TGI de Paris, jugement du 9 avril 2019

UFC-Que Choisir / Facebook Inc.

application de la loi française - clauses abusives - conditions générales d'utilisation - consentement - données personnelles - information de la personne concernée - loi informatique et libertés

La société FACEBOOK Inc. est une société de droit américain fondée en 2004, dont le siège social est situé en Californie (USA). La société FACEBOOK Inc. a mis en place dès sa création le réseau social en ligne « Facebook « . Le cocontractant des utilisateurs situés en France de la plate-forme en ligne est la société « FACEBOOK IRELAND « , société de droit irlandais.

Au vu des pièces produites au débat, les  » Conditions Générales d’Utilisation « , liant les utilisateurs français au contrat de réseautage social Facebook comprennent trois documents contractuels principaux:

• La « Déclaration des droits et responsabilités » : ( » Conditions  » ou « DDR »),
• La  » Politique d’utilisation des données  » : ( » PUD « ),
• Les « Standards de la communauté Facebook « .

A ces trois documents, il convient de joindre un quatrième document intitulé  » Cookies, pixels et technologies similaires « , qui, en déterminant la politique menée par FACEBOOK en matière de cookies, complète les trois documents précités.

Par assignation du 24 mars 2014, l’association UNION FÉDÉRALE DES CONSOMMATEURS – QUE CHOISIR (ci-après UFC – QUE CHOISIR) a fait citer devant le Tribunal de grande instance de Paris la société FACEBOOK Ireland aux fins de faire constater le caractère abusif ou illicite de clauses des  » Conditions Générales d’Utilisation  » de la plate-forme au sein des quatre documents précités, dans les versions de 2013, 2015, 2016, de les faire supprimer ou de les faire réputées non écrites et de réparer le préjudice causé à l’intérêt collectif des consommateurs.

Aux termes de ses dernières écritures signifiées par la voie électronique par le Réseau privé virtuel avocats (RPVA) le 26 juin 2017 au visa des articles L. 421-1 et suivants, R. 411-2 et L. 132-1 du code de la consommation (devenu L. 212-1 du même code), l’UFC – QUE CHOISIR a demandé de :
– déclarer abusif et illicite l’ensemble des conditions contractuelles proposées par FACEBOOK, sur son site internet accessible à l’URL https://www.facebook.com/, au consommateur au regard des articles L. 133-2, L. 132-1 et R. 132-1 1°) du code de la consommation dans sa version antérieure à l’ordonnance n° 2016-301 du 14 mars 2016, des articles L. 211-1, L. 212-1 et R. 212-1 1°) du code de la consommation en vigueur et également, pour les contrats proposés et/ou conclus avant le 13 juin 2014, au regard des anciens articles L. 111-2 et L. 121-19 du code de la consommation dans leur rédaction antérieure à la loi du 17 mars 2014, pour les contrats proposés et/ou conclus après le 13 juin 2014, au regard des articles L. 111-1, L. 111-2, L. 121-17, L. 121-19-2, et R. 111-2 du code de la consommation dans sa version antérieure à l’ordonnance n° 2016-301 du 14 mars 2016 et L. 111-1, L. 111-2, L. 111-3, L. 221-5, L. 221-6, L. 221-7, L. 221-13, R. 112-2 et R. 112-3 du code de la consommation en vigueur, pour les contrats proposés et/ou conclus après le 1er juillet 2016, ainsi que de la loi du 4 août 1994 pour absence de clarté et de compréhension et défaut de leur remise au consommateur sur un support durable, et en ordonner la suppression dans le délai d’un mois à compter de la signification du jugement à intervenir ;
– déclarer abusives et/ou illicites les clauses visées contenues dans la « Déclaration des droits et responsabilités », la « Politique
d’utilisation des données » et les « Standards de la communauté Facebook » dans leur version du 15 novembre 2013, du 30 janvier
2015 et de mars et septembre 2016, du 29 septembre 2016 et 9 décembre 2016 de la société FACEBOOK, d’en ordonner la
suppression et/ou la modification en conformité avec le droit en vigueur dans le délai d’un mois à compter de la signification du
jugement à intervenir,
– déclarer que les clauses visées par la présente assignation sont réputées non écrites dans tous les contrats proposés par FACEBOOK, y compris ceux qui ne sont plus proposés et ordonner à la société FACEBOOK d’en informer à ses frais les consommateurs concernés,
– assortir cette condamnation d’une astreinte de 5.000 € par clause et par jour de retard postérieurement au délai d’un mois à compter de la signification du jugement à intervenir,
– condamner la société Facebook Ireland Limited à payer à l’UFC – QUE CHOISIR la somme de 1.000.000 € en réparation du préjudice moral subi par l’intérêt collectif des consommateurs et la somme de 1.000.000 € en réparation du préjudice matériel subi par l’intérêt collectif des consommateurs,
– ordonner la publication d’un communiqué judiciaire aux frais avancés de Facebook Ireland Limited dans les journaux « Ouest
France », « Aujourd’hui – Le Parisien », « Le Monde », « Figaro », « Libération », « 20 minutes », « Métro » et « Direct matin » et
sur la page d’accueil de son site internet accessible à l’URL https://www.facebook.fr/ de manière immédiatement lisible- ce qui
prohibe l’emploi d’un lien hypertexte présent sur la page d’accueil pour accéder au communiqué judiciaire, pendant une durée de trois mois, dans le délai de quinze jours à compter de la signification du présent jugement,
– rejeter la demande reconventionnelle de FACEBOOK sur le caractère prétendument abusif de l’action de l’UFC – QUE CHOISIR, et en conséquence, rejeter la demande de condamnation de l’UFC – QUE CHOISIR au paiement de la somme de 1 € à titre de dommages et intérêts, et rejeter la demande de publication d’un communiqué, à cet effet,
– ordonner l’exécution provisoire de la décision à intervenir,
– condamner la société Facebook Ireland Limited à payer la somme de 88.000 € à UFC – QUE CHOISIR en application de l’article 700
du Code de procédure civile et aux dépens.

En réplique la société FACEBOOK conteste en substance la recevabilité des demandes de l’UFC–QUE CHOISIR, l’association

étant, selon elle, dépourvue de qualité et d’intérêt à agir à l’encontre de la société FACEBOOK Ireland. Elle estime également irrecevables les demandes de l’UFC–QUE CHOISIR fondées sur la loi française et notamment sur les dispositions du code de la consommation, alors que le contrat est soumis à la loi californienne et que le service Facebook est gratuit.
La société FACEBOOK ajoute que certaines dispositions légales invoquées par l’association ne sont pas pénalement sanctionnées.
Elle fait valoir que les conditions d’utilisation du Service Facebook sont accessibles, claires et compréhensibles et précise que l’utilisateur donne son consentement aux conditions d’utilisation et que FACEBOOK Ireland respecte les dispositions de la Loi Informatique et Libertés ; qu’ainsi aucune clause ne saurait être annulée de ces chefs.

Conformément aux dispositions de l’article 455 du code de procédure civile, les moyens développés par chacune des parties à l’appui de leurs prétentions respectives sont directement énoncés dans la DISCUSSION de la présente décision.

Après clôture des débats par ordonnance du 28 novembre 2017 du Juge de la mise en état et évocation de cette affaire lors de l’audience civile collégiale du 29 mai 2018, au cours de laquelle chacun des conseils des parties ont réitéré ses précédentes écritures, la décision a été mise en délibéré au 22 janvier 2019.

DISCUSSION :

L’association UFC QUE-CHOISIR sollicite de la juridiction par application des articles L. 421-6 du code de la consommation, devenu l’article L. 621-7 du code de la consommation, et des articles L. 421-1 et L. 421-2 du code de la consommation, devenus les articles L.621-1 et L. 621-2 du même code, la suppression des clauses abusives et/ou illicites présentes dans les  » Conditions Générales d’Utilisation  » de la société FACEBOOK, à savoir les « Déclaration des droits et responsabilités »,  » Politique d’utilisation des données », « Standards de la communauté Facebook » et  » Cookies, pixels et technologies similaires « , ainsi que la réparation du préjudice qui en est résulté.

La société FACEBOOK conteste la recevabilité des demandes d’UFC – QUE CHOISIR visant à annuler des clauses prétendument abusives et/ou illicites contenues dans les conditions d’utilisation du Service Facebook, ainsi que la réparation du prétendu préjudice qui en découlerait.

Elle fait valoir que l’action de l’association ne remplit pas les conditions déterminées par les articles L. 421-2 et L. 421-6 du code de la consommation ; qu’en conséquence l’association n’ayant ni qualité ni intérêt à agir au sens des articles 31, 32 et 122 du code de procédure civile, ses demandes sont irrecevables.

Elle ajoute que la loi applicable au contrat conclu entre la société FACEBOOK Ireland Limited et les utilisateurs français du Service Facebook est la loi de l’État de Californie (États-Unis) et non la loi française et soutient que le contrat conclu entre la société FACEBOOK Ireland Limited et l’utilisateur n’est pas un contrat de consommation. Qu’ainsi le droit français de la consommation et la réglementation relative aux contrats à distance, à l’information du consommateur, aux clauses abusives et à la forme et à l’interprétation du contrat, n’est pas applicable aux conditions d’utilisation du service Facebook et que les clauses critiquées portant sur la définition de l’objet du service fourni par la société FACEBOOK Ireland Limited ne sauraient faire l’objet d’une appréciation sur le fondement de la réglementation relative aux clauses abusives.

Elle affirme également que les demandes fondées sur les dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’Informatique, aux fichiers et aux libertés (Loi Informatique et Libertés) n’est pas applicable à la société FACEBOOK Ireland Limited, en sa qualité de responsable de traitement ; que l’article 544 du code civil relatif au droit de la propriété, les articles L. 131-1, L ; 131-3 et L ; 131-4 du code de la propriété intellectuelle et la loi Toubon relative à la langue française sont irrecevables en ce qu’elle ne visent pas spécifiquement les consommateurs mais plus généralement « les droits et libertés », la « protection de tout homme » ou de « tout auteur » ; qu’ainsi aucune des clauses visées ne saurait être annulée de ces chefs.

L’UFC QUE-CHOISIR réplique qu’en sa qualité d’association de défense des intérêts des consommateurs déclarée auprès de la Préfecture de Police de Paris et agréée conformément à l’article L. 421-1 du code de la consommation, elle est recevable à agir sur le fondement de ce texte ainsi que sur le fondement de l’article L. 421-2 du code de la consommation pour obtenir la suppression et/ou la modification de toutes clauses abusives et illicites pouvant figurer dans les « Conditions Générales d’Utilisation » de FACEBOOK.

L’association observe également que l’article L. 421-6 du code de la consommation, devenu l’article L. 621-7 du code de la consommation et l’article L. L. 421-2 du code de la consommation visent tout contrat ou type de contrat proposé ou destiné au consommateur, sans que soit mentionné l’adverbe « exclusivement ».

S’agissant de l’application de la Loi Informatique et Libertés, des dispositions relatives au droit de la propriété, droit de la propriété intellectuelle et la loi relative à l’emploi de la langue française (dite Loi Toubon), l’association fait valoir qu’aucune disposition légale ne restreint l’action d’une association de consommateurs à la violation de dispositions « spécifiques » au consommateur.

I SUR LA RECEVABILITÉ DE L’ACTION DE L’ASSOCIATION UFC – QUE-CHOISIR :

A. Sur la qualité et l’intérêt pour agir de l’association UFC QUE-CHOISIR :

Aux termes des articles 31, 32 du code de procédure civile, l’action en justice est ouverte à tous ceux qui ont un intérêt légitime au succès ou au rejet d’une prétention, sous réserve des cas dans lesquels la loi attribue le droit d’agir aux seules personnes qu’elle qualifie pour élever ou combattre une prétention, ou pour défendre un intérêt déterminé, toute prétention émise par ou contre une personne dépourvue du droit d’agir est irrecevable.

Au sens de l’article 122 du code de procédure civile, constitue une fin de non-recevoir tout moyen qui tend à faire déclarer l’adversaire irrecevable en sa demande, sans examen au fond, pour défaut de droit d’agir, tel le défaut de qualité, le défaut d’intérêt, la prescription, le délai préfix, la chose jugée.

L’article L. 411-1 devenu l’article L. 811-1 du code de la consommation prévoit que les associations de défense des consommateurs peuvent être agréées après avis du ministère public, les conditions dans lesquelles ces associations peuvent être agréées compte tenu de leur représentativité sur le plan national ou local ainsi que les conditions de retrait de cet agrément, étant fixées par décret.

En l’espèce, l’association UFC-QUE CHOISIR produit à l’appui de sa demande le décret du 5 août 2011 portant renouvellement de son agrément pour cinq ans à compter du 22 septembre 2011. De sorte que l’association justifie de la condition d’agrément prévue par l’article L. 421-2 devenu l’article L. 621-1 du code de la consommation.

Aux termes de l’article L. 421-2 devenu l’article L. 621-1 du code de la consommation, les associations de consommateurs, mentionnées à l’article L.421-1 et agissant dans les conditions précisées à cet article, peuvent demander à la juridiction civile ou à la juridiction répressive, statuant sur l’action civile, d’ordonner au défendeur ou au prévenu, le cas échéant sous astreinte, toute mesure destinée à faire cesser des agissements illicites ou à supprimer dans le contrat ou le type de contrat en cours ou non, proposé aux consommateurs une clause illicite et peuvent également demander, selon le cas, à la juridiction civile ou à la juridiction répressive de déclarer que cette clause est réputée non écrite dans tous les contrats identiques conclus par le défendeur ou le prévenu avec des consommateurs et de lui ordonner d’en informer à ses frais les consommateurs concernés par tous moyens appropriés.

L’article L. 421-6 du code de la consommation, devenu l’article L. 621-7 du code de la consommation, prévoit que les associations mentionnées à l’article L. 421-1 devenu l’article L. 621.1 du code de la consommation et les organismes justifiant de leur inscription sur la liste publiée au Journal officiel de l’Union européenne en application de l’article 4 de la directive 2009/22/ CE du Parlement européen et du Conseil du 23 avril 2009 modifiée, relative aux actions en cessation en matière de protection des intérêts des consommateurs, peuvent agir devant la juridiction civile pour faire cesser ou interdire tout agissement illicite au regard des dispositions transposant les directives mentionnées à l’article 1er de la directive précitée, le juge pouvant à ce titre ordonner le cas échéant sous astreinte la suppression d’une clause illicite ou abusive dans tout contrat ou type de contrat proposé ou destiné au consommateur.

Ainsi les articles L. 421-2 et L. 421-6, devenus respectivement les articles L. 621-1 et L. 621-7 du code de la consommation, autorisent les associations de consommateurs agréées à solliciter en justice la cessation d’agissements illicites et la suppression de clauses abusives ou illicites dans tout contrat ou type de contrat proposé ou destiné à un consommateur, l’agissement illicite, au sens des articles précités, n’étant pas nécessairement constitutif d’une infraction pénale.

Par ailleurs, pour que soient ouvertes aux associations de consommateurs agréées les actions en cessation de l’illicite et en suppression des clauses abusives ou illicites précitées il suffit que le contrat litigieux soit proposé ou destiné au consommateur.

Tel est le cas du contrat de réseautage social Facebook liant l’utilisateur du réseau à la société FACEBOOK, lorsque ce dernier a la qualité de « consommateur » au sens de l’article liminaire du code de la consommation.

D’où il suit que UFC QUE-CHOISIR a bien qualité pour agir et est recevable dans son action en cessation ou interdiction des agissements illicites mentionnée aux articles L. 421-2 devenu l’article L. 621-1 et l’article L. 421-6, devenu l’article L. 621-7 du même code, visant la suppression ou le « réputé non écrit » des clauses abusives ou illicites présentes dans les « Conditions Générales d’Utilisation » de la société FACEBOOK. Elle est également recevable dans son action en réparation du préjudice résultant pour l’intérêt collectif des consommateurs de ces agissements illicites.

B- Sur l’application des règles de droit français aux Conditions générales d’Utilisation de FACEBOOK :

1. Sur l’application de la législation française relative au droit de la consommation :

L’association UFC QUE-CHOISIR soutient qu’aux termes de l’article L. 135-1 du code de la consommation devenu l’article L. 232-1 du code de la consommation et de l’article 6 du Règlement n° 593/2008 du 17 juin 2008 dit « Règlement Rome I », la législation française relative aux clauses abusives est applicable en l’espèce.

La société FACEBOOK fait valoir que les conditions d’utilisation de Facebook Ireland (clause n° 15.1 de la DDR) mentionnent expressément que, sauf exception inapplicable en l’espèce, c’est la loi de l’Etat de Californie qui est applicable aux contrats passés entre FACEBOOK IRELAND et les utilisateurs français du Service Facebook. Les dispositions du droit français de la consommation relatives aux contrats conclus à distance, à l’information du consommateur, aux clauses abusives, à la forme et à l’interprétation des contrats, seraient inapplicables en l’espèce.

La société FACEBOOK prétend que les articles 3.1 et 6.2 du « Règlement Rome I », applicables aux contrats internationaux, l’article
6.2 de la Directive sur les clauses abusives et le nouvel article L. 135-1 du code de la consommation – dans sa version postérieure à l’entrée en vigueur de la Loi Hamon – prévoient la liberté de choix de la loi applicable par les parties, pour autant que ce choix de loi ne prive pas le consommateur de la protection de dispositions impératives de la loi du pays dans lequel réside le consommateur.

Aux termes de l’article 6.1 du règlement n° 593/2008 du 17 juin 2008 dit « Règlement Rome 1 », un contrat, conclu par un consommateur pour un usage pouvant être considéré comme étranger à son activité professionnelle avec un professionnel agissant dans l’exercice de son activité professionnelle, est régi par la loi du pays où le consommateur a sa résidence habituelle, à condition que ce professionnel exerce son activité professionnelle dans le pays dans lequel le consommateur a sa résidence habituelle, ou par tout moyen, dirige cette activité vers ce pays ou vers plusieurs pays, dont celui-ci, et que le contrat rentre dans le cadre de cette activité.

L’article 6.2 du même règlement prévoit que les clauses de choix de loi présentes au sein d’un contrat sont licites, sous réserve qu’elles n’aient pas pour résultat de priver le consommateur de la protection que lui assurent les dispositions, auxquelles il ne peut être dérogé par accord, en vertu de la loi qui aurait été applicable.

L’article 6 § 2 de la directive 93/13/CEE du 5 avril 1993 (concernant les clauses abusives dans les contrats conclus avec les consommateurs) pose la règle selon laquelle le consommateur ne peut être privé de la protection que la directive lui accorde du fait du choix du droit d’un pays tiers comme droit applicable au contrat, lorsque le contrat présente un lien étroit avec le territoire des États membres.

L’article L. 135-1, devenu l’article L. 232-1 du code de la consommation reprend la même règle : aucune stipulation ne peut priver le consommateur de la protection que lui assurent les dispositions prises par un Etat membre de l’Union européenne en application de la directive 93/13/CEE du Conseil du 5 avril 1993 précitée, lorsque le contrat présente un lien étroit avec le territoire d’un Etat membre.

Ainsi, en dépit de la présence au sein des Conditions générales d’utilisation du réseau social Facebook d’une « clause de choix de loi », la protection accordée par les dispositions impératives de la loi de la résidence habituelle du consommateur-utilisateur français du réseau social ne peut être réduite par convention, dès lors que la société FACEBOOK, fournisseur d’un service de réseautage social, propose, via un site accessible en langue française, un contrat destiné aux membres ou futurs membres français du réseau social et manifeste ainsi sa volonté d’entrer en relation contractuelle avec ces derniers.

En conséquence, l’activité du réseau social Facebook étant dirigée vers la France au sens des articles précités, la loi française est applicable au contrat litigieux.

a) Sur la qualification du contrat proposé par FACEBOOK.

La société FACEBOOK conteste que le contrat d’utilisation du réseau social proposé soit un contrat de consommation. Selon elle, la gratuité de ce contrat exclurait l’application des dispositions du droit de la consommation.

L’association UFC-QUE CHOISIR soutient que le contrat proposé par Facebook aux utilisateurs est un contrat de consommation qui, à ce titre, est soumis aux dispositions du code de la consommation, notamment celles régissant les clauses abusives.

Aux termes des articles 1105 et 1106 devenu l’article 1107 du code civil, le contrat est dit à titre onéreux, lorsque chacune des parties reçoit de l’autre un avantage en contrepartie de celui qu’elle procure, il est dit à titre gratuit, lorsque l’une des parties procure à l’autre un avantage, sans recevoir de contrepartie.

Il ressort des documents relatifs aux « Conditions Générales d’utilisation » produites au débat , notamment la « Déclaration des droits et responsabilités » (DDR) et la « Politique d’Utilisation des Données » (PUD) – présentée par la clause n° 1 de la DDR du 15 novembre 2013 comme le document permettant d’informer l’utilisateur sur la manière dont FACEBOOK collecte et utilise le « contenu » et les « données personnelles » de l’utilisateur – et plus précisément de la clause n° 10 de la DDR du 15 novembre 2013 et de la clause n° 9 des 30 janvier 2015 et 9 décembre 2016, qu’en contrepartie de l’accès et de l’utilisation des Services Facebook, l’utilisateur du réseau social autorise la société FACEBOOK à utiliser ses informations personnelles telles que ses nom, adresse électronique, date de naissance, sexe, numéro de téléphone, mais également ses « informations » et « contenus » en ces termes : « Notre objectif est de proposer des publicités, et d’autres contenus commerciaux ou sponsorisés, de façon avantageuse pour les internautes et les annonceurs. Pour nous aider à y parvenir, vous acceptez les conditions suivantes : vous nous autorisez à utiliser votre nom, votre photo de profil, vos contenus et vos informations dans le cadre d’un contenu commercial, sponsorisé ou associé (par exemple une marque que vous aimez) que nous diffusons ou améliorons. Cela implique, par exemple, que vous autorisez une entreprise ou une autre entité à nous rémunérer pour afficher votre nom et/ou la photo de votre profil avec votre contenu ou vos informations, sans vous verser de dédommagement (…). »

Nous obtenons parfois des données par le biais de nos filiales, partenaires, clients publicitaires ou d’autres tiers. Ces données nous permettent de diffuser des publicités plus pertinentes, de mieux comprendre la façon dont les gens utilisent Facebook et, de manière générale, d’améliorer les services que nous proposons. Par exemple, un annonceur peut nous indiquer que vous avez répondu à une publicité sur Facebook ou sur un autre site afin de nous aider à mesurer l’efficacité de ces publicités, et donc d’en améliorer la qualité. (Clauses n° 8.5 et 8.11 de la Politique d’utilisation des données du 15 novembre 2013).

De sorte qu’en application de ces clauses, l’utilisateur autorise d’autres entreprises à rémunérer la société FACEBOOK pour afficher le nom et/ou la photo de son profil avec son « contenu » ou ses « informations », sans lui verser de dédommagement.

La société FACEBOOK entend ainsi fournir à l’utilisateur des « contenus » et des « publicités ciblées » en fonction de ces données collectées notamment à l’occasion de son inscription sur le réseau social. A titre d’exemple, la donnée personnelle relative à la date de naissance de l’utilisateur  » (…) permet de fournir (à l’utilisateur) des informations, comme (lui) montrer des contenus ou des publicités en fonction de (son) âge » (Clause n° 1 à 11 de la PUD du 15 novembre 2013).

De la même manière les « contenus » et des « informations » que l’utilisateur dépose au cours de son utilisation du site font également l’objet d’une collecte. Etant précisé que les « contenus » sont, aux termes de la clause n° 18 de la PUD du 15 novembre 2013, entendus comme l’ensemble des « faits et autres informations concernant l’utilisateur et les actions des autres utilisateurs et des non-utilisateurs interagissant avec Facebook », les « informations » étant pour leur part définies comme « le contenu et les informations que l’utilisateur ou d’autres utilisateurs publient sur Facebook, qui ne répondraient pas à la définition d’informations ».

C’est ainsi que des données de l’utilisateur sont collectées « à chaque fois que » (systématiquement) « l’utilisateur entreprend une action dans Facebook ou pour y accéder ». « Nous recueillons des informations lorsque vous visitez ou utilisez des sites web et des applications de tiers qui ont recours à nos services (par exemple, lorsqu’ils incluent nos boutons J’aime ou Se connecter avec Facebook, ou encore lorsqu’ils font appel à nos services de mesure et de publicité ». (Clause n° 8.4 de la PUD du 15 novembre 2013 ; clause n° 9 de la PUD du 30 janvier 2015, mars et septembre 2016 et du 29 septembre 2016).

Plus précisément, la clause n° 1 de la PUD du 15 novembre 2013 prévoit qu’à l’occasion de la publication par l’utilisateur d’une photo ou d’une vidéo, la collecte de données telles que l’heure, la date et l’endroit où l’utilisateur a pris la photo ou réalisé la vidéo soit réalisée.

La clause n° 8 de la PUD du 15 novembre 2013 envisage la collecte des données provenant de son ordinateur, de son téléphone mobile ou d’autres équipements dont il se sert : adresse IP, numéro de téléphone mobile, système d’exploitation, type d’appareil (y compris les numéros d’identification), navigateur utilisé, pages visitées.

Figurent également au rang des données collectées et utilisées par la société FACEBOOK, le lieu d’une photo, la date à laquelle un fichier a été créé. (…), les informations concernant la manière dont l’utilisateur utilise les services de Facebook, les types de contenu qu’il consulte ou avec lesquels il interagit, la fréquence et la durée de ses activités (…) (Clause n° 10 de la DDR du 15 novembre 2013 ; clause n° 9 du 30 janvier 2015 et du 9 décembre 2016, clauses n°3 à 7 de la PUD des 30 janvier 2015 de mars et septembre 2016).

La société FACEBOOK se sert des « informations » à sa disposition pour améliorer ses systèmes de publicité et de mesure, ce qui lui permet de présenter à l’utilisateur des publicités pertinentes (ciblées), à travers ses services ou en dehors de ses services et d’évaluer l’efficacité et la portée de ses publicités et de ses services. (Clause n° 18 de la PUD du 2 mars 2015).

Sont également concernés par la collecte de données, les contenus et informations que d’autres utilisateurs du réseau social fournissent, lorsqu’ils interagissent avec l’utilisateur sur le réseau social.

Dès lors sont collectées des informations concernant l’utilisateur lui- même, à l’occasion du partage d’une photo de l’utilisateur, de l’envoi de message ou des téléchargement, synchronisation, ou importation de coordonnées (un carnet d’adresses, par exemple) (…), des informations sur les personnes et les groupes avec lesquels l’utilisateur est en contact, la manière dont il interagit avec eux (..) les coordonnées qu’il télécharge, synchronise ou importe à partir d’un appareil. (Clause n° 3 à 7 de la Politique d’utilisation des données du 30 janvier 2015).

Il ressort également de la clause n° 7 de la DDR du 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016 ainsi que de la clause 7 de la PUD du 30 janvier 2015, mars et septembre 2016, que la société FACEBOOK intervient également en qualité d’intermédiaire de paiement en ligne.

Lorsque l’utilisateur effectue un achat ou une transaction financière, la société FACEBOOK recueille les données concernant cet achat ou cette transaction. Ces données comprennent, aux termes de la clause précitée : les informations de paiement (numéro de carte de crédit ou de débit) et autres informations concernant la carte, ainsi que d’autres données de compte et informations d’authentification, données de facturation, de livraison et les coordonnées de l’utilisateur du réseau social.

Enfin, la société FACEBOOK IRELAND confirme en page 22 de ses écritures, que bien que le Service Facebook soit fourni à titre gratuit aux utilisateurs, la société FACEBOOK Ireland utilise la publicité comme source de financement en permettant « aux annonceurs d’adresser des publicités à un public ciblé (des publicités ciblées), c’est-à-dire qualifié selon les besoins de l’annonceur et défini par catégorie(s) d’utilisateur (âge, qui « aime » tel ou tel produit, etc.) ».

Cette affirmation est d’ailleurs confirmée par la clause n° 23 de la PUD 15 novembre 2013 en ces termes : « Nous utilisons les informations que nous recevons pour les services et les fonctions que nous vous fournissons, à vous et à d’autres utilisateurs, tels que vos amis, nos partenaires, les annonceurs qui achètent des publicités sur le site, et les développeurs qui conçoivent les jeux, les applications et les sites web que vous utilisez (…). »

Il résulte de ce qui précède que, si la société FACEBOOK propose aux utilisateurs de la plate-forme des services dépourvus de contrepartie monétaire, elle commercialise à titre onéreux auprès d’entreprises fournisseurs, prestataires de services, et autres partenaires notamment publicitaires, des données, à caractère personnel ou non, déposées gratuitement par l’utilisateur à l’occasion de son inscription sur le réseau social et lors de son utilisation.

Ainsi, la fourniture de données collectées gratuitement puis exploitées et valorisées par la société FACEBOOK doit s’analyser en un « avantage » au sens de l’article 1107 du code civil. Cet avantage constitue la contrepartie du service de réseau social que la société FACEBOOK procure à l’utilisateur, de sorte que le contrat conclu avec FACEBOOK est un contrat à titre onéreux.

b) Sur la qualification de « contrat de consommation » :

Au vu de ce qui précède, il ressort de l’analyse des documents produits au débat qu’en collectant des données déposées gratuitement par l’utilisateur à l’occasion de son accès à la plate-forme et en les commercialisant à titre onéreux, la société FACEBOOK, qui, agissant à des fins commerciales, tire profit de son activité, est un « professionnel » au sens de l’article liminaire du code de la consommation, lequel définit le professionnel, comme toute personne physique ou morale, publique ou privée, agissant à des fins entrant dans le cadre de son activité commerciale, y compris lorsqu’elle agit au nom ou pour le compte d’un autre professionnel.

L’utilisateur du réseau social, lorsqu’il est une personne physique agissant à des fins qui n’entrent pas dans le cadre de son activité commerciale, industrielle, artisanale, libérale ou agricole, est un consommateur au sens du même article liminaire.

De sorte que dans ces conditions le contrat de réseautage social proposé par FACEBOOK est un contrat soumis aux dispositions du code de la consommation.

Par ailleurs, l’application des dispositions de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation, aux termes desquelles sont abusives les clauses, qui ont pour objet ou pour effet de créer, dans les contrats conclus entre professionnels et consommateur, un déséquilibre significatif entre les droits et obligations des parties au contrat, au détriment du consommateur n’exige pas que le contrat concerné ait été conclu à titre onéreux, seule la qualité des parties au contrat (professionnel/consommateur) déterminant leur application.

2. Sur l’application de la Loi Informatique et Libertés :

Selon la société FACEBOOK IRELAND, le droit national applicable au présent litige est celui de l’Etat membre, dans lequel le « responsable du traitement » est établi, conformément à l’article 4 de la Directive 95/46/CE du 24 octobre 1995 relative à la protection des données à caractère personnel des personnes physiques.

La société FACEBOOK IRELAND soutient qu’elle est le « responsable du traitement » au sens de l’article 2 sous d) de ladite directive et de l’article 5 de la « Loi Informatique et Libertés » ; qu’en conséquence, seules les lois irlandaises sur la protection des données sont applicables.

Elle précise que la société FACEBOOK FRANCE a pour activité principale les relations publiques, le support marketing et le conseil en communication pour le groupe FACEBOOK et qu’elle apporte une assistance locale aux annonceurs publicitaires basés en France. Elle ajoute qu’elle agit en qualité de sous-traitant pour le compte et suivant les instructions de la société FACEBOOK IRELAND en vertu d’un accord de traitement des données passé entre les deux sociétés, la société FACEBOOK IRELAND réalisant seule les traitements en cause. Elle conteste en conséquence que la société FACEBOOK FRANCE soit un « établissement » au sens de l’article 4 de la directive 95/46/CE.

Pour l’association UFC QUE-CHOISIR, la Loi Informatique et Libertés française s’applique en vertu des dispositions de l’article 4 §1-a) de la directive 95/46/CE et de l’article 5 1°) de la Loi Informatique et Libertés.

Elle soutient que, conformément aux articles 4 §1, a) de la directive 95/46/CE et 5-I 1°) de la loi Informatique et Libertés,

1°) la loi française s’applique, la société FACEBOOK FRANCE devant être considérée comme un « établissement » car elle présente un caractère de stabilité et exerce une activité effective et réelle sur le territoire français, le traitement étant effectué « dans le cadre des activités » de cet établissement.

Aux termes de l’article 2 sous b) de la directive 95/46/CE le « responsable du traitement » est défini comme la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel (…).

Dans le même sens, l’article 3-I de la Loi Informatique et Libertés détermine le responsable d’un traitement de données à caractère personnel comme la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens du traitement.

S’agissant de la loi nationale applicable, l’article 5-I 1°) de la Loi Informatique et Libertés soumet à la loi française les traitements de données à caractère personnel, dont le responsable est établi sur le territoire français, quelle que soit la forme juridique de cet établissement.

A cet égard, l’article 4 §1 sous a) de la directive 95/46/CE, éclairé par les considérants 18 à 21 de son préambule, prévoit que chaque état membre applique les dispositions nationales qu’il arrête en vertu de la directive, lorsque le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de l’Etat membre.

Le même article prévoit, dans le cas où un même responsable du traitement est établi sur le territoire de plusieurs états membres, qu’il soit tenu de prendre les mesures nécessaires pour que chacun de ses établissements respecte les obligations prévues par le droit national applicable, de sorte qu’il incombe au responsable du traitement l’obligation d’appliquer en parallèle les lois nationales correspondant à chaque établissement.

Au sens du 19ème considérant de la directive précitée, est considéré comme un « établissement » sur le territoire de l’état membre, une installation stable où s’exerce une activité effective et réelle au sein d’un état membre. Il importe peu que le responsable exerce son activité par le biais « succursale » ou d’une « filiale » dotée de la personnalité juridique.

Ainsi, afin d’éviter tout contournement des dispositions du texte européen et d’assurer une protection efficace et complète du droit à la vie privée des personnes physiques, lorsqu’un responsable du traitement est établi sur le territoire de plusieurs États membres, chacun de ses établissements doit respecter les obligations imposées par les lois respectives des États membres concernés pour le traitement des données effectué dans le cadre de leurs activités. Etant précisé que l’article 4 de la directive précitée n’exige pas que le traitement concerné soit effectué « par » l’établissement du responsable de traitement mais « dans le cadre des activités » de cet établissement.

En l’espèce, il ressort de l’extrait Kbis, produit au débat par les parties, que la société FACEBOOK FRANCE, constituée le 3 février 2011 sous la forme d’une SARL à associé unique, jouit d’une personnalité juridique qui lui est propre ; que son siège social est situé dans le 17ème arrondissement de Paris ; que son objet social prévoit qu’elle y déploie, au bénéfice du groupe FACEBOOK, des activités de marketing et de vente d’espaces publicitaires, lesquels ont pour finalité le développement des services du réseau social FACEBOOK et de la marque FACEBOOK en France.

Il ressort également des écritures de la société FACEBOOK IRELAND (conclusions FACEBOOK, page 79) que la société FACEBOOK FRANCE « traite les données des utilisateurs français dans le seul cadre de sa fonction support pour FACEBOOK IRELAND pour le compte de cette dernière et selon ses instructions «  en vertu d’un accord de « sous-traitance » la liant à ladite société. Toutefois, aucun document n’est produit au débat, permettant au Tribunal de s’assurer de la réalité et donc de la nature d’un tel accord.

Par ailleurs, la prétendue qualité de sous-traitant de la société FACEBOOK FRANCE agissant pour le compte de la société FACEBOOK IRELAND n’exclue pas la qualité de responsable de traitement pour certaines opérations.

Il découle de ce qui précède, que le groupe FACEBOOK dispose par le biais de la société FACEBOOK FRANCE d’un « établissement » sur le territoire français au sens de l’article 5 I de la Loi Informatique et Libertés et de l’article 4 §1 sous a) de la directive 95/46/CE, tel qu’interprété par la Cour de Justice de l’Union Européenne dans l’arrêt Weltimmo C-230/14 du 1er octobre 2015, à savoir une installation présentant un caractère de stabilité et exerçant une activité effective et réelle sur le territoire d’un état membre, en l’occurrence le territoire français ; que ses activités de commercialisation d’espaces publicitaires en ligne sont indissociablement liées à l’activité du réseau social du groupe FACEBOOK en France, en ce sens qu’en constituant la contrepartie des services du réseau social Facebook mis à la disposition « à titre gratuit » des utilisateurs, elles sont consubstantielles au traitement des données à caractère personnel des utilisateurs, lesquelles assurent aux annonceurs partenaires du réseau social des prestations de ciblage publicitaire au plus proche des centres d’intérêt des utilisateurs (cf. notamment clause n°4 de la Politique d’Utilisation des Données (PUD) du 30 janvier 2015 intitulée « Vos activités et les informations que vous fournissez » (cf. infra) « Nous nous servons des informations à notre disposition pour améliorer nos systèmes de publicité et de mesure, ce qui nous permet de vous présenter des publicités pertinentes, au sein de nos Services ou en dehors, et d’évaluer l’efficacité et la portée de nos publicités et de nos services »).

Dès lors, ces activités d’intermédiation publicitaires constituent le moyen de rendre le réseau social économiquement rentable au sens de l’article 4 de la directive, tel qu’interprété par l’arrêt de la CJUE Google Spain du 13 mai 2014 C-131/12 (point 56). De ce fait, en gérant ces activités d’intermédiation publicitaire indispensables à la rentabilité des services du réseau social FACEBOOK, elles contribuent à la réalisation de ses propres activités.

