (v) cette perte ou ce dommage résulte d’une perte de revenu, d’activité ou de bénéfice ou d’une perte ou une corruption de données en relation avec votre utilisation du Service. »

Les clauses figurant dans l’« Engagement de confidentialité » (version du 22 mai 2018 et version du 9 mai 2019), ci-après reproduites :

« Collecte et utilisation des données non personnelles »

Nous collectons également des données dont la forme ne nous permet pas de faire un rapprochement direct avec une personne en particulier. Nous pouvons recueillir, utiliser, transférer et divulguer des données non personnelles à quelque fin que ce soit.

Vous trouverez ci-après des exemples de données non personnelles que nous collectons et la façon dont nous pouvons les utiliser :

Nous pouvons collecter des informations telles que le métier, la langue, le code postal, l’indicatif régional, l’identifiant unique de l’appareil, l’URL de référence, le lieu et le fuseau horaire dans lesquels un produit Apple est utilisé afin de nous permettre de mieux comprendre le comportement du client et d’améliorer nos produits, services et publicité.

Nous pouvons recueillir des données concernant les activités du client sur notre site web, les services iCloud, l’iTunes Store, l’App Store, le Mac App Store, l’App Store de l’Apple TV, les iBooks Stores et à partir de nos autres produits et services. Ces données sont rassemblées et utilisées pour nous permettre de fournir des informations plus utiles à nos clients et pour savoir quels aspects de notre site web, de nos produits et de nos services sont les plus populaires. Les informations rassemblées sont considérées comme des données non personnelles aux fins du présent Engagement de confidentialité. Nous pouvons collecter et stocker des informations sur votre utilisation de nos services, notamment les recherches que vous effectuez. Ces informations peuvent être utilisées pour améliorer la pertinence des résultats fournis par nos services. Elles ne sont pas associées à votre adresse IP, excepté dans de rares cas afin d’assurer la qualité de nos services sur Internet. Avec votre consentement explicite, nous pouvons collecter des données sur la façon dont vous utilisez votre appareil et vos applications afin d’aider les développeurs à améliorer leurs apps. Si nous associons des données non personnelles à des données personnelles, les données ainsi combinées sont traitées comme des données à caractère personnel tant qu’elles restent associées. »

« Nous traitons les données collectées par les cookies et autres technologies comme des données non personnelles. Toutefois, si les adresses IP (Internet Protocol) ou des identifiants similaires sont considérés comme des données personnelles par la loi locale, nous traitons également ces identifiants comme des données personnelles. De la même manière, si des données non personnelles sont associées à des données personnelles, nous traitons les informations ainsi associées comme des données personnelles aux fins du présent Engagement de confidentialité. »

« Pour fournir des services de géolocalisation sur les produits Apple, Apple et ses partenaires et licenciés [VERSION DU 9 mai 2019 : « tels que les fournisseurs de données de cartographique »] peuvent recueillir, utiliser et partager des données de localisation précises, notamment la localisation géographique en temps réel de votre ordinateur ou appareil Apple. Le cas échéant, les services de géolocalisation peuvent utiliser le GPS, le Bluetooth et votre adresse IP, ainsi que les emplacements des bornes Wi-Fi communautaires et des antennes relais, ou encore d’autres technologies afin de déterminer la localisation approximative de vos appareils. Sauf consentement de votre part, ces données de localisation sont collectées anonymement dans un format ne permettant pas de vous identifier. »

« Si vous activez l’option Suivi publicitaire limité sur votre appareil mobile, les apps tierces ne peuvent pas utiliser l’identifiant publicitaire (un identifiant d’appareil non personnel) pour diffuser des annonces ciblées. »

« Les données personnelles, relatives aux services Apple, concernant les personnes résidant dans un État membre de l’Espace économique européen et en Suisse, sont contrôlées par Apple Distribution International en Irlande, et traitées pour son compte par Apple Inc. Apple utilise des clauses contractuelles types approuvées pour le transfert international des données personnelles collectées dans l’Espace économique européen et en Suisse. En tant qu’entreprise internationale, Apple possède de nombreuses entités juridiques situées au sein de différentes juridictions qui sont responsables des données personnelles qu’elles collectent et qui sont traitées en leur nom par Apple Inc. Par exemple, les informations sur le point de vente au sein de nos entités commerciales situées en dehors des États-Unis sont contrôlées par les entités commerciales individuelles dans chaque pays. Les données personnelles associées à Apple, au magasin [VERSION DU 9 mai 2019 : « à l’Apple Store »] en ligne et à iTunes peuvent également être contrôlées par des entités juridiques en dehors des États-Unis, tel que cela est spécifié dans les conditions générales de chaque service. »