A cet égard, l’opération, qui consiste à faire figurer sur la page d’un site internet des données à caractère personnel, est considérée comme un traitement de données à caractère personnel au sens de l’article 2 sous b) de la directive 95/46 (arrêts Lindqvist C-101/01 point 25, Google Spain et Google du 13 mai 2014 C-131/12 point 26) et de l’article 2 de la Loi Informatique et Libertés.

En l’occurrence, l’affichage simultané sur la page d’accueil du site du réseau social Facebook de données à caractère personnel de l’utilisateur (nom de famille, prénom, date de naissance) et de publicités liées aux activités de l’utilisateur sur internet confirment que la vente d’espaces publicitaires, conduite par la société FACEBOOK FRANCE, établissement du responsable de traitement sur le territoire français, constitue un traitement de données à caractère personnel au sens de l’article 2 sous b) de la directive 95/46/CE et de l’article 2 de la Loi Informatique et Libertés.

Dans ces conditions, il y a lieu de considérer que le traitement des données à caractère personnel en question est effectué dans le cadre des activités publicitaires et commerciales de la société FACEBOOK FRANCE.

D’où il suit que la loi française n°78-47 du 6 janvier 1978, dite « Loi Informatique et Libertés » est applicable au présent litige, conformément aux articles 4 §1, a) de la directive 95/46/CE et 5 I de la loi précitée.

II SUR LE CARACTERE ABUSIF ET/OU ILLICITE DES CLAUSES DES CONDITIONS GENERALES D’UTILISATION DE FACEBOOK :

L’article L. 132-1 du code de la consommation devenu l’article L. 212-1 du code de la consommation, comme résultant de l’ordonnance n° 2016-131 du 10 février 2016, dispose que, « dans les contrats conclus entre professionnels et consommateurs, sont abusives les clauses qui ont pour objet ou pour effet de créer, au détriment du consommateur, un déséquilibre significatif entre les droits et obligations des parties au contrat.

Sans préjudice des règles d’interprétation prévues aux articles 1188, 1189, 1191 et 1192 du code civil, le caractère abusif d’une clause s’apprécie en se référant, au moment de la conclusion du contrat, à toutes les circonstances qui entourent sa conclusion, de même qu’à
toutes les autres clauses du contrat. Il s’apprécie également au regard de celles contenues dans un autre contrat lorsque les deux contrats sont juridiquement liés dans leur conclusion ou leur exécution.

L’appréciation du caractère abusif des clauses au sens du premier alinéa ne porte ni sur la définition de l’objet principal du contrat ni sur l’adéquation du prix ou de la rémunération au bien vendu ou au service offert pour autant que les clauses soient rédigées de façon claire et compréhensible.

Un décret en Conseil d’État, pris après avis de la commission des clauses abusives, détermine des types de clauses qui, eu égard à la gravité des atteintes qu’elles portent à l’équilibre du contrat, doivent être regardées, de manière irréfragable, comme abusives au sens du premier alinéa.

Un décret pris dans les mêmes conditions, détermine une liste de clauses présumées abusives ; en cas de litige concernant un contrat comportant une telle clause, le professionnel doit apporter la preuve du caractère non abusif de la clause litigieuse.

Ces dispositions sont applicables quels que soient la forme ou le support du contrat. Il en est ainsi notamment des bons de commande, factures, bons de garantie, bordereaux ou bons de livraison, billets ou tickets, contenant des stipulations négociées librement ou non ou des références à des conditions générales préétablies. »

L’article R 132-1, devenu l’article R.212-1 du code de la consommation, comme résultant du décret n° 2016-884 du 29 juin
2016, prévoit que :

« Dans les contrats conclus entre des professionnels et des consommateurs, sont de manière irréfragable présumées abusives, au sens des dispositions des premier et quatrième alinéas de l’article L. 212-1 et dès lors interdites, les clauses ayant pour objet ou pour effet de :

1) Constater l’adhésion du consommateur à des clauses qui ne figurent pas dans l’écrit qu’il accepte ou qui sont reprises dans un autre document auquel il n’est pas fait expressément référence lors de la conclusion du contrat et dont il n’a pas eu connaissance avant sa conclusion ;

2) Restreindre l’obligation pour le professionnel de respecter les engagements pris par ses préposés ou ses mandataires ;

3) Réserver au professionnel le droit de modifier unilatéralement les clauses du contrat relatives à sa durée, aux caractéristiques ou au prix du bien à livrer ou du service à rendre ;

4) Accorder au seul professionnel le droit de déterminer si la chose livrée ou les services fournis sont conformes ou non aux stipulations du contrat ou lui conférer le droit exclusif d’interpréter une quelconque clause du contrat ;

5) Contraindre le consommateur à exécuter ses obligations alors que, réciproquement, le professionnel n’exécuterait pas ses obligations de délivrance ou de garantie d’un bien ou son obligation de fourniture d’un service ;

6) Supprimer ou réduire le droit à réparation du préjudice subi par le consommateur en cas de manquement par le professionnel à l’une quelconque de ses obligations ;

7) Interdire au consommateur le droit de demander la résolution ou la résiliation du contrat en cas d’inexécution par le professionnel de ses obligations de délivrance ou de garantie d’un bien ou de son obligation de fourniture d’un service ;

8) Reconnaître au professionnel le droit de résilier discrétionnairement le contrat, sans reconnaître le même droit au consommateur ;

9) Permettre au professionnel de retenir les sommes versées au titre de prestations non réalisées par lui, lorsque celui-ci résilie lui-même discrétionnairement le contrat ;

10) Soumettre, dans les contrats à durée indéterminée, la résiliation à un délai de préavis plus long pour le consommateur que pour le professionnel ;

11) Subordonner, dans les contrats à durée indéterminée, la résiliation par le consommateur au versement d’une indemnité au profit du professionnel ;

12) Imposer au consommateur la charge de la preuve, qui, en application du droit applicable, devrait incomber normalement à l’autre partie au contrat. ».

L’article R 132-2 devenu l’article R. 212-2 du code de la consommation énonce que

« Dans les contrats conclus entre des professionnels et des consommateurs, sont de présumées abusives, au sens des dispositions des premier et cinquième alinéas de l’article L. 212-1, sauf au professionnel à rapporter la preuve contraire, les clauses ayant pour objet ou pour effet de :

1) Prévoir un engagement ferme du consommateur, alors que l’exécution des prestations du professionnel est assujettie à une condition dont la réalisation dépend de sa seule volonté ;

2) Autoriser le professionnel à conserver des sommes versées par le consommateur lorsque celui-ci renonce à conclure ou à exécuter le contrat, sans prévoir réciproquement le droit pour le consommateur de percevoir une indemnité d’un montant équivalent, ou égale au double en cas de versement d’arrhes au sens de l’article L. 214-1 si c’est le professionnel qui renonce ;

3) Imposer au consommateur qui n’exécute pas ses obligations une indemnité d’un montant manifestement disproportionné ;

4) Reconnaître au professionnel la faculté de résilier le contrat sans préavis d’une durée raisonnable ;

5) Permettre au professionnel de procéder à la cession de son contrat sans l’accord du consommateur et lorsque cette cession est susceptible d’engendrer une diminution des droits du consommateur ;

6) Réserver au professionnel le droit de modifier unilatéralement les clauses du contrat relatives aux droits et obligations des parties, autres que celles prévues au 3° de l’article R.212-1 ;

7) Stipuler une date indicative d’exécution du contrat, hors les cas où la loi l’autorise ;

8) Soumettre la résolution ou la résiliation du contrat à des conditions ou modalités plus rigoureuses pour le consommateur que pour le professionnel ;

9) Limiter indûment les moyens de preuve à la disposition du consommateur ;

10) Supprimer ou entraver l’exercice d’actions en justice ou des voies de recours par le consommateur, notamment en obligeant le consommateur à saisir exclusivement une juridiction d’arbitrage non couverte par des dispositions légales ou à passer exclusivement par un mode alternatif de règlement des litiges.

L’association UFC QUE-CHOISIR prétend réagir aux remarques préliminaires formulées par FACEBOOK, selon lesquelles UFC QUE- CHOISIR ne démontrerait pas que les clauses sont illicites ou abusives. Elle soutient que l’ensemble des clauses des Conditions Générales d’Utilisation de FACEBOOK présente un « caractère généralement abusif » et formule de nombreuses critiques notamment sur l’accessibilité, la clarté et la compréhension desdites clauses, en se livrant à une lecture transversale de clauses du contrat, que le Tribunal sera de toute façon amené à examiner dans le cadre de la demande présentée par l’association, le contraignant à répondre par deux fois aux mêmes critiques.

De plus, le Tribunal a précédemment répondu par l’affirmative sur le point de savoir si le contrat proposé par FACEBOOK était un contrat soumis au droit français de la consommation et notamment aux dispositions relatives aux clauses abusives.

En conséquence, le Tribunal procédera à l’examen, clause par clause, de l’ensemble des clauses visées par l’assignation.

A- Sur la déclaration des droits et responsabilités (DDR) :

La société FACEBOOK précise dans ses écritures que la numérotation des clauses de la DDR utilisée est celle de la DDR proposée aux internautes/utilisateurs au jour des présentes écritures (à savoir celle du 9 décembre 2016).

Elle ne correspond ni à celle visée dans l’assignation de l’UFC, ni à celle visée dans ses écritures subséquentes.

1. Clause n° 0.1 de la DDR des 15 novembre 2013 et 30 janvier 2015 :

Clause n° 0.1 de la Déclaration des droits et des responsabilités du 15 novembre 2013 :

La version d’origine de ce document est l’anglais (États-Unis). En cas de divergence entre une version traduite du présent accord et la version anglaise, celle-ci fait foi. Veuillez noter que certaines modifications ont été apportées aux conditions générales de la section 17 applicables aux personnes vivant hors des États-Unis.

Clause n° 0.1 de la Déclaration des droits et des responsabilités du 30 janvier 2015 :

La version d’origine de ce document est en anglais (Etats-Unis). En cas de divergence entre une version traduite du présent accord et la version anglaise, cette dernière fait foi. Veuillez noter que certaines modifications ont été apportées aux conditions générales de la section 16 applicables aux personnes vivant hors des Etats-Unis.

Pour l’association UFC QUE-CHOISIR, cet article contrevient aux dispositions de la loi du 4 août 1994 sur l’utilisation de la langue française et à l’article L. 133-2 du Code de consommation.

Pour la société FACEBOOK, la clause ayant été supprimée dans la DDR mise à jour le 9 décembre 2016, les demandes de l’UFC sont sans objet.

a) Sur l’absence d’objet de la demande relative à la clause supprimée :

Le deuxième alinéa de l’article L. 421-6 du code de la consommation, dans les rédactions issues des lois du 17 mars 2014 (loi Hamon) et du 6 aout 2015 (loi Macron), confère aux associations et organismes agréés le droit d’agir en suppression ou interdiction d’une clause illicite ou abusive dans tout contrat ou type de contrat proposé ou destiné au consommateur, le même article autorisant dans son troisième alinéa les associations et organismes agréés à solliciter du juge que cette clause soit réputée non écrite dans tous les contrats identiques conclus par le même professionnel avec des consommateurs.

Dans sa rédaction antérieure à la loi du 17 mars 2014 – applicable aux versions des contrats proposés aux consommateurs à cette date – l’article L. 421-6 du code de la consommation, interprété à la lumière de l’article 6 §1 de la directive 93/13/CEE du 5 avril 1993 et lu en combinaison avec l’article 7 §1 et 2 de cette directive, ainsi qu’à la jurisprudence de la Cour de justice de l’Union européenne, les clauses des conditions générales d’un contrat conclu avec un consommateur par un professionnel, déclarées abusives à la suite de l’action prévue par l’article L. 421-6 du code de la consommation – permettant aux associations et organismes agréés le droit d’agir en suppression ou interdiction d’une clause illicite ou abusive dans tout contrat ou type de contrat proposé ou destiné au consommateur – ne lient ni les consommateurs qui sont parties à la procédure ni ceux qui ont conclu avec ce professionnel un contrat, dès lors que des contrats soumis à ces conditions générales et susceptibles de comporter des clauses abusives, peuvent avoir été conclus avant cette date avec des consommateurs.

Ainsi, les associations mentionnées à l’article L. 421-1 devenu l’article L. 621-1 du code de la consommation et les organismes agréés, disposant d’une action en cessation ou interdiction de tout agissement illicite, peuvent solliciter de la juridiction civile qu’une clause illicite ou abusive soit supprimée dans tout contrat ou type de contrat proposé ou destiné au consommateur et que cette clause soit réputée non écrite dans tous les contrats identiques conclus par le même professionnel avec des consommateurs.

D’où il suit que sont recevables les demandes de l’association UFC – QUE CHOISIR concernant les clauses critiquées dans l’ensemble des versions des « Conditions Générales d’utilisation » mises en place par la société FACEBOOK, y compris les demandes concernant les clauses ou versions de clauses des conditions générales qui n’étaient plus applicables au jour de l’introduction de l’instance.

De la même manière ne sont pas privées d’objet les demandes relatives aux clauses, applicables au jour de l’introduction de l’instance, qui ne sont plus proposées au jour où le juge statue.

Par conséquent, seront examinées par le Tribunal les demandes de l’association UFC – QUE CHOISIR concernant les clauses critiquées dans l’ensemble des versions des « Conditions Générales d’utilisation » de la société FACEBOOK, y compris les demandes relatives aux clauses ou versions de clauses des conditions générales qui n’étaient plus applicables au jour de l’introduction de l’instance comme celles qui ont été supprimées au cours de la procédure.

b) Sur la primauté de la version anglaise des conditions d’utilisation du réseau social sur la version française :

La société FACEBOOK soutient que le contrat liant les utilisateurs au réseau Facebook est un contrat international de droit privé. Il n’est donc pas soumis aux dispositions de la loi française du 4 aout 1994 portant sur l’emploi de la langue française. De plus, la DDR s’affiche en français pour tout utilisateur utilisant une adresse IP localisée en France.

Aux termes de l’article 2 de la loi du 4 août 1994,  » dans la désignation, l’offre, la présentation, le mode d’emploi ou d’utilisation, la description de l’étendue et des conditions de garanties d’un bien, d’un produit ou d’un service, ainsi que dans les factures et quittances, l’emploi de la langue française est obligatoire ».

En l’espèce, la clause prévoyant la primauté de la version anglaise des dispositions contractuelles sur la version française en cas de conflit entre ces deux versions linguistiques est illicite, en ce qu’elle ne permet pas l’accès effectif au contrat, le consommateur français se voyant appliquer un texte qui n’est pas écrit dans sa langue et qu’il ne peut, de ce fait, pas appréhender correctement.

En conséquence la clause 0.1 de la Déclaration des droits et des responsabilités des 15 novembre 2013 et 30 janvier 2015 est illicite au regard de l’article 2 de la loi du 4 août 1994, sera réputée non écrite.

2. Clause n° 0.2 de la DDR des 15 novembre 2013 et 30 janvier 2015 :

Clause n° 0.2 de la Déclaration des droits et des responsabilités du 15 novembre 2013 :

Cette Déclaration des droits et responsabilités (« Déclaration », « Conditions » ou « DDR ») est basée sur les Principes de Facebook et régit notre relation avec les utilisateurs et les personnes qui interagissent avec Facebook. Votre utilisation de Facebook ou votre accès à Facebook indique votre acceptation de cette Déclaration, qui est susceptible d’être mise à jour à l’occasion, conformément à la section 14 ci-dessous. Vous trouverez en outre des ressources supplémentaires en bas de ce document qui pourront vous aider à mieux comprendre le mode de fonctionnement de Facebook.

Clause n° 0.2 de la Déclaration des droits et des responsabilités du 30 janvier 2015 :

La présente Déclaration des droits et responsabilités (« Déclaration », « Conditions » ou « DDR ») est tirée des principes de Facebook et représente les conditions d’utilisation qui régissent nos relations avec les internautes ainsi que toute personne interagissant avec Facebook, mais également les marques, les produits et les services de Facebook, appelés « Services Facebook » ou « Services ». En utilisant les Services Facebook ou en y accédant, vous acceptez la présente Déclaration, qui est susceptible d’être mise à jour à l’occasion, conformément à la section 13 ci-dessous. Vous trouverez en outre des ressources supplémentaires en bas de ce document qui pourront vous aider à mieux comprendre le fonctionnement de Facebook. Etant donné que Facebook propose une vaste gamme de services, il est possible que l’on vous demande de consulter et d’accepter des conditions supplémentaires régissant votre interaction avec une application, un produit ou un service en particulier. Dans l’éventualité où ces conditions supplémentaires entrent en conflit avec la présente Déclaration des droits et responsabilités, lesdites conditions supplémentaires associées à l’application, au produit ou au service ont préséance eu égard à l’utilisation de ladite application, dudit produit ou service dans le cadre du conflit.

Selon l’association UFC QUE-CHOISIR, ces clauses présumeraient le consentement général de l’utilisateur aux conditions contractuelles du réseau social et au traitement de ses données à caractère personnel dès qu’il y a utilisation des services, le consentement pouvant se déduire selon FACEBOOK d’un simple clic de validation et/ou d’une utilisation passive du site.

La société FACEBOOK affirme que l’utilisateur accepte expressément la DDR et donne son consentement au traitement de ses données à caractère personnel en cliquant sur le bouton « inscription » situé sur la page de connexion du site Facebook. Elle précise que l’internaute est invité, préalablement à son inscription, à consulter la DDR et soutient qu’il ne peut s’inscrire, s’il n’a pas affirmé avoir accepté la DDR. Elle fait également valoir que l’acceptation des conditions contractuelles résultant de l’exécution du contrat est valable.

Aux termes de l’article L. 111-2 du code de la consommation devenus les articles L. 111-1 et L. 111-2, de l’article R. 111-2 I et III, devenu l’article R. 111-2 7°) du code de la consommation, le professionnel, prestataire de services, est tenu de mettre le consommateur en mesure de connaître les caractéristiques essentielles du service et, s’il en utilise, les conditions générales, avant la conclusion du contrat et, en tout état de cause, lorsqu’il n’y pas de contrat écrit, avant l’exécution de la prestation de services.

Ainsi, les articles L. 111-1 et L. 111-2 du code de la consommation obligent le prestataire de services à informer précisément le consommateur, de manière lisible et compréhensible, avant la conclusion du contrat des caractéristiques essentielles du service de façon à éclairer le consentement du consommateur.

Tel n’est pas le cas de la clause critiquée, qui prévoit que l’utilisation de Facebook ou l’accès au site « indique l’acceptation par l’utilisateur de la Déclaration des Droits et des Responsabilités », la société FACEBOOK ne justifiant pas – y compris par la production au débat d’une vidéo explicative d’une durée de 38’ extraite du constat d’huissier effectué le 13 mars 2017 – que l’information précontractuelle requise par les articles précités ait été dispensée préalablement à l’inscription initiale.

De plus, la capture d’écran de la bannière figurant sur la page d’accueil du site (Pièce FACEBOOK n° 2 bis) produite au débat par la société FACEBOOK révèle, sur fond bleu-gris clair un message écrit en caractères de couleur gris très clair (donc peu perceptible) selon lequel : « en cliquant sur inscription, vous acceptez nos Conditions et indiquer que vous avez lu notre Politique d’utilisation des données, y compris notre Utilisation des cookies. Vous pourrez recevoir des (notifications (?), le mot est illisible) par texto de la part de Facebook et vous pouvez vous désabonner à tout moment ». Les mentions « Conditions », « Politique d’utilisation des données », « Utilisation des cookies » figurant en caractères gras de couleur bleu foncé renvoient par lien hypertexte aux documents contractuels précités sans que l’utilisateur soit formellement invité à cliquer sur les liens.

D’où il suit que, contrairement aux allégations de la société FACEBOOK, au vu de la bannière figurant sur la page d’accueil extraite du document produit au débat par la société FACEBOOK, aucune procédure ne contraint l’utilisateur d’accéder à la PUD avant son inscription sur le site.

L’utilisateur peut dès lors s’inscrire sans que lui soit délivrée l’information sur les conditions d’utilisation du site (les « Conditions »), sur les modalités de traitement des données (la « Politique d’utilisation des données »), l’utilisation qui est faite par la société FACEBOOK des données à caractères personnel recueillies par les cookies (l’« Utilisation des cookies »).

Ainsi aux termes de ces clauses, l’accès au site et la navigation ultérieure sur le site emportent l’adhésion implicite de l’utilisateur aux « Conditions d’utilisation » en vigueur au moment de l’utilisation du site, étant observé que la « Déclaration des droits et responsabilités (« Déclaration », « Conditions » ou « DDR ») (…) représent(ent) les conditions d’utilisation qui régissent (les) relations (de la société FACEBOOK) avec les internautes ainsi que toute personne interagissant avec Facebook, mais également les marques, les produits et les services de Facebook, appelés « Services Facebook » ou « Services » ».

Aux termes de l’article R 132-1 1°) devenu l’article R. 212-1 du code de la consommation, dans les contrats conclus entre des professionnels et des consommateurs, sont présumées abusives de manière irréfragable, au sens des dispositions des premier et quatrième alinéas de l’article L. 212-1 et dès lors interdites, les clauses ayant pour objet ou pour effet de constater l’adhésion du consommateur à des clauses qui ne figurent pas dans l’écrit qu’il accepte ou qui sont reprises dans un autre document auquel il n’est pas fait expressément référence lors de la conclusion du contrat et dont il n’a pas eu connaissance avant sa conclusion.

La clause n° 0.2, qui prévoient que l’inscription puis la navigation sur le site vaut acceptation des conditions générales d’utilisation à un moment où l’utilisateur n’a pas pu avoir accès à celles-ci, est, selon l’article R. 132-1, 1°) devenu l’article R. 212-1 du code de la consommation, de manière irréfragable présumée abusive.

En conséquence, la clause n° 0.2 de la DDR des 15 novembre 2013 et 30 janvier 2015, illicite au regard des articles L. 111-2 du code de la consommation devenus les articles L. 111-1 et L. 111-2, de l’article R. 111-2 I et III, devenu l’article R. 111-2 7°) du code de la consommation est abusive au regard de l’article R 132-1 1°) devenu l’article R. 212-1 1°) du code de la consommation. Elle sera donc réputée non écrite.

3. Clause n° 1 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016 :

Clause n° 1 de la Déclaration des droits et des responsabilités du 15 novembre 2013 :

Confidentialité :

Le respect de votre vie privée nous tient à cœur. Notre Politique d’utilisation des données a été établie dans le but de vous informer sur la manière dont vous pouvez utiliser Facebook pour publier des informations et sur la manière dont nous collectons et utilisons votre contenu et vos données personnelles. Nous vous encourageons à lire la Politique d’utilisation des données et à la consulter afin de prendre des décisions averties

Clause n° 1 de la Déclaration des droits et des responsabilités du 30 janvier 2015 et du 9 décembre 2016 :

1. Confidentialité

Le respect de votre vie privée nous tient à cœur. Notre Politique d’utilisation des données a été établie dans le but de vous informer des données que nous recueillons et de l’utilisation que nous en faisons, mais également de la manière dont vous pouvez vous servir de Facebook pour communiquer avec le monde. Nous vous encourageons à prendre connaissance des clauses de la Politique d’utilisation des données et de vous en servir pour prendre des décisions informées

L’association UFC QUE-CHOISIR prétend que la clause n° 1 est illicite et abusive en ce qu’elle affirme, selon elle à tort, que la Politique d’Utilisation des Données (PUD) explique parfaitement les modalités de traitement des données et de protection de la vie privée lors de l’utilisation des services. Elle soutient que la clause est illicite car contraire aux dispositions des articles L. 111-2 et L. 121-83 devenus les articles L. 111-1, L. 111-2, L. 121-17 et L. 121-83 du code de la consommation ; qu’elle s’abstient de présenter clairement une caractéristique essentielle du service fourni (les modalités de traitement des données de l’utilisateur), en affirmant à tort que cette présentation claire est présente dans un autre document du socle contractuel à la lecture duquel elle renvoie par lien hypertexte. La clause est également abusive en ce qu’elle présume la connaissance par l’utilisateur de la PUD de la société FACEBOOK.

Pour la société FACEBOOK, la clause n° 1 rappelle à l’utilisateur que les modalités de la collecte et du traitement de ses données à caractère personnel dans le cadre du Service Facebook sont détaillées dans la PUD, document que l’utilisateur a d’ailleurs indiqué avoir lu avant de s’inscrire au Service Facebook. Selon la société, cette clause relative à la confidentialité des données à caractère personnel de l’utilisateur et aux conditions d’utilisation du Service Facebook porterait sur l’objet même du ce service. Elle ne saurait dès lors faire l’objet d’une quelconque appréciation au regard de son éventuel caractère abusif en vertu de l’article L. 132-1 alinéa 5 du code de la consommation.

a) Sur la définition de l’objet principal du contrat :

La société FACEBOOK fait valoir que la clause critiquée ne peut faire l’objet d’une appréciation par le juge du caractère abusif, car elle porte sur l’objet principal du contrat au sens de l’article L. 132-1 7°) du code de la consommation.

L’article L. 132-1 7°) du code de la consommation prévoit que « l’appréciation du caractère abusif des clauses » ne peut pas porter « sur la définition de l’objet principal du contrat (…), le contrôle du caractère abusif d’une clause formulée dans un contrat liant un professionnel et un consommateur étant exclu si cette clause définit les éléments essentiels de la prestation due par le professionnel.

La clause portant sur « objet principal du contrat », au sens de l’article L. 132-1 du code de la consommation, qui reproduit intégralement dans son alinéa 7 les dispositions de l’article 4, § 2, de la directive n° 93/13/CEE du 5 avril 1993, doit être entendue comme la clause qui fixe une prestation essentielle caractérisant ce contrat.

Tel n’est pas le cas de la clause critiquée, qui évoque sans autres précisions, sous l’aspect de la « confidentialité » et du « respect de la vie privée » de l’utilisateur, la façon dont ce dernier peut « utiliser Facebook pour publier des informations » et la manière dont la société FACEBOOK collecte et utilise le « contenu » de l’utilisateur et ses données personnelles, en renvoyant à un autre document du socle contractuel (en « encourageant » l’utilisateur « à prendre connaissance des clauses de la Politique d’utilisation des données »), étant rappelé que l’objet principal du service proposé par la société FACEBOOK est la fourniture d’un réseau social, l’utilisateur s’étant inscrit à ce service de réseautage social pour accéder à ses fonctionnalités d’interaction avec ses relations, de création de groupes d’intérêt commun ou de partage de ses contenus.

Ce que ne conteste pas la société FACEBOOK qui rappelle en page 107 de ses conclusions « le Service Facebook permet aux utilisateurs de se connecter avec leur famille, leurs amis et d’autres personnes, et de partager avec eux des photos, des expériences et d’autres informations choisies par l’utilisateur. C’est pour cette raison que les utilisateurs s’inscrivent au Service Facebook, c’est-à-dire pour se connecter et partager avec d’autres utilisateurs ». (Clause n° 2.1 de la DDR)

Au surplus la société FACEBOOK ne peut, sans se contredire, affirmer d’une part que son activité est limitée à un service de réseautage social et revendiquer au titre de « l’objet principal » du contrat la collecte et l’utilisation, à son profit et au bénéfice de sociétés tierces, de contenus et de données à caractère personnel (« votre contenu et vos données personnelles ») déposés par l’utilisateur lors de son inscription et de sa navigation sur le réseau social.

De sorte que, la clause litigieuse ne relevant pas de l’exemption figurant au rang des dispositions de l’alinéa 7 de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation, elle peut en conséquence faire l’objet d’une appréciation par le juge de son caractère abusif.

b) Sur le caractère illicite et abusif de la clause :

Aux termes de l’article L. 111-2 du code de la consommation devenus les articles L. 111-1 et L. 111-2, de l’article R. 111-2 I et III, devenu l’article R. 111-2 7°) du code de la consommation, le professionnel, prestataire de services, est tenu de mettre le consommateur en mesure de connaître les caractéristiques essentielles du service et, s’il en utilise, les conditions générales, avant la conclusion du contrat et, en tout état de cause, lorsqu’il n’y pas de contrat écrit, avant l’exécution de la prestation de services.

Ainsi, les articles L. 111-1 et L. 111-2 du code de la consommation précités obligent le prestataire de services à informer précisément le consommateur, de manière lisible et compréhensible, avant la conclusion du contrat des caractéristiques essentielles du service de façon à éclairer le consentement du consommateur.

Aux termes des articles L. 121-16 du code de la consommation, devenu l’article L. 221-1 du même code, est réputé contrat à distance, tout contrat conclu entre un professionnel et un consommateur, dans le cadre d’un système organisé de vente ou de prestation de services à distance, sans la présence physique simultanée du professionnel et du consommateur, par le recours exclusif à une ou plusieurs techniques de communication à distance jusqu’à la conclusion du contrat, le professionnel étant tenu, préalablement à la conclusion d’un tel contrat, en application des dispositions de l’article L. 121-19 devenu l’article L. 221-11 du code de la consommation, de communiquer au consommateur, de manière lisible et compréhensible, les informations prévues aux articles L.121-17, devenu notamment l’article L.221-5 du code de la consommation.

En l’espèce, la clause n° 1 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016 renvoie par lien hypertexte à la « Politique d’utilisation des données «  (PUD), document constituant l’un des trois documents principaux du « socle contractuel » de FACEBOOK.

Or, la clause n° 0.2 de la DDR, déjà examinée par le Tribunal (cf. supra), présume le consentement implicite de l’utilisateur de l’intégralité de ces dispositions contractuelles du fait de son inscription puis sa navigation sur le site à un moment où l’utilisateur n’avait pu avoir accès à celles-ci, est abusive et par suite réputée non écrite.

D’où il suit que la clause n° 1 renvoyant à un document du socle contractuel qui n’a pas été porté à la connaissance de l’utilisateur préalablement à son inscription est présumée abusive de manière irréfragable par application de l’article R. 132-1 1°) devenu l’article R.
212-1 1°) du code de la consommation.

Par ailleurs, s’agissant d’un contrat conclu à distance en s’abstenant de respecter l’obligation mise à la charge du professionnel de fournir au consommateur ou de mettre à sa disposition – de manière lisible et compréhensible – les informations prévues à l’article L 221-5 du code de la consommation, en renvoyant à des « conditions commerciales », qui ne sont accessibles que sur le site internet de FACEBOOK, lequel ne constitue pas un support durable au sens de l’article 5 de la Directive 97/7/CE du Parlement européen et du Conseil du 20 mai 1997, le renvoi textuel et par lien hypertexte, inséré au sein d’une clause, ne garantissant ni la remise effective desdites « Conditions », ni la permanence de son contenu dans le temps, les clauses n° 1 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016 sont illicites au regard des dispositions précitées et abusives de manière irréfragable au regard de l’article R. 132-1 1°), devenu l’article R. 212 -1 1°) du code de la consommation, en ce qu’elles constatent l’adhésion du consommateur à des clauses reprises dans un document, auquel il n’est pas fait expressément référence lors de la conclusion du contrat et dont le consommateur n’a pas eu connaissance avant sa conclusion.

En conséquence, les clauses n° 1 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016, illicites au regard des articles L. 111-1 et L. 111-2 du code de la consommation, devenus les articles L. 111-2 et L. 111-3 du code de la consommation, de l’article L. 121-19 du code de la consommation devenu article L. 221-11, de l’article L. 121-17 devenu l’article L. 221-5, de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation, de l’article R. 111-2 II devenu l’article R. 111-2 du code de la consommation, sont abusives au regard de l’article R. 132-1 1°) devenu l’article R. 212-1 1°) du code de la consommation. Elle sera de ce fait réputée non-écrite.

4. Clause n° 2.1 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016 :

Clause 2.1 de la Déclaration des droits et responsabilités du 15 novembre 2013 :
(Le contenu et les informations que vous publiez sur Facebook vous appartiennent, et vous pouvez contrôler la façon dont nous partageons votre contenu, grâce aux paramètres de confidentialité et des applications.
En outre :
1 – Pour le contenu protégé par les droits de propriété intellectuelle, comme les photos ou vidéos (propriété intellectuelle), vous nous donnez spécifiquement la permission suivante, conformément à vos paramètres de confidentialité et des applications : vous nous accordez une licence non-exclusive, transférable, sous-licenciable, sans redevance et mondiale pour l’utilisation des contenus de propriété intellectuelle que vous publiez sur Facebook ou en relation avec Facebook (licence de propriété intellectuelle). Cette licence de propriété intellectuelle se termine lorsque vous supprimez vos contenus de propriété intellectuelle ou votre compte, sauf si votre compte est partagé avec d’autres personnes qui ne l’ont pas supprimé.

Clause 2.1 de la Déclaration des droits et responsabilités du 30 janvier 2015 et du 9 décembre 2016 :

Le contenu et les informations que vous publiez sur Facebook vous appartiennent, et vous pouvez contrôler la façon dont nous partageons votre contenu grâce aux paramètres de confidentialité et des applications
En outre :
1- Pour le contenu protégé par les droits de propriété intellectuelle, comme les photos ou vidéos, vous nous donnez spécifiquement la permission suivante, conformément à vos paramètres de confidentialité et des applications : vous nous accordez une licence non exclusive, transférable, sous-licenciable, sans redevance et mondiale pour l’utilisation des contenus de propriété intellectuelle que vous publiez sur Facebook ou en relation avec Facebook (licence de propriété intellectuelle). Cette licence de propriété intellectuelle se termine lorsque vous supprimez vos contenus de propriété intellectuelle ou votre compte, sauf si votre compte est partagé avec d’autres personnes qui ne l’ont pas supprimé

L’association UFC-QUE CHOISIR conteste l’argument de la société FACEBOOK selon lequel les clauses critiquées porteraient sur l’objet du service Facebook et ne pourraient dès lors faire l’objet d’une appréciation au regard de leur éventuel caractère abusif conformément à l’article L.132-1 al. 7 du code de la consommation.

Elle reproche aux clauses litigieuses de subordonner l’utilisation des services de FACEBOOK à la concession par l’utilisateur d’une licence d’exploitation mondiale, non-exclusive et « gratuite » sur les contenus qu’il dépose sur le réseau social. Elle affirme que la cession globale des œuvres futures est frappée de nullité au sens de de l’article L. 131-1 du code de propriété intellectuelle, lequel s’applique aussi bien aux contrats de cession de droits, qu’aux contrats de licences.

Elle souligne que cette licence comporte une durée potentiellement illimitée puisqu’elle subsiste jusqu’à la suppression des contenus de propriété intellectuelle ou du compte par l’utilisateur, sauf si ce compte a été partagé avec d’autres personnes qui ne l’ont pas supprimé.

Pour l’association, ces clauses sont donc illicites au regard les articles L.131-1 et suivants du code de la propriété intellectuelle notamment au regard des article L.131-3 et L.131-4 du code de propriété intellectuelle.

L’association rappelle qu’elle est recevable sur le fondement de l’article L. 421-6 du code de la consommation à agir pour faire cesser ou interdire tout agissement illicite.

Selon la société FACEBOOK l’argumentation de l’UFC selon laquelle les clauses critiquées sont illicites est sans fondement ; le droit d’utilisation accordé par les utilisateurs à FACEBOOK IRELAND respecte le droit français et ne crée pas de déséquilibre significatif entre les droits et obligations de l’utilisateur et de FACEBOOK IRELAND.

Elle soutient que la clause n° 2.1 de la DDR ne doit pas être appréhendée isolément mais avec complément d’autres documents d’information mis à la disposition de l’utilisateur par FACEBOOK IRELAND, notamment la « PUD » et la « Politique des Cookies ». Elle fait valoir que la clause n° 2.1 précise que l’utilisateur n’accorde qu’une licence non-exclusive d’utilisation (et non une cession), le préambule de la clause n° 2 de la « DDR » affirmant par ailleurs que les contenus et informations publiés par l’utilisateur appartiennent à celui-ci. Il ne pourrait y avoir dans ces conditions, selon la société, une cession des droits.

La société FACEBOOK assure également que l’existence d’une licence non-exclusive octroyée par la clause n° 2.1 est nécessaire au partage des contenus des utilisateurs sur le Service Facebook, conformément aux souhaits de ces derniers. Elle ajoute que même si les utilisateurs ne s’inscrivent pas au Service Facebook dans le but de céder leurs droits de propriété à FACEBOOK IRELAND à titre exclusif, ce « droit d’usage » est essentiel au Service Facebook.

a) Sur la définition de l’objet principal du contrat :

La société FACEBOOK fait valoir que les clauses critiquées ne peuvent donc faire l’objet d’une appréciation par le juge du caractère abusif, car elles portent sur l’objet principal du contrat au sens de l’article L. 132-1 7°) du code de la consommation.

L’article L. 132-1 7°) du code de la consommation prévoit que « l’appréciation du caractère abusif des clauses » ne peut pas porter « sur la définition de l’objet principal du contrat (…), le contrôle du caractère abusif d’une clause formulée dans un contrat liant un professionnel et un consommateur étant exclu si cette clause définit les éléments essentiels de la prestation due par le professionnel.

Au sens de l’article L. 132-1 du code de la consommation, la clause qui porte sur l’« objet principal du contrat », lequel reproduit intégralement dans son alinéa 7 les dispositions de l’article 4, § 2, de la directive n° 93/13/CEE du 5 avril 1993, doit être entendu comme la clause qui fixe une prestation essentielle caractérisant ce contrat.

Tel n’est pas le cas des clauses critiquées qui traitent des modalités relatives à la concession par l’utilisateur d’une licence d’exploitation donnée par l’utilisateur à la société FACEBOOK sur le contenu et les informations qu’il publie sur le site.

Etant à nouveau rappelé que l’objet principal du service de réseautage social consiste en la mise à disposition de fonctionnalités permettant à l’utilisateur d’interagir avec ses relations, de créer des groupes d’intérêt commun ou de partager avec d’autres utilisateurs ses contenus.

De sorte que, les stipulations critiquées portant sur des modalités accessoires à l’objet principal, les clauses litigieuses ne relèvent pas de l’exemption figurant au rang des dispositions de l’alinéa 7 de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation et peuvent en conséquence faire l’objet d’une appréciation de leur caractère abusif par le juge.

b) Sur la cession globale d’œuvres futures :

En l’espèce, les clauses critiquées, affirment que l’utilisateur reste titulaire des droits sur le contenu qu’il publie (« Le contenu et les informations que vous publiez sur Facebook vous appartiennent ») lorsqu’il publie des « contenus » ou des « informations » sur le réseau social.

Cependant ces clauses accordent à la société FACEBOOK, une licence mondiale non-exclusive, transférable, sous-licenciable, pour l’utilisation des contenus de propriété intellectuelle publiés par l’utilisateur sur Facebook « ou en relation avec Facebook » (licence de propriété intellectuelle) sans que soit prévu une quelconque rémunération (« sans redevance ») au bénéfice de l’utilisateur.

La clause prévoit également que la licence prend fin dans deux situations : en cas de suppression des contenus de propriété intellectuelle et en cas de suppression du compte de l’utilisateur, sauf si ce compte est partagé avec d’autres personnes qui n’ont pas supprimé le contenu en cause.

De sorte que, les « contenus » ou « informations », qui ne sont pas supprimés ou ceux dont l’auteur n’aurait pas supprimé le compte Facebook, ne font l’objet d’aucune limitation de durée.

L’article L. 131-1 du code de la propriété intellectuelle, qui s’applique tant aux contrats de cession de droits qu’aux contrats de licences, prévoit que « la cession globale des œuvres futures est nulle ».

Aux termes des articles L. 131-2 et L. 131-3 du même code, les contrats par lesquels sont transmis des droits d’auteur doivent être constatés par écrit. Cette transmission est conditionnée à ce que chacun des droits cédés fasse l’objet d’une mention distincte dans l’acte de cession et que le domaine d’exploitation des droits cédés soit délimité quant à son étendue et à sa destination, quant au lieu et quant à la durée.

L’article L. 133-2, devenu l’article L. 211-1 du code de la consommation, prévoit que les clauses des contrats proposés par les professionnels aux consommateurs doivent être présentées et rédigées de façon claire et compréhensible.

Ainsi, les articles L.131-1, L. 131-2, L. 131-3 du code de la propriété intellectuelle, imposent au bénéficiaire de la cession l’obligation de préciser au sein des contrats de transmission des droits d’auteur, le contenu visé, les droits conférés ainsi que les exploitations autorisées par l’auteur du contenu protégé.

S’agissant d’une cession consentie à titre gratuit, de surcroît par un consommateur au bénéfice d’un professionnel, la clause de transmission des droits d’auteur doit être dépourvue de toute ambiguïté, aux termes des articles L. 133-2, devenu l’article L. 211-1 du code de la consommation.

Tel n’est pas le cas des clauses n° 2.1 des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016, qui confèrent au bénéfice de Facebook, fournisseur du service de réseautage social, une « licence » « mondiale » « sans redevance », « transférable et sous-licenciable », c’est-à-dire un droit d’utilisation à l’échelle mondiale et à titre gratuit sur tous les « contenu(s) protégé(s) par les droits de propriété intellectuelle « , susceptibles en conséquence de faire l’objet d’une protection par le droit d’auteur (photos, vidéos etc.), dès lors qu’ils sont publiés par l’utilisateur sur Facebook ou en relation avec Facebook, c’est-à-dire lorsque l’utilisateur n’est pas sur la plate-forme Facebook, mais sur un site partenaire.

Par ailleurs la lecture combinée des clauses n° 2.1 des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016 et de la clause n° 2.2 de la
DDR du 15 novembre, du 30 janvier 2015 et du 9 décembre 2016, apprend que la suppression du contenu de propriété intellectuelle n’emporte pas suppression définitive des contenus, lesquels survivent « pendant un certain temps » dans des « copies de sauvegarde » « mais qu’ils ne sont pas disponibles ».

De sorte qu’aux termes des clauses n° 2.1 lues en combinaison avec la clause n° 2.2 de la DDR, le droit d’utilisation concédé par l’utilisateur au fournisseur de réseautage social FACEBOOK sur les données (« contenus » et les « informations) » ne connait aucune limitation de durée, même en cas de suppression des « Contenus » ou « Informations » ou de suppression du compte de l’utilisateur, ce dernier n’ayant aucune certitude quant l’utilisation de ces données postées sur le réseau social à des fins autres que celles pour lesquelles elles ont été collectées.

En conséquence, ces clauses, imprécises quant aux contenus concernés, à la nature et la durée des droits conférés et aux exploitations autorisées, ne répondent à aucune des exigences susmentionnées et relatives aux dispositions précitées.

c) Sur le caractère abusif des clauses critiquées :

Compte tenu du caractère très étendu des droits conférés par l’utilisateur au fournisseur de réseautage social par la licence d’exploitation (« non exclusive, transférable, sous-licenciable, sans redevance et mondiale »), sans commune mesure avec l’accès au réseau social accordé par la société FACEBOOK à l’utilisateur, la clause est abusive au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation en ce qu’elle est nature à créer un déséquilibre significatif entre les droits et obligations des parties au contrat au détriment du consommateur.

En conséquence, les clauses n° 2.1 des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016, illicites au regard des articles L. 131-1, L. 131-2, L. 131-3 du code de la propriété intellectuelle, de l’article L. 133-2, devenu l’article L. 211-1 du code de la consommation, sont abusives au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation. Elles seront donc réputées non écrites.

5. Clause n° 2.2 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016 :

Clause 2.2 de la Déclaration des droits et responsabilités du 15 novembre, du 30 janvier 2015 et du 9 décembre 2016 :

Lorsque vous supprimez votre contenu de propriété intellectuelle, ce contenu est supprimé d’une manière similaire au vidage de corbeille sur un ordinateur. Cependant, vous comprenez que les contenus supprimés peuvent persister dans des copies de sauvegarde pendant un certain temps (mais qu’ils ne sont pas disponibles).

Pour l’association UFC-QUE CHOISIR la clause n° 2.2 est illicite au regard des dispositions de l’article L.133-2 du code de la consommation ; elle n’offre aucune précision sur les modalités de suppression ou sur la durée de conservation des données dans les copies de sauvegarde de la société FACEBOOK.

Elle est également illicite au regard de l’article 6 de la Loi Informatique et Libertés et de l’article 6 de la directive 95/46/CE, de l’article 36 de la Loi Informatique et Libertés, lesquels prévoient que la conservation des données sous une forme permettant l’identification des personnes concernées ne peut excéder la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées et qu’elles ne peuvent être conservées au-delà de cette durée qu’en vue d’être traitées à des fins historiques, statistiques ou scientifiques.

La société FACEBOOK réplique que l’expression « vidage de corbeille » est dépourvue d’ambiguïté ; elle est utilisée usuellement dans le monde entier par tous les utilisateurs d’ordinateurs et d’internet à l’instar de l’utilisateur du Service Facebook qui sait donc nécessairement utiliser un ordinateur et internet, sans quoi il serait incapable de s’inscrire sur le réseau social.

Elle maintient que la clause critiquée est précise car elle fournit des explications sur la suppression complète des contenus de propriété intellectuelle des utilisateurs laquelle s’effectue en deux temps. Dans un premier temps la suppression par l’utilisateur du contenu a pour conséquence de rendre les contenus indisponibles, c’est-à-dire inaccessibles pour l’ensemble des utilisateurs, des copies de sauvegarde peuvent être toutefois conservées par FACEBOOK IRELAND pour des raisons techniques liées au temps nécessaire à la suppression totale du contenu. Dans un second temps, les copies de sauvegarde sont supprimées par FACEBOOK IRELAND, le contenu n’étant plus accessible à quiconque, y compris à FACEBOOK IRELAND.

Elle affirme que cette clause ne vise pas tout type de contenu mais seulement le « contenu de propriété intellectuelle » de l’utilisateur. Elle précise que l’expression « contenu de propriété intellectuelle » ne recouvre pas l’expression « données à caractère personnel » de l’utilisateur, dont le régime figure dans la PUD (Politique d’Utilisation des Données), alors que le régime applicable au « contenu de propriété intellectuelle » figure dans la DDR (Déclaration des Droits et Responsabilités).

Elle en conclue que les allégations de l’association UFC-QUE CHOISIR quant à la prétendue violation par FACEBOOK IRELAND des règles applicables aux données à caractère personnel, notamment en ce qui concerne la durée de conservation des données à caractère personnel potentiellement incluses dans des contenus de propriété intellectuelle, sont sans objet.

Elle soutient que l’association UFC-QUE CHOISIR ne démontre pas l’existence d’un quelconque déséquilibre significatif entre les droits et obligations des parties.

a) Sur l’intelligibilité de la clause :

Aux termes de l’article L. 133-2, devenu l’article L. 211-1 du code de la consommation, les clauses des contrats proposés par les professionnels aux consommateurs doivent être présentées et rédigées de façon claire et compréhensible.

En l’espèce, la clause n° 2.2 de la DDR compare les effets de la suppression par les utilisateurs de leurs « Contenus » (de propriété intellectuelle) aux effets d’un « vidage de corbeille », tel qu’ils l’effectueraient eux-mêmes sur leur propre ordinateur. De sorte que la clause n° 2 leur ayant préalablement affirmé que « le contenu et les informations que (les utilisateurs) publi(ent) sur Facebook (leur) appartiennent », la clause 2.2 laisse croire aux utilisateurs que ces « Contenus » sont irrémédiablement supprimés dès lors qu’ils le décident.

Ainsi, contrairement à ce que soutient la société FACEBOOK en page 253 de ses écritures, destinées à éclairer le Tribunal sur le sens qu’il convient de donner au contenu de la clause critiquée, les utilisateurs ne peuvent pas concevoir à la seule lecture de cette clause, que le prétendu vidage de corbeille s’effectue selon la société « en deux temps ». Ils ne peuvent pas non plus envisager à la lecture de la phrase « les contenus supprimés (…) ne sont pas disponibles », que quiconque puisse accéder aux contenus supprimés et en particulier la société FACEBOOK, ce que pourtant la société indique dans ses écritures. Ils ne peuvent pas non plus, parce que l’information ne leur est pas donnée dans la clause et malgré l’injonction qui leur est faite au travers de l’expression « vous comprenez », saisir parfaitement que la société FACEBOOK conserve le contenu supprimé pour des « raisons techniques liées au temps nécessaire à la suppression totale du contenu », ce que dévoile pourtant la société FACEBOOK dans ses écritures. Enfin, la note n° 482, figurant au bas de la même page des écritures de FACEBOOK, livre l’information que la durée de conservation des contenus peut aller « jusqu’à 90 jours », alors que la clause se contente de mentionner que la société FACEBOOK conserve les contenus supprimés « un certain temps » – soit pour une durée indéterminée – dans des « copies de sauvegarde ».

De sorte qu’en usant d’expressions inadéquates, ambiguës et imprécises, en assurant au sein de la même clause que la suppression des contenus par l’utilisateur produit les mêmes effets d’un « vidage de corbeille » sur un ordinateur, tout en affirmant que les mêmes contenus sont malgré tout conservés par la société FACEBOOK pour une durée qui n’est pas déterminée, la clause est illicite au regard des articles L. 133-1 et L. 133-2 devenus l’article L. 211-1 du code de la consommation.

Au vu de ce qui précède, en reconnaissant au professionnel un droit exclusif d’interprétation dans le sens qui lui serait le plus favorable, la clause litigieuse est irréfragablement abusive au sens de l’article R. 132-1 4°), devenu l’article R. 212-1 4°), du code de la consommation. Elle doit être réputée non écrite de ce chef.

b) Sur la durée de conservation des « Contenus » :

(1) Sur la qualification de données à caractère personnel :

Au sens de l’article 2 de la Loi Informatique et Libertés, constitue une donnée à caractère personnel, toute information relative à une personne identifiable ou pouvant être identifiée directement ou directement par référence à un ou plusieurs éléments, qui lui sont propres, la personne étant identifiable lorsque le responsable du traitement ou toute autre personne dispose de moyens ou a accès aux moyens permettant son identification.

Tel est le cas des photos et vidéos mentionnées dans la clause critiquée, qui répondent à la définition donnée par l’article 2 de la Loi Informatique et Libertés.

Ainsi, les « Contenus » ou « Informations » comprennent, selon les termes de la clause n° 2.1 de la DDR précédemment examinée par le Tribunal, notamment des photos, vidéos postées par l’utilisateur sur le réseau social, sont protégés à la fois par le droit de la propriété intellectuelle et par le droit attaché à la protection des données à caractère personnel, telles que définies à l’article 2 de la Loi Informatique et Libertés.

De sorte que, s’agissant de données publiées par l’utilisateur sur un réseau social et collectées par le fournisseur dudit réseau, les régimes légaux de protection du droit d’auteur et de protection des données à caractère personnel ne sont pas exclusifs l’un de l’autre. Ils trouvent application en l’espèce et ne dépendent pas du traitement qui leur est réservé par les documents contractuels.

(2) Sur l’illicéité de la clause au regard de la LIL :

Aux termes de l’article 6 de la Loi Informatique et Libertés, un traitement ne peut porter sur des données à caractère personnel que si ces données sont collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et qu’elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités initiales, qu’elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

L’article 36 de la loi Informatique et Libertés dispose que les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue à l’article 6 5°) de la loi Informatique et Libertés, à savoir une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

En l’espèce, aux termes de la clause n° 2.2 de la DDR du 15 novembre, du 30 janvier 2015 et du 9 décembre 2016, les « contenus » – dont certains peuvent comprendre des données personnelles – sont conservés après la suppression du contenu, sans limitation de durée, la société FACEBOOK se réservant le droit de les conserver sans motif légitime pour une période sans lien avec la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

De sorte qu’en prévoyant que la société FACEBOOK conserve les contenus mis en ligne par l’utilisateur, alors que ce dernier a entendu les supprimer définitivement, la clause est illicite au regard des articles 6 5°) et 36 de la loi Informatique et Libertés.

En conséquence la clause n° 2.2 de la Déclaration des droits et responsabilités du 15 novembre, du 30 janvier 2015 et du 9 décembre
2016, illicite au regard des dispositions des articles L. 133-2, devenu l’article L. 211-1 du code de la consommation, des articles 2, 6 et 36 de la Loi Informatique et Libertés, est irréfragablement abusive au sens de l’article R. 132-1 devenu l’article R. 212-1 du code de la consommation. Elle sera donc réputée non écrite.

6. Clause n° 2.3 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016 :

Clause n°2.3 de la Déclaration des droits et responsabilités du 15 novembre 2013 :

Lorsque vous utilisez une application, celle-ci peut vous demander l’autorisation d’accéder à vos contenus et informations ainsi qu’aux contenus et informations que des tiers ont partagés avec vous. Nous exigeons des applications qu’elles respectent la confidentialité de vos informations, et les options que vous sélectionnez pour chaque application contrôlent la façon dont elle peut utiliser, stocker et transférer ces contenus et informations. (Pour en savoir plus sur la Plate-forme, notamment sur la façon dont vous pouvez contrôler les informations que des tiers peuvent partager avec les applications, consultez notre Politique d’utilisation des données et la Page sur la plate-forme.

Clause n°2.3 de la Déclaration des droits et responsabilités du 30 janvier 2015 et du 9 décembre 2016 :

Lorsque vous utilisez une application, celle-ci est susceptible de solliciter votre autorisation afin de pouvoir accéder à vos contenus et informations ainsi qu’à ceux que d’autres personnes ont partagés avec vous. Nous requérons des applications qu’elles respectent la confidentialité de vos données, et c’est l’accord que vous donnez à une application qui détermine dans quelle mesure celle-ci est libre d’utiliser, de conserver et de transférer ces contenus et informations. (Pour obtenir plus d’informations au sujet de la Plate-forme et apprendre notamment de quelle manière vous pouvez contrôler les types d’informations pouvant être partagés avec d’autres personnes par le biais des applications, nous vous invitons à consulter notre Politique d’utilisation des données et la Page Plate-forme.)

Pour l’association UFC-QUE CHOISIR, ces clauses portent sur les possibilités de collecte et d’utilisation par la société FACEBOOK et par des tiers des données de l’utilisateur par le biais des applications.

L’association reproche aux clauses n° 2.3 de ne pas informer l’utilisateur de manière explicite que la société FACEBOOK collecte et utilise ses données. Elles se limitent, selon l’association, à évoquer le rôle de collecte et d’utilisation joué par les applications (sous-entendues les éditeurs desdites applications), alors que la société FACEBOOK peut également être éditeur d’application sur sa plateforme et collecter des données de l’utilisateur lorsqu’il utilise des applications Facebook.

Ces clauses seraient donc illicites et abusives au regard des exigences de clarté et de compréhension imposées par l’article L. 133-2, devenu l’article L. 211-1 du code de la consommation.

L’association critique également la présence, au sein des clauses critiquées, de liens hypertextes renvoyant l’utilisateur à la consultation de pages, certaines destinées au paramétrage, une page rédigée intégralement en anglais étant destinée aux développeurs d’applications sur Facebook, les utilisateurs français n’étant dès lors pas en capacité de comprendre – sauf à traduire cette dernière page – qu’elle ne les concernait pas en tant que simples utilisateurs d’applications.

Elle ajoute que les clauses litigieuses sont illicites tant au regard des articles 6 de la Loi Informatique et Libertés et 6 b) de la Directive
95/46/CE, qui imposent que les données soient collectées loyalement et pour des finalités déterminées, explicites et légitimes, qu’au regard des dispositions des articles 32-I 6°) de la loi Informatique et Libertés et 10 c) de la Directive 95/46/CE, lesquels exigent que la personne concernée soit informée des droits d’accès, d’opposition et de rectification des données qu’elle tient des dispositions de la section 2 du chapitre V de la loi Informatique et Libertés.

Or, selon l’association, les clauses critiquées autorisent la société FACEBOOK à collecter, par le biais des applications, des données à caractère personnel sans permettre à l’utilisateur d’en avoir pleinement conscience, la formulation employée « peut vous demander l’autorisation » ou « est susceptible de solliciter votre autorisation » démontrant qu’une telle autorisation n’est pas systématique. Elle rappelle qu’il peut donc y avoir collecte de données sans que l’utilisateur en soit informé.

Elle estime qu’étant de nature à induire en erreur l’utilisateur sur l’étendue de ses droits, la clause est abusive au sens de l’article L. 132-1 devenu l’article L. 211-1 du code de la consommation, en ce qu’elle crée un déséquilibre significatif au détriment du consommateur

La société FACEBOOK répond que cette clause, relative au partage de contenus et d’informations que l’utilisateur publie sur le site Facebook avec une application tierce, est précédée d’une phrase introductive rappelant que l’utilisateur a les moyens de contrôler la façon dont la société FACEBOOK IRELAND partage son contenu avec les autres utilisateurs.

Elle ajoute qu’en installant puis en utilisant une application, l’utilisateur autorise celle-ci à accéder à son « Profil Public » c’est-à-dire son nom, photo(s) de profil, nom d’utilisateur, ses réseaux et toute autre information qu’il choisit de rendre publique ainsi qu’à d’autres informations afin de personnaliser son « expérience » (notamment sa liste d’amis, son sexe, sa tranche d’âge et sa langue).

Elle conclue que l’association UFC ne démontre pas l’existence d’un déséquilibre significatif entre les droits et obligations des parties, d’abord parce que le « Service Facebook » est gratuit, ensuite parce que l’utilisateur garde la maîtrise de ses contenus et données et enfin parce que l’utilisateur est libre d’utiliser ou non les applications et qu’il peut résilier le contrat à tout moment conformément à la clause n° 14 de la DDR.

Aux termes de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation, les clauses des contrats proposés par les professionnels aux consommateurs doivent être présentées et rédigées de façon claire et compréhensible et s’interprètent en cas de doute dans le sens le plus favorable au consommateur.

L’article L. 133-2 devenu l’article L. 211-1 du code de la consommation exige des professionnels qu’ils présentent et rédigent de façon claire et compréhensible les clauses des contrats qu’ils proposent aux consommateurs.

Au sens de l’article 2 de la Loi Informatique et Libertés, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Aux termes de l’article 6 de la Loi Informatique et Libertés, un traitement ne peut porter sur des données à caractère personnel que si ces données sont collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et qu’elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités initiales, qu’elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

L’article 32-I 2°) de la Loi Informatique et Libertés exige du responsable du traitement, qu’il informe la personne concernée de la finalité poursuivie par le traitement, auquel les données sont destinées et des destinataires ou catégories de destinataires des données.

Il résulte du document produit au débat par la société FACEBOOK (Pièce FACEBOOK n° 52-2 bis intitulée « Paramètres des applications ») que les nom, photos de profil, photo de couverture, genre, réseaux, nom et ID d’utilisateur, sont toujours accessibles par les personnes et les applications ; que les « applications » ont aussi accès à la « liste d’amis des utilisateurs » et à toute information que l’utilisateur choisit de rendre publique. Les clauses n° 82 à 87 de la PUD (Politique d’Utilisation des Données) du 15 novembre 2013 confirment cet accès permanent et mentionnent la possibilité pour l’utilisateur de contrôler à l’aide de sa « page de paramètres des applications » « la plupart » des informations « que d’autres peuvent communiquer à des applications », ces opérations de paramétrage et de contrôle ne lui permettant toutefois de s’opposer à l’accès de ses « informations publiques » (non définies) et de la liste de ses amis.

Ainsi, contrairement à ce que la société FACEBOOK prétend, l’utilisateur est dans l’impossibilité de contrôler par le biais du paramétrage l’ensemble des informations accessibles aux diverses applications.

En effet, les « informations publiques » de l’utilisateur, dont la nomenclature n’est pas définie et dont le paramétrage est impossible, restent accessibles, quelles que soient les circonstances, « à tout le monde, y compris aux personnes qui n’utilisent pas Facebook », l’ensemble des « personnes » (sans précision) pouvant utiliser (ces informations), mais aussi (…) les associer (à l’utilisateur), comme le précisent les clauses n° 2.4 de la DDR examinées infra.

Ainsi, les nom, photos de profil, photo de couverture, genre, réseaux, nom et ID d’utilisateur, réputées « informations publiques » par les clauses critiquées, constituant des données personnelles au sens de l’article 2 de la Loi Informatique et Libertés, ne font l’objet d’aucune information préalable au traitement, ni d’aucun paramétrage, lorsqu’elles sont collectées par la société FACEBOOK et/ou par les « applications ».

De sorte qu’en s’abstenant d’informer l’utilisateur, serait-ce lors de l’installation et de l’utilisation d’une application, de l’existence à cette occasion d’une collecte de données à caractère personnel, à laquelle l’utilisateur ne peut s’opposer – les « informations » réputées « informations publiques » telles que les nom, photos de profil, photo de couverture, genre, ayant été collectées dès la création du compte de l’utilisateur sur le réseau social et lors de son utilisation ultérieure (réseaux, liste d’amis) – les clauses sont illicites au regard des articles L. 133-2 devenu l’article L. 211-1 du code de la consommation et des articles 2 et 6 de la Loi Informatique et Libertés. En l’absence d’une information de l’utilisateur (la personne concernée au sens de l’article 2 de la Loi Informatique et Libertés) sur la finalité poursuivie par le traitement, auquel les données sont destinées et des destinataires ou catégories de destinataires des données, les clauses sont par suite illicites au regard de l’article 32-I 2°) de la Loi Informatique et Libertés.

En laissant croire à l’utilisateur qu’il peut restreindre l’accès à ses données à caractère personnel et maitriser cet accès auprès des tiers grâce au paramétrage, alors que certaines de ses données (les « informations publiques ») échappent à tout contrôle et restent en permanence publiques et par suite accessibles à tous, empêchant de ce fait l’utilisateur de connaitre l’étendue de la divulgation de ses données personnelles à des tiers, les clauses critiquées sont abusives au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation, car elle créent un déséquilibre significatif entre les droits et obligations des parties, au détriment de l’utilisateur consommateur.

En conséquence, les clauses n° 2.3 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016 sont illicites au regard des articles L. 133-2 devenu l’article L. 211-1 du code de la consommation et des articles 2, 6 et 32-I 2°) de la Loi Informatique et Libertés. Elles sont également abusives au regard de l’article L.132-1, devenu l’article L. 212-1 du code de la consommation, doivent être réputées non écrites.

7. Clause n° 2.4 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016 :

Clause n°2.4 de la Déclaration des droits et responsabilités du 15 novembre 2013 :
Lorsque vous publiez du contenu ou des informations avec le paramètre « Public », cela signifie que vous permettez à tout le monde, y compris aux personnes qui n’utilisent pas Facebook, d’accéder à ces informations et de les utiliser, mais aussi de les associer à vous (c’est-à-dire, votre nom et l’image de votre profil).

Clause n°2.4 de la Déclaration des droits et responsabilités du 30 janvier 2015 et du 9 décembre 2016 :
Lorsque vous publiez du contenu ou des informations avec le paramètre « Public », cela signifie que vous permettez à tout le monde, y compris aux personnes qui n’utilisent pas Facebook, d’accéder à ces informations et de les utiliser, mais aussi de les associer à vous (c’est-à- dire, votre nom et votre photo de profil).

L’association UFC-QUE CHOISIR reproche à la clause n° 2.4 de la DDR de laisser croire à l’utilisateur qu’il peut contrôler du caractère « public » ou non des contenus et informations qu’il publie sur Facebook via un paramétrage de confidentialité, alors que certaines données de l’utilisateur échappent à un tel paramétrage.

Cette clause serait abusive au sens de l’article L.132-1 du code de la consommation en ce qu’elle crée un déséquilibre significatif entre l’utilisateur et la société FACEBOOK, cette dernière ayant seule le pouvoir de déterminer le caractère public ou non du contenu publié par l’utilisateur.

Par ailleurs la clause serait également abusive au sens de l’article R.132-1 4°) du code de la consommation, car elle aurait pour effet de conférer au professionnel le droit exclusif d’interpréter une quelconque clause du contrat.

La société FACEBOOK réplique que la clause n° 2.4 rappelle que l’utilisateur a la maîtrise de ses données à caractère personnel, l’utilisateur ayant préalablement été pleinement informé de la façon de garder le contrôle sur ses données, car il reconnaît avoir lu la PUD (parmi d’autres documents) lors de son inscription au Service Facebook.

Selon la société, la clause précise qu’en choisissant le paramètre « Public », le contenu publié est accessible à tout public, c’est-à dire à n’importe qui. Ainsi, tout le monde a accès, utilisateur ou non du Service Facebook, aux contenus, informations et « données publiques », qui contiennent par exemple le nom, la photo du profil, à savoir le « Profil Public » de l’utilisateur, qui comporte des informations qu’il a choisi lui- même de rendre accessibles à tout public.

La société FACEBOOK ajoute que les informations partagées par l’utilisateur : photo de couverture, sexe, tranche d’âge, réseaux (scolaires ou professionnels), identifiant (numéro de compte) apparaissant dans l’URL de son profil, langue et pays restent toujours publiques. Ces informations permettraient, selon la société FACEBOOK, de fournir à l’utilisateur des contenus « adaptés » et une « expérience optimale ». Elle fait valoir que le « contenu public » est facilement identifiable grâce à une icône de confidentialité spécifique (une icône représentant un globe). Elle conclue que la clause n° 2.4 de la DDR n’est pas abusive.

Aux termes de l’article L. 133-1 devenu l’article L. 211-1 du code de la consommation, les clauses des contrats proposés par les professionnels aux consommateurs doivent être présentées et rédigées de façon claire et compréhensible.

Tel n’est pas le cas de la clause n° 2.4 qui prétend faire dépendre du seul choix de l’utilisateur (« avec le paramètre « Public »), le caractère public ou non du contenu ou des informations qu’il publie sur le réseau, alors qu’il ressort tant dans les écritures de la défenderesse (pages 264 et 265) que dans les clauses produites au débat, notamment les clauses n° 12 à 17 de la PUD du 15 novembre 2013, la clause n° 23 de la PUD du 30 janvier 2015 et 29 septembre 2016 renvoyant à la définition d’« Informations publiques », que ces dernières relèvent de deux catégories, d’une part des informations que l’utilisateur choisit de rendre publiques par paramétrage et d’autre part des informations qui restent toujours publiques, parce qu’elles sont insusceptibles de paramétrage.

De sorte qu’en laissant entendre, au sein de la clause soumise à la critique, que les informations publiques le sont du seul choix de l’utilisateur, en s’abstenant d’indiquer – serait-ce par un renvoi textuel aux clauses le précisant – que des informations sont toujours publiques par défaut et le resteront, faute pour l’utilisateur de se voir offrir la possibilité d’accéder à un paramétrage ; en affirmant au sein du même ensemble de documents contractuels que l’utilisateur contrôle la publicité des contenus et informations qu’il met en ligne tout en établissant dans la clause n° 18 de la DDR du 15 novembre 2013 une liste d’informations qui restent publiques en permanence, dont l’utilisateur ne pourra donc jamais contrôler la diffusion, la clause critiquée ne répond pas aux exigences des dispositions de l’article L. 133-1 devenu l’article L. 211-1 du code de la consommation précité. Elle est à ce titre illicite et sera réputée non écrite.

Au regard de ce qui précède, la clause critiquée est également abusive au regard de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation, en ce qu’elle a pour objet ou pour effet de créer, au détriment du consommateur, un déséquilibre significatif entre les droits et obligations des parties au contrat.

Par conséquent, la clause n° 2.4 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016, illicite au regard des dispositions de l’article L. 133-1 devenu l’article L. 211-1 du code de la consommation, est abusive au sens des articles L. 132-1, L. 131-1 devenu l’article L. 212-1 du code de la consommation. Elle sera donc réputée non écrite.

8. Clause n° 2.5 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016 :

Clause n°2.5 de la Déclaration des droits et responsabilités du 15 novembre 2013 :

Nous apprécions vos commentaires et vos suggestions concernant Facebook, mais vous comprenez que nous pouvons les utiliser sans aucune obligation de rémunération (tout comme vous n’avez aucune obligation de nous les communiquer).

Clause n°2.5 de la Déclaration des droits et responsabilités 30 janvier 2015 et 9 décembre 2016 :

Nous apprécions vos commentaires et vos suggestions concernant Facebook. Cependant, veuillez noter que nous pouvons les utiliser sans aucune obligation de rémunération (tout comme vous n’avez aucune obligation de nous les communiquer). »

Pour l’association UFC-QUE CHOISIR, la clause est illicite au regard des articles L.131-1 et L. 131-3 du code de la propriété intellectuelle car elle octroie à la société FACEBOOK le droit d’exploiter sans aucune contrepartie toute suggestion ou tout commentaire, quel que soit la nature du contenu concerné. Elle ajoute que les clauses sont abusives car elles créent un déséquilibre significatif entre les droits et obligations des parties au détriment du consommateur, les clauses contrevenant aux dispositions de l’article L.132-1 du code de la consommation étant nécessairement abusives.

Selon la société FACEBOOK, la clause n° 2.5 n’est pas illégale ; le mécanisme de recueil des avis des « clients » du Service Facebook est un mécanisme licite et usuel que toute entreprise peut mettre en place à l’instar du procédé de la « boîte à idées » adapté au monde numérique et à la « judiciarisation » de la société. Aucune obligation n’est imposée à l’utilisateur qui est libre d’adresser ou non de tels commentaires ou suggestions. Ces commentaires ou suggestions ne sont que des « idées » non protégeables par le droit d’auteur. La clause ne crée donc pas de déséquilibre significatif entre les droits et les obligations de l’utilisateur et ceux de FACEBOOK IRELAND. Les utilisateurs gardent la possession et le contrôle de leur contenu et de leurs données à caractère personnel, quand ils envoient des suggestions et des commentaires à FACEBOOK IRELAND.

En l’espèce, contrairement à ce que soutient la société FACEBOOK dans ses écritures, la clause n’offre pas la possibilité aux utilisateurs de faire part de leurs commentaires et suggestions sur le service Facebook, aucun mécanisme de recueil d’avis des clients (du type « boite à idées ») n’étant mis en place par ladite clause, laquelle se limite à évoquer le cas où spontanément les utilisateurs adressent des commentaires ou suggestions concernant le réseau social.

Dans un tel cas, les clauses critiquées confèrent à la société FACEBOOK le droit d’exploiter sans contrepartie tout commentaire ou suggestion de l’utilisateur concernant le réseau social, sans précision sur la nature du contenu concerné, lequel peut, ainsi que le soutient la société FACEBOOK dans ses écritures, être assimilées à de simples idées dépourvues de mise en forme et échapper de ce fait à la protection offerte par la loi sur la propriété intellectuelle ou, au contraire, en bénéficier, ainsi que l’admet la société FACEBOOK en page 265 de ses écritures, s’agissant de suggestions de réalisation concrète susceptibles d’être utilisées « pour les besoins du Service Facebook », comme le souligne la société FACEBOOK dans ses écritures en page 265.

De sorte qu’en prévoyant au moyen d’une formulation générale que les commentaires et suggestions des utilisateurs concernant le réseau social peuvent être utilisés par la société FACEBOOK sans aucune obligation de rémunération, les clauses n° 2.5 contreviennent aux prescriptions des articles L. 131-1 et L. 131-3 du code de la propriété intellectuelle, qui imposent de préciser le contenu visé, les droits conférés et les exploitations autorisées par l’auteur du contenu protégé, peu important dès lors que les utilisateurs décident de les communiquer à la société FACEBOOK ou de les publier sur son compte Facebook, la clause n° 2.1 de la DDR conférant un droit d’utilisation de l’intégralité des informations et contenus publiés par l’utilisateur sur le réseau (cf. supra), serait-ce pour les besoins du Service Facebook.

En s’octroyant un droit d’exploitation sur tout commentaire ou suggestion de l’utilisateur concernant le réseau social Facebook, sans précision quant au contenu concerné et sans contrepartie, les clauses n° 2.5 de la DDR créent un déséquilibre significatif entre les droits et obligations des parties au détriment du consommateur au sens de l’article L.132-1 devenu l’article L. 212-1 du code de la consommation.

En conséquence, les clauses n° 2.5 de la DDR, illicites au regard des articles L. 131-1 et L. 131-3 du code de la propriété intellectuelle et abusives au regard de l’article L. 132- 1 devenu l’article L. 212-1 du code de la consommation et doivent être réputées non écrites du code de la consommation et sera comme telle réputée non écrite.

9. Clause n° 3 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016 :

Clause n°3 de la Déclaration des droits et responsabilités du 15 novembre 2013 :

Sécurité :

Nous faisons tout notre possible pour faire de Facebook un service sûr, mais ne pouvons pas garantir la sécurité absolue. Pour assurer la sécurité sur Facebook, nous avons besoin de votre aide, ce qui inclut les engagements suivants de votre part

1. Vous ne publierez pas de communications commerciales sans autorisation (comme des messages indésirables) sur Facebook.

2. Vous n’obtiendrez pas d’informations concernant des utilisateurs ou les contenus qu’ils publient, et n’accéderez pas à Facebook à l’aide de méthodes automatisées (telles que robots, araignées, etc.) sans notre permission préalable.

3. Vous n’effectuerez pas de marketing à paliers multiples illégal, tels que des systèmes pyramidaux, sur Facebook

4. Vous ne téléchargerez pas de virus ou autres codes malveillants.

5. Vous ne demanderez pas les informations de connexion et n’accéderez pas à un compte appartenant à quelqu’un d’autre

6. Vous n’intimiderez pas et n’harcèlerez pas d’autres utilisateurs.

7. Vous ne publierez pas de contenus : incitant à la haine ou à la violence, menaçants, à caractère pornographique ou contenant de la nudité ou de la violence gratuite

8. Vous ne développerez pas ni n’exploiterez une application tierce contenant ou faisant la promotion de contenus liés aux boissons alcoolisées, à des sites de rencontres pour adultes ou à d’autres contenus pour adultes (y compris les publicités) sans restriction d’accès liée à l’âge.

9. Vous observerez nos règles applicables aux promotions et l’ensemble des lois applicables si vous publiez ou lancez un concours, une loterie ou une distribution gratuite de produits (« promotion ») sur Facebook

10. Vous n’utiliserez pas Facebook dans un but d’activité illicite, illégale, malveillante ou discriminatoire.

11. Vous n’agirez pas d’une manière qui pourrait désactiver, surcharger ou autrement empêcher le bon fonctionnement ou l’apparence du Service Facebook (comme une attaque entraînant un refus de service ou une interférence avec l’affichage des pages ou d’autres fonctionnalités.

12. Vous ne permettrez pas et n’encouragerez pas les infractions à cette Déclaration ou à nos politiques de Facebook).

Clause n°3 de la Déclaration des droits et responsabilités du 30 janvier 2015 et du 9 décembre 2016 :

Sécurité :

Nous faisons tout notre possible pour faire de Facebook un service sûr, mais ne pouvons pas garantir une sécurité absolue. Pour assurer la sécurité sur Facebook, nous avons besoin de votre aide, ce qui inclut les engagements suivants de votre part :

1. Vous ne publierez pas de communications commerciales sans autorisation (comme des messages indésirables) sur Facebook.

2. Vous n’obtiendrez pas d’informations concernant des internautes ni les contenus qu’ils publient, et n’accéderez pas à Facebook à l’aide de méthodes automatisées (telles que robots, araignées, etc.) sans notre permission préalable.