« Si vous avez des questions ou des inquiétudes concernant l’Engagement de confidentialité Apple ou le traitement des données, vous pouvez contacter notre délégué européen à la protection des données »

« Nous pouvons également utiliser les données personnelles à des fins internes, par exemple pour des audits, analyses de données et recherches ans le but d’améliorer les produits, services et communications clients d’Apple. »

« Dans certaines juridictions, nous pouvons vous demander une pièce d’identité officielle, mais uniquement dans certains cas, par exemple, lors de l’ouverture d’un compte mobile et de l’activation de votre appareil, lors de la décision d’étendre un crédit commercial, pour gérer des réservations, ou encore si la loi l’exige. »

« À des fins de recherche et développement, nous pouvons utiliser des ensembles de données tels que ceux contenant [VERSION DU 9 mai 2019 : « telles que celles qui contiennent »] des images, voix ou autres données pouvant être associées à une personne identifiable. »

« Nous utilisons également vos données personnelles pour créer, développer, utiliser, livrer et améliorer nos produits, services, contenus et publicités, et à des fins de prévention des pertes et de lutte contre la fraude. Nous pouvons aussi utiliser vos données personnelles dans des objectifs de sécurité des comptes et réseaux, notamment afin de protéger nos services pour le bénéfice de tous nos utilisateurs [VERSION DU 9 mai 2019 : « ainsi que filtrer et analyser tout contenu chargé pour nous assurer qu’il ne contient pas de contenus illégaux, tels que des abus sexuels sur mineurs »].

Lorsque nous utilisons vos données à des fins de lutte contre la fraude, c’est suite à une transaction en ligne auprès de nous. Nous limitons notre utilisation des données à des fins de lutte contre la fraude aux données strictement nécessaires et dans le cadre de nos intérêts légitimes estimés afin de protéger nos clients et nos services. Pour certaines transactions en ligne, nous pouvons également vérifier les informations que vous nous avez fournies auprès de sources publiquement disponibles. »

« Nous pouvons également divulguer vos données [VERSION DU 9 mai 2019 : « des informations vous concernant »] si nous pensons qu’à des fins de sécurité nationale, d’application de la loi ou autre sujet d’intérêt public, la divulgation est nécessaire ou appropriée. »

« Apple peut parfois mettre certaines données personnelles à la disposition de partenaires stratégiques travaillant avec Apple pour la fourniture de produits et services, ou aidant Apple à commercialiser ses produits auprès des clients. Par exemple, lorsque vous achetez et activez votre iPhone, vous autorisez Apple et votre opérateur à échanger les informations que vous divulguez pendant la procédure d’activation afin d’exécuter le service. »

« À des fins de recherche et développement, nous pouvons utiliser des ensembles de données tels que ceux contenant [VERSION DU 9 mai 2019 : « telles que celles qui contiennent »] des images, voix ou autres données pouvant être associées à une personne identifiable. Lorsque nous acquérons ce type d’ensemble de données, nous le faisons conformément à la loi applicable dans la juridiction dans laquelle se trouve l’ensemble de données. »

« Il peut nous arriver de recevoir des données personnelles vous concernant par le biais de tiers, si ces personnes partagent leur contenu avec vous à l’aide de produits Apple, vous envoient des chèques cadeaux et des produits, ou vous invitent à participer à des services ou forums Apple. Nous pouvons également vérifier les informations que vous nous fournissez lorsque vous créez un identifiant Apple avec un tiers, dans un objectif [VERSION DU 9 mai 2019 : « à des fins »] de sécurité et de prévention de la fraude. »

« Pour certaines transactions en ligne, nous pouvons également vérifier les informations que vous nous avez fournies auprès de sources publiquement disponibles. »

« Nous conservons vos données personnelles pendant la durée nécessaire aux finalités décrites dans le présent Engagement de confidentialité et nos récapitulatifs spécifiques aux services. Pour estimer ces durées, nous déterminons avec soin si nous avons besoin de collecter des données personnelles et, si nous établissons un tel besoin, nous les conservons uniquement pendant la durée la plus courte possible nécessaire à la réalisation de l’objectif de la collecte, sauf si une durée de conservation plus longue est requise par la loi. »