3. Vous n’effectuerez pas de marketing multiniveau illégal, tel que des systèmes pyramidaux, sur Facebook

4. Vous ne téléchargerez pas de virus ou autres codes malveillants

5. Vous ne demanderez pas les informations de connexion et n’accéderez pas à un compte appartenant à quelqu’un d’autre.

6. Vous n’intimiderez pas et ne harcèlerez pas d’autres personnes.

7. Vous ne publierez pas de contenus incitant à la haine ou à la violence, pornographique, ou contenant de la nudité ou de la violence gratuite.

8. Vous ne développerez ni n’exploiterez aucune application tierce dont le contenu est lié aux boissons alcoolisées, à des sites de rencontres pour adultes ou à d’autres produits et services pour adultes (y compris les publicités) sans restriction d’accès liée à l’âge

9. Vous n’utiliserez pas Facebook à des fins illégales, malveillantes ou discriminatoires.

10. Vous n’agirez pas d’une manière qui pourrait désactiver, surcharger ou autrement empêcher le bon fonctionnement ou l’apparence de Facebook (comme une attaque entraînant un refus de service ou une interférence avec l’affichage des Pages ou d’autres fonctionnalités de Facebook)

11. Vous ne permettrez pas et n’encouragerez pas les infractions à cette Déclaration ou à nos règlements.

L’association UFC-QUE CHOISIR reproche aux clauses n° 3 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016 d’être illicites. En effet, selon l’association, les clauses soumettraient la société FACEBOOK en matière de sécurité à une obligation de moyens, alors qu’elle est tenue à une obligation de résultat par son statut de professionnel fournissant une prestation de services à distance, en vertu de l’article L. 121-20-3 (ancien) du code de la consommation, devenu l’article L. 221-15 du code de la consommation, de l’article 17 de la Directive 95/46/CE en tant que responsable de traitement et de l’article 34 de la Loi Informatique et Libertés. Elles permettraient à la société FACEBOOK de ne pas exécuter ses obligations et ce, en violation de l’article R. 132-1 5°) du code de la consommation, qui prévoit qu’est abusive toute clause qui aurait pour effet de contraindre le non- professionnel ou le consommateur à exécuter ses obligations alors que, réciproquement, le professionnel n’exécuterait pas son obligation de fourniture d’un service. Elle prétend qu’en supprimant le droit à réparation de l’utilisateur, en cas d’inexécution de l’une des obligations de la société FACEBOOK, ces clauses sont abusives au sens de l’article R. 132-1 6°) du code de la consommation.

Pour la société FACEBOOK, la DDR ne contient aucune clause exonératoire de responsabilité, tant en sa qualité d’hébergeur qu’en sa qualité de responsable du traitement.

Elle soutient que la clause n° 3 de la DDR n’a pas vocation à l’exonérer de toute responsabilité, mais à délimiter les obligations respectives de la société et des utilisateurs en énonçant un certain nombre de règles visant à l’adoption par l’utilisateur d’un comportement raisonnable et responsable afin de préserver la sécurité des utilisateurs et du Service Facebook, faute de quoi la société FACEBOK pourrait cesser de fournir le Service en vertu de l’application de la clause n° 14 de la DDR. Selon la société, la clause ne créerait aucun déséquilibre significatif entre les droits et les obligations des parties.

Elle ajoute que la société FACEBOOK est en droit de limiter sa responsabilité dans certains cas visés par les textes, notamment l’article L. 121-19-4 devenu l’article L. 221-15 du code de la consommation, qui vise expressément le cas de violation par l’utilisateur de ses obligations résultant des conditions d’utilisation. Elle fait valoir que les clauses de limitation de responsabilité ne sont pas, par principe, abusives, seules les clauses limitatives de responsabilité qui limitent de manière excessive ou dérisoire la responsabilité du professionnel ou de façon inappropriée les droits du consommateur vis-à-vis du professionnel, peuvent être qualifiées d’abusives, ce qui ne saurait être le cas s’agissant d’un service gratuit comme le Service Facebook, dans lequel les utilisateurs génère eux-mêmes le contenu. Elle précise que sa responsabilité est limitée en cas d’action de tiers à son encontre, en raison d’un manquement par l’utilisateur à ces règles, en vertu de la clause n° 15.2 et non de la clause n° 3 de la DDR. Elle maintient que l’article 34 de la Loi Informatique et Libertés prévoit une obligation de moyens en matière de sécurité du responsable de traitement et non une obligation de résultat.

a) Sur la définition de l’objet principal du contrat :

La société FACEBOOK fait valoir que les clauses critiquées ne peuvent donc faire l’objet d’une appréciation par le juge du caractère abusif, car elles portent sur l’objet principal du contrat au sens de l’article L. 132-1 7°) du code de la consommation.

L’article L. 132-1 7°) du code de la consommation prévoit que « l’appréciation du caractère abusif des clauses » ne peut pas porter « sur la définition de l’objet principal du contrat (…), le contrôle du caractère abusif d’une clause formulée dans un contrat liant un professionnel et un consommateur étant exclu si cette clause définit les éléments essentiels de la prestation due par le professionnel.

Au sens de l’article L. 132-1 du code de la consommation, la clause qui porte sur l’« objet principal du contrat », lequel reproduit intégralement dans son alinéa 7 les dispositions de l’article 4, § 2, de la directive n° 93/13/CEE du 5 avril 1993, doit être entendu comme la clause qui fixe une prestation essentielle caractérisant ce contrat.

Tel n’est pas le cas des clauses critiquées qui ne portent pas sur la prestation essentielle consistant en la mise à disposition de fonctionnalités permettant à l’utilisateur d’interagir avec ses relations, de créer des groupes d’intérêt commun ou de partager avec d’autres utilisateurs ses contenus.

De sorte que, les stipulations critiquées portant sur des modalités accessoires à l’objet principal, les clauses litigieuses ne relèvent pas de l’exemption figurant au rang des dispositions de l’alinéa 7 de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation et peuvent en conséquence faire l’objet d’une appréciation de leur caractère abusif par le juge.

b) Sur la limite de responsabilité de la société FACEBOOK prise en sa qualité de professionnel prestataire de services à distance :

Aux termes de l’article L. 121-19-4 devenu l’article L. 221-15 du code de la consommation, le professionnel est responsable de plein droit, à l’égard du consommateur, de la bonne exécution des obligations résultant du contrat conclu à distance.

Il importe peu que le contrat soit conclu à titre onéreux ou à titre gratuit, la loi n’opérant aucune distinction quant à ce caractère.

L’article 6.I.2 de la « Loi pour la Confiance dans l’Économie Numérique » (L.C.E.N.) du 21 juin 2004 pose le principe, selon lequel l’hébergeur de données illicites n’est pas responsable, à condition toutefois qu’il réagisse promptement en suspendant ou en supprimant leur accessibilité, dès qu’il aura connaissance de l’illicéité, la responsabilité étant engagée dans le cas contraire.

L’article 34 de la Loi Informatique et Libertés relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, exige du responsable du traitement qu’il prenne toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès, le responsable du traitement devant garantir un niveau de sécurité adapté au risque du traitement.

En l’espèce la clause n° 3 de la DDR indique que la société FACEBOOK fait « tout (son) possible pour faire de Facebook un service sûr «  ; qu’elle a « besoin de (l)’aide des utilisateurs pour ce faire. A ce titre les utilisateurs s’engagent à respecter un certain nombre de règles destinées à protéger les autres utilisateurs (abstention de comportements de harcèlement, propos haineux, pornographie, violence, nudité etc.) et s’engagent également à respecter des règles relevant de la sécurité économique et technique de la société FACEBOOK notamment : l’interdiction de communications commerciales sans autorisation, l’obtention d’accès aux contenus des utilisateurs « à l’aide de méthodes automatisées (telles que robots, araignées, etc.) sans (la) permission préalable (de FACEBOOK) » l’interdiction d’agissement « d’une manière qui pourrait désactiver, surcharger ou autrement empêcher le bon fonctionnement ou l’apparence de Facebook (comme une attaque entraînant un refus de service ou une interférence avec l’affichage des Pages ou d’autres fonctionnalités de Facebook, etc.) ». Il ressort de la seule analyse de la clause que l’ensemble des règles imposées à l’utilisateur au titre de la clause n° 3 de la DDR ne sont pas assorties d’aucune sanction.

Toutefois la confrontation de cette clause avec les clauses n° 16 de la DDR du 15 novembre 2013, et n° 15 des 30 janvier 2015 et 9 décembre 2016 révèle que la société FACEBOOK peut « arrêter de fournir (à l’utilisateur) tout ou partie de Facebook (…) », si l’utilisateur enfreint « la lettre ou l’esprit de cette Déclaration » (DDR) ou s’il créé un risque de poursuites à l’encontre de la société Facebook. Les mêmes clauses prévoient que la société FACEBOOK (essaie) (sic) de fournir Facebook dans un environnement sans défaut et sûr, mais affirme que l’utilisateur l’utilise à son « propre risque « , Facebook, étant fourni « en l’état », « sans garanties exprès ou implicites, y compris, mais sans s’y limiter, les garanties implicites de qualité marchande, d’adéquation à un usage particulier ou de non-violation ».

Il ressort également desdites clauses que la société FACEBOOK ne garantit pas (« nous ne garantissons pas « ) que Facebook  » soit toujours sûr, sécurisé ou exempt d’erreurs, ou que Facebook fonctionne toujours sans interruption, retard ou imperfection. Facebook n’assume aucune responsabilité quant aux actions, contenus, informations ou données de tiers, et vous dégagez Facebook, les membres de sa direction, les membres de son conseil d’administration, ses employés et ses agents de toute responsabilité en cas de plaintes ou dommages, connus et inconnus, émanant des plaintes ou dommages à l’encontre de ces tiers, ou y afférents. (…) nous ne pourrons être tenus responsables de la perte de bénéfices ou tout autre dommage consécutif, spécial, indirect ou accessoire, qu’ils découlent de cette déclaration ou de Facebook, quand bien même Facebook aurait été informé de la possibilité d’un tel dommage. (…).

Ainsi aux termes des clauses précitées, le non-respect des diverses « règles » (ou engagements) contenues au sein de la Déclaration des Droits et Responsabilités ou une activité, notamment frauduleuse, exercée sur le site de Facebook et qui ne résulterait pas uniquement de l’utilisateur, exposerait l’utilisateur à la suspension des services et écarterait a priori toute responsabilité de la société FACEBOOK à l’égard de ses propres services.

De sorte que les clauses critiquées sont illicites au regard des articles L. 121-19-4 devenu l’article L. 221-15 du code de la consommation.

En prévoyant que la responsabilité sera supportée uniquement par l’utilisateur, en exonérant en conséquence totalement l’hébergeur, sans évoquer le cas où, ayant eu connaissance du caractère illicite de l’activité ou de l’information, l’hébergeur a tardé à retirer promptement les contenus litigieux ou en rendre l’accès impossible, les clauses précitées sont illicites comme contraire à l’article 6.I.2 de la L.C.E.N. (« Loi pour la Confiance dans l’Économie Numérique »), l’hébergeur étant susceptible dans une telle situation d’endosser tout ou partie de la responsabilité encourue.

En laissant croire à l’utilisateur qu’il a la charge de la sécurité de ses données à caractère personnel, alors qu’en sa qualité de responsable de traitement, la société FACEBOOK est tenue d’une obligation de préservation des données ainsi que de prévention de leur déformation, de leur endommagement ou de leur accessibilité par des tiers, les clauses sont également illicites au regard de l’article 34 de la Loi Informatique et Libertés.

Les clauses sont irréfragablement présumée abusives au regard de l’article R. 132-1 6°) devenu l’article R. 212-1 6°) du code de la consommation, parce qu’elles ont pour effet d’exonérer le professionnel de son éventuelle responsabilité et de supprimer ou de réduire le droit à réparation du préjudice subi par le consommateur en cas de manquement par le professionnel à l’une de ses obligations.

En conséquence, les clauses n° 3 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016, illicites au regard des articles L. 121-19-4 devenu l’article L. 221-15 du code de la consommation, 6.I.2 de la L.C.E.N., 34 de la Loi Informatique et Libertés, sont abusives au sens de l’article R. 132-1 6°) devenu l’article R. 212-1 6°) du code de la consommation. Elles seront donc réputées non écrites.

10. Clause n° 4 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016 :

Clause n° 4 de la Déclaration des droits et responsabilités du 15 novembre 2013 :

Inscription et sécurité des compte :

Les utilisateurs de Facebook donnent leur vrai nom et de vraies informations les concernant, et nous vous demandons de nous aider à ce que cela ne change pas. Voilà quelques conditions que vous vous

engagez à respecter pour l’inscription et la sécurité de votre compte :

1. Vous ne fournirez pas de fausses informations personnelles sur Facebook et ne créerez pas de compte pour une autre personne sans son autorisation.

2. Vous ne créerez qu’un seul compte personnel

3. Si nous supprimons votre compte, vous n’en créerez pas d’autre sans notre autorisation

4. Vous n’utiliserez pas votre journal personnel principalement à des fins commerciales. Si vous souhaitez vous livrer à des activités commerciales par le biais de Facebook, vous devrez utiliser une Page Facebook spécialement conçue à cet effet

5. Vous n’utiliserez pas Facebook si vous avez moins de 13 ans.

6. Vous n’utiliserez pas Facebook si vous devez vous inscrire auprès des autorités locales en raison d’une condamnation pour violences sexuelles.

7. Vous mettrez vos coordonnées, exactes, à jour.

8. Vous ne communiquerez pas votre mot de passe (ou, dans le cas des développeurs, votre clé secrète), ne laisserez personne accéder à votre compte ou ne ferez quoi que ce soit qui puisse compromettre la sécurité de votre compte.

9. Vous ne transfèrerez pas votre compte (y compris les Pages ou applications dont vous êtes l’administrateur) sans avoir préalablement obtenu une autorisation écrite de notre part.

10. Si vous sélectionnez un nom d’utilisateur ou un identifiant similaire pour votre compte ou votre Page, nous nous réservons le droit de le retirer si nous le jugeons inapproprié (par exemple, lorsque le titulaire d’une marque de commerce porte plainte concernant un nom d’utilisateur qui ne correspond pas au nom réel de cet utilisateur)

Clause n°4 de la Déclaration des droits et responsabilités du 30 janvier 2015 et du 9 décembre 2016 :

Les personnes qui utilisent Facebook donnent leur vrai nom et de vraies informations les concernant, et nous vous demandons de nous aider à ce que cela ne change pas. Voilà quelques conditions que vous vous engagez à respecter concernant l’inscription et la sécurité de votre compte :

1. Vous ne fournirez pas de fausses informations personnelles sur Facebook et ne créerez pas de compte pour une autre personne sans son autorisation.

2. Vous ne créerez qu’un seul compte personnel.

3. Si nous supprimons votre compte, vous n’en créerez pas d’autre sans notre autorisation.

4. Vous n’utiliserez pas votre journal personnel principalement à des fins commerciales. Si vous souhaitez vous livrer à des activités commerciales par le biais de Facebook, vous devrez utiliser une Page Facebook spécialement conçue à cet effet.

5. Vous n’utiliserez pas Facebook si vous avez moins de 13 ans.

6. Vous n’utiliserez pas Facebook si vous avez été condamnée(e) pour violences sexuelles.

7. Vos coordonnées devront toujours être exactes et à jour.

8. Vous ne communiquerez pas votre mot de passe (ou, dans le cas des développeurs, votre clé secrète), ne laisserez personne accéder à votre compte ni ne ferez quoi que ce soit qui puisse compromettre la sécurité de votre compte.

9. Vous ne transfèrerez pas votre compte (y compris les Pages ou applications dont vous êtes l’administrateur) sans avoir préalablement obtenu une autorisation écrite de notre part.

10. Si vous sélectionnez un nom d’utilisateur ou un identifiant similaire pour votre compte ou votre Page, nous nous réservons le droit de le retirer si nous le jugeons nécessaire (par exemple, lorsque le titulaire d’une marque de commerce porte plainte concernant un nom d’utilisateur qui ne correspond pas au nom réel de la personne qui se connecte à l’aide de ce nom d’utilisateur).

L’association UFC-QUE CHOISIR critique les clauses n° 4 de la Déclaration des droits et responsabilités dont la rédaction exonère la société FACEBOOK de toute responsabilité, qu’elle naisse d’un manquement à ces obligations de professionnel proposant une prestation de service, ou d’un manquement à ses obligations de responsable de traitement. Or, selon l’association, la société FACEBOOK par son statut de professionnel fournissant une prestation de services à distance, est tenue à une obligation de résultat au titre de l’ancien article L.121-20-3, devenu l’article L.121-19-4 du code de la consommation. Elle est, en outre, tenue à une obligation en tant que responsable de traitement, au titre de l’article 34 de la loi Informatique et Libertés et de l’article 17 de la Directive 95/46/CE pour la préservation des données, la prévention de leur déformation, leur endommagement, ou accessibilité par les tiers.

L’association fait valoir que les clauses critiquées sont également abusives au titre de l’article R. 132-1 5 ) du code de la consommation, car elles ont pour effet de contraindre le consommateur à exécuter ses obligations alors que, réciproquement, le professionnel n’exécuterait pas ses obligations de fourniture d’un service.

Selon l’association, les clauses critiquées contreviennent également à l’article R. 132-1 6°) du code de la consommation en ce qu’elles ont pour effet de supprimer ou de réduire le droit à réparation du préjudice

subi par le professionnel ou le consommateur en cas de manquement par le professionnel à l’une quelconque de ses obligations.

L’association ajoute que les clauses critiquées sont abusives à la fois au sens de l’article R.132-1 4°) du code de la consommation et au sens de l’article R.132-1 6°) du même code, en ce qu’elles ne prévoient aucune possibilité pour l’utilisateur de s’opposer à la suppression, adoptée de manière discrétionnaire et unilatéralement par la société FACEBOOK.

La société FACEBOOK affirme à titre préliminaire que la clause n° 4 de la DDR est relative à la sécurité du Service Facebook. A ce titre, en énonçant des règles que les utilisateurs doivent respecter pour la sécurité de son compte – conditions du bon fonctionnement du Service Facebook
– la clause porte sur l’objet du Service Facebook. Elle ne saurait donc faire l’objet d’une appréciation au regard de son éventuel caractère abusif.

Elle fait valoir que la clause n° 4 vise à délimiter les obligations lui revenant et celles revenant aux utilisateurs en vue d’assurer la sécurité des « comptes Facebook ». Elle n’a pas vocation à restreindre ou exonérer la société FACEBOOK de toute responsabilité et ne supprime pas le droit légal d’indemnisation qui revient à l’utilisateur ; elle ne crée donc pas de déséquilibre significatif entre les droits et les obligations des parties.

a) Sur la définition de l’objet principal du contrat :

La société FACEBOOK fait valoir que les clauses critiquées ne peuvent donc faire l’objet d’une appréciation par le juge du caractère abusif, car elles portent sur l’objet principal du contrat au sens de l’article L. 132-1 7°) du code de la consommation.

L’article L. 132-1 7°) du code de la consommation prévoit que « l’appréciation du caractère abusif des clauses » ne peut pas porter « sur la définition de l’objet principal du contrat (…), le contrôle du caractère abusif d’une clause formulée dans un contrat liant un professionnel et un consommateur étant exclu si cette clause définit les éléments essentiels de la prestation due par le professionnel.

Au sens de l’article L. 132-1 du code de la consommation, la clause qui porte sur l’« objet principal du contrat », lequel reproduit intégralement dans son alinéa 7 les dispositions de l’article 4, § 2, de la directive n° 93/13/CEE du 5 avril 1993, doit être entendu comme la clause qui fixe une prestation essentielle caractérisant ce contrat.

Tel n’est pas le cas des clauses critiquées qui ne portent pas sur la prestation essentielle consistant en la mise à disposition de fonctionnalités permettant à l’utilisateur d’interagir avec ses relations, de créer des groupes d’intérêt commun ou de partager avec d’autres utilisateurs ses contenus.

De sorte que, les stipulations critiquées portant sur des modalités accessoires à l’objet principal, les clauses litigieuses ne relèvent pas de l’exemption figurant au rang des dispositions de l’alinéa 7 de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation et peuvent en conséquence faire l’objet d’une appréciation de leur caractère abusif par le juge.

b) Sur la limitation de responsabilité de FACEBOOK en matière de sécurité des données :

Le Tribunal ayant eu l’occasion de répondre à cette argumentation dans le cadre de l’examen de la clause n° 3 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016, il conviendra de déclarer la clause n° 4 du même document et pour des motifs identiques à ceux précédemment exposés, illicite au regard des articles L. 121-19-4 devenu l’article L. 221-15 du code de la consommation, 6.I.2 de la L.C.E.N., 34 de la Loi Informatique et Libertés, est abusive au sens de l’article R. 132-1 6°) devenu l’article R. 212-1 6°) du code de la consommation. Elle sera donc réputée non écrite.

c) Sur le droit discrétionnaire de FACEBOOK de suppression du compte de l’utilisateur :

L’association UFC-QUE CHOISIR fait valoir qu’en attribuant à la société FACEBOOK le droit de supprimer a posteriori le compte de l’utilisateur ou de l’identifiant similaire pour le compte ou la page de l’utilisateur, chaque fois qu’il lui paraît « nécessaire » d’y procéder ou lorsque la société l’estime  » inapproprié », sans prévoir de recours de la personne concernée, les clauses sont abusives tant au regard de l’article R. 132-1 4°) du code de la consommation qu’au regard de l’article R.132-1 6°) du même code, puisqu’elles ne prévoient pas de possibilité pour l’utilisateur de s’opposer à leur suppression pourtant adoptée de manière unilatérale et discrétionnaire par la société FACEBOOK.

Pour la société FACEBOOK l’objectif de cette clause est d’empêcher un usage abusif des noms en violation des droits de tiers, notamment de droits de marque, dont la société s’engage à préserver leurs titulaires (utilisateurs et tiers). Elle précise que le droit pour l’utilisateur de choisir son nom/identifiant ou les contenus qu’il publie doit s’adapter à la nécessité pour la société FACEBOOK de respecter ses obligations en qualité d’hébergeur du Service Facebook. Cette qualité impose de retirer promptement les contenus manifestement illicites qui lui sont notifiés, faute de quoi elle engagerait sa responsabilité. Elle en conclue que le droit pour FACEBOOK IRELAND de supprimer des contenus, y compris les noms d’utilisateurs ou identifiants, est parfaitement justifié puisqu’il répond à une obligation légale pesant sur FACEBOOK en sa qualité d’hébergeur.

En l’espèce les clauses n° 4 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016 prévoient que si l’utilisateur sélectionne « un nom d’utilisateur ou un identifiant similaire pour son compte ou sa « Page », la société FACEBOOK se réserve le droit de (..) retirer le compte (c’est-à-dire de le supprimer) si elle le juge « nécessaire » ou si l’identifiant lui semble « inapproprié ». La clause cite l’exemple d’un titulaire d’une marque de commerce qui « porterait plainte » (sic) « concernant un nom d’utilisateur qui ne correspondrait pas au nom réel la personne qui se connecte à l’aide de ce nom d’utilisateur ».

Toutefois, en dehors du fait que la formulation du paragraphe concerné est difficilement compréhensible, rien n’indique dans la clause critiquée, que la suppression du compte de l’utilisateur se limiterait aux seules circonstances décrites dans l’exemple qui y est cité, à savoir la suppression du compte d’un d’utilisateur qui utiliserait le nom (d’un autre utilisateur ?), le nom choisi (« sélectionné ») par le contrevenant étant susceptible de nuire au titulaire de la marque ( ?) et sur plainte ( ?) de ce dernier.

En effet, il ressort de la seule lecture de la clause que l’exercice de la faculté de suppression de compte soit circonscrit aux seules circonstances et raisons qui y sont évoquées, la société FACEBOOK confondant dans ses écritures l’obligation légale faite à l’hébergeur d’un contenu illicite de supprimer ledit contenu dès qu’il en est averti et la faculté conventionnelle unilatérale de suppression du compte de l’utilisateur qu’elle s’attribue en sa qualité de fournisseur d’un service de réseautage social, dès qu’elle le juge nécessaire ou lorsqu’elle estime le nom de l’utilisateur inapproprié.

Ces clauses, qui entrent en contravention avec les articles L. 133-1 devenu l’article L. 211-1 de code de la consommation, sont donc illicites à leur égard.

Elles sont également abusives au regard des dispositions de l’article R.132-1 4°) et 6°) devenu l’article R. 212-1 4°) et 6°), en ce qu’elles accordent au seul professionnel le droit de déterminer si les services fournis sont conformes ou non aux stipulations du contrat ou lui confère le droit exclusif d’interpréter une quelconque clause du contrat et qu’elles suppriment ou réduisent le droit à réparation du préjudice subi par le consommateur en cas de manquement par le professionnel à l’une quelconque de ses obligations.

En conséquence, les clauses ° 4 de la Déclaration des droits et responsabilités du 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016, illicites au regard des articles L. 121-19-4 devenu l’article L. 221-15 du code de la consommation, 6.I.2 de la L.C.E.N., 34 de la Loi Informatique et Libertés, est abusive au sens de l’article R. 132-1 4°) et 6°) devenu l’article R. 212-1 4°) 6°) du code de la consommation. Elles seront donc réputées non écrites.

11. Clause n° 5 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016 :

Clause n°5 de la Déclaration des droits et des responsabilités du 15 novembre 2013 :

Protection des droits d’autrui

Nous respectons les droits d’autrui et nous vous demandons de faire de même.

1. Vous ne publierez pas de contenu et vous n’entreprendrez rien sur Facebook qui pourrait enfreindre les droits d’autrui ou autrement enfreindre la loi.

2. Nous pouvons retirer le contenu ou les informations que vous publiez sur Facebook si nous jugeons qu’il s’agit d’une infraction avec la présente Déclaration ou avec nos politiques.

3. Nous vous fournissons des outils pour vous aider à protéger vos droits de propriété intellectuelle. Pour en savoir plus, consultez notre page Comment signaler les infractions aux droits de propriété intellectuelle
?.

4. Si nous retirons votre contenu en raison d’une infraction au droit d’auteur d’un tiers et que vous jugez qu’il s’agit d’une erreur, nous vous fournissons également le moyen de faire appel.

5. Si vous enfreignez les droits de propriété intellectuelle de tiers à plusieurs reprises, nous pourrons désactiver votre compte.

6. Vous ne pouvez pas utiliser nos marques commerciales ou contenu protégé par copyright (comme Facebook, les logos Facebook et F, FB, Face, Poke, Book et Wall ou mur) ou toute autre marque pouvant prêter à confusion, sauf tel expressément autorisé par nos règles d’utilisation des marques ou après avoir reçu une autorisation écrite de notre part.

7. Si vous obtenez des informations de la part d’utilisateurs : vous obtiendrez leur accord et vous présenterez de façon claire que c’est vous (et non Facebook) qui recueillez ces informations, et vous publierez votre politique de respect de la vie privée indiquant les informations recueillies et l’utilisation qui en est faite.

8. Vous ne publierez pas de documents officiels ou d’informations financières concernant autrui sur Facebook.

9. Vous n’identifierez pas des personnes qui n’utilisent pas Facebook et ne leur enverrez pas de messages électroniques sans leur accord. Facebook propose des outils qui permettent aux utilisateurs de signaler et commenter les identifications dans divers contenus.

Clause n°5 de la Déclaration des droits et responsabilités du 30 janvier 2015 :

Protection des droits d’autrui

Nous respectons les droits d’autrui et nous vous demandons d’en faire de même.

1. Vous ne publierez pas de contenu et vous n’entreprendrez rien sur Facebook qui pourrait enfreindre les droits d’autrui ou autrement enfreindre la loi.

2. Nous pouvons retirer les contenus ou les informations que vous publiez sur Facebook si nous jugeons qu’ils enfreignent la présente Déclaration ou nos règlements

3. Nous vous fournissons des outils pour vous aider à protéger vos droits de propriété intellectuelle. Pour en savoir plus, consultez notre page Comment signaler les infractions aux droits de propriété intellectuelle
?

4. Si nous retirons votre contenu en raison d’une infraction aux droits d’auteur d’un tiers et que vous jugez qu’il s’agit d’une erreur, nous vous fournissons également le moyen de faire appel.

5. Si vous enfreignez les droits de propriété intellectuelle d’autrui à plusieurs reprises, nous pourrons désactiver votre compte.

6. Vous n’utiliserez pas nos marques de commerce, nos contenus protégés par droit d’auteur ou toute autre marque pouvant prêter à confusion, sauf dans les cas expressément autorisés par nos Règles d’utilisation des marques ou après avoir reçu une autorisation écrite de notre part.

7. Si vous recueillez des informations des internautes : vous obtiendrez leur accord et vous présenterez de façon claire que c’est vous (et non Facebook) qui recueillez ces informations, et vous publierez votre politique de respect de la vie privée indiquant les informations recueillies et l’utilisation qui en est faite.

8. Vous ne publierez pas de documents d’identification ni d’informations financières confidentielles concernant autrui sur Facebook.

9. Vous n’identifierez pas les personnes qui utilisent Facebook et n’enverrez pas de messages électroniques d’invitation à des personnes qui n’utilisent pas Facebook sans leur accord. Facebook propose des outils qui permettent aux internautes de signaler et de commenter les identifications dans divers contenus.

Clause n°5 de la Déclaration des droits et responsabilités du 9 décembre 2016 :

Protection des droits d’autrui

Nous respectons les droits d’autrui et nous vous demandons d’en faire de même.

1. Vous ne publierez pas de contenu et vous n’entreprendrez rien sur

Facebook qui pourrait enfreindre les droits d’autrui ou autrement enfreindre la loi.

2. Nous pouvons retirer les contenus ou les informations que vous publiez sur Facebook dès lors que nous estimons qu’ils enfreignent la présente Déclaration ou nos règlements, en ce compris les Standards de la communauté, ou dès lors que cela est requis par la loi.

3. Nous vous fournissons des outils pour vous aider à protéger vos droits de propriété intellectuelle. Pour en savoir plus, consultez notre page Comment signaler les infractions aux droits de propriété intellectuelle
?

4. Si nous retirons votre contenu en raison d’une infraction aux droits d’auteur d’un tiers et que vous jugez qu’il s’agit d’une erreur, nous vous fournissons également le moyen de faire appel.

5. Si vous enfreignez les droits de propriété intellectuelle d’autrui à plusieurs reprises, nous pourrons désactiver votre compte.

6. Vous n’utiliserez pas nos marques de commerce, nos contenus protégés par droit d’auteur ou toute autre marque pouvant prêter à confusion, sauf dans les cas expressément autorisés par nos Règles d’utilisation des marques ou après avoir reçu une autorisation écrite de notre part.

7. Si vous recueillez des informations des internautes, vous obtiendrez leur accord et vous présenterez de façon claire que c’est vous (et non Facebook) qui recueillez ces informations, et vous publierez votre politique de respect de la vie privée indiquant les informations recueillies et l’utilisation qui en est faite.

8. Vous ne publierez pas de documents d’identification ni d’informations financières confidentielles concernant autrui sur Facebook

9. Vous n’identifierez pas les personnes qui utilisent Facebook et n’enverrez pas de messages électroniques d’invitation à des personnes qui n’utilisent pas Facebook sans leur accord. Facebook propose des outils qui permettent aux internautes de signaler et de commenter les identifications dans divers contenus.

L’association UFC-QUE CHOISIR reproche aux clauses n° 5 de la DDR d’octroyer à la société FACEBOOK – de manière unilatérale et discrétionnaire – la faculté de désactiver le compte de toute personne dont elle jugerait qu’elle a enfreint à plusieurs reprises des droits de propriété intellectuelle ou la loi, la DDR, ou les Standards de la Communauté, sans prévoir la possibilité pour l’utilisateur de s’opposer à cette suppression, au mépris des dispositions des articles R. 132-1 4°) et 6) du code de la consommation. Elle observe que la société FACEBOOK semble à nouveau confondre le droit discrétionnaire qu’elle s’attribue de supprimer des contenus et de désactiver le compte d’un utilisateur en vertu des obligations pesant sur elle en sa qualité d’hébergeur.

La société FACEBOOK fait valoir que les clauses critiquées ne peuvent donc faire l’objet d’une appréciation par le juge du caractère abusif, car elles portent sur l’objet principal du contrat au sens de l’article L. 132-1
7) du code de la consommation.

Elle estime que la suppression d’un contenu est une pratique à la fois légale et loyale, qui vise à protéger les droits des utilisateurs. Selon elle, sa qualité d’hébergeur et l’intérêt des utilisateurs ou des tiers à voir leurs droits protégés légitiment son pouvoir de retirer les contenus ou informations litigieux, lorsqu’ils lui ont été notifiés.

Elle ajoute que cette décision n’est pas discrétionnaire. Elle est fondée sur la violation des droits des tiers, lorsqu’un utilisateur viole les droits de propriété intellectuelle d’un tiers à plusieurs reprises ou sur une violation de la loi, de la DDR, ou des « Standards de la Communauté », ainsi que les clauses n° 5.2 et n° 5.5 de la DDR le prévoient.

Elle affirme qu’elle doit disposer de sanctions suffisamment efficaces, telle la suppression du compte, pour faire face à des manquements graves et mettre un terme immédiatement à ces agissements.

a) Sur la définition de l’objet principal du contrat :

L’article L. 132-1 7°) du code de la consommation prévoit que « l’appréciation du caractère abusif des clauses » ne peut pas porter « sur la définition de l’objet principal du contrat (…), le contrôle du caractère abusif d’une clause formulée dans un contrat liant un professionnel et un consommateur étant exclu si cette clause définit les éléments essentiels de la prestation due par le professionnel.

Au sens de l’article L. 132-1 du code de la consommation, la clause qui porte sur l’« objet principal du contrat », lequel reproduit intégralement dans son alinéa 7 les dispositions de l’article 4, § 2, de la directive n° 93/13/CEE du 5 avril 1993, doit être entendu comme la clause qui fixe une prestation essentielle caractérisant ce contrat.

Tel n’est pas le cas des clauses critiquées qui ne portent pas sur la prestation essentielle du contrat consistant en la mise à disposition de fonctionnalités permettant à l’utilisateur d’interagir avec ses relations, de créer des groupes d’intérêt commun ou de partager avec d’autres utilisateurs ses contenus.

De sorte que, les stipulations critiquées portant sur des modalités accessoires à l’objet principal, les clauses litigieuses ne relèvent pas de l’exemption figurant au rang des dispositions de l’alinéa 7 de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation et peuvent en conséquence faire l’objet d’une appréciation de leur caractère abusif par le juge.

b) Sur le caractère abusif de la clause :

En l’espèce, à titre liminaire, il sera observé que les versions des 15 novembre 2013, 30 janvier 2015 des clauses n° 5 diffèrent de la version du 9 décembre 2016.

En effet, la clause n° 5 du 9 décembre 2016 prévoit que l’utilisateur peut faire appel de la décision de suppression du contenu, lorsqu’il a publié un contenu constituant  » (…) une infraction aux droits d’auteur d’un tiers », dès lors qu’il en contesterait le bien fondé en raison d’« une erreur ».

Alors que l’ensemble des clauses (toutes versions confondues) ne disent mot au sujet de la reconnaissance de cette même faculté d’appel de la décision de suppression des contenus, dans les autres hypothèses évoquées dans les clauses ; à savoir la violation de la loi, la violation de la DDR (« la présente Déclaration »), des « politiques » (version du 15 novembre 2013), des « règlements » (version du 30 janvier 2015) ou des « Standards de la Communauté » (version du 9 décembre 2016).

De sorte que les clauses sont abusives au sens de l’article R. 132-1 6°) devenu l’article R. 212-1 6°) du code de la consommation, en ce qu’elles ont pour objet ou pour effet de supprimer ou réduire le droit à réparation du préjudice subi par le consommateur en cas de manquement par le professionnel à l’une quelconque de ses obligations.

L’article R. 132-1 4°) devenu l’article R. 212-1 4°) du code de la consommation présume irréfragablement abusive la clause ayant pour objet ou pour effet de conférer au seul professionnel le droit exclusif d’interpréter une quelconque clause du contrat.

En l’espèce, les clauses ne fournissent aux utilisateurs aucun critère précis sur lesquels la société FACEBOOK se fonde pour apprécier la conformité des contenus aux documents contractuels, tels qu’ils sont cités dans la clause, à savoir la DDR, les « politiques », les « règlements » et les « Standards de la Communauté ».

Les clauses confèrent ainsi à la société FACEBOOK le droit exclusif d’interpréter une quelconque clause du contrat. Elles sont donc abusives au sens de l’article R. 132-1 4°) devenu l’article R. 212-1 4°) du code de la consommation.

En conséquence, les clauses n° 5 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016, sont abusives au regard des dispositions de l’article R. 132-1 4°) et 6°) devenu l’article R. 212-1 4°) et 6°) du code de la consommation. Elles seront donc réputées non écrites.

12. Clause n° 6 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016 :

Clause n° 6 de la Déclaration des droits et responsabilités du 15 novembre 2013 :

Mobile et autres appareils

1. Nous proposons actuellement des services mobiles gratuits. Cependant, les tarifs appliqués par votre opérateur, comme pour l’envoi de textos, restent à votre charge.

2. Dans le cas où vous changeriez de numéro de téléphone mobile ou désactiveriez votre compte de téléphonie mobile, vous mettrez votre compte à jour sur Facebook dans les 48 heures, et ce, afin d’assurer que les messages qui vous sont destinés ne soient pas envoyés à la personne à qui votre ancien numéro de téléphone serait affecté.

3. Vous donnez votre accord et tous les droits dont les utilisateurs ont besoin pour synchroniser (y compris via une application) sur leur appareil les informations auxquelles ils ont accès sur Facebook

Clause n° 6 de la Déclaration des droits et responsabilités du 30 janvier 2015 et du 9 décembre 2016 :

Mobile et autres appareils

1. Nous proposons actuellement des services mobiles gratuits. Cependant, les tarifs appliqués par votre opérateur, comme pour l’envoi de textos et de données restent à votre charge.

2. Dans le cas où vous changeriez de numéro de téléphone mobile ou désactiveriez ce dernier, vous mettrez votre compte à jour sur Facebook dans les 48 heures, et ce, afin d’assurer que les messages qui vous sont destinés ne soient pas envoyés à la personne à qui votre ancien numéro de téléphone serait affecté.

3. Vous donnez votre accord et tous les droits dont les internautes ont besoin pour synchroniser (y compris à travers une application) sur leur appareil les informations auxquelles ils ont accès sur Facebook.

Pour l’association UFC-QUE CHOISIR les clauses n° 6 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016 sont imprécises, car l’utilisateur ne peut pas comprendre le sens du terme « synchronisation » puisqu’il n’est pas explicité. Il ne peut pas non plus savoir dans quels cas un autre utilisateur aurait besoin de synchroniser ses données. L’association affirme que ces imprécisions permettraient à Facebook d’imposer la « synchronisation » de données d’un utilisateur par un autre utilisateur sur Facebook et rendre ainsi possible la collecte et le traitement des « contenus » et « données à caractère personnel » des utilisateurs, sans qu’aucune information précise sur la collecte des données et sur les finalités d’une telle collecte ne lui soit délivrée.

L’association affirme que les clauses critiquées sont donc illicites au regard des articles L. 133-2 devenu l’article L. 211-1 du code de la consommation, 6 de la Loi Informatique et Libertés, 6 de la Directive 95/46 CE et abusives au sens de l’article R.132-1 4°) du code de la consommation, devenu l’article R. 212-1 4°) du même code.

Selon la société FACEBOOK, la clause n° 6 de la DDR porte sur l’objet du Service Facebook ; elle ne saurait dès lors faire l’objet d’une quelconque appréciation au regard de son éventuel caractère abusif.

La société soutient que la clause explique les raisons pour lesquelles lorsqu’un utilisateur change de numéro de téléphone ou désactive son compte de téléphonie mobile il doit mettre à jour son numéro de téléphone sur son « compte Facebook », afin d’éviter que des messages téléphoniques non sollicités soit envoyés à une tierce personne, à qui serait affecté l’ancien numéro de téléphone.

Elle précise que l’utilisateur est informé que les modifications de son profil et des données, à caractère personnel ou non, ainsi que ses actions seront répercutées auprès des utilisateurs qui seraient connectés à cet utilisateur en tant qu’ami. Elle affirme que c’est uniquement parce que l’utilisateur a initialement choisi de communiquer ses données et contenus à un autre utilisateur « ami » que celui-ci peut, à son tour, les mettre à jour sur ses appareils.

Elle ajoute que la PUD informe explicitement les utilisateurs que la société FACEBOOK IRELAND recueille leurs données à caractère personnel en cas de synchronisation.

a) Sur la définition de l’objet principal du contrat :

La société FACEBOOK fait valoir que les clauses critiquées ne peuvent donc faire l’objet d’une appréciation par le juge du caractère abusif, car elles portent sur l’objet principal du contrat au sens de l’article L. 132-1 7°) du code de la consommation.

L’article L. 132-1 7°) du code de la consommation prévoit que « l’appréciation du caractère abusif des clauses » ne peut pas porter « sur la définition de l’objet principal du contrat (…), le contrôle du caractère abusif d’une clause formulée dans un contrat liant un professionnel et un consommateur étant exclu si cette clause définit les éléments essentiels de la prestation due par le professionnel.

Au sens de l’article L. 132-1 du code de la consommation, la clause qui porte sur l’« objet principal du contrat », lequel reproduit intégralement dans son alinéa 7 les dispositions de l’article 4, § 2, de la directive n° 93/13/CEE du 5 avril 1993, doit être entendu comme la clause qui fixe une prestation essentielle caractérisant ce contrat.

Tel n’est pas le cas des clauses critiquées qui traitent des modalités de synchronisation du numéro de téléphone, lorsque l’utilisateur change ce numéro.

Etant à nouveau rappelé que l’objet principal du service de réseautage social consiste en la mise à disposition de fonctionnalités permettant à l’utilisateur d’interagir avec ses relations, de créer des groupes d’intérêt commun ou de partager avec d’autres utilisateurs ses contenus.

De sorte que, les stipulations critiquées portant sur des modalités accessoires à l’objet principal, les clauses litigieuses ne relèvent pas de l’exemption figurant au rang des dispositions de l’alinéa 7 de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation et peuvent en conséquence faire l’objet d’une appréciation de leur caractère abusif par le juge.

b) Sur l’imprécision de la clause et la collecte de données à caractère personnel :

En l’espèce, les clauses n° 6 de la DDR envisagent le cas où l’utilisateur ayant associé son numéro de téléphone à son compte, l’a modifié ou désactivé. Elles mettent à la charge de l’utilisateur l’obligation de mettre à jour ces informations sur son compte, de sorte qu’aucun message ne soit adressé au nouveau titulaire de l’ancien numéro de l’utilisateur.

Cette obligation supportée par l’utilisateur, n’est assortie d’aucune sanction ni de prérogative accordée à la société FACEBOOK en cas d’inexécution de cette obligation, de sorte qu’elle ne peut créer de déséquilibre significatif au détriment du consommateur.

Cependant, les clauses critiquées prévoient que placés dans une telle situation de « synchronisation » des numéros de téléphone, les utilisateurs doivent donner leur « accord et tous les droits, dont les « utilisateurs«  (version du 15 novembre 2013), ou plus largement les « internautes » (versions des 30 janvier 2015 et du 9 décembre 2016), ont besoin pour synchroniser (y compris via une application) sur leur appareil les informations auxquelles ils ont accès sur Facebook. »

Ainsi, contrairement à ce que soutient la société FACEBOOK dans ses écritures, l’information relative au numéro de téléphone lié au compte de l’utilisateur n’est pas la seule information collectée à l’occasion de l’opération de « synchronisation », mais un ensemble d’informations non précisées, collectivement dénommées « les informations » par les clauses. De même que ce ne sont pas uniquement les « amis » de l’utilisateur, comme l’affirme la société FACEBOOK dans ses conclusions, qui auront accès à ces « informations auxquelles ils ont accès sur Facebook », mais des personnes indéterminées, qualifiées par les clauses d’ »utilisateurs » ou plus généralement d’« internautes ».

D’où il suit qu’en raison de l’imprécision des termes et expressions employés dans leur rédaction (« accord et tous les droits ; « utilisateurs » ; « internautes », « les informations auxquelles ils ont accès sur Facebook ») et du caractère technique et inexpliqué du terme « synchronisation », les clauses n° 6 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016 sont illicites au regard des dispositions de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation.

Les clauses sont également illicites au regard de l’article 6 de la Loi Informatique et Libertés, en ce qu’elles placent l’utilisateur dans l’impossibilité d’apprécier, à l’occasion de l’opération de synchronisation, la nature, le volume et des données collectées, et ne permettent pas non plus d’identifier les personnes susceptibles d’accéder à son compte et, par suite, à ses données personnelles.

A ce titre elles sont également abusives au sens de l’article R.132-1 4°) du code de la consommation, devenu l’article R. 212-1 4°) du même code.

En conséquence les clauses n° 6 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016, illicites au regard des article L. 133-2 devenu l’article L. 211-1 du code de la consommation et 6 de la Loi Informatique et Libertés, sont abusives au sens de l’article R.132-1 4°) du code de la consommation, devenu l’article R. 212-1 4°) du même code.

13. Clause n° 7 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016 :

Clause 7 de la Déclaration des droits et responsabilités du 15 novembre 2013 :

Paiements

Si vous effectuez un paiement sur Facebook ou utilisez des crédits Facebook, vous acceptez de respecter nos Conditions de paiement.

Clause 7 de la Déclaration des droits et responsabilités du 30 janvier 2015 et du 9 décembre 2016 :

En effectuant un paiement sur Facebook, vous acceptez nos conditions de paiement, sauf lorsqu’il est mentionné que d’autres conditions distinctes s’appliquent.

Pour l’association UFC-QUE CHOISIR les clauses n° 7 de la DDR des 15 novembre 2013, 30 janvier 2015 présument l’adhésion de l’utilisateur du consommateur aux conditions de paiement, dès lors qu’il réalise un paiement sur Facebook, sans qu’il soit certain du fait d’un renvoi aux conditions par un lien hypertexte qu’il a pris effectivement connaissance des conditions contractuelles, sans remise effective desdites conditions sur support durable. Les clauses sont donc illicites au regard des articles L. 111-1 et L. 111-2 du code de la consommation, L. 121-17, devenu les articles L. 221-5, L. 221-6 et L. 221-7, L. 121-19-2 l’article L. 221-13 l’article R. 111-2 devenu articles R. 111-2 et R. 111-3 du code de la consommation et abusives au sens de l’article R. 132-1 1 devenu l’article R. 212-1 1 du code de la consommation.

La société FACEBOOK réplique que la clause n° 7 contient un lien hypertexte renvoyant aux « Conditions de Paiement », qui sont distinctes des conditions d’utilisation du Service Facebook. Elle ajoute qu’en lisant la DDR, l’internaute a immédiatement accès à ces aux « Conditions de Paiement » disponibles en ligne, l’utilisateur est ainsi informé que la réalisation éventuelle d’un paiement indique son acceptation des « Conditions de Paiement » qui lui ont été communiquées avant de faire un paiement en utilisant le Service Facebook. Elle précise que les clauses de renvoi par liens hypertextes sont autorisées par la loi et ont été validées par les tribunaux français.

En l’espèce, les clauses n° 7 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016 renvoient par lien hypertexte à des « Conditions de paiement » dont l’utilisateur est censé avoir implicitement accepté l’intégralité des dispositions en effectuant un paiement sur Facebook.

L’obligation d’information précontractuelle prévue dans les articles L.111-1, L.111-2, et, s’agissant de contrat conclu à distance, dans les articles L.121-17, L.121-19, L.121-19-2 et R.111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, impose au professionnel, avant la conclusion du contrat, de fournir au consommateur de manière lisible et compréhensible les caractéristiques essentielles du service à rendre.

Ainsi, s’agissant d’un contrat conclu à distance, les clauses n° 7 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016 sont illicites au regard des dispositions L. 121-17 devenu l’article L. 221-5 du code de la consommation, L. 121-19-2 devenu l’article L. 221-11 du code de la consommation, car, en renvoyant par lien hypertexte à des « conditions de paiement » ou à « d’autres conditions distinctes (…) », accessibles uniquement sur le site internet de FACEBOOK, lequel ne constitue pas un support durable au sens de l’article 5 de la Directive 97/7/CE du Parlement européen et du Conseil du 20 mai 1997, tel que précisé par la CJUE du 5 juillet 2012 (C-49/11 Content Services cBundesarbeitskammer) produite au débat, elles ne respectent l’obligation mise à la charge du professionnel de fournir au consommateur de manière lisible et compréhensible les informations prévues à l’article L. 121-17 devenu l’article L. 221-5 du code de la consommation. Le renvoi par lien hypertexte ne garantit ni la remise effective desdites « Conditions » ni la permanence de son contenu dans le temps.

Les clauses litigieuses sont également abusives de manière irréfragable au regard de l’article R. 132-1 1°), devenu l’article R. 212 -1 1°) du code de la consommation en ce qu’elles constatent l’adhésion du consommateur à des clauses reprises dans un document, auquel il n’est pas fait expressément référence lors de la conclusion du contrat et dont le consommateur n’a pas eu connaissance avant sa conclusion.

En conséquence, les clauses n° 7 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016, illicites au regard des articles dans les articles L.111-1, L.111-2, et, s’agissant de contrat conclu à distance, dans les articles L.121-17, L.121-19, L.121-19-2 et R.111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, sont abusives au regard de l’article R.132-1 1°) devenu l’article R. 212-1 1°) du code de la consommation. Elles seront donc réputées non-écrites.

14. Clause n° 10 de la DDR du 15 novembre 2013 et clause n° 9 des 30 janvier 2015 et 9 décembre 2016 :

Clause n° 10 de la Déclaration des droits et responsabilités du 15 novembre 2013 :

10- À propos des publicités et d’autres contenus commerciaux diffusés par Facebook

Notre objectif est de proposer des publicités, et d’autres contenus commerciaux ou sponsorisés, de façon avantageuse pour nos utilisateurs et nos annonceurs. Pour nous aider à y parvenir, vous acceptez les conditions suivantes :

1. Vous nous autorisez à utiliser vos nom, photo de profil, contenu et informations dans le cadre d’un contenu commercial, sponsorisé ou associé (par exemple une marque que vous aimez) que nous diffusons ou améliorons. Cela implique, par exemple, que vous autorisez une entreprise ou une autre entité à nous rémunérer pour afficher votre nom et/ou la photo de votre profil avec votre contenu ou vos informations sans vous verser de dédommagement. Si vous avez sélectionné un public spécifique pour votre contenu ou vos informations, nous respecterons votre choix lors de leur utilisation.

2. Nous ne donnons pas votre contenu ou vos informations aux annonceurs sans votre accord.

3. Vous comprenez que nous ne pouvons pas toujours identifier les communications et services payés en tant que tels.

Clause n° 9 de la Déclaration des droits et responsabilités du 30 janvier 2015 et du 9 décembre 2016 :

9- À propos des publicités et des autres contenus commerciaux diffusés ou améliorés par Facebook

Notre objectif est de proposer des publicités, et d’autres contenus commerciaux ou sponsorisés, de façon avantageuse pour les internautes

et les annonceurs. Pour nous aider à y parvenir, vous acceptez les conditions suivantes :

1. Vous nous autorisez à utiliser votre nom, votre photo de profil, vos contenus et vos informations dans le cadre d’un contenu commercial, sponsorisé ou associé (par exemple une marque que vous aimez) que nous diffusons ou améliorons. Cela implique, par exemple, que vous autorisez une entreprise ou une autre entité à nous rémunérer pour afficher votre nom et/ou la photo de votre profil avec votre contenu ou vos informations sans vous verser de dédommagement. Si vous avez sélectionné une audience particulière pour votre contenu ou vos informations, nous respecterons votre choix lors de leur utilisation.

2. Nous ne transmettons pas votre contenu ni vos informations aux annonceurs sans votre accord.

3. Vous comprenez que nous ne pouvons pas toujours identifier les communications et services payés en tant que tels.

L’association UFC-QUE CHOISIR reproche à ces clauses d’autoriser de facto la société FACEBOOK à utiliser le nom, la photo de profil de l’utilisateur, ses contenus et informations dans le cadre d’un contenu commercial et à percevoir une rémunération pour chaque affichage réalisé par une entreprise tierce, sans dédommagement de l’utilisateur. Elle critique également la société FACEBOOK qui affirme, selon elle faussement, qu’elle ne communique aux tiers que des données agrégées ou anonymisées, alors que l’agrégation de données à caractère personnel laisse identifiables ces données et que le processus d’agrégation et d’anonymisation que la société FACEBOOK affirme mettre en œuvre n’est pas précisé et n’offre donc aucune garantie.
Les clauses litigieuses seraient donc illicites au regard des articles L.133-2, devenu l’article L. 211-1 du code de la consommation, 6, 32-I et III loi Informatique et Libertés, 6, 10 et 11 de la Directive 95/46 CE et abusives au sens de l’article L.132-1, devenu les articles L. 212-1, L. 212-3 et L. 241-1 du code de la consommation.

La société FACEBOOK fait valoir que les clauses critiquées ne peuvent donc faire l’objet d’une appréciation par le juge du caractère abusif, car elles portent sur l’objet principal du contrat au sens de l’article L. 132-1 7°) du code de la consommation.

Elle indique qu’elle diffuse des publicités auprès des utilisateurs, et que les revenus générés par cette diffusion sont versés par les annonceurs et non par les utilisateurs. Elle ajoute que c’est l’utilisateur qui détermine, grâce aux paramètres de confidentialité mis à sa disposition, le public auprès duquel ses contenus publiés et ses actions sont diffusés.
Elle soutient qu’en publiant des informations et contenus qu’il souhaite partager avec ses « amis », l’utilisateur autorise nécessairement la société FACEBOOK à exploiter ces informations et contenus, notamment dans le cadre de la licence d’utilisation définie à la clause n° 2.1 de la DDR.

Elle affirme que dans le cadre des publicités ciblées, la société informe l’utilisateur des catégories de destinataires et des finalités du traitement de ses données à caractère personnel (clauses n° 9.1 et n° 9.2 de la DDR et dans la PUD).
Elle maintient que FACEBOOK ne vend pas aux annonceurs les données à caractère personnel des utilisateurs ; elle ne communique que des données agrégées et anonymes ou des données qui n’identifient pas personnellement les utilisateurs.

a) Sur la définition de l’objet principal du contrat :

L’article L. 132-1 7°) du code de la consommation prévoit que « l’appréciation du caractère abusif des clauses » ne peut pas porter « sur la définition de l’objet principal du contrat (…), le contrôle du caractère abusif d’une clause formulée dans un contrat liant un professionnel et un consommateur étant exclu si cette clause définit les éléments essentiels de la prestation due par le professionnel.

Au sens de l’article L. 132-1 du code de la consommation, la clause qui porte sur l’« objet principal du contrat », lequel reproduit intégralement dans son alinéa 7 les dispositions de l’article 4, § 2, de la directive n° 93/13/CEE du 5 avril 1993, doit être entendu comme la clause qui fixe une prestation essentielle caractérisant ce contrat.

Tel n’est pas le cas des clauses critiquées qui traitent « des publicités et des autres contenus commerciaux diffusés ou améliorés par Facebook ». Etant à nouveau rappelé que l’objet principal du service de réseautage social consiste en la mise à disposition de fonctionnalités permettant à l’utilisateur d’interagir avec ses relations, de créer des groupes d’intérêt commun ou de partager avec d’autres utilisateurs ses contenus.

Au surplus, la société FACEBOOK ne peut, sans se contredire, affirmer dans ses conclusions et au sein des documents contractuels soumis au débat, d’une part que son activité consiste en la fourniture d’une service de réseautage social et d’autre part revendiquer au titre de « l’objet principal du contrat », la concession d’une licence d’exploitation des contenus et informations déposés par l’utilisateur lors de son inscription et lors de sa navigation ultérieure sur le réseau, à son profit et au bénéfice de sociétés tierces, aux termes de laquelle :  » (…) vous autorisez une entreprise ou une autre entité à nous rémunérer pour afficher votre nom et/ou la photo de votre profil avec votre contenu ou vos informations sans vous verser de dédommagement ».

De sorte que, les stipulations critiquées ne portant pas sur l’objet principal du contrat, les clauses litigieuses ne relèvent pas de l’exemption figurant au rang des dispositions de l’alinéa 7 de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation et peuvent en conséquence faire l’objet d’une appréciation de leur caractère abusif par le juge.

b) Sur le caractère illicite de la clause au regard de la Loi Informatique et Libertés :

Au sens de l’article 2 de la Loi Informatique et Libertés, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Ainsi le nom, la photo de profil, les contenus et informations que l’utilisateur dépose, consciemment ou non, lors de son inscription sur la plate-forme du réseau social et lors de sa navigation ultérieure, constituent des données à caractère personnel au sens de l’article 2 de la Loi Informatique et Libertés.

Aux termes de l’article 6 de la Loi Informatique et Libertés, un traitement ne peut porter sur des données à caractère personnel que si ces données sont collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et qu’elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités initiales, qu’elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

Aux termes de l’article 32-I 2°) et 5°) de la Loi Informatique et Libertés, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable par le responsable de traitement ou son représentant, de la finalité du traitement et des destinataires ou catégories de destinataires des données.

Tel n’est pas le cas des clauses critiquées, qui requièrent l’ »adhésion » de l’utilisateur à l’objectif de la société FACEBOOK de « proposer des publicités, et d’autres contenus commerciaux ou sponsorisés, de façon avantageuse pour nos utilisateurs (sic) et nos annonceurs (…) », en le contraignant – l’utilisateur ne dispose en effet d’aucune alternative a priori et a posteriori pour s’y opposer (« vous acceptez les conditions suivantes ») – à « autoriser » la société FACEBOOK à « utiliser (son) nom, (sa) photo de profil, (ses) contenus et (ses) informations dans le cadre d’un contenu commercial, sponsorisé ou associé (…) », sans l’informer de manière suffisamment claire et précise de l’existence d’une collecte de ses données personnelles, de la nature de ces données collectées, sans recueillir son consentement préalable et sans l’informer des finalités et des destinataires du traitement des données à caractère personnel collectées (« une entreprise ou une autre entité » ; « nous ne pouvons pas toujours identifier toujours identifier les communications et services payés en tant que tels. »)

D’où il suit qu’en s’abstenant d’informer l’utilisateur de la collecte de ses données personnelles, des finalités déterminées, explicites et légitimes du traitement pour lequel elles ont été collectées et des destinataires ou des catégories de destinataires des données – la clause permettant à des tiers, annonceurs ou partenaires, de publier des publicités à partir des données à caractère personnel que la société FACEBOOK collecte auprès de l’utilisateur – en ne recueillant pas son consentement préalable, la collecte de données ainsi réalisée ne répond pas aux exigences des articles 6 et 32-I de la Loi Informatique et Libertés. Elles sont donc illicites au regard des articles précités.

c) Sur le caractère abusif de la clause :

En prévoyant que la société FACEBOK utilise et exploite commercialement (« dans le cadre d’un contenu commercial ») des données personnelles de l’utilisateur sans l’informer clairement, sans recueillir son consentement préalable, sans qu’il puisse s’y opposer et sans contrepartie (« cela implique que vous autorisez une entreprise ou une entité à nous (la société FACEBOOK) rémunérer (…) sans verser (à l’utilisateur) de dédommagement »), les clauses sont abusives, en ce qu’elles créent un déséquilibre significatif entre les droits et obligations des parties au détriment de l’utilisateur, au sens de l’article L. 132-1 devenu l’article L. 221-1 du code de la consommation.

En organisant de manière pérenne l’autorisation donnée par l’utilisateur à la société FACEBOOK de communiquer aux tiers des données à caractère personnel à des fins publicitaires (« à utiliser votre nom, votre photo de profil, vos contenus et vos informations dans le cadre d’un contenu commercial (…) »), tout en affirmant dans le même paragraphe que la société respectera, lors de leur « utilisation », le public spécifique sélectionné par l’utilisateur pour les contenus ou les informations, alors que la diffusion des données s’opère vers des publicitaires (clauses n° 10.1 et n° 9.1) et en assurant que la société ne transmet « les contenus ni (les) informations (de l’utilisateur) aux annonceurs » « qu’avec son accord » (clauses n° 10.2 et n° 9.2), les clauses sont ambiguës, en ce qu’elles contiennent plusieurs affirmations contradictoires.

Les clauses précitées sont donc irréfragablement abusives au sens de l’article R. 132-1 4°) devenu l’article R. 212-1 4°) du code de la consommation, en ce qu’elles ont pour objet ou pour effet de conférer au professionnel un droit exclusif d’interpréter une clause ambiguë dans le sens qui lui serait le plus favorable.

En conséquence, les clauses n° 10 de la Déclaration des droits et responsabilités du 15 novembre 2013 et clause n° 9 des 30 janvier 2015 et 9 décembre 2016, illicites au regard des articles 2, 6, et 32-I de la Loi Informatique et Libertés, sont abusives au sens des articles L. 132-1 devenu l’article L. 221-1 et R. 132-1 4°) devenu l’article R. 212-1 4°) du code de la consommation. Elles seront réputées non- écrites.

15. Clause n° 13 de la DDR du 15 novembre 2013 et clause n°12 des 30 janvier 2015 et 9 décembre 2016 :

Clause n° 13 de la Déclaration des droits et responsabilités du 15 novembre 2013 :

Conditions spéciales applicables aux logiciels :

Si vous téléchargez ou utilisez notre logiciel, en tant que produit logiciel indépendant, application ou module de navigation, vous acceptez que ponctuellement, le logiciel télécharge et installe des mises à jour, des mises à niveau et des fonctionnalités supplémentaires destinées à améliorer et à enrichir le logiciel.

Vous ne modifierez pas, ne créerez pas de travaux dérivés, ne décompilerez pas et ne tenterez pas autrement d’extraire notre code source si vous n’y êtes pas expressément autorisé(e) dans le cadre d’une licence open source ou si vous n’avez pas reçu notre permission par écrit.

Clause n°12 de la Déclaration des droits et responsabilités du 30 janvier 2015 et du 9 décembre 2016 :

Clauses spéciales applicables aux logiciels :

Si vous téléchargez ou utilisez notre logiciel, en tant que produit logiciel indépendant, application ou module de navigation, vous acceptez que ponctuellement, le logiciel télécharge et installe des mises à jour, des mises à niveau et des fonctionnalités supplémentaires destinées à améliorer et à enrichir le logiciel.

Vous ne modifierez pas, ne créerez pas de travaux dérivés, ne décompilerez pas et ne tenterez pas autrement d’extraire notre code source si vous n’y êtes pas expressément autorisé(e) dans le cadre d’une licence open source ou si vous n’avez pas reçu d’autorisation écrite de notre part.

Selon l’association UFC-QUE CHOISIR, la société Facebook, par le biais de ces clauses, s’autorise à stocker des informations et à modifier le logiciel enregistré sur le terminal de l’utilisateur.
L’association affirme que les mises à jour automatiques de logiciels peuvent contrevenir au bon fonctionnement des appareils des
utilisateurs.
Selon elle, ces clauses posent une présomption de consentement de l’utilisateur à l’installation de nouvelles mises à jour sur l’appareil dont il est pourtant propriétaire, alors qu’ils devraient pouvoir décider librement de l’installation d’une mise à jour. Elles seraient donc illicites au regard de l’article 544 du code civil.

En réponse à ses allégations, la société FACEBOOK fait valoir que l’application mobile Facebook doit être mise à jour régulièrement car des améliorations et modifications sont constamment apportées au logiciel permettant au Service Facebook de continuer à fonctionner. Aux dires de la société, ces mises à jour d’applications mobiles sont effectuées à l’initiative de l’utilisateur, qui a seul la maîtrise des paramètres de gestion de ses appareils et des applications telles que Facebook, via le magasin d’applications ou les réglages de son téléphone mobile.

Elle ajoute que l’utilisateur a accepté « expressément la DDR et (…) donné son consentement aux éventuelles mises à jour nécessaires pour que le Service Facebook puisse continuer de fonctionner ». La clause n’est donc pas illicite.

a) Sur l’atteinte au droit de propriété sur le fondement de l’article 544 du code civil :

En l’espèce, l’UFC QUE-CHOISIR ne démontre pas en quoi la clause porterait atteinte sur le fondement de l’article 544 du code civil au droit de propriété qu’exercerait l’utilisateur sur son appareil.

L’association sera donc déboutée de sa demande sur ce fondement.

b) Sur la présomption de consentement de l’utilisateur aux mises à jour du logiciel :

Les clauses critiquées affirment qu’en téléchargeant ou utilisant le logiciel de la société FACEBOOK l’utilisateur accepte « que ponctuellement, le logiciel télécharge et installe des mises à jour, des mises à niveau et des fonctionnalités supplémentaires destinées à améliorer et à enrichir le logiciel ».

La société FACEBOOK affirme dans un argumentaire développé en pages 293 et 294 de ses écritures, que l’acceptation de l’utilisateur des « mises à jour » résulteraient d’une part de l’utilisateur lui-même, car elles seraient effectuées « sur l’initiative de l’utilisateur », qui aurait « seul la maîtrise des paramètres de gestion de ses appareils et des applications (…) » et d’autre part de « son consentement aux éventuelles mises à jour nécessaires pour que le Service Facebook puisse continuer de fonctionner », du fait de son acceptation de l’intégralité des dispositions de la DDR au moment de son inscription sur le site.

Or, la première affirmation entre en contradiction avec les clauses critiquées qui restent muettes sur le caractère « obligatoire » de l’initiative de l’utilisateur à l’origine de toute mise à jour, d’où, selon la société, pourrait être déduit le consentement exprès de l’utilisateur.

Il en est de même de la seconde affirmation, reprise de l’argumentaire déjà développé par la société FACEBOOK à l’occasion de l’examen des clauses n° 0.2 (déclarées illicites par le Tribunal (cf. supra)), selon lequel est présumé le consentement de l’utilisateur à l’intégralité des dispositions contractuelles des Conditions générales d’utilisation du réseau social, du fait de son inscription puis de sa navigation ultérieure sur le site.

De sorte, qu’en laissant croire à l’utilisateur qu’il n’a pas d’autre choix que d’accepter l’installation de « mises à jour » de natures diverses du logiciel et qu’il ne peut s’y opposer, en présupposant son consentement, en ne l’informant pas qu’il peut s’opposer à ces mises à jour, les clauses sont illicites au regard des articles L. 111-2 du code de la consommation devenus les articles L.111-1 et L.111-2 et de l’article R. 111-2 I et III, devenu l’article R. 111-2 7°) du code de la consommation.

Elles seront donc réputées non écrites.

16. Clause n° 14 de la DDR du 15 novembre 2013 et clause n° 13 des 30 janvier 2015 et 9 décembre 2016 :

Clause n° 14 de la Déclaration des droits et des responsabilités du 15 novembre 2013 :

Amendements

Sauf changement pour raisons légales ou administratives ou pour corriger une affirmation erronée, nous vous donnons la possibilité de faire des commentaires sur les modifications apportées à la présente Déclaration dans un délai de sept (7) jours (par exemple en publiant l’objet de la modification sur la Page Facebook Site Governance). Si vous souhaitez être averti(e) des éventuelles modifications apportées à la présente Déclaration, vous avez également la possibilité de vous rendre sur la Facebook Site Governance Page et de cliquer sur le bouton J’aime.

Si nous apportons des modifications aux règles mentionnées ou incorporées à la présente Déclaration, nous pouvons vous en informer sur la Page Facebook Site Governance.

Votre utilisation de Facebook après la modification de nos conditions générales indique que vous acceptez nos nouvelles conditions.

Clause n°13 de la Déclaration des droits et responsabilités du 30 janvier 2015 :

Amendements

Nous vous aviserons de toute modification importante des présentes conditions, et vous donnerons la possibilité de consulter et de commenter la version révisée avant de continuer à utiliser nos Services.

Si nous apportons des modifications aux règles, instructions ou autres conditions mentionnées ou incorporées à la présente Déclaration, nous pouvons vous en informer sur la Page Facebook Site Governance.

Votre utilisation des Services Facebook après l’avis de modification de nos conditions générales, règles ou instructions implique que vous acceptez nos nouvelles conditions, règles ou instructions

Clause n°13 de la Déclaration des droits et responsabilités du 9 décembre 2016

Amendements

Nous vous aviserons de toute modification de la présente Déclaration, et vous donnerons la possibilité de consulter et de commenter la version révisée avant de continuer à utiliser nos Services.

Les modifications de la présente Déclaration entreront en vigueur trente (30) jours suivant la notification des modifications envisagées. Votre utilisation des Services Facebook après expiration du délai de notification des modifications envisagées implique que vous acceptez nos nouvelles conditions, règles ou instructions, en ce compris la présente Déclaration.

L’association UFC-QUE CHOISIR reproche aux clauses de renvoyer le consommateur non-utilisateur du service Facebook à des pages rédigées en langue anglaise.

Elle fait valoir que la clause réserve à la société FACEBOOK le droit de modifier unilatéralement les conditions contractuelles et renvoie par lien hypertexte auxdites modifications, sans procéder à une notification systématique préalable, l’utilisateur devant vérifier régulièrement les conditions contractuelles en ligne. Elle ajoute que la clause présume l’adhésion de manière implicite de l’utilisateur à ses conditions contractuelles par la seule utilisation des services Facebook.
A ces titres, ces clauses seraient illicites au regard de l’article 2 loi du 4 août 1994,des articles L. 111-2 et L. 121-19, L. 111-1, L. 111-2 devenus les articles L. 111-2 et L. 111-3, L. 121-17 devenu les articles L. 221-5, L. 221-6 et L. 221-7, L. 121-19-2, devenu l’article L. 221-13, L. 133-2 devenu l’article L. 211-1, R. 111, devenu les articles R. 111-2 et R. 111-3, L. 121-84 devenu les articles L. 224-29 et L. 224-33 du code de la consommation et abusives au sens des articles R. 132-1 1°) et 3°) devenus les articles R. 212-1 1°) et 3°), R.132-2 6°) devenu l’article R. 212-2 6°) du code de la consommation.

Pour la société FACEBOOK, les demandes de l’UFC concernant la clause n° 13 sont sans objet puisqu’elle a fait l’objet de modifications validées par la DGCCRF et intégrées dans la DRR mise à jour le 9 décembre 2016.

Elle précise que la « Page Facebook Site Governance » est accessible en français aux utilisateurs, à tout moment et que les personnes non inscrites au Service Facebook ne sont pas concernées par les éventuelles modifications des conditions d’utilisation.

Elle ajoute que l’utilisateur, pleinement informé de toutes les modifications de la DDR, y consent en acceptant la DRR lors de son inscription et en continuant d’utiliser le Service Facebook, après expiration d’un délai de 30 jours suivant la notification des modifications.

a) Sur l’« absence d’objet » de la demande de l’association :

La société FACEBOOK fait valoir que la demande de l’UFC QUE- CHOISIR est sans objet depuis la mise en conformité de la clause à la suite de la procédure diligentée par la DGCCRF : la clause 13.2 ancienne a été supprimée, la nouvelle clause n° 13 ne renvoie plus à la « Page Facebook Site Governance » critiquée. Les informations publiées sur la « Page Facebook Site Governance » sont disponibles en français ainsi qu’en anglais, les mêmes informations sont traduites dans les deux langues.

Le Tribunal ayant répondu à cette argumentation dans le cadre de l’examen de la clause n° 0.1 de le DDR des 15 novembre 2013 et 30 janvier 2015, il n’y a pas lieu d’examiner de nouveau cette exception.

b) Sur le renvoi à des pages rédigées en langue anglaise :

En l’espèce, sous l’intitulé « amendements », dont l’utilisateur comprendra après lecture intégrale de la clause, qu’elle concerne les « modifications » (« amendments »), la clause n° 14 de la DDR du 15 novembre 2013 et la clause n° 13 du 30 janvier 2015 renvoient par lien hypertexte à une « Page Facebook Site Governance », dont l’association UFC QUE- CHOISIR justifie (Pièce UFC n° 5.2 quater), qu’elle était rédigée en anglais durant la période de validité (du 15 juillet 2010 au 30 janvier 2015) des clauses n° 14 du 15 novembre 2013 et n° 13 du 30 janvier 2015 précitées.

Aux termes de l’article 2 de la loi du 4 août 1994,  » dans la désignation, l’offre, la présentation, le mode d’emploi ou d’utilisation, la description de l’étendue et des conditions de garanties d’un bien, d’un produit ou d’un service, ainsi que dans les factures et quittances, l’emploi de la langue française est obligatoire ».

L’article L. 133-2 du code de la consommation prévoit que le professionnel est tenu dans les contrats qu’ils proposent aux consommateurs de présenter et de rédiger des clauses de façon claire et compréhensible.

Tel n’est pas le cas des clauses n° 14 de la DDR du 15 novembre 2013 et n° 13 du 30 janvier 2015, qui renvoient par lien hypertexte à une page internet rédigée en anglais « Page Facebook Site Governance », laquelle n’est pas compréhensible pour l’utilisateur français, empêché de ce fait à accéder effectivement au contenu du contrat.

Ces clauses sont donc illicites au regard de l’article 2 de la loi du 4 août 1994 et de l’article L. 133-2 du code de la consommation.

Au vu de ce qui précède, ces clauses sont abusives au sens de l’article R.132-1 6°) du code de la consommation, devenu l’article R. 212-1, 6°) car elles créent un déséquilibre significatif entre les droits et obligations des parties au contrat, au détriment du consommateur.

Elles sont également abusives de manière irréfragable au regard de l’article R. 132-1 1°), devenu l’article R. 212 -1 1°) du code de la consommation, car elles constatent l’adhésion du consommateur à des clauses reprises dans un document, auquel il n’est pas fait expressément référence lors de la conclusion du contrat et dont le consommateur n’a pas eu connaissance avant sa conclusion (cf. supra clause n° 0.2 de la DDR). Elles seront donc réputées non écrites.

c) Sur la faculté unilatérale de modification des conditions contractuelles :

La lecture des clauses critiquées révèle que la clause n° 13 du 15 novembre 2013 donne la possibilité pour l’utilisateur de commenter les modifications de la DDR, la clause n° 14 du 30 janvier 2015 avise l’utilisateur de modification que la société FACEBOOK juge « importante », la clause n°13 du 9 décembre 2016 offre à l’utilisateur la possibilité de consulter et de commenter la modification, avant de continuer à utiliser les Services.

De sorte qu’en s’abstenant d’informer préalablement l’utilisateur des modifications apportées aux conditions d’utilisation du service, auxquelles l’utilisateur doit se soumettre, les clauses précitées, en conférant à la société FACEBOOK le droit de modifier unilatéralement les dispositions, conditions, règles ou instructions « en ce compris la (…) Déclaration », sont abusives au sens de l’article R. 132-2 6°) devenu l’article R. 212-2 6°) du code de la consommation, en ce qu’elles réserve au professionnel le droit de modifier unilatéralement les clauses du contrat relatives aux droits et obligations des parties, autres que celles prévues au 3°) de l’article R. 212-1 du code de la consommation.