« Nous pouvons traiter vos données personnelles dans les objectifs décrits dans cet Engagement de confidentialité avec votre consentement, pour nous conformer à une obligation légale à laquelle Apple est soumise ou lorsque nous estimons que cela est nécessaire pour atteindre les objectifs légitimes poursuivis par Apple ou un tiers à qui nous pouvons être amenés à divulguer ces données. »

« Vous pouvez nous aider à faire en sorte que vos coordonnées et préférences soient exactes, complètes et à jour en vous connectant à la page de votre compte Apple. Nous vous fournissons un accès aux autres données personnelles que nous détenons, et une copie de celles-ci, pour que vous puissiez éventuellement nous demander de les corriger si elles sont inexactes ou de les supprimer, à condition qu’Apple ne soit pas obligée de les conserver du fait de la loi ou à des fins commerciales légitimes. Nous pouvons refuser de traiter les demandes futiles/vexatoires, les demandes mettant en péril la confidentialité des données de tiers, les demandes qui sont extrêmement difficiles à mettre en place ou celles pour lesquelles un accès n’est pas imposé autrement par la loi applicable. Nous pouvons également refuser certains aspects de demandes de suppression ou d’accès si nous pensons que, ce faisant, nous nuirions à notre utilisation légitime des données à des fins de lutte contre la fraude ou de sécurité, comme nous l’avons vu précédemment. »

« De temps en temps, nous pouvons utiliser vos données personnelles pour envoyer des notifications importantes, telles que des communications sur les achats, et les modifications apportées à nos conditions d’utilisation et politiques. Ces informations étant importantes pour vos relations avec Apple, vous ne pouvez pas vous opposer à la réception de ces communications. »

« Toutes les informations que vous fournissez peuvent être transférées à des entités à travers le monde, ou être accessibles à celles-ci, tel que décrit dans le présent Engagement de confidentialité. »

« Ces sociétés sont dans l’obligation de protéger vos données et peuvent se trouver dans tout pays dans lequel Apple exerce des activités. »

« Services de géolocalisation » 

Pour fournir des services de géolocalisation sur les produits Apple, Apple et ses partenaires et licenciés [VERSION DU 9 mai 2019 : « tels que les fournisseurs de données de cartographique »] peuvent recueillir, utiliser et partager des données de localisation précises, notamment la localisation géographique en temps réel de votre ordinateur ou appareil Apple. Le cas échéant, les services de géolocalisation peuvent utiliser le GPS, le Bluetooth et votre adresse IP, ainsi que les emplacements des bornes Wi-Fi communautaires et des antennes relais, ou encore d’autres technologies afin de déterminer la localisation approximative de vos appareils. Sauf consentement de votre part, ces données de localisation sont collectées anonymement dans un format ne permettant pas de vous identifier. Elles sont utilisées par Apple et ses partenaires et licenciés pour fournir et améliorer les produits et services de géolocalisation. Par exemple, nous pouvons partager la localisation géographique avec des fournisseurs d’applications si vous acceptez leurs services de localisation.

Certains services de géolocalisation proposés par Apple, tels que la fonctionnalité « Localiser mon iPhone », ont besoin de vos données personnelles pour fonctionner. »

« Pour identifier et empêcher la fraude, les données d’utilisation de votre appareil, notamment le nombre approximatif d’appels passés et reçus ou d’emails envoyés et reçus, sont utilisées pour calculer un indice de confiance de l’appareil lors d’une tentative d’achat. »

« Prise de décision automatisée et profilage »

« Les sites web, les services en ligne, les applications interactives, les e-mails et les publicités d’Apple peuvent utiliser des « cookies » et d’autres technologies, telles que des « pixel tags » et des balises web.

Si vous utilisez le navigateur web Safari et que vous souhaitez désactiver les cookies, allez dans les préférences Safari, puis dans le volet Confidentialité où une option vous permettra de gérer vos préférences. Sur votre appareil mobile Apple, accédez à Réglages > Safari, faites défiler l’écran vers le bas pour atteindre la section Confidentialité et sécurité, puis appuyez sur « Bloquer les cookies » pour gérer vos préférences. Pour les autres navigateurs, veuillez consulter votre fournisseur pour savoir comment désactiver les cookies. Veuillez noter que certaines fonctionnalités du site web Apple ne seront plus disponibles une fois les cookies désactivés.