Ces clauses sont également présumées abusives de manière irréfragable au sens des dispositions de l’article R. 132-1 3°) devenu l’article R. 212-1 3°) du code de la consommation, car elles ont pour objet ou pour effet de réserver au professionnel le droit de modifier unilatéralement les clauses du contrat relatives aux caractéristiques du service à rendre.

d) Sur le manquement aux obligations contractuelles d’information :

(1) Sur l’absence d’information relative à la modification des conditions contractuelles :

L’obligation d’information précontractuelle prévue dans les articles L.111-1, L.111-2, et, s’agissant de contrat conclu à distance, dans les articles L.121-17, L.121-19, L.121-19-2 et R.111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, impose au professionnel, avant la conclusion du contrat, de fournir au consommateur de manière lisible et compréhensible les caractéristiques essentielles du service à rendre.

En l’espèce, seule la clause n° 13 de la DDR du 9 décembre 2016 prévoit d’aviser l’utilisateur de « toute modification » de la DDR.

La clause n° 14 du 15 novembre 2013 conditionne la délivrance d’information sur les modifications apportées aux conditions d’utilisation de la plate-forme (DDR) à l’utilisateur à la réalisation d’évènements tels qu’un « changement pour raisons légales ou administratives » ou pour « corriger une affirmation erronée ». De sorte qu’en dehors des circonstances « exceptionnelles » citées par la clause, aucune information à destination de l’utilisateur n’est envisagée.

La clause n° 13 de la DDR du 30 janvier 2015 prévoie que l’utilisateur est informé des modifications « importantes », l’opportunité d’informer en raison de l’importance desdites modifications résultant du seul arbitre de la société FACEBOOK.

Ainsi aux termes des clauses précitées, il ressort que l’utilisateur n’est pas systématiquement informé des modifications apportées par le fournisseur du service.

Par ailleurs, les deux clauses prévoient que l’utilisateur peut s’informer lui-même en consultant une page rédigée en anglais.

De sorte qu’en s’abstenant d’informer l’utilisateur des modifications contractuelles, les clauses n° 14 du 15 novembre 2013 et n° 13 de la DDR du 30 janvier 2015, sont illicites au regard des articles L. 111-1 et L. 111-2, de l’article R. 111-2 I et III, devenu l’article R. 111-2 7°) du code de la consommation, des articles L. 121-17, L. 121-19-2 et R. 111-2 devenus les articles L. 221-5, L. 221-6, L. 221-7 du code de la consommation et abusive au sens de l’article de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation.

(2) Sur la nécessité pour l’utilisateur de s’informer lui-même :

Les clauses n° 14 du 15 novembre 2013 et n° 13 de la DDR du 30 janvier 2015, précédemment citées, suggèrent, dans l’hypothèse où l’utilisateur souhaite être averti des éventuelles modifications apportées à la DDR, qu’il se rende spontanément « sur la Page Facebook Site Governance » (rédigée en anglais, cf. supra) et de cliquer sur le bouton J’aime ».

De sorte qu’en renversant la charge de l’obligation d’information, les clauses précitées sont abusives au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation en ce qu’elles ont pour objet ou pour effet de reporter sur l’utilisateur l’exécution de l’obligation légale d’information qui pèse sur le professionnel, créant de ce fait un déséquilibre significatif entre les droits et obligations des parties au contrat au détriment de l’utilisateur ou consommateur.

Ces clauses sont également abusives de manière irréfragable au regard de l’article R. 132-1 1°), devenu l’article R. 212-1 1°) du code de la consommation, car elles constatent l’adhésion du consommateur à des clauses reprises dans un document, auquel il n’est pas fait expressément référence lors de la conclusion du contrat et dont le consommateur n’a pas eu connaissance avant sa conclusion.

e) Sur le consentement implicite des utilisateurs aux modifications contractuelles :

Aux termes de l’article R. 132-1 3°) devenu l’article R. 212-1 3°) du code de la consommation précités, sont abusives de manière irréfragable, les clauses ayant pour objet ou pour effet de modifier unilatéralement les clauses du contrat relatives à sa durée et aux caractéristiques du service à rendre.

En l’espèce, les clauses n° 14 de la DDR du 15 novembre 2013 et 13 de la DDR du 30 janvier 2015 renvoient par lien hypertexte à une Page Facebook Site Governance, rédigée en anglais, dont l’utilisateur est censé avoir implicitement accepté l’intégralité des dispositions, du fait de son inscription et de son utilisation ultérieure du site Facebook.

Les deux clauses précitées prévoient que l’« utilisation de Facebook après la modification de nos conditions générales indique » que l’utilisateur accepte les nouvelles conditions de Facebook.

La clause n° 13 de la DDR du 9 décembre 2016 indique pour sa part que l’utilisation par l’utilisateur « des Services Facebook après expiration du délai de notification des modifications envisagées «  implique qu’il accepte les nouvelles conditions de Facebook ainsi que d’une manière générale ses nouvelles « règles ou instructions, en ce compris la présente Déclaration. »

De sorte qu’en présumant acquis le consentement de l’utilisateur à ces nouvelles dispositions du seul fait de son utilisation des Services, les clauses n° 14 de la DDR du 15 novembre 2013, n° 13 de la DDR du 30 janvier 2015 et n° 13 de la DDR du 9 décembre 2016 ont pour effet de permettre la modification unilatérale des conditions générales régissant l’utilisation du service par le professionnel fournisseur du service. Elles sont donc irréfragablement abusives au sens de l’article R. 132-1 3°) devenu l’article R. 212-1 3°) du code de la consommation.

En conséquence, les clauses n° 14 de la DDR du 15 novembre 2013 et 13 de la DDR du 30 janvier 2015, illicites au regard des articles 2 de la loi du 4 août 1994 et de l’article L. 133-2 du code de la consommation, des articles L. 111-1, L. 111-2, L. 121-17, L. 121-19, L. 121-19-2 et R.111-2 du code de la consommation, devenus les articles L. 111-1 et L.111-2, L. 221-11 et R.111-2 du code de la consommation, sont abusives au sens de l’article R. 132-1 6°) du code de la consommation, devenu l’article R. 212-1, 6°), de l’article R. 132-1 1°), devenu l’article R. 212-1 1°) du code de la consommation, de l’article R. 132-1 3°) devenu l’article R. 212-1 3°) du code de la consommation. La clause n° 13 de la DDR du 9 décembre 2016 est également irréfragablement abusive au sens de l’article R. 132-1 3°) devenu l’article R. 212-1 3°) du code de la consommation. Elles seront donc réputées non écrites.

17. Clause n° 15 de la DDR du 15 novembre 2013 et n° 14 des 30 janvier 2015 et 9 décembre 2016 :

Clause n° 15 de la Déclaration des droits et responsabilités du 15 novembre 2013 :

Résiliation :

Si vous enfreignez la lettre ou l’esprit de cette Déclaration, ou créez autrement un risque de poursuites à notre encontre, nous pouvons arrêter de vous fournir tout ou partie de Facebook. Nous vous avertirons par courrier électronique ou lors de votre prochaine connexion à votre compte. Vous pouvez également supprimer votre compte ou désactiver votre application à tout moment. Le cas échéant, cette Déclaration deviendra caduque, mais les conditions suivantes resteront en vigueur : 2.2,2.4, 3-5, 8.2, 9.1-9.3, 9.9, 9.10, 9.13, 9.15, 9.18, 10.3, 11.2, 11.5, 11.6, 11.9, 11.12, 11.13 et 15-19.

Clause n°14 de la Déclaration des droits et responsabilités du 30 janvier 2015 et du 9 décembre 2016 :

Résiliation :

Si vous enfreignez la lettre ou l’esprit de cette Déclaration, ou créez autrement un risque de poursuites à notre encontre, nous pouvons arrêter de vous fournir tout ou partie de Facebook. Nous vous en avertirons par courrier électronique ou lors de votre prochaine connexion à votre compte. Vous pouvez également supprimer votre compte ou désactiver votre application à tout moment. Le cas échéant, cette Déclaration deviendra caduque, mais les conditions suivantes resteront en vigueur : 2.2, 2.4, 3 à 5, 9.3, et 14 à 18.

L’association UFC QUE-CHOISIR reproche aux clauses n° 15 de la DDR du 15 novembre 2013 et n° 14 du 30 janvier 2015 et 9 décembre
2016 d’instituer une présomption de responsabilité de l’utilisateur, lorsqu’une activité prétendument contraire à la DDR est exercée sur son compte. Elle reproche également aux clauses leur imprécision quant à l’objet des limitations ou des cessations de fourniture de services, leurs motifs précis, leur durée, les conditions éventuel de rétablissement. Elle fait valoir que ces clauses laissent toute latitude à Facebook pour suspendre, voire supprimer de manière définitive ses services, de manière discrétionnaire. Elle critique le droit exclusif conféré par les clauses à la société FACEBOOK d’interpréter les atteintes au contrat qu’elle entend imputer à ses utilisateurs.
Selon l’association ces clauses seraient illicites au regard des articles L. 111-1, L. 111-2, L.121-19 et L.121-20 3°), devenus les articles L. 111-2, L. 111-3 des articles L.121-17, devenus les articles L. 221-5, L. 221-6 et L. 221-7 du code de la consommation, de l’article L.121-19-2, devenu l’article L. 221-13, de l’article L. 121-19-4, devenu l’article L. 221-15, de l’article R. 111-2, devenu les articles R. 111-2 et R. 111-3 du code de la consommation, de l’article L.121-84 du code de la consommation, devenu les articles L. 224-29 et L. 224-33 du code de la consommation. Ces clauses seraient également abusives au sens de l’article R.132-1 1° et 4° devenu les articles R. 212-1 1°et 4° du code de la consommation.

La société FACEBOOK répond que la clause n° 14 ne concerne pas la responsabilité de chacune des parties mais leur droit à résilier le contrat. Elle précise que cette clause autorise la société FACEBOOK à mettre fin à l’utilisation du Service Facebook par cet utilisateur, de manière temporaire ou définitive, pour tout ou partie du Service en cas de manquement contractuel de l’utilisateur ou en cas de risque de poursuite du fait de l’utilisateur.

Selon la société FACEBOOK, il ne s’agit pas d’un droit discrétionnaire, car la décision de suspension ou de cessation doit être motivée. Elle ajoute que les utilisateurs ont la possibilité de s’adresser directement à la société FACEBOOK ou de saisir les tribunaux pour contester cette décision et démontrer qu’ils respectent la DDR.

En l’espèce la clause n° 15 du 15 novembre 2013 et la clause n° 14 du 30 janvier 2015 et 9 décembre 2016 envisagent l’« arrêt » de la fourniture de « tout ou partie » des services de Facebook, au titre de sanctions prises à l’encontre de l’utilisateur, auteur d’une « infraction » à la « lettre ou l’esprit » de la DDR ou créateur d’« un risque de poursuites à (son) encontre « . Elles évoquent également la « désactivation » par l’utilisateur de son compte. L’« arrêt » de la fourniture des services de Facebook ou la « désactivation » du compte de l’utilisateur étant effectuée, les mêmes clauses prévoient le « cas échéant » une « caducité » de la Déclaration, qui n’affecterait toutefois pas un certain nombre de clauses qui resteraient en vigueur : les clauses n° 2.2, 2.4, 3-5, 8.2, 9.1-9.3, 9.9, 9.10, 9.13, 9.15, 9.18, 10.3, 11.2, 11.5, 11.6, 11.9, 11.12, 11.13 et 15-19 (clause n° 15 du 15 novembre 2013) et les clauses n° 2.2, 2.4, 3 à 5, 9.3, et 14 à 18 (clauses n°14 des 30 janvier 2015 et 9 décembre 2016).

a) Sur la présomption de responsabilité de l’utilisateur

L’article L. 121-19-4 devenu l’article L. 221-15 du code de la consommation institue à la charge du professionnel une responsabilité plein droit à l’égard du consommateur quant à la bonne exécution des obligations résultant du contrat conclu à distance, que ces obligations soient exécutées par le professionnel qui a conclu ce contrat ou par d’autres prestataires de services, sans préjudice de son droit de recours contre ceux-ci.

Il résulte de la clause critiquée qu’elle impute à l’utilisateur toute « infraction », qui pourrait être commise à la lettre ou l’esprit de la Déclaration ou la « création « autrement« d’un risque de poursuites » à l’encontre de la société FACEBOOK.

Or, seule l’hypothèse de l’utilisation du compte de l’utilisateur par l’utilisateur lui-même et non celle de l’utilisation frauduleuse du compte par un tiers est envisagée par la clause.

La société FACEBOOK prétend qu’elle est en mesure de déterminer grâce à ses « équipes techniques ayant les moyens de déterminer, selon l’activité habituelle d’un utilisateur, si une activité qui lui est notifiée comme « frauduleuse » est une activité de ce dernier ou est le résultat d’un agresseur compromettant le compte de cet utilisateur » (FACEBOOK conclusions p. 302), mais ne justifie pas de l’existence de tels moyens.

De sorte que les clauses instituent une présomption de responsabilité de l’utilisateur, quelles que soient les circonstances.

La clause est donc illicite au regard de l’article précité.

b) Sur le droit discrétionnaire de supprimer la fourniture de tout ou partie des services à l’utilisateur :

Aux termes des articles L. 111-1, L. 111-2, devenus les articles L. 111-1, L. 111-2 I, de l’article L. 121-17 devenu l’article L. 221-5, l’article L.
121-19 devenu l’article L. 221-11, préalablement à la conclusion d’un contrat de fourniture de services, le professionnel communique au
consommateur, de manière lisible et compréhensible, les caractéristiques essentielles du service, compte tenu du support de communication utilisé et du service concerné.

Lorsque le contrat est conclu à distance, le professionnel fournit au consommateur, de manière lisible et compréhensible, les informations prévues à l’article L. 221-5 du code de la consommation ou les met à sa disposition par tout moyen adapté à la technique de communication à distance utilisée.

En l’espèce, les clauses critiquées prévoient que la société FACEBOOK peut cesser de fournir ses services totalement ou partiellement, pour deux séries de motifs : d’une part une infraction supposée de l’utilisateur à la lettre voire à l’esprit de la DDR, d’autre part une « création », par l’utilisateur, d’un « risque de poursuites «  à l’encontre de la société. FACEBOOK.

Ainsi, les clauses évoquent d’une manière générale des « infractions » particulièrement équivoques et/ou imprécises pour justifier de sanctions prises à l’encontre de l’utilisateur.

Tel est le cas des infractions commises par l’utilisateur à la « lettre » de la DDR et des infractions par lui commises à l’« esprit » de cette Déclaration. Ces expressions particulièrement équivoques, suggèrent l’existence d’obligations quasi déontologiques mises à la charge de l’utilisateur, dont on ne trouve nulle trace dans les documents produits au débat. Tout comme est imprécise la notion de « création » par l’utilisateur d’un « risque de poursuites «  à l’encontre de la société FACEBOOK.

L’imprécision et le caractère équivoque des termes et expressions employés dans les clauses ne permettent pas au consommateur de déterminer les cas où les Services pourraient être supprimés totalement (le compte étant résilié) ou partiellement.

Les clauses restent par ailleurs silencieuses sur la nature exacte des services supprimés, sur la durée de cette suppression, lorsqu’elle est partielle, ainsi que sur les conditions d’un éventuel rétablissement de ces services.

De sorte qu’en prévoyant la faculté pour la société FACEBOOK de cesser la fourniture à l’égard de l’utilisateur de « tout ou partie des services » pour des motifs indéterminés, la clause confère à la société FACEBOOK, un pouvoir discrétionnaire de modifier (en cas de suppression partielle des services) ou de rompre unilatéralement le contrat qui le lie à l’utilisateur.

De plus, contrairement à ce que soutient la société FACEBOOK dans ses écritures, les clauses ne prévoient pas que la décision de rupture de fourniture de ses services soit motivée. L’utilisateur est informé a posteriori des sanctions prises à son encontre, à l’occasion de l’envoi d’un courrier électronique ou d’une prochaine connexion au site.

Les clauses ne prévoient pas non plus que la société donne préavis à l’utilisateur de la cessation de fourniture de tout ou partie des services.

Par ailleurs, la sanction étant prise et ayant été annoncée à l’utilisateur par la société FACEBOOK, aucune certitude ne lui donnée, quant à l’effectivité de la caducité de la DDR envisagée par la clause, la société FACEBOOK se réservant le droit (« le cas échéant ») de cantonner ses effets à certaines clauses.

Au surplus, contrairement à ce que la société FACEBOOK soutient dans ses écritures, les clauses n’offrent aucune possibilité à l’utilisateur de formuler d’opposition à la sanction ; elles ne donnent pas non plus d’informations sur les délais de mise en œuvre de la sanction, qui, par défaut, doit être entendue d’application immédiate.

Les clauses sont donc illicites au regard des articles L. 111-1, L. 111-2, devenus les articles L. 111-1, L. 111-2 I du code de la consommation, de l’article L. 121-17 devenu l’article L. 221-5 du code de la consommation, de l’article L. 121-19 devenu l’article L. 221-11 du code de la consommation, de l’article L. 121-19-4 devenu l’article L. 221-15 du code de la consommation.

Elles sont abusives en ce qu’elles créent au profit du professionnel et au détriment du consommateur ou du non professionnel un déséquilibre significatif au sens de l’article L. 132-1 devenu l’article L. 221-1 du code de la consommation.

Elles sont également irréfragablement abusives au sens de l’article R. 132-1 4°) devenu l’article R. 212-1 4°) du code de la consommation, en ce qu’elles ont pour objet ou pour effet d’accorder au seul professionnel, le droit de déterminer si la chose livrée ou les services fournis sont conformes ou non aux stipulations du contrat.

En omettant de prévoir un délai de préavis raisonnable les clauses sont abusives en ce qu’elles privent le consommateur du bénéfice de ce délai de préavis elles créent ainsi au profit du professionnel et au détriment du consommateur ou du non professionnel un déséquilibre significatif au sens de l’article L. 132-1 devenu l’article L. 221-1 du code de la consommation.

Les clauses critiquées, en prévoyant que la suppression totale ou partielle des services pourra s’opérer à l’initiative de FACEBOOK de manière discrétionnaire sans justification précise sans délai ni préavis, sont illicites au regard des articles L. 111-1, L.111-2, devenus les articles L. 111-1, L. 111-2 I du code de la consommation, de l’article L. 121-17 devenu l’article L. 221-5 du code de la consommation, de l’article L. 121-19 devenu l’article L. 221-11 du code de la consommation, de l’article L. 121-19-4 devenu l’article L. 221-15 du code de la consommation du code de la consommation et abusives, en ce qu’elle crée au profit du professionnel et au détriment du consommateur ou du non professionnel un déséquilibre significatif au sens de l’article L. 132-1 devenu l’article L. 221-1 du code de la consommation. Elles seront donc réputées non écrites.

18. Clause n° 16 de la DDR du 15 novembre 2013 et n° 15 des 30 janvier 2015 et 9 décembre 2016 :

Clause n°16 de la Déclaration des droits et des responsabilités du 15 novembre 2013 :

Litiges :

1. Vous porterez toute plainte (« plainte ») afférente à cette Déclaration ou à Facebook exclusivement devant un tribunal régional américain du Northern District de Californie ou devant un tribunal national du comté de San Mateo, et vous acceptez de respecter la juridiction de ces tribunaux dans le cadre de telles actions. Le droit de l’État de Californie est le droit appliqué à cette Déclaration, de même que toute action entre vous et nous, sans égard aux principes de conflit de lois.

2. En cas de plainte à notre encontre suite à vos actions, à votre contenu ou à vos informations sur Facebook, vous indemniserez Facebook pour toute perte, responsabilité, réclamation, demande, dépenses et frais, y compris les honoraires raisonnables d’avocat, afférents à cette plainte. Bien que nous édictions des règles de comportement des utilisateurs, nous ne contrôlons pas et ne dirigeons pas les agissements des utilisateurs sur Facebook et nous ne sommes en aucun cas responsables du contenu ou des informations transmis ou partagés par les utilisateurs sur Facebook. Nous ne sommes pas responsables de contenu ou d’informations offensants, inappropriés, obscènes, illicites ou autrement choquants que vous pourriez voir sur Facebook. Nous ne sommes pas responsables de la conduite, en ligne ou hors ligne, des utilisateurs de Facebook.

3. NOUS ESSAYONS DE FOURNIR FACEBOOK DANS UN ENVIRONNEMENT SANS DÉFAUT ET SÛR, MAIS VOUS L’UTILISEZ À VOTRE PROPRE RISQUE. NOUS FOURNISSONS FACEBOOK « EN L’ÉTAT » SANS GARANTIES EXPRÈS OU IMPLICITES, Y COMPRIS LES GARANTIES IMPLICITES DE QUALITÉ MARCHANDE, D’ADÉQUATION À UN USAGE PARTICULIER OU DE NONVIOLATION. NOUS NE GARANTISSONS PAS QUE FACEBOOK SOIT TOUJOURS SÛR ET SÉCURISÉ OU EXEMPT D’ERREURS OU QUE FACEBOOK FONCTIONNE TOUJOURS SANS INTERRUPTION, RETARD OU IMPERFECTION. FACEBOOK N’ASSUME AUCUNE RESPONSABILITÉ QUANT AUX ACTIONS, CONTENUS, INFORMATIONS OU DONNÉES DE TIERS, ET VOUS DÉGAGEZ FACEBOOK, LES MEMBRES DE SA DIRECTION, LES MEMBRES DE SON CONSEIL D’ADMINISTRATION, SES EMPLOYÉS ET SES AGENTS DE TOUTE RESPONSABILITÉ EN CAS DE PLAINTES OU DOMMAGES, CONNUS ET INCONNUS, ÉMANANT DE OU AFFÉRENTS AUX PLAINTES OU DOMMAGES À L’ENCONTRE DE CES TIERS.

SI VOUS RÉSIDEZ EN CALIFORNIE, VOUS RENONCEZ À LA CLAUSE §1542 DU CODE CIVIL DE L’ÉTAT DE CALIFORNIE, DONT LE TEXTE EST LE SUIVANT : « A GENERAL RELEASE DOES NOT EXTEND TO CLAIMS WHICH THE CREDITOR DOES NOT KNOW OR SUSPECT TO EXIST IN HIS FAVOR AT THE TIME OFEXECUTING THE RELEASE, WHICH IF KNOWN BY HIM MUST HAVE MATERIALLY AFFECTED HIS SETTLEMENT WITH THE

DEBTOR. » NOUS NE POURRONS ÊTRE TENUS RESPONSABLES DE LA PERTE DE BÉNÉFICES OU TOUT AUTRE DOMMAGE CONSÉCUTIF, SPÉCIAL, INDIRECT OU ACCESSOIRE, QU’ILS DÉCOULENT DE CETTE DÉCLARATION OU FACEBOOK, QUAND BIEN MÊME FACEBOOK AURAIT ÉTÉ INFORMÉ DE LA POSSIBILITÉ D’UN TEL DOMMAGE. L’AGRÉGAT TOTAL DE NOTRE RESPONSABILITÉ ENVERS VOUS DANS LE CADRE DE CETTE DÉCLARATION OU FACEBOOK NE POURRA DÉPASSER LE MONTANT PAYÉ PAR VOUS AU COURS DES 12 MOIS PRÉCÉDENTS OU $100 USD, LE MONTANT LE PLUS ÉLEVÉ ÉTANT CELUI PRIS EN COMPTE. LE DROIT APPLICABLE POUVANT NE PAS AUTORISER LA LIMITATION OU L’EXCLUSION DE RESPONSABILITÉ OU DE DOMMAGES INCIDENTS OU CONSÉCUTIFS, LA LIMITATION OU EXCLUSION CI-DESSUS PEUT NE PAS S’APPLIQUER À VOTRE CAS. DANS DE TELS CAS, LA RESPONSABILITÉ DE FACEBOOK SERA LIMITÉE AU MAXIMUM PERMIS PAR LE DROIT APPLICABLE.

Clause n°15 de la Déclaration des droits et responsabilités du 30 janvier 2015 :

Litiges

1. Vous porterez toute plainte, action en justice ou contestation (« action ») afférente à cette Déclaration ou à Facebook exclusivement devant un tribunal américain du Northern District de Californie ou devant un tribunal d’Etat du comté de San Mateo, et vous acceptez de respecter la juridiction de ces tribunaux dans le cadre de telles actions. Le droit de l’État de Californie régit cette Déclaration, de même que toute action entre vous et nous, sans égard aux dispositions en matière de conflit de lois.

2. En cas d’action portée à notre encontre par un tiers suite à vos agissements, à vos contenus ou à vos informations sur Facebook, vous indemniserez et protégerez Facebook de tous les préjudices, pertes et frais, y compris les honoraires raisonnables d’avocat, afférents à cette action. Bien que nous édictions des règles de comportement des internautes, nous ne contrôlons pas et ne dirigeons pas les agissements des internautes sur Facebook et nous ne sommes en aucun cas responsables des contenus et des informations transmis ou partagés par les internautes sur Facebook. Nous ne sommes pas responsables des contenus ou informations offensants, inappropriés, obscènes, illicites ou autrement choquants que vous pourriez trouver sur Facebook. Nous ne sommes pas responsables de la conduite, en ligne ou hors ligne, des personnes qui utilisent Facebook.

3. NOUS ESSAYONS DE FOURNIR FACEBOOK DANS UN ENVIRONNEMENT SANS DÉFAUT ET SÛR, MAIS VOUS L’UTILISEZ À VOTRE PROPRE RISQUE. NOUS FOURNISSONS FACEBOOK

« EN L’ÉTAT » SANS GARANTIES EXPRÈS OU IMPLICITES, Y COMPRIS, MAIS SANS S’Y LIMITER, LES GARANTIES IMPLICITES DE QUALITÉ MARCHANDE, D’ADÉQUATION À UN USAGE PARTICULIER OU DE NON-VIOLATION. NOUS NE GARANTISSONS PAS QUE FACEBOOK SOIT TOUJOURS SÛR ET SÉCURISÉ OU EXEMPT D’ERREURS OU QUE FACEBOOK FONCTIONNE TOUJOURS SANS INTERRUPTION, RETARD OU IMPERFECTION. FACEBOOK N’ASSUME AUCUNE RESPONSABILITÉ QUANT AUX ACTIONS, CONTENUS, INFORMATIONS OU DONNÉES DE TIERS, ET VOUS DÉGAGEZ FACEBOOK, LES MEMBRES DE SA DIREC TI O N, LE S M E MBRES DE SON CONSEIL D’ADMINISTRATION, SES EMPLOYÉS ET SES AGENTS DE TOUTE RESPONSABILITÉ EN CAS DE PLAINTES OU DOMMAGES, CONNUS ET INCONNUS, ÉMANANT DES PLAINTES OU DOMMAGES À L’ENCONTRE DE CES TIERS OU Y AFFERENTS

SI VOUS RÉSIDEZ EN CALIFORNIE, VOUS RENONCEZ À LA CLAUSE §1542 DU CODE CIVIL DE L’ÉTAT DE CALIFORNIE, DONT LE TEXTE EST LE SUIVANT : « UNE DECHARGE GENERALE NE S’APPLIQUE PAS AUX RECLAMATIONS DON’T LE CREANCIER N’A PAS CONNAISSANCE OU DONT IL NE SOUPCONNE PAS L’EXISTENCE EN SA FAVEUR AU MOMENT DE L’EXECUTION DE LA DECHARGE, ET QUI, S’IL EN AVAIT EU CONNAISSANCE, AURAIENT EU UN IMPACT IMPORTANT SUR SON REGLEMENT AVEC LE DEBITEUR. » NOUS NE POURRONS ÊTRE TENUS RESPONSABLES DE LA PERTE DE BÉNÉFICES OU TOUT AUTRE DOMMAGE CONSÉCUTIF, SPÉCIAL, INDIRECT OU ACCESSOIRE, QU’ILS DÉCOULENT DE CETTE DÉCLARATION OU DE FACEBOOK, QUAND BIEN MÊME FACEBOOK AURAIT ÉTÉ INFORMÉ DE LA POSSIBILITÉ D’UN TEL DOMMAGE. .

L’AGRÉGAT TOTAL DE NOTRE RESPONSABILITÉ ENVERS VOUS DANS LE CADRE DE CETTE DÉCLARATION OU DE FACEBOOK NE POURRA DÉPASSER LE MONTANT PAYÉ PAR VOUS AU COURS DES DOUZE MOIS PRÉCÉDENTS OU CENT DOLLARDS (100 USD), LE MONTANT LE PLUS ÉLEVÉ ÉTANT CELUI PRIS EN COMPTE. LE DROIT APPLICABLE

POUVANT NE PAS AUTORISER LA LIMITATION OU L’EXCLUSION DE RESPONSABILITÉ OU DE DOMMAGES INCIDENTS OU CONSÉCUTIFS, LA LIMITATION OU EXCLUSION CIDESSUS PEUT NE PAS S’APPLIQUER À VOTRE CAS. DANS DE TELS CAS, LA RESPONSABILITÉ DE FACEBOOK SERA LIMITÉE AU MAXIMUM PERMIS PAR LE DROIT APPLICABLE.

Clause n°15 de la Déclaration des droits et responsabilités du 9 décembre 2016 :

Litiges

1. Si vous résidez dans un pays où la loi exclut l’application de la loi de l’Etat de Californie à votre litige relatif à la présente Déclaration ou à Facebook, les lois de votre pays s’appliqueront à votre litige relatif à la présente Déclaration ou à Facebook. De même, si vous résidez dans un pays où la loi prévoit la compétence des tribunaux de votre pays de résidence, les litiges relatifs à la présente Déclaration ou à Facebook pourront être portés devant les tribunaux compétents de votre pays de résidence. Dans le cas contraire, vous porterez toute plainte, action en justice ou contestation (« action ») afférente à cette Déclaration ou à Facebook exclusivement devant un tribunal américain du Northern District de Californie ou devant un tribunal d’État du comté de San Mateo, vous acceptez de respecter la juridiction de ces tribunaux dans le cadre de telles actions, et le droit de l’État de Californie régit cette Déclaration, de même que toute action entre vous et nous, sans égard aux dispositions en matière de conflits de lois.

2. En cas d’action portée à notre encontre par un tiers suite à vos agissements, à vos contenus ou à vos informations sur Facebook, vous indemniserez et protégerez Facebook de tous les préjudices, pertes et frais, y compris les honoraires raisonnables d’avocat, afférents à cette action. Bien que nous édictions des règles de comportement des internautes, nous ne contrôlons pas et ne dirigeons pas les agissements des internautes sur Facebook, et nous ne sommes en aucun cas responsables des contenus et des informations transmis ou partagés par les internautes sur Facebook. Nous ne sommes pas responsables des contenus ou informations offensants, inappropriés, obscènes, illicites ou autrement choquants que vous pourriez trouver sur Facebook. Nous ne sommes pas responsables de la conduite, en ligne ou hors ligne, des personnes qui utilisent Facebook.

3. NOUS ESSAYONS DE FOURNIR FACEBOOK DANS UN ENVIRONNEMENT SANS DÉFAUT ET SÛR, MAIS VOUS L’UTILISEZ À VOTRE PROPRE RISQUE. NOUS FOURNISSONS FACEBOOK « EN L’ÉTAT » SANS GARANTIES EXPRÈS OU IMPLICITES, Y COMPRIS, MAIS SANS S’Y LIMITER, LES GARANTIES IMPLICITES DE QUALITÉ MARCHANDE, D’ADÉQUATION À UN USAGE PARTICULIER OU DE NON-VIOLATION. NOUS NE GARANTISSONS PAS QUE FACEBOOK SOIT TOUJOURS SÛR, SÉCURISÉ OU EXEMPT D’ERREURS, OU QUE FACEBOOK FONCTIONNE TOUJOURS SANS INTERRUPTION, RETARD OU IMPERFECTION. FACEBOOK N’ASSUME AUCUNE RESPONSABILITÉ QUANT AUX ACTIONS, CONTENUS, INFORMATIONS OU DONNÉES DE TIERS, ET VOUS DÉGAGEZ FACEBOOK, LES MEMBRES DE SA DIRECTION, LE S M E MB R E S DE S ON C ON S E IL D’ADMINISTRATION, SES EMPLOYÉS ET SES AGENTS DE TOUTE

RESPONSABILITÉ EN CAS DE RECLAMATIONS OU DOMMAGES, CONNUS ET INCONNUS, ÉMANANT DES PLAINTES QUE VOUS AVEZ À L’ENCONTRE DE CES TIERS, OU Y AFFÉRENTS. CETTE LIMITATION NE S’APPLIQUERA PAS ET NE MODIFIERA PAS LES DROITS QUE VOUS AVEZ VIS-A-VIS DE FACEBOOK LORSQUE LES

LOIS DE VOTRE PAYS DE RESIDENCE, APPLICABLES EN RAISON DE VOTRE USAGE DU SERVICE FACEBOOK, NE LE PERMETTENT PAS. SELON L’USAGE QUE VOUS FAITES DU SERVICE, L’AGRÉGAT TOTAL DE NOTRE RESPONSABILITÉ ENVERS VOUS DANS LE CADRE DE CETTE DÉCLARATION OU DE FACEBOOK NE POURRA DÉPASSER LE MONTANT PAYÉ PAR VOUS AU COURS DES DOUZE MOIS PRÉCÉDENTS

L’association UFC QUE-CHOISIR reproche aux clauses critiquées de prévoir que l’utilisateur utilise le réseau à ses propres périls et que les services de Facebook sont fournis « en l’état ». Elle en déduit que la société FACEBOOK s’exonère de toute responsabilité, en raison d’un manquement à ses obligations de professionnel proposant la fourniture d’une prestation de service, ou d’un manquement à ses obligations de responsable de traitement au sens de la Loi Informatique et Libertés.

Elle fait valoir qu’en cas de plainte ou d’action d’un tiers à son encontre, à la suite d’actions ou de publication de contenus par l’utilisateur sur le service Facebook, l’utilisateur devra indemniser Facebook, sans limitation.

Elle ajoute qu’en cas de litige entre FACEBOOK et un utilisateur français, les clauses attribuent compétence aux seuls tribunaux californiens pour connaitre du litige et déclarent exclusivement applicable la loi californienne. Elle fait valoir que les clauses précitées n’informent pas les utilisateurs de la possibilité d’un recours à la médiation.

L’association soutient que les clauses sont illicites au regard des dispositions des articles L. 121-20-3, L. 121-19-4, devenu l’article L. 221-15 du code de la consommation, L. 133-2 devenu l’article L. 211-1 du code de la consommation, L. 141-5, devenu l’article R. 631-3 du code de la consommation, L.135-1, devenu l’article L. 232-1 du code de la consommation, de l’article 34 de loi Informatique et Libertés, de l’article 17 de la Directive 95/46, des articles 46 et 48 du code de procédure civile et qu’elles sont abusives au sens de l’article R. 132-1 5°) et 6°), devenu l’article R. 212-1 5°) et 6°) du code de la consommation , de l’article R. 132-2 10°) devenu article R. 212-2 10°) du code de la consommation.

La société FACEBOOK réplique que les demandes de l’UFC à l’encontre de la clause n° 15 sont sans objet dès lors qu’elle a fait l’objet de modifications lors de la mise à jour de la DRR du 9 décembre 2016.

Elle soutient que les clauses ne l’exonèrent de sa responsabilité en sa qualité d’hébergeur ou de responsable de traitement.

Selon la société FACEBOOK la clause n° 15.3 est une clause de limitation de responsabilité, qui ne remet pas en cause les droits de l’utilisateur. La clause n° 15.2 rappelle les principes de responsabilité pour faute ; l’utilisateur étant responsable de son utilisation du Service Facebook, il doit assumer cette responsabilité envers les autres utilisateurs ou la société FACEBOOK.

Elle précise que la clause n° 15.1 est une clause attributive de compétence, licite et opposable à l’utilisateur, dès lors que le litige éventuel entre la société FACEBOOK et les utilisateurs français est un litige international. Elle souligne, que l’utilisateur en a eu connaissance et l’a accepté lors de la conclusion du contrat. Elle affirme que cette clause, licite et non abusive, ne prive pas les utilisateurs français d’agir devant les tribunaux français mais que seule la loi de l’Etat de Californie, choisie et acceptée par les parties, est applicable au contrat conclu entre FACEBOOK IRELAND et les utilisateurs français du Service Facebook.

Enfin, elle fait valoir que la société FACEBOOK n’est pas soumise à l’ordonnance du 20 août 2015 relative au règlement extrajudiciaire des litiges de consommation, dès lors que le Service Facebook est fourni gratuitement aux utilisateurs.

a) Sur le caractère exonératoire de responsabilité encourue par la société FACEBOOK pris en sa qualité de professionnel prestataire de services à distance :

L’article L. 121-19-4, devenu l’article L. 221-15 du code de la consommation prévoit que le professionnel est responsable de plein droit à l’égard du consommateur de la bonne exécution des obligations résultant du contrat conclu à distance.

Aux termes de l’article 34 de la Loi Informatique et Libertés relatif à la protection des données à caractère personnel des personnes physiques, le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès, le responsable du traitement devant garantir un niveau de sécurité adapté au risque du traitement.

En l’espèce, en prévoyant sous l’intitulé  » Litiges », que la société FACEBOOK « essaie » de fournir les services du réseau Facebook « dans un environnement sans défaut et sûr » tout en rappelant que l’utilisateur l’utilise à son « propre risque » et que la société fournit le Service « en l’état » et « sans garanties exprès ou implicites », les clauses n° 16 du 15 novembre 2013 et n° 15 des 30 janvier 2015 et 9 décembre 2016 suggèrent à l’utilisateur que le professionnel pourrait lui fournir une prestation imparfaite sans engager sa responsabilité.

D’où il suit que les clauses n° 16 du 15 novembre 2013 et n° 15 des 30 janvier 2015 et 9 décembre 2016 ont pour effet d’écarter la responsabilité du professionnel dans tous les cas de dysfonctionnement des prestations fournies au consommateur.

Elles sont donc illicites au regard des articles L. 121-19-4 devenu l’article L. 221-15 du code de la consommation et abusives de manière irréfragable au sens de l’article R. 132-1 6°) devenu l’article R. 212-1 6°) du code de la consommation, car elles suppriment le droit à réparation du préjudice subi par le consommateur en cas de manquement par le professionnel à l’une quelconque de ses obligations.

De la même manière, en affirmant que la société FACEBOOK « ne garantit pas » que le réseau social soit toujours « sûr, sécurisé ou exempt d’erreurs », ou qu’il « fonctionne toujours sans interruption, retard ou imperfection », les clauses n° 16 du 15 novembre 2013 et n° 15 des 30 janvier 2015 et 9 décembre 2016 critiquées sont illicites au regard de l’article 34 de la Loi Informatique et Libertés.

b) Sur l’indemnisation de la société FACEBOOK :

Les clauses n° 16 du 15 novembre 2013 et n° 15 des 30 janvier 2015 et 9 décembre 2016 prévoient qu’en cas d’action intentée par un tiers à l’encontre de la société FACEBOOK à la suite d’« agissements » (« d’actions ») de l’utilisateur ou de publication sur le réseau social
Facebook de contenus ou d’informations, celui-ci devra indemniser la société FACEBOOK sans limitation (« vous indemniserez et protégerez Facebook de tous les préjudices ») pour tous « les préjudices » (« préjudices, pertes et frais »), auxquels la société FACEBOOK pourrait être condamnée ainsi que les « les honoraires raisonnables d’avocat, afférents à cette action ».

En prévoyant d’une manière générale que l’utilisateur prendra en charge la totalité les condamnations prononcées à l’égard de la société FACEBOOK ainsi que ses frais de défense, sans prendre en compte le caractère fautif ou non fautif de l’« agissement » imputable à l’utilisateur ou des publications de contenus ou d’informations, les clauses créent un déséquilibre significatif entre les droits et obligations des parties au contrat au détriment du consommateur au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation.

c) Sur la clause attributive de compétence :

L’article 48 du code de procédure civile répute non écrite la clause qui déroge directement ou indirectement aux règles de compétence territoriale édictées par l’article 46 du même code, sauf si elle a été convenue entre commerçants.

Toutefois, l’article 48 du code de procédure civile ne fait pas obstacle à la licéité d’une clause attribuant compétence à des juridictions étrangères, lorsqu’il s’agit d’un litige international et que la clause ne fait pas échec à la compétence territoriale impérative d’une juridiction française.

Or, il a été précédemment jugé par le Tribunal, que le contrat de fourniture de services de réseau social, qui lie l’utilisateur consommateur à la société FACEBOOK, professionnel, est un contrat, soumis aux dispositions du code de la consommation, notamment à la législation sur les clauses abusives, laquelle est d’ordre public.

A ce titre, l’article L. 135-1 devenu l’article 232-1 du code de la consommation prévoit, nonobstant toute stipulation contraire, que le consommateur ne peut être privé de la protection que lui assurent les dispositions prises par un Etat membre de l’Union européenne en application de la directive 93/13/CEE du Conseil, du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs, lorsque le contrat présente avec le territoire d’un Etat membre un lien étroit, lequel est réputé établi, au sens de l’article L. 231-1 du code de la consommation, dès lors que le contrat a été conclu dans l’Etat membre du lieu de résidence habituelle du consommateur, alors que le professionnel dirige son activité vers le territoire de l’Etat membre où réside le consommateur.

Tel est le cas de la société FACEBOOK qui en proposant un contrat de service de réseau social en langue française, destiné aux membres ou futurs membres français du réseau social, manifeste sa volonté d’entrer en relation contractuelle avec ces derniers.

Aux termes de l’article R. 132-2, 10°) devenu l’article R. 212-2 10°) du code de la consommation, dans les contrats conclus entre des professionnels et des consommateurs, sont de manière irréfragable présumées abusives, au sens des dispositions des premier et quatrième alinéas de l’article L.212-1 du code de la consommation et dès lors interdites, les clauses ayant pour objet ou pour effet de supprimer ou entraver l’exercice d’actions en justice ou des voies de recours par le consommateur.

En l’espèce, les clauses n° 16.1 de la DDR du 15 novembre 2013 et la clause n° 15.1 de la DDR des 30 janvier 2015, dans l’éventualité d’un litige opposant l’utilisateur français à la société FACEBOOK, attribuent compétence aux juridictions californiennes, dont l’éloignement est de nature à dissuader l’utilisateur, en raison des difficultés pratiques et du coût relatifs à leur accès, d’exercer toute action et de le priver de tout recours à l’encontre du fournisseur de réseau social.

D’où il suit que les clauses précitées sont illicites, en ce qu’elles privent l’utilisateur de la protection assurées par les dispositions prises par un Etat membre de l’Union européenne en application de la directive 93/13/CEE du Conseil du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs et constitue une clause abusive au sens des articles l’article R. 132-2, 10°) devenu l’article R. 212-2 10°) du code de la consommation. Ces clauses seront donc réputées non écrites.

d) Sur la loi applicable

Aux termes de l’article L. 135-1 devenu l’article L. 232-1 du code de la consommation, nonobstant toute stipulation contraire, le consommateur ne peut être privé de la protection que lui assurent les dispositions prises par un Etat membre de l’Union européenne en application de la directive 93/13/CEE du Conseil, du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs, lorsque le contrat présente un lien étroit avec le territoire d’un Etat membre. Les clauses n° 16 du 15 novembre 2013 et n° 15 des 30 janvier 2015 et 9 décembre 2016 prévoient, pour toute action judiciaire engagée par l’utilisateur, que le droit applicable est le droit de l’état de Californie.

Ainsi il résulte de l’article précité, qu’en dépit de la présence au sein du contrat d’une clause de choix de loi, la loi française est applicable, dès lors que le site est accessible en langue française.

De sorte qu’en conduisant l’utilisateur à se méprendre sur l’étendue de la protection qu’il peut revendiquer et en lui donnant l’impression que seule la loi désignée par la clause s’applique au contrat, alors qu’il peut bénéficier des règles le cas échéant impératives et plus protectrices de la loi de sa résidence habituelle, les clauses litigieuses sont abusives.

Cet abus doit s’apprécier tant au regard de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation, en ce qu’il créé un déséquilibre significatif entre les droits et obligations des parties au contrat au détriment du consommateur, qu’au regard de l’article R. 132-2 10°) devenu l’article R. 212-2 10°) du code de la consommation, car le fait d’imposer au consommateur l’application d’une loi étrangère constitue une entrave à l’exercice par un utilisateur français d’actions en justice ou de voies de recours contre le professionnel.

En conséquence la clause 16.1 de la DDR du 15 novembre 2013 et les clauses n° 15.1 de la DDR des 30 janvier 2015 et 9 décembre 2016 sont illicites au regard de l’article L. 135-1 devenu l’article L. 232-1 du code de la consommation.

Elles sont également abusives au regard des articles L. 132-1 devenu l’article L. 212-1 et R. 132-2, 10°) devenu l’article R. 212-2 10°) du code de la consommation. Elles seront donc réputées non écrites.

e) Sur l’absence d’une offre de médiation

L’association UFC QUE-CHOISIR reproche aux clauses critiquées de ne pas informer le consommateur de la possibilité de bénéficier d’une offre de médiation.

La société FACEBOOK affirme qu’elle n’est pas assujettie à cette obligation, le Service Facebook étant fourni gratuitement aux utilisateurs, le contrat d’utilisation du Service n’est pas soumis au droit de la consommation.

Or, ainsi que le Tribunal l’a précédemment précisé et contrairement à ce que soutient la société FACEBOOK, le service de réseautage social qu’elle propose n’est pas un contrat à titre gratuit. Il est donc soumis aux dispositions du code de la consommation notamment aux dispositions des articles L. 152-1 1°) et 2°) du code de la consommation et suivants, devenu l’article L. 612-1 1°) et 2°) du même code.

Les clauses n° 16 du 15 novembre 2013 et n° 15 des 30 janvier 2015 et 9 décembre 2016 critiquées sont donc illicites au regard des articles précités.

En conséquence les clauses n° 16 de la DDR du 15 novembre 2013 et n° 15 du 30 janvier 2015 et du 9 décembre 2016, illicites au regard de l’article L. 121-19-4 devenu l’article L. 221-15, de l’article 34 de la Loi Informatique et Libertés, de l’article L. 135-1 devenu l’article 232-1 du code de la consommation, de l’article L. 152-1 1°) et 2°) devenu l’article L. 612-1 1°) et 2°) du code de la consommation, sont abusives au regard des articles L. 132-1 devenu l’article L. 212-1, de l’article de l’article R. 132-1 6°) devenu l’article R. 212-1 6°) du code de la consommation et R. 132-2, 10°) devenu l’article R. 212-2 10°) du code de la consommation, et, comme telles, seront réputées non écrites.

19. Clause n° 18 de la DDR du 15 novembre 2013 et n° 17 des 30 janvier 2015 et 9 décembre 2016 :

Clause n°18 de la Déclaration des droits et responsabilités du 15 novembre 2013 :

Définitions

1. Le terme « Facebook » regroupe les fonctionnalités et services que nous rendons . disponibles, via a) notre site web à www.facebook.com ou d’autres sites web de Facebook ou en co-marque (y compris, les sous- domaines, versions internationales, widgets et versions mobiles) ; b) notre plate-forme ; et c) des modules sociaux tels que le bouton J’aime, le bouton Partager et d’autres produits similaires ; et d) d’autres supports, logiciels (comme une barre d’outils), périphériques ou réseaux existants ou développés par la suite.

2. Par « Plate-forme », nous entendons un ensemble d’interfaces API et de services (du contenu par exemple) qui permettent aux utilisateurs, y compris aux développeurs d’applications ou exploitants de sites web, de récupérer des données de Facebook ou de nous fournir des données.

3. Par « Informations », nous entendons les faits et autres informations vous concernant, notamment les actions des autres utilisateurs et des non utilisateurs qui interagissent avec Facebook.

4. Par « contenu », nous entendons le contenu et les informations que vous ou d’autres utilisateurs publiez sur Facebook, qui ne répondraient pas à la définition d’informations.

5. Par « données » ou « données utilisateur », nous entendons toute donnée, y compris le contenu ou les informations d’un utilisateur que vous ou un tiers peut récupérer sur Facebook ou fournir à Facebook au moyen de la plate-forme.

6. Par « publier » ou « publication », nous entendons ce que vous publiez sur Facebook ou mettez autrement à notre disposition en utilisant Facebook.

7. Par « utiliser » ou « utilisation », nous entendons l’utilisation, l’exécution, la copie, la diffusion ou l’affichage publics, la distribution, la modification, la traduction et la création de travaux dérivés.

8. Par « utilisateur actif », nous entendons un utilisateur qui s’est connecté à son compte Facebook au moins une fois au cours des 30 derniers jours.

9. Par « application », nous entendons tout site web ou application qui utilise la plate-forme ou y accède, ainsi que tout autre élément qui reçoit ou a reçu des données de notre part. Si vous n’accédez plus à la plate- forme mais que vous n’avez pas supprimé les données qui y figuraient, le terme application peut rester applicable jusqu’à la suppression des données.

Clause n°17 de la Déclaration des droits et responsabilités du 30 janvier 2015 :

Définitions

1. Le terme « Facebook » ou « Services Facebook » regroupe les fonctionnalités et services que nous rendons disponibles, par le biais a) de notre site web à l’adresse www.facebook.com ou d’autres sites web de Facebook ou en co-marque (notamment les sous-domaines, versions internationales, widgets et versions mobiles) ; b) de notre plate-forme ; et c) des modules sociaux tels que le bouton J’aime, le bouton Partager et d’autres produits similaires ; et d) d’autres supports, marques, produits, services, logiciels (comme une barre d’outils), appareils ou réseaux existants ou développés ultérieurement. Facebook se réserve le droit de désigner, à son entière discrétion, que certaines de ses marques produits ou services sont régies par des conditions distinctes et non par les présentes. ,

2. Par « Plate-forme », nous entendons un ensemble d’interfaces API et de services (de contenu par exemple) qui permettent aux internautes, y compris les développeurs d’applications ou exploitants de sites web, de récupérer des données de Facebook ou de nous fournir des données.

3. Par « Informations », nous entendons les faits et autres informations vous concernant, notamment les actions des autres internautes qui interagissent avec Facebook.

4. Par « contenu » nous entendons tout élément que vous, ou toute autre personne, publiez, envoyez ou partagez au moyen des Services Facebook.

5. Par « données » ou « données de personnes », nous entendons toute donnée, y compris le contenu ou les informations d’une personne que vous ou un tiers pouvez récupérer sur Facebook ou fournir à Facebook au moyen de la plate-forme.

6. Par « publier » ou « publication », nous entendons ce que vous publiez sur Facebook ou mettez autrement à disposition en utilisant Facebook

7. Par « utiliser » ou « utilisation », nous entendons l’utilisation, l’exécution, la copie, la diffusion ou l’affichage publics, la distribution, la modification, la traduction et la création de travaux dérivés. .

8. Par « application », nous entendons une application ou un site web qui utilise ou accède à la Plate-forme, de même que tout autre dispositif qui reçoit ou a reçu des données de notre part. Si vous n’accédez plus à la Plate-forme mais n’avez pas supprimé toutes les données que vous avez reçues de notre part, le terme « application » s’appliquera jusqu’à la suppression des données.

9. Par « marque de commerce », nous entendons les marques de commerce indiquées ici.

Clause n°17 de la Déclaration des droits et responsabilités du 9 décembre 2016 :

Définitions

1. Le terme « Facebook » ou « Services Facebook » regroupe les fonctionnalités et services que nous rendons disponibles, par le biais a) de notre site web à l’adresse www.facebook.com ou d’autres sites web de Facebook ou en co-marque (notamment les sous-domaines, versions internationales, widgets et versions mobiles) ; b) de notre Plate-forme ; et c) des modules sociaux tels que le bouton J’aime, le bouton Partager et d’autres produits similaires ; et d) d’autres supports, marques, produits, services, logiciels (comme une barre d’outils), appareils ou réseaux existants ou développés ultérieurement. Facebook se réserve le droit de spécifier, à son entière discrétion, que certaines de ses marques, produits ou services sont régis par des conditions distinctes (auxquelles vous pouvez consentir séparément, le cas échéant) et non par les présentes.

2. Par « Plate-forme », nous entendons un ensemble d’interfaces API et de services (de contenu par exemple) qui permettent aux internautes, y compris les développeurs d’applications ou exploitants de sites web, de récupérer des données de Facebook ou de nous fournir des données.

3. Par « informations », nous entendons les faits et autres informations vous concernant, notamment les actions des autres internautes qui interagissent avec Facebook.

4. Par « contenu », nous entendons tout élément que vous, ou toute autre personne, publiez, envoyez ou partagez au moyen des Services Facebook.

5. Par « données » ou « données de personnes », nous entendons toute donnée, y compris le contenu ou les informations d’une personne, que vous ou un tiers pouvez récupérer sur Facebook ou fournir à Facebook au moyen de la Plate-forme.

6. Par « publier » ou « publication », nous entendons ce que vous publiez sur Facebook ou mettez autrement à disposition en utilisant Facebook

7. Par « utiliser » ou « utilisation », nous entendons l’utilisation, l’exécution, la copie, la diffusion ou l’affichage publics, la distribution, la modification, la traduction et la création de travaux dérivés. .

8. Par « application », nous entendons une application ou un site web qui utilise ou accède à la Plate-forme, de même que tout autre dispositif qui reçoit ou a reçu des données de notre part. Si vous n’accédez plus à la Plateforme mais n’avez pas supprimé toutes les données que vous avez reçues de notre part, le terme « application » s’appliquera jusqu’à la suppression des données.

9. Par « marques de commerce », nous entendons les marques de commerce indiquées ici.

Selon l’association UFC QUE-CHOISIR, les clauses omettent de définir la notion de donnée à caractère personnel, alors que les termes « informations », « contenu » et « donnée », qui peuvent avoir un lien avec cette notion et qu’elles font l’objet d’une définition particulièrement floue. L’association observe que la société FACEBOOK utilise continuellement deux termes génériques et imprécis (les termes contenu et information), afin, selon elle de dissimuler le fait que ces « contenus » et « informations » contiennent des données à caractère personnel. Elle en déduit que le caractère flou des définitions et la présomption de consentement de l’utilisateur à l’exploitation de ses données à caractère personnel ne permettent pas à l’utilisateur d’agir en connaissance de cause pour protéger ses données. C’est pourquoi l’association affirme que les clauses critiquées sont illicites au regard des articles L. 111-1 et L. 111-2, devenus les articles L. 111-2 et L. 111-3 du code de la consommation, des articles L.121-17, devenus les articles L. 221-5, L. 221-6 et L. 221-7 du code de la consommation, de l’article L. 133-2 devenu article l’article L. 211-1, l’article 6 de la loi Informatique et Libertés et l’article 6 de la Directive 95/46 CE et abusives au regard de l’article L. 132-1 devenu articles L. 212-1, L. 212-3 et L. 241-1 du code de la consommation.

La société FACEBOOK affirme que les demandes de l’UFC à l’encontre de la clause n° 17 sont sans objet, puisque la clause a été modifiée lors de la mise à jour de la DDR du 9 décembre 2016. En tout état de cause, elle conteste les arguments développés par l’association UFC QUE-CHOISIR à l’encontre de la clause 17, dont les termes employés le sont dans un but pédagogique ; ils sont très clairs, adaptés à tous publics en particulier aux personnes non-juristes et facilement compréhensibles pour n’importe quel utilisateur. Pour la société, la clause définit précisément les termes « données », « informations » et « contenu », lesquels ont des sens différents ; les utilisateurs sont donc clairement informés de la distinction entre les termes « données », « informations » et « contenu ». Elle ajoute que « l’individu moyen ne comprend pas nécessairement les subtilités juridiques associées à l’expression « données à caractère personnel » ». Elle conteste l’allégation « absurde » de l’association, selon laquelle la DDR et la PUD devraient donner une formation juridique aux utilisateurs du Service Facebook » au sujet de ce qui constitue des « données à caractère personnel » ; elle conduit, selon la société FACEBOOK, à vouloir imposer à une société une obligation légale de donner une formation en droit à ses clients, sous prétexte de permettre aux clients d’atteindre un niveau de plus en plus approfondi de compréhension de leur contrat. Or, selon la société FACEBOOK, il ne lui « appartient pas d’expliquer aux utilisateurs le droit qui régit les données à caractère personnel », « exactement de la même manière qu’il n’incombe pas à FACEBOOK d’expliquer aux utilisateurs le droit des contrats comme condition préalable à ce que les utilisateurs donnent valablement leur consentement à la DDR ». Elle maintient qu’elle obtient l’accord exprès de chaque utilisateur au traitement de ses données et communique les éléments imposés par le droit applicable à chaque utilisateur pour qu’il comprenne les conséquences de la conclusion du contrat.

a) Sur l’« absence d’objet » de la demande de l’association :

Le Tribunal ayant répondu à cette argumentation dans le cadre de l’examen de la clause n° 0.1 de le DDR des 15 novembre 2013 et 30 janvier 2015, il n’y a pas lieu d’examiner de nouveau cette exception.

b) Sur l’absence de qualification des données à caractère personnel :

La société FACEBOOK estime ne pas être astreinte à une obligation d’information d’origine légale, quant à la définition des données à caractère personnel.

L’obligation d’information précontractuelle prévue dans les articles L.111-1, L.111-2, et, s’agissant de contrat conclu à distance, dans les articles L.121-17, L.121-19, L.121-19-2 et R.111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, impose au professionnel, avant la conclusion du contrat, de fournir au consommateur ou non professionnel les caractéristiques essentielles du service à rendre.

Aux termes des articles L. 133-1 et L. 133-2 devenus l’article L. 211-1 du code de la consommation imposent au professionnel une présentation et une rédaction claire et compréhensible des clauses des contrats qu’ils proposent au consommateur.

Au sens de l’article 2 de la Loi Informatique et Libertés, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Aux termes du 2°) de l’article 6 de la Loi Informatique et Libertés, les données à caractère personnel sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

L’article 6 de la Loi Informatique et Libertés prévoit qu’un traitement ne peut porter sur des données à caractère personnel que si elles sont collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et qu’elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités, qu’elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

En l’espèce, alors que le nom, l’adresse électronique, la photo de profil, la photo de couverture, les vidéos de l’utilisateur sont qualifiés de « contenus » et d’ »informations » par les clauses n° 2.1, 2.4 des 15 novembre 2013, 30 janvier 2015 et du 9 décembre 2016, et n° 10 du 15 novembre 2013 et 9 des 30 janvier 2015 et du 9 décembre 2016 de la DDR (précédemment examinées par le Tribunal), les clauses critiquées s’emploient, selon les affirmations de la société FACEBOOK, à dresser un petit lexique des termes qui seront repris dans l’ensemble des documents contractuels dans un but « pédagogique ». Toutefois, les clauses n° 8 du 15 novembre 2013 et n° 17 des 30 janvier 2015 et 9 décembre 2016, s’abstiennent de citer les données à caractère personnel en leur donnant un contenu informatif, au profit des notions jugées plus simples à comprendre par l’utilisateur telles que « contenus », « informations » et « données ».

Ce faisant, en évitant d’informer l’utilisateur sur l’existence de données à caractère personnel – pourtant collectées notamment à l’occasion de son inscription sur le site – tout en présumant de l’utilisateur son acceptation à leur collecte et leur utilisation, les clauses contreviennent aux dispositions des articles L. 111-1, L. 111-2, L. 121-17, L. 121-19, L. 121-19-2 et R. 111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, des articles L. 133-1 et L. 133-2 devenus l’article L. 211-1 du code de la consommation et aux dispositions contenues dans l’article 6 de la Loi Informatique et Libertés.

Elles sont donc illicites au regard des dispositions des articles précités et doivent être réputées non écrites.

Par ailleurs, s’il n’existe pas d’obligation légale de qualifier juridiquement les données à caractère personnel, la Loi Informatique et Libertés oblige le « responsable du traitement » au sens de l’article 3 1°) de la loi précitée, à recueillir le consentement explicite et éclairé de la personne concernée par la collecte et le traitement de ses données personnelles (en l’espèce l’utilisateur), ce dernier devant être en mesure de comprendre l’usage réel qui est fait des données le concernant, que ces données soient fournies de sa propre initiative, à l’occasion de l’établissement de son profil par exemple, ou collectées sans intervention de sa part (cookies (traceurs), etc.), ce qui ne peut être le cas en l’absence d’information du responsable du traitement, concernant l’existence de données personnelles de l’utilisateur qui sont collectées et traitées par le même responsable du traitement.

De plus, en laissant croire que le professionnel est dispensé de toute obligation à l’égard du consommateur/utilisateur, lorsqu’il collecte, traite, utilise ou partage des « données » qui peuvent être qualifiées de données à caractère personnel, la clause est de nature à créer un déséquilibre significatif entre les droits et obligations des parties au contrat. La clause est donc abusive au regard des dispositions de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation.

En conséquence, les clauses n° 18 de la DDR du 15 novembre 2013 et n° 17 des 30 janvier 2015 et 9 décembre 2016, illicites au regard des articles L. 111-1, L. 111-2, L. 121-17, L. 121-19, L. 121-19-2 et R. 111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, des articles L. 133-1 et L. 133-2 devenus l’article L. 211-1 du code de la consommation et au regard des dispositions contenues dans l’article 6 de la Loi Informatique et Libertés, sont abusives au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation. Elles seront donc réputées non écrites.

20. Clause n° 19 de la DDR du 15 novembre 2013 et n° 18 des 30 janvier 2015 et 9 décembre 2016 :

Clause n° 19 de la Déclaration des droits et responsabilités dans sa version du 15 novembre 2013 :

Autre

1. Si vous résidez aux États-Unis ou au Canada ou que votre lieu d’activité principale y est sis, la présente Déclaration constitue un accord entre vous-même et Facebook, Inc. Dans le cas contraire, la présente Déclaration constitue un accord entre vous-même et Facebook Ireland Limited. Toute référence aux termes « nous » et « notre » signifie soit Facebook, Inc. soit Facebook Ireland Limited, selon le cas applicable.

2. Cette Déclaration constitue l’intégralité de l’accord entre les parties concernant Facebook et annule et remplace tout accord précédent.

3. Si une partie de cette Déclaration est invalidée ou non applicable, le reste restera en vigueur et applicable.

4. Notre manquement à faire appliquer cette Déclaration ne pourra être considéré comme une renonciation.

5. Tout amendement ou dérogation à cette Déclaration doit être établi par écrit et signé par nous.

6. Vous ne transférerez pas les droits ou obligations qui vous incombent dans le cadre de cette Déclaration à un tiers sans notre accord.

7. Tous les droits et obligations dans le cadre de cette Déclaration sont transférables par nous dans le cadre d’une fusion, d’une acquisition, de la vente de nos actifs, d’une demande de tribunaux ou dans d’autres cas.

8. Aucune disposition de cet accord ne peut nous empêcher de respecter la loi.

9. Cette Déclaration ne confère aucun droit à des tiers bénéficiaires.

10. Nous nous réservons tous les droits qui ne vous sont pas explicitement accordés.

11. Vous respecterez toutes les lois applicables lorsque vous utilisez Facebook ou y accédez.

Clause n°18 de la Déclaration des droits et des responsabilités dans sa version du 30 janvier 2015 et du 9 décembre 2016 :

Autre

1. Si vous résidez aux États-Unis ou au Canada (ou si votre lieu principal d’activité s’y trouve), cette Déclaration est un accord entre vous et Facebook, Inc. Si ce n’est pas le cas, cette Déclaration est un accord entre vous et Facebook Ireland Limited. Toute référence aux termes « nous » et « notre » signifie soit Facebook, Inc., soit Facebook Ireland Limited, selon le cas applicable.

2. Cette Déclaration constitue l’intégralité de l’accord entre les parties concernant Facebook et annule et remplace tout accord précédent.

3. Si une partie de cette Déclaration est invalidée ou non applicable, le reste restera en vigueur et applicable.

4. Notre manquement à faire appliquer cette Déclaration ne pourra être considéré comme une renonciation.

5. Tout amendement ou dérogation à cette Déclaration doit être établi par écrit et signé par nous.

6. Vous ne transférerez pas les droits ou obligations qui vous incombent dans le cadre de cette Déclaration à un tiers sans notre accord.

7. Tous nos droits et obligations dans le cadre de cette Déclaration sont librement transférables par nous dans le cadre d’une fusion, d’une acquisition, de la vente de nos actifs, d’une demande de tribunaux ou dans d’autres cas.

8. Aucune disposition de cette Déclaration ne peut nous empêcher de respecter la loi.

9. Cette Déclaration ne confère aucun droit à des tiers bénéficiaires.

10. Nous nous réservons tous les droits qui ne vous sont pas explicitement accordés.

11. Vous respecterez toutes les lois applicables lorsque vous utilisez Facebook ou y accédez.

Les demandes de l’association UFC QUE-CHOISIR ne concernent que les clauses n° 19.2 à 19.10 de la DDR du 15 novembre 2013, devenues les clauses n° 18.2 à 18.10 de la DDR des 30 janvier 2015 et 9 décembre 2016, à l’exclusion de la clause n° 19.8 de la DDR du 15 novembre 2013 et n° 18.8 de la DDR des 30 janvier 2015 et 9 décembre 2016 selon laquelle « Aucune disposition de cette Déclaration ne peut nous empêcher de respecter la loi. »

a) Sur la clause n° 19.2 de la DDR du 15 novembre 2013 devenue la clause n° 18.2 de la DDR des 30 janvier 2015 et 9 décembre 2016 :

L’association reproche aux clauses n° 19.2 du 15 novembre 2013 devenue la clause n° 18.2 de la DDR des 30 janvier 2015 et du 9 décembre 2016 d’affirmer que la DDR constitue l’intégralité de l’accord entre Facebook et les utilisateurs, alors que ce n’est pas le seul document contractuel. Selon l’association, la PUD et les « Standard de la communauté Facebook » sont au même titre que la DDR opposables aux utilisateurs.

La société FACEBOOK maintient l’argument selon lequel la clause critiquée rappelle que le socle contractuel ne serait composé que de la DDR, à l’exclusion d’autres documents, qui ne seraient que des documents informatifs.

Aux termes de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation, les clauses des contrats proposés par les professionnels aux consommateurs doivent être présentées et rédigées de façon claire et compréhensible.

Tel n’est pas le cas des clauses critiquées qui affirment que seul le document intitulé « Déclaration des droits et responsabilités » dite « DDR » est le seul document contractuel, alors qu’au sein de ce document, la clause n° 2.1 de la DDR du 15 novembre 2013, 30 janvier 2015 et du 9 décembre 2016 déclare que le paramétrage s’effectue grâce aux « paramètres de confidentialité », auxquels la clause renvoie ; que la clause n° 19 de la DDR examinée ci-après, prévoit qu’en « utilisant les Services Facebook ou en y accédant, (l’utilisateur donne) l’autorisation de recueillir et d’utiliser les contenus et informations partagés en vertu de (la) Politique d’utilisation des données, qui est susceptible d’être mise à jour à l’occasion (…) » ; que la clause n° 1 à 11 de la PUD du 30 janvier 2015, mars et septembre 2016 indique sous l’intitulé « informations d’inscription » que lorsque (l’utilisateur crée) un compte Facebook, (il doit indiquer) certaines informations parmi lesquelles (son) nom, (son) adresse électronique, (sa) date de naissance et (son) sexe. Dans certains cas, d’autres informations peuvent (lui) permettre de créer un compte (par exemple, (son) numéro de téléphone). »

De sorte que la société FACEBOOK ne peut sans se contredire à la fois soutenir que la DDR est le seul document contractuel et mettre à la charge des utilisateurs de nouvelles obligations au sein de deux autres documents distincts (la « PUD » et les « Standards de la Communauté Facebook »). En effet, le contenu « obligationnel » des deux documents cités dépasse le strict domaine « informatif », auquel la société FACEBOOK souhaiterait, aux termes de ses écritures, les voir cantonner.

D’où il suit que l’ensemble des documents cités forme le socle contractuel des relations régissant la société FACEBOOK avec les utilisateurs du réseau social.

En affirmant dans les clauses n° 19.2 de la DDR du 15 novembre 2013 et n° 18.2 de la DDR des 30 janvier 2015 et 9 décembre 2016 que la DDR est le seul document contractuel, alors que d’autres documents sont sources d’obligations pour les utilisateurs, la clause est illicite au regard de l’article L. 133-2 code de la consommation, devenu article L. 211-1 du code de la consommation.

b) Clause n° 19.3 de la DDR du 15 novembre 2013, devenue la clause n° 18.3 de la DDR des 30 janvier 2015 et 9 décembre 2016 :

L’association UFC-QUE CHOISIR prétend que les clauses critiquées écartent l’anéantissement du contrat dans le cas ou l’une des clauses viendrait à être déclarée illicite ou abusive, sans faire la distinction suivant que la clause est une clause essentielle ou non. La clause serait donc illicite au regard de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation,

La société FACEBOOK réplique que la clause réaffirme le principe du maintien du contrat et non son anéantissement, en cas d’invalidité d’une seule clause et ce conformément à la législation et à la jurisprudence françaises et européennes. Elle précise que si toutefois une clause essentielle au contrat devait être jugée illicite ou abusive, l’utilisateur resterait libre de mettre fin immédiatement au contrat conformément à la clause n° 14 de la DDR.

Les dispositions de l’article L. 132-1 6°) 8°) et 9°) devenu l’article L. 241-1 du code de la consommation, lesquelles sont d’ordre public, prévoient que les clauses abusives sont réputées non écrites, mais que le contrat reste applicable dans toutes ses dispositions, autres que celles jugées abusives, s’il peut subsister sans lesdites clauses.

En prévoyant qu’en cas d’« invalidité » ou d’ »inapplicabilité » d’ »une partie de cette Déclaration », l’utilisateur reste tenu par les autres stipulations « le reste restera en vigueur et applicable « , la clause n° 19.3 de la DDR du 15 novembre 2013, devenue la clause 18.3 de la DDR du 30 janvier 2015 laisse croire à l’utilisateur qu’il revient au fournisseur de réseau social de décider de l’étendue de la sanction invalidant la ou les clause(s) prononcée(s) en justice, alors qu’il appartient au seul juge de décider si cette sanction emporte l’anéantissement d’autres clauses.

De sorte que les clauses n° 19.3 de la DDR du 15 novembre 2013, devenue la clause n° 18.3 de la DDR des 30 janvier 2015 et 9 décembre 2016 ont pour effet d’induire en erreur l’utilisateur sur ses l’étendue de ses droits ; elles sont donc abusives au regard de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation du code de la consommation et seront donc réputées non écrites.

c) Clause n° 19.4 de la DDR du 15 novembre 2013, devenue la clause n° 18.4 de la DDR des 30 janvier 2015 et 9 décembre 2016 :

L’association UFC-QUE CHOISIR critique les clauses n° 19.4 de la DDR du 15 novembre 2013, devenue clause n° 18.4 de la DDR du 30 janvier 2015 et 9 décembre 2016, qui permettent, selon elle, à la société FACEBOOK de ne pas exécuter le contrat, tout en lui reconnaissant la possibilité de ne pas renoncer à ses droits en vertu de ce contrat. Les clauses seraient donc abusives au sens de l’article R.132-1 5°) devenu l’article R. 212-1 5°) du code de la consommation.

Selon la société FACEBOOK la clause n° 19.4, devenue la clause n°18.4, ne l’autorise pas à ne pas exécuter ses obligations. Elle lui permet uniquement de se réserver la possibilité de renoncer à ses propres droits, si elle le souhaite.

En l’espèce, la clause n° 19.4 de la DDR du 15 novembre 2013, devenue la clause n° 18.4 de la DDR du 30 janvier 2015 et 9 décembre 2016 envisage l’hypothèse selon laquelle, « le manquement » de la société FACEBOOK « à faire appliquer cette Déclaration ne pourra être considéré comme une renonciation ».

L’analyse de la formulation particulièrement obscure adoptée par cette clause laisse entrevoir qu’elle vise l’hypothèse d’un « manquement » de la société FACEBOOK (« notre manquement ») à contraindre à l’exécution (« à faire appliquer ») les conditions d’utilisation du réseau social matérialisées par (« cette Déclaration »), sans qu’il soit possible de déterminer exactement à qui s’adresse cette prescription.

On pourrait déduire, ainsi que le suggère la société FACEBOOK en page p. 239 de ses écritures, que les clauses critiquées évoquent la possibilité d’un renoncement (à faire exécuter le contrat), qui ne vaudrait pas renonciation (« ultérieure ») à sanctionner l’utilisateur comme d’ailleurs toute autre personne qui interagit avec le réseau social Facebook, au sens de la clause n° 0.2 de la DDR.

En effet, rien n’indique dans la clause quelle personne est visée. Ce peut être l’utilisateur (cf. clause n° 19.5 de la DDR) ou toute autre personne qui interagit avec le réseau social Facebook.

De sorte qu’à suivre ce raisonnement, la non-exécution du contrat par l’utilisateur ou par tout autre personne serait susceptible d’entrainer (ou non) des sanctions dont l’application serait suspendue à l’appréciation qui pourrait être faite par la société FACEBOOK de l’inexécution en cause et de l’opportunité de la sanction à envisager.

D’où il suit que la clause n° 19.4 de la DDR du 15 novembre 2013, devenue la clause n° 18.4 de la DDR des 30 janvier 2015 et 9 décembre 2016 est abusive au sens de l’article R.132-1 4°) devenu l’article R. 212-1 4°) en ce qu’elle confère réserve au professionnel le droit exclusif d’interpréter une quelconque clause du contrat.

d) Sur la clause n° 19.5 de la DDR du 15 novembre 2013, devenue la clause n° 18.5 de la DDR des 30 janvier 2015 et 9 décembre 2016 :

L’association UFC-QUE CHOISIR reproche à la clause n° 19.5 de la DDR du 15 novembre 2013, devenue la clause n° 18.5 de la DDR des 30 janvier 2015 et 9 décembre 2016 de prévoir que toute modification de la DDR, à l’initiative de Facebook ou de l’utilisateur, doit être expressément accordée par Facebook, par un écrit et signée par elle. L’association relève que la clause n° 14 de la DDR (devenue clause n° 13) mentionne toutefois que la société FACEBOOK se réserve le droit de modifier unilatéralement les conditions contractuelles, en procédant sans notification systématique préalable et en présumant l’adhésion implicite de l’utilisateur à ses nouvelles conditions contractuelles du fait de son utilisation ultérieure des services Facebook. Selon l’association, la clause est abusive au sens de l’article R.132-1 3°), devenu article R. 212-1 3° du code de la consommation.