Dans certains de nos e-mails, nous utilisons des « URL de destination » liées au contenu du site web Apple. Lorsque les clients cliquent sur l’une de ces URL, ils sont transférés vers un autre serveur web avant d’arriver sur la page de destination de notre site web. Nous suivons ces données de clic pour nous aider à déterminer [VERSION DU 9 mai 2019 : « pour déterminer »] l’intérêt porté à certains sujets et mesurer l’efficacité de nos communications clients. Si vous préférez ne pas être suivi de cette façon, vous ne devez pas cliquer sur les liens texte ou graphiques figurant dans les e-mails.

Les balises « pixel tags » nous permettent d’envoyer des e-mails dans un format que les clients peuvent lire et de savoir si les messages ont été ouverts. Nous pouvons utiliser ces informations pour réduire ou supprimer les messages adressés aux clients »

Les clauses figurant dans le document « Apple Music et confidentialité » (version du 17 septembre 2018) ci-après reproduites :

« Lorsque vous créez un profil sur Apple Music, nous vous recommandons d’autres abonnés à Apple Music avec lesquels vous pourriez devenir ami. Apple ne collecte et ne stocke aucune information concernant vos contacts lors de la recherche d’amis à recommander. Seuls des hachages abrégés et chiffrés des numéros de téléphone et adresses e-mail de vos contacts sont envoyés à Apple ; les abonnés à Apple Music correspondants à recommander sont ensuite recherchés localement sur votre appareil. »

« Il est possible que nous recueillions, utilisions, transférions ou divulguions des informations non personnelles, quel que soit le motif. Par exemple, nous sommes susceptibles d’agréger vos données non personnelles et celles d’autres utilisateurs d’Apple Music dans le but d’améliorer le service. »

« Nous sommes tenus de communiquer certaines informations non personnelles relatives à votre emploi d’Apple Music à des partenaires du service, tels que des maisons de disque, de sorte qu’ils puissent évaluer leurs performances, satisfaire aux normes comptables et régler les droits d’auteurs dus, de même qu’améliorer leurs produits et services. Nous communiquons également aux artistes des statistiques d’écoute et démographiques (comme l’âge et le sexe des utilisateurs) non personnelles agrégées pour leur permettre de mieux cerner leur public. »

« Cet indice est stocké pendant une durée déterminée sur nos serveurs. »

« Les informations relatives à votre bibliothèque musicale iCloud vous sont associées pendant toute la durée de votre abonnement et pendant une courte période après sa résiliation. » « Nous conservons les données concernant les morceaux que vous écoutez pendant les durées spécifiées par les lois en vigueur relatives aux états financiers. »

« Prenez garde lorsque vous choisissez de partager des informations en ligne ; certaines pourraient être rendues publiques. Les données partagées depuis Apple Music vers d’autres sites web ou réseaux sociaux sont régies par les engagements de confidentialité de ces services. »

« Nous pouvons également vérifier les informations que vous nous fournissez lorsque vous créez un identifiant Apple avec un tiers, dans un objectif [VERSION DU 9 mai 2019 : « à des fins »] de sécurité et de prévention de la fraude. »

ORDONNE à la société ADI de permettre à l’ensemble de ses abonnés français la lecture de l’intégralité du présent jugement par le moyen d’un lien hypertexte devant figurer sur la page d’accueil de son site Internet ainsi que sur celles de ses applications sur tablettes et téléphones pendant une durée de trois mois, ce lien hypertexte devant être mis en place et activable sur ces pages d’accueil ;

DIT que la mesure qui précède devra être mise en place dans un délai d’un mois à compter de la signification de la présente décision et sous astreinte provisoire de 3.000,00 euros (trois mille euros) par jour de retard à l’expiration de ce délai, cette mesure d’astreinte ne pouvant courir que pendant six mois consécutifs ;

CONDAMNE la société ADI à payer au profit de l’association UFC-QUE CHOISIR la somme de 20.000 euros (vingt mille euros) à titre de dommages-intérêts en réparation du préjudice occasionné à l’intérêt collectif des consommateurs ;

CONDAMNE la société ADI à payer au profit de l’association UFC-QUE CHOISIR une indemnité de 10.000 euros (dix mille euros) sur le fondement de l’article 700 du code de procédure civile ;

REJETTE la demande d’exécution provisoire de la présente décision ;

DÉBOUTE les parties de leurs demandes plus amples ou contraires ;

CONDAMNE la société ADI aux entiers dépens de l’instance et ordonne en tant que de besoin l’application des dispositions de l’article 699 du code de procédure civile au profit de Me HARDOUIN, Avocat au barreau de Paris.