Selon la société FACEBOOK la clause n° 8.5, qui ne concerne pas les modifications apportées à la DDR (traitées à la clause n° 13), envisage uniquement l’hypothèse selon laquelle la société pourrait, à la demande d’un utilisateur, accepter de modifier ou de déroger à la DDR, une telle modification ou dérogation devant en effet être acceptée par écrit par la société FACEBOOK.

Dans les contrats conclus entre des professionnels et des consommateurs, sont de manière irréfragable présumées abusives, au sens des dispositions des premier et quatrième alinéas de l’article R. 132-1 devenu l’article R. 212-1 du code de la consommation et dès lors interdites, les clauses qui constatent l’adhésion du consommateur à des clauses qui ne figurent pas dans l’écrit qu’il accepte ou qui sont reprises dans un autre document, auquel il n’est pas fait expressément référence lors de la conclusion du contrat et dont il n’a pas eu connaissance avant sa conclusion et celles qui ont pour objet ou pour effet d’accorder au seul professionnel le droit de déterminer si la chose livrée ou les services fournis sont conformes ou non aux stipulations du contrat ou lui conférer le droit exclusif d’interpréter une quelconque clause du contrat.

Tel est le cas de la clause qui mentionne que « Tout amendement ou dérogation à cette Déclaration doit être établi par écrit et signé par nous. »

En l’espèce, ces clauses doivent être lues en combinaison avec d’une part les clauses n° 14 et 13 de la DDR et d’autre part la clause n° 0.2 de la DDR des 15 novembre 2013 et 30 janvier 2015.

En effet, l’examen des clauses n° 14 et 13 de la DDR, précédemment examinées par le Tribunal, a révélé qu’elles conféraient à la société FACEBOOK le droit d’apporter unilatéralement, sans information préalable, des modifications aux conditions d’utilisation, auxquelles l’utilisateur devait se soumettre.

D’où il suit que les clauses actuellement critiquées ne visent donc pas la société FACEBOOK. D’autant qu’il est difficilement envisageable que la société FACEBOOK ait besoin d’un écrit signé par ses soins, confirmant un « amendement ou dérogation », dont elle serait l’auteur.

Les clauses litigieuses ne concernent pas non plus l’utilisateur, comme le soutient pourtant la société FACEBOOK dans ses conclusions, car la DDR « s’adresse » systématiquement à l’utilisateur, dans toutes les clauses qui le concernent, au moyen du vocable « vous ». Ce qui n’est pas le cas en l’espèce.

En définitive, il y a tout lieu de penser que les clauses concernent les « personnes qui interagissent avec FACEBOOK », auxquelles la DDR est également destinée (clause n° 0.2 de la DDR du 15 novembre 2013 et du 30 janvier 2015), en ces termes : « Cette Déclaration des droits et responsabilités (« Déclaration », « Conditions » ou « DDR ») est basée sur les Principes de Facebook et régit notre relation avec les utilisateurs et les personnes qui interagissent avec Facebook. »

Ainsi les clauses n° 19.5 de la DDR du 15 novembre 2013 et n° 18.5 de la DDR des 30 janvier 2015 et 9 décembre 2016, qui envisagent une série d’obligations mises à la charge de personnes non identifiées, sont difficilement compréhensibles par l’utilisateur et sont de nature à susciter des confusions quant au contenu exact de ses obligations.

Ces clauses sont donc illicites, comme contraires à l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation, aux termes duquel les clauses des contrats proposés par les professionnels aux consommateurs doivent être présentées et rédigées de façon claire et compréhensible. Elles seront donc réputées non écrites.

e) Sur les clauses 19.6 et 19.7 de la DDR du 15 novembre 2013, devenue la clause n° 18.7 de la DDR des 30 janvier 2015 et 9 décembre 2016

Selon l’association, les clauses n° 19.6 et n° 19.7 de la DDR du 15 novembre 2013, devenues clauses 18.6 et 18.7 de la DDR du 30 janvier
2015 offrent la possibilité pour Facebook de céder les « droits et obligations », domaine large et imprécis englobant les données à caractère personnel de l’utilisateur, selon l’association, en se limitant à une simple information des utilisateurs, alors qu’aux termes du code de la consommation, le consentement exprès de l’utilisateur au transfert de contrat est requis.

Selon l’association UFC-QUE CHOISIR les clauses précitées sont donc abusives au sens de l’article R. 132-2 5?) du code de la consommation car elles permettraient la cession du contrat de l’utilisateur sans son consentement.

Pour la société FACEBOOK, il est nécessaire d’interdire à l’utilisateur de céder ses droits et obligations et donc de céder son droit d’accès à son « compte Facebook » sans son autorisation préalable dans la mesure où l’utilisateur est tenu d’utiliser le Service Facebook sous sa véritable identité.

La société ajoute que si l’utilisateur souhaite s’opposer à la cession par Facebook Ireland de ses droits et obligations, il peut cesser d’utiliser le Service Facebook et résilier le contrat à tout instant, sans frais et sans motif, assuré de la portabilité de ses contenus et données à caractère personnel conformément à la clause 14 de la DDR.

En l’espèce, les clauses prévoient d’une part que l’utilisateur (« vous ») ne doit pas transférer les droits ou obligations, qui lui incombent dans le cadre de la DDR à un tiers sans l’accord de la société FACEBOOK et d’autre part que la société FACEBOOK se voit transférer tous les droits et obligations issus de la DDR dans le cadre d’une fusion, d’une acquisition, de la vente d’actifs, d’une demande de tribunaux ou dans d’autres cas.

Aux termes de l’article R. 132-2 5?), devenu l’article R. 212-2 5?) du code de la consommation dans les contrats conclus entre des professionnels et des consommateurs, sont présumées abusives au sens des dispositions des premier et cinquième alinéas de l’article L. 212-1, sauf au professionnel à rapporter la preuve contraire, les clauses ayant pour objet ou pour effet de permettre au professionnel de procéder à la cession de son contrat sans l’accord du consommateur et lorsque cette cession est susceptible d’engendrer une diminution des droits du consommateur.

Or, en prévoyant que la cession du contrat de l’utilisateur peut s’effectuer sans son accord, alors qu’aucune garantie ne lui est fourni quant au maintien de ses droits dans le temps, la clause est abusive au sens de l’article précité.

En conséquence, les clauses n° 19.6 et 19.7 de la DDR du 15 novembre 2013, devenue les clauses n° 18.6 et 18.7 de la DDR des 30 janvier 2015 et 9 décembre 2016 sont abusives au sens de l’article R. 132-2 5?), devenu l’article R. 212-2 5?) du code de la consommation et seront donc réputées non écrites.

f) Sur la clause 19.9 de la DDR du 15 novembre 2013, devenue la clause n° 18.9 des 30 janvier 2015 et 9 décembre 2016 :

L’association UFC QUE-CHOISIR reproche aux clauses n° 19.9 de la DDR du 15 novembre 2013, devenue clause 18.9 de la DDR du 30 janvier 2015, de manquer de clarté en assurant l’absence de transfert de droits à des tiers par la DDR, alors que les clauses de la PUD examinées précisent que des tiers bénéficient des données d’utilisateurs. Les clauses seraient, selon l’association, illicites au regard de l’article L.133-2 du code de la consommation, devenu article L. 211-1 du code de la consommation.

Pour la société FACEBOOK la clause n° 18 n’est qu’un rappel du principe de l’effet relatif des contrats. Elle affirme que la DDR ne régit que les relations contractuelles entre elle et l’utilisateur ; elle ne confère aucun droit à des tiers bénéficiaires au titre de ce contrat.

Aux termes de l’article L. 133-2, devenu l’article L. 211-1 du code de la consommation, les clauses des contrats proposés par les professionnels aux consommateurs doivent être présentées et rédigées de façon claire et compréhensible.

En l’espèce, les clauses affirment que la DDR (« cette Déclaration ») « ne confère aucun droit à des tiers bénéficiaires ».

Or, le document intitulé PUD (« Politique d’Utilisation des Données ») fait partie du socle contractuel liant la société FACEBOOK à l’utilisateur, ainsi que le Tribunal l’a précédemment relevé. Ce document évoque les modalités de recueil et d’utilisation de données, dont certaines ont été considérées par le Tribunal comme constituant des données à caractère personnel au sens de l’article 2 de la Loi Informatique et Libertés. Le Tribunal a également constaté que ces données étaient transmises à des tiers.

D’où, il suit qu’en affirmant que la DDR ne confère aucun droit à des tiers bénéficiaires, alors que l’activité de la plate-forme est financée par la vente d’espaces publicitaires en liaison avec le transfert de données personnelles des utilisateurs, les clauses critiquées sont illicites au regard de l’article L. 133-2, devenu l’article L. 211-1 du code de la consommation. Elles seront donc réputées non-écrites.

g) Sur la clause n° 19.10 de la DDR du 15 novembre 2013, devenue la clause 18.10 des 30 janvier 2015 et 9 décembre 2016 :

L’association UFC QUE-CHOISIR reproche à la clause n° 19.10 de la DDR du 15 novembre 2013, devenue la clause 18.10 de la DDR des 30 janvier 2015 et 9 décembre 2016 de prévoir que les droits qui ne sont pas explicitement accordés aux utilisateurs sont automatiquement réservés à. Or, selon l’association, la DDR est éparse et particulièrement obscure de sorte qu’il est très difficile pour l’utilisateur de savoir quels sont les droits qui lui sont explicitement accordés et ceux qui ne le sont pas et qui par suite bénéficieront à la société FACEBOOK. Selon l’association, les clauses seraient donc abusives au regard des articles R.132-1 4° et 6° devenus articles R. 212-1 4°et 6°) du code de la consommation.

La société FACEBOOK fait valoir que la clause 18.10 constitue une règle d’interprétation, selon laquelle l’utilisateur ne se voit accorder aucun droit implicite.

Aux termes de l’article R.132-1, devenu l’article R. 212-1 du code de la consommation, dans les contrats conclus entre des professionnels et des consommateurs, sont de manière irréfragable présumées abusives, au sens des dispositions des premier et quatrième alinéas de l’article L. 212-1 et dès lors interdites, les clauses ayant pour objet ou pour effet d’accorder au seul professionnel le droit de déterminer si la chose livrée ou les services fournis sont conformes ou non aux stipulations du contrat ou lui conférer le droit exclusif d’interpréter une quelconque clause du contrat (article R.132-1 4°) devenu l’article R. 212-1 4°)), de supprimer ou réduire le droit à réparation du préjudice subi par le consommateur en cas de manquement par le professionnel à l’une quelconque de ses obligations (article R.132-1
6°), devenu l’article R. 212-1 6°) du code de la consommation).

En prévoyant qu’au sein de la DDR, qui contient de nombreuses clauses peu compréhensibles voire obscures pour l’utilisateur, la société FACEBOOK se réserve « tous les droits qui ne sont pas explicitement accordés (à l’utilisateur) », les clauses n° 19.10 de la DDR du 15 novembre 2013 et n° 18.10 de la DDR des 30 janvier 2015 et 9 décembre 2016, ont pour objet de conférer au professionnel, fournisseur d’un service de réseautage social, un droit exclusif d’interpréter une quelconque clause du contrat et, par voie de conséquence, de limiter le droit à réparation du préjudice subi par le consommateur, en cas de manquement par le professionnel à l’une quelconque de ses obligations.

Les clauses n° 19.10 de la DDR du 15 novembre 2013, devenue la clause 18.10 de la DDR des 30 janvier 2015 et 9 décembre 2016 sont donc abusives au sens de l’article article R.132-1 4°) et 6°) devenu l’article R. 212-1 4°) et 6°) du code de la consommation.

En conséquence, les clauses n° 19.2, 19.2, 19.3, 19.4, 19.5, 19.6 et 19.7, 19.9, 19.10 de la DDR du 15 novembre 2013, devenue la clause 18.10 de la DDR des 30 janvier 2015 et 9 décembre 2016, illicites au regard de l’article L. 133-2 code de la consommation, devenu article L. 211-1 du code de la consommation et abusives au regard de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation, de l’article R.132-1 4°) et 6°) devenu l’article R. 212-1 4°) et 6°), de l’article R. 132-2 5?), devenu l’article R. 212-2 5?) du code de la consommation, seront réputées non écrites.

21. Clause n° 20 de la DDR du 15 novembre 2013 et n° 19 des 30 janvier 2015 et décembre 2016 :

Clause n° 20 de la Déclaration des droits et des responsabilités du 15 novembre 2013 :

Afin d’obtenir des informations supplémentaires relatives à votre utilisation de Facebook, nous vous recommandons également de consulter les documents suivants :

Politique d’utilisation des données : La Politique d’utilisation des données contient des informations sur les données que nous recueillons et de l’utilisation que nous en faisons.

Conditions de paiement : ces termes supplémentaires s’appliquent à tous les paiements effectués sur Facebook.

Page Plate-forme : cette page contient des informations présentant ce qui se produit lorsque vous ajoutez une application créée par un tiers ou utilisez Facebook Connect, y compris la façon dont ces tiers peuvent utiliser les données qui vous concernent.

Règles applicables à la plate-forme Facebook : ces règles s’appliquent aux applications, y compris les sites Connect.

Règles applicables à la plate-forme Facebook : ces règles s’appliquent aux applications, y compris les sites Connect.

Règles applicables à la plate-forme Facebook : ces règles s’appliquent aux applications, y compris les sites Connect.

Règles promotionnelles : Ces directives présentent les règles applicables si vous gérez des concours, des loteries ou d’autres types de promotions sur Facebook.

Éléments de marque Facebook : Ces directives soulignent les règles applicables à l’utilisation des marques, logos et captures d’écran Facebook.

Comment signaler les infractions aux droits de propriété intellectuelle ? Conditions applicables aux Pages : Ces directives s’appliquent à votre utilisation des Pages Facebook.

Standards de la communauté : Ces directives soulignent nos attentes quant au contenu que vous publiez sur Facebook et à vos activités sur Facebook.

Clause n°19 de la Déclaration des droits et responsabilités du 30 janvier 2015 et du 9 décembre 2016 :

En utilisant les Services Facebook ou en y accédant, vous nous donnez l’autorisation de recueillir et d’utiliser les contenus et informations partagés en vertu de notre Politique d’utilisation des données, qui est susceptible d’être mise à jour à l’occasion.

Afin d’obtenir des informations supplémentaires relatives à votre utilisation de Facebook, nous vous recommandons également de consulter les documents suivants :

Conditions de paiement : ces conditions supplémentaires s’appliquent à tous les paiements effectués sur ou par le biais de Facebook, sauf lorsqu’il est mentionné que d’autres conditions distinctes s’appliquent.

Page Plate-forme : cette page vous explique ce qui se produit lorsque vous ajoutez une application créée par un tiers ou utilisez Facebook Connect, notamment la façon dont ces tiers peuvent utiliser les données qui vous concernent.

Règles applicables à la plate-forme Facebook : ces règles s’appliquent aux applications, notamment les sites Connect.

Règles applicables aux Publicités : ces règles s’appliquent aux publicités diffusées sur Facebook.

Conditions relatives à la publicité en libre-service : ces conditions s’appliquent lorsque vous utilisez les interfaces de publicité en libre- service pour créer, envoyer ou diffuser une publicité, ou une activité ou un contenu commercial ou sponsorisé.

Règles applicables aux promotions : ces règles s’appliquent aux concours, tirages au sort ou autres types de promotions que vous proposez sur Facebook.

Éléments de marque Facebook : ces directives soulignent les règles applicables à l’utilisation des marques, logos et captures d’écran Facebook.

Comment signaler les infractions aux droits de propriété intellectuelle ? Conditions applicables aux Pages : ces directives s’appliquent à votre utilisation des Pages Facebook.

Standards de la communauté : ces directives soulignent nos attentes quant au contenu que vous publiez sur Facebook et à vos activités sur Facebook.

Pour l’UFC QUE-CHOISIR, les clauses critiquées ne mettent pas l’utilisateur en mesure de savoir si la liste – non exhaustive car la « Politique d’utilisation des cookies » n’y figure pas – des éléments appartiennent ou non au socle contractuel de Facebook, Elle ajoute que dans la version du 30 janvier 2015, la clause présume la prise de connaissance des dispositions de la PUD. Les clauses sont, selon elle, illicites au regard des articles L. 111-1, L. 111-2 devenu les articles L. 111-2 et L. 111-3, R. 111-2, devenu les articles R. 111-2 et R. 111-3, l’article L.133-2, devenu l’article L. 211-1 du code de la consommation et abusives au sens de l’article R. 132-1 1°) devenu article R. 212-1 1°) du code de la consommation.

Selon la société FACEBOOK, la DDR est le seul document qui régit la relation contractuelle entre elle et les utilisateurs. Les autres documents identifiés dans la DDR sont des documents d’information et non des documents contractuels. Chacun de ces documents d’information est accessible par lien hypertexte.

La société FACEBOOK ajoute qu’elle recueille lors de son inscription sur le site le consentement exprès de l’utilisateur, qui accepte la DDR et déclare avoir pris connaissance de la PUD, laquelle décrit l’utilisation qui sera faite de ses données à caractère personnel.

a) Sur l’intelligibilité des clauses critiquées :

La société FACEBOOK affirme que la clause vise à récapituler l’ensemble des documents d’information supplémentaire visés dans la DDR. Elle soutient que la présentation de ces documents permet aux utilisateurs distinguer facilement les termes qui composent le contrat qu’ils ont conclu. Ces documents à valeur d’information sont référencés dans la DDR et sont accessibles par un lien hypertexte. Elle conteste le caractère contractuel de la PUD, des Standards de la communauté et la Politique d’utilisation des cookies (L’Utilisation des cookies).

Aux termes de l’article L. 133-2, devenu l’article L. 211-1 du code de la consommation, les clauses des contrats proposés par les professionnels aux consommateurs doivent être présentées et rédigées de façon claire et compréhensible.

Tel n’est pas le cas des clauses critiquées, qui mélange voire enchevêtre documents contractuels et documents informatifs.

En effet, il ressort des documents produits au débat, notamment de la pièce UFC n° 4 présentant une capture d’écran de la page web « https://www.facebook.com/policies/ref=pf », portant un intitulé en lettres blanches de caractère gras sur fond vert « Conditions et règlements de Facebook «  et présentant sur le même fond vert, en caractères normal un sous-titre de couleur bleue « Tout ce que vous devez savoir réuni en un même endroit », que figurent au titre des documents contractuels :

– La « Déclaration des droits et responsabilités » sous-titrée « Conditions que vous acceptez quand vous utilisez Facebook « ,

– La « Politique d’utilisation des données » sous-titrée « Les informations que nous recevons et leur utilisation »),

– Les « Standards de la communauté » sous-titrée « Ce qui est interdit et comment signaler un abus ».

Figurent sur la même page, des titres présentés comme « activités » : Publicités et actualités sponsorisés, Conditions d’utilisation des crédits Facebook, Pages, Plate-forme, Conditions de paiement, Promotions, Eléments de marque.

Il ressort également des documents produits la « Capture d’écran de la bannière figurant sur la page d’accueil du site » (Pièce FACEBOOK n°2 bis), que deux des trois documents précités figurent dans la bannière du site visible lors de l’inscription de l’utilisateur sur le site du réseau social sur la page d’accueil :

– La Déclaration des droits et responsabilités,

– La Politique d’utilisation des données,

– L’Utilisation des cookies.

Les « Standards de la communauté  » ne figurent pas sur cette page d’accueil.

Il est rappelé à cette occasion que ces trois « documents » font l’objet au moment de l’inscription de l’utilisateur sur le réseau d’un consentement de sa part, qui a été qualifié d’ »implicite » par le Tribunal lors de l’examen de la clause n° 0.2 de la DDR du 15 novembre 2013 et du 30 janvier 2015.

Or, l’analyse combinée de la DDR, de la PUD, des Standards de la communauté et de la Politique d’utilisation des cookies, révèle que les trois derniers documents cités, loin d’être cantonnés, dans l’ensemble des conditions générales d’utilisation, à une fonction purement informative – à laquelle la société FACEBOOK prescrit dans ses écritures de les assigner – constituent des documents contractuels, contenant des dispositions (via de nombreux renvois par lien hypertexte), qui précisent, réitèrent les dispositions de la DDR, voire créent de nouvelles règles mises à la charge de l’utilisateur, alors que d’autres dispositions relèvent du champ informatif, voire du mode d’emploi du site.

Il en est ainsi des dispositions, qui, via de multiples renvois par lien hypertexte, précisent, tout en diluant l’information dans plusieurs documents distincts, les informations fournies par l’utilisateur lors de son inscription (cf. clause n° 4.1 de la DDR et les clauses n° 2 de la PUD et 5, 5.1 des « Standards de la communauté ») ou les informations relatives à l’affichage de la publicité ciblée, lesquelles sont noyées dans deux documents distincts (la PUD et la Politique d’utilisation des cookies).

Il en est de même des dispositions qui réitèrent des règles déjà énoncées dans la DDR, à l’instar des règles relatives au « caractère public » des informations fournies par l’utilisateur (cf. les clauses n° 10.1, n° 19 de la DDR et les clauses n° 23, 24 et 25 de la PUD).

Il n’en est pas autrement des dispositions, qui créent de nouvelles règles, de nouvelles obligations, auxquelles l’utilisateur doit se soumettre. C’est ainsi que les dispositions contenues dans la clause n° 19 prévoient que le simple accès au réseau social ou son utilisation donne de facto l’autorisation à la société FACEBOOK de recueillir et d’utiliser les contenus et informations partagés en vertu de sa PUD, laquelle est « susceptible d’être mise à jour à l’occasion ». De la même manière, les dispositions figurant dans la politique d’utilisation des cookies (Utilisation des cookies) instituent de nouvelles règles, que l’utilisateur doit observer.

Il résulte de ce qui précède, que la DDR, la PUD, les « Standards de la communauté », la « Politique d’utilisation des cookies » sont des documents, qui figurent au rang des documents contractuels et qui composent les « Conditions Générales d’Utilisation » du réseau social.

Ainsi, les clauses n° 20 de la DDR du 15 novembre 2013 et n° 19 des 30 janvier 2015 et décembre 2016 sont illicites au regard de l’article L. 133-2, devenu l’article L. 211-1 du code de la consommation, en ce qu’elles invitent l’utilisateur à « obtenir des informations supplémentaires relatives à (l’) utilisation de Facebook » au travers d’une liste composite de documents, au sein desquels certaines dispositions relèvent du domaine contractuel, alors que d’autres relèvent du domaine informatif voire du mode d’emploi du réseau social, ce procédé rédactionnel ne permettant pas à l’utilisateur de distinguer les documents et/ou les dispositions, qui constituent les « Conditions Générales d’Utilisation » du réseau social Facebook.

b) Sur l’adhésion implicite de l’utilisateur aux conditions générales d’utilisation :

La société FACEBOOK affirme qu’elle ne présume pas le consentement de l’utilisateur à la PUD et qu’elle recueille le consentement exprès de l’utilisateur à son inscription sur le site Facebook, puisqu’en cliquant sur le bouton « Inscription », il accepte la DDR, qui prévoit que l’utilisateur donne son autorisation pour l’utilisation de ses données à caractère personnel, en déclarant avoir « pris connaissance » de la PUD, document décrivant l’utilisation qui sera faite de ses données à caractère personnel. Selon la société FACEBOOK, l’article R. 132-1, 1°) du code de la consommation serait donc inapplicable.

Aux termes de l’article L. 111-2 du code de la consommation devenus les articles L. 111-1 et L. 111-2, de l’article R. 111-2 I et III, devenu l’article R. 111-2 7°) du code de la consommation, le professionnel, prestataire de services, est tenu de mettre le consommateur en mesure de connaître les caractéristiques essentielles du service et, s’il en utilise, les conditions générales, avant la conclusion du contrat et, en tout état de cause, lorsqu’il n’y pas de contrat écrit, avant l’exécution de la prestation de services.

Ainsi, l’obligation d’information précontractuelle consacrée par les articles L.111-1, L.111-2, et, s’agissant de contrat conclu à distance, dans les articles L. 121-17, L. 121-19, L. 121-19-2 et R. 111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R. 111-2 du code de la consommation, oblige le prestataire de services à informer précisément le consommateur, de manière lisible et compréhensible, avant la conclusion du contrat des caractéristiques essentielles du service de façon à éclairer le consentement du consommateur.

Tel n’est pas le cas des clauses critiquées, qui prévoient que la seule inscription et la navigation ultérieure sur le site, emportent l’adhésion implicite de l’utilisateur aux conditions d’utilisation en vigueur, l’information « précontractuelle » dispensée étant, au mieux, concomitante à l’inscription initiale et non préalable à celle-ci, la navigation ultérieure sur le site valant acceptation implicite des conditions générales en vigueur au moment de l’utilisation du site.

Aux termes de l’article R 132-1 1°) devenu l’article R. 212-1 du code de la consommation, dans les contrats conclus entre des professionnels et des consommateurs, sont présumées abusives de manière irréfragable, au sens des dispositions des premier et quatrième alinéas de l’article L. 212-1 et dès lors interdites, les clauses ayant pour objet ou pour effet de constater l’adhésion du consommateur à des clauses qui ne figurent pas dans l’écrit qu’il accepte ou qui sont reprises dans un autre document auquel il n’est pas fait expressément référence lors de la conclusion du contrat et dont il n’a pas eu connaissance avant sa conclusion.

En prévoyant que l’accès puis l’utilisation du site vaut acceptation des conditions générales d’utilisation, à un moment où l’utilisateur n’a pas pu avoir accès à celles-ci, la clause n° 19 du 30 janvier 2015 et 9 décembre 2016 de la DDR, est, tout comme la clause n° 0.2 de la DDR précédemment examinée par le Tribunal, abusive au sens de l’article R. 132-1, 1°) devenu l’article R. 212-1 du code de la consommation. Elle sera donc réputée non écrite.

En conséquence, la clause n° 20 du 15 novembre 2013, illicite au regard des articles L. 111-1, L. 111-2 devenu les articles L. 111-2 et L. 111-3, R. 111-2 devenu les articles R. 111-2 et R. 111-3, l’article L.133-2, devenu l’article L. 211-1 du code de la consommation, sera réputée non écrite. Les clauses n° 19 des 30 janvier 2015 et 9 décembre 2016, illicites au regard des articles L. 111-1, L. 111-2 devenu les articles L.111-2 et L. 111-3, R. 111-2 devenu les articles R. 111-2 et R. 111-3, l’article L. 133-2, devenu l’article L. 211-1 du code de la consommation et abusives au sens de l’article R. 132-1 1°) devenu article R. 212-1 1°) du code de la consommation seront réputées non écrites.

B. Sur la politique d’utilisation des données :

Alors que les termes de l’assignation de l’UFC QUE-CHOISIR reprennent pour l’ensemble des versions du contrat la nomenclature des clauses adoptée dans la version de 2013, la société FACEBOOK répond aux critiques de l’UFC QUE-CHOISIR rubrique par rubrique et non clause par clause et sur la seule version du contrat datant de 2016.

Le document intitulé « Politique d’Utilisation des données » (PUD) se présente des versions de 2013 2015, 2016 sous une forme compacte sur plus de 8 pages. Il est introduit par un préambule (clauses n° 1 et 2 de la PUD du 30 janvier 2015, mars et septembre 2016 et du 29 septembre 2016), qui annonce jusqu’à 13 rubriques non numérotées (PUD 2015 et 2016), comportant chacune 8 à 9 sous-rubriques compactes non numérotées de 10 à 20 lignes chacune.

Ces rubriques sont intitulées :

1. « Les informations que nous recevons et leur utilisation » (2013)
ou « Quels types d’informations recueillons nous » (2015, 2016),

2. « Comment utilisons-nous vos informations ? » (2015, 2016),

3.  » Comment ces informations sont-elles partagées ? » (2015, 2016),

4. « Comment puis-je gérer ou supprimer les informations me concernant ?

5. Comment procédons-nous pour répondre aux demandes légales et pour éviter tout risque de dommage ? (2015, 2016) »

6. « Comment procéderons-nous pour aviser des modifications apportées à la présente politique ? » (2015),

7. « Fonctionnement de nos services mondiaux » (2015),

8. « Comment adresser vos questions à Facebook ? » (2015),

9. « Contrôle publicitaires » (2015),

10. « Les bases de la confidentialité » (2015), « Principes de base liés à la confidentialité » (2016),

11. « Conditions » (2015), « Termes » (2016),

12. « Ressources complémentaires » (2015, 2016) (Outils interactifs, « Politique d’Utilisations de cookies », Personnes mineures et sécurité, Page confidentialité de Facebook, Page relatives à la sécurité de Facebook, Page Facebook Site Governance. »

Les rubriques figurant dans la version de 2013 « Publications et vous trouver sur Facebook » (paramétrage) (2013), « Autres sites Web et applications », « Publicité et contenu Facebook », « Cookies, Pixels et autres technologies semblables », « Autres informations dont vous devez avoir connaissance » ont disparu des versions ultérieures sous cet intitulé. Leur contenu a été réintégré sous d’autres appellations dans d’autres rubriques dans les versions de 2015 et 2016.

1. Clauses n° 1 et n° 2 de la PUD du 30 janvier 2015, de mars et septembre 2016 et du 29 septembre 2016 :

Les clauses n° 1 et 2 de la PUD sont composées de deux paragraphes dont la société FACEBOOK affirme qu’ils n’ont qu’une portée introductive, qui a pour objet d’annoncer les rubriques envisageant de manière détaillée la manière dont les données à caractère personnel de l’utilisateur sont traitées.

Clauses n° 1 et n° 2 de la Politique d’utilisation des données du 30 janvier 2015 :

Nous vous donnons la possibilité de partager afin de rendre le monde plus ouvert à la communication. La présente politique indique le type de données que nous recueillons et l’utilisation que nous en faisons. Retrouvez d’autres outils et plus d’informations à la section Informations de base sur la confidentialité.

Veuillez garder à l’esprit que notre politique s’applique à toutes les marques, tous les produits et tous les services de Facebook qui ne disposent pas de politique de confidentialité distincte ou qui sont reliés à la présente politique, que nous appelons les « services Facebook » ou « services ».

Clauses n° 1 et n° 2 de la Politique d’utilisation des données de mars et septembre 2016 et du 29 septembre 2016 :

Nous vous donnons la possibilité de partager afin de rendre le monde plus ouvert à la communication. La présente politique indique le type de données que nous recueillons, l’utilisation que nous en faisons et la façon dont nous les partageons. Retrouvez d’autres outils et plus d’informations à la section Principes de base liés à la confidentialité.

Veuillez garder à l’esprit que notre politique s’applique à toutes les marques, tous les produits et tous les services de Facebook qui ne disposent pas de politique de confidentialité distincte ou qui sont reliés à la présente politique, et que nous appelons les « services Facebook » ou « Services ».

L’association UFC QUE-CHOISIR reproche aux clauses critiquées d’être évasives et de ne donner aucune information aux utilisateurs du réseau social sur la collecte, le traitement et la diffusion des données à caractère personnel. Selon l’association, ces clauses ne permettent aux utilisateurs consommateurs d’avoir pleinement conscience de la collecte de leurs données à caractère personnel par la société FACEBOOK, des destinataires de ces données lorsqu’elles sont « partagées » par la société FACEBOOK et des finalités du traitement, pour lesquelles ces données sont collectées ; elles se contentent de présumer l’adhésion à toute communication ou divulgation des données à caractère personnel à l’égard des tiers, sans rappeler la finalité commerciale d’une telle divulgation, ni permettre à l’utilisateur de s’y opposer.
Ces clauses seraient ainsi illicites au regard des articles L.111-1, L.111-2 du code de la consommation, devenus les articles L. 111-2 et L. 111-3 du code de la consommation, l’article L.121-17, devenu les articles L. 221-5, L. 221-6 et L. 221-7 du code de la consommation, l’article L.121-19, devenu l’article L. 221-11 du code de la consommation, R. 111-2 devenu les articles R. 111-2 et R. 111-3 du code de la consommation, l’article L.133-2 du code de la consommation, devenu l’article L. 211-1 du code de la consommation, l’article 32 de la Loi Informatique et Libertés, l’article 10 de la Directive 95/46 CE. Elles seraient abusives au sens de l’article L.132-1 du code de la consommation, devenu l’articles L. 212-1, L. 212-3 et L. 241-1 du code de la consommation.

En réponse, la société FACEBOOK fait valoir que les clauses critiquées définissent l’objet de la PUD ; elles en constituent le préambule. L’ensemble des caractéristiques du traitement de ses données à caractère personnel de l’utilisateur sont fournis en détail dans les rubriques de la PUD. Les clauses critiquées sont donc licites tant au regard des dispositions de la Loi Informatique et Libertés qu’au regard du code de la consommation.

Au sens de l’article 2 de la Loi Informatique et Libertés, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Il en est ainsi des nom, photo de profil, contenus et informations que l’utilisateur dépose consciemment ou non lors de son inscription sur le réseau social et lors de sa navigation ultérieure. Elles constituent des données à caractère personnel au sens de l’article 2 de la Loi Informatique et Libertés.

Aux termes de l’article 6 de la Loi Informatique et Libertés, un traitement ne peut porter sur des données à caractère personnel que si ces données sont collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et qu’elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités initiales. Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

Aux termes de l’article 32-I 2°) et 5°) de la Loi Informatique et Libertés, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable par le responsable de traitement ou son représentant, de la finalité du traitement et des destinataires ou catégories de destinataires des données.

Aux termes de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation, dans les contrats conclus entre professionnels et consommateurs, sont abusives les clauses qui ont pour objet ou pour effet de créer, au détriment du consommateur, un déséquilibre significatif entre les droits et obligations des parties au contrat.

Etant rappelé que le caractère abusif d’une clause s’apprécie en se référant à toutes les autres clauses du contrat, sans préjudice des règles d’interprétation prévues aux articles 1188, 1189, 1191 et 1192 du code civil.

En l’espèce, les clauses critiquées constituent une introduction à la Politique d’utilisation des données (PUD), document destiné, selon la société FACEBOOK, à informer l’utilisateur sur le type de données qu’elle recueille auprès de l’utilisateur et l’utilisation qui en est faite. Ces clauses feront l’objet d’appréciation sur le caractère abusif ou non en référence à toutes les autres clauses du contrat.

S’agissant des données à caractère personnel répondant à la définition de l’article 2 de la Loi Informatique et Libertés précité et notamment des nom, adresse électronique, date de naissance et sexe voire numéro de téléphone de l’utilisateur, requis lors de son inscription sur le réseau social, la lecture des 146 clauses composant la PUD révèlent, qu’aucune d’entre elles n’informe l’utilisateur sur la nature des données collectées.

Elles ne donnent pas d’information sur leur traitement, les destinataires et les finalités de ce traitement ni ne requièrent le consentement de l’utilisateur à la collecte et au traitement de ces données à caractère personnel.

D’où il suit que les clauses n° 1 et n° 2 de la PUD du 30 janvier 2015, de mars et septembre 2016 et du 29 septembre 2016, lorsqu’elles sont lues en combinaison avec l’ensemble des clauses composant le document, ne répondent ni aux exigences des articles 6 et 32-I 2°) de la Loi Informatique et Libertés ni à celles de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation.

Elles sont donc illicites à leur égard et abusives au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation.

2. Clauses n° 1 à 8.2 et n° 8.9 de la PUD du 15 novembre 2013, les clauses n° 3 à 7 de la PUD du 30 janvier 2015, de mars et septembre 2016 et du 29 septembre 2016 :

Clauses n° 1 à 11 de la Politique d’utilisation des données du 15 novembre 2013 :

I. Informations que nous recevons et utilisation que nous en faisons

Informations que nous recevons à votre sujet

Nous recevons un certain nombre de types d’informations différents vous concernant, notamment :

Vos informations

Vos informations correspondent aux informations requises pour vous connecter au site, ainsi que les informations que vous choisissez de partager.

Information d’inscription : Lorsque vous créez un compte Facebook, vous devez indiquer certaines informations parmi lesquelles votre nom, votre adresse électronique, votre date de naissance et votre sexe. Dans certains cas, d’autres informations peuvent vous permettre de créer un compte (par exemple, votre numéro de téléphone)

Informations que vous choisissez de communiquer : Vos informations incluent également les informations que vous choisissez de partager sur Facebook, par exemple en publiant une mise à jour de statut, téléchargeant une photo ou commentant l’actualité d’un ami.

Cela comprend également les informations que vous choisissez de partager lors de vos communications avec nous, comme lorsque vous nous contactez à l’aide d’une adresse électronique ou ainsi que le que vous entreprenez une action, par exemple lorsque vous ajoutez un ami, que vous indiquez que vous aimez une Page ou un site web, que vous ajoutez un lieu dans une actualité, que vous utilisez nos outils d’importation de contacts ou que vous indiquez que vous êtes en couple. Votre nom, vos photos de profil, vos photos de couverture, vos réseaux, votre nom d’utilisateur et votre identifiant sont traités comme toute autre information que vous choisissez de rendre publique.

Votre date de naissance nous permet de vous fournir des informations, comme vous montrer des contenus ou des publicités en fonction de votre âge.

Informations que d’autres communiquent à votre propos

Nous pouvons recevoir des informations vous concernant par le biais de vos amis, par exemple lorsqu’ils téléchargent vos coordonnées, publient une photo de vous, vous identifient sur une photo, dans une publication ou dans un lieu, ou vous ajoutent à un groupe.

Les personnes qui utilisent Facebook peuvent enregistrer et communiquer les informations dont elles disposent à votre propos ou à propos d’autres personnes, comme lorsqu’elles téléchargent ou gèrent leurs invitations et contacts.

Autres informations que nous recevons à votre sujet

Nous recevons également d’autres types d’informations vous concernant: Nous recevons des données à votre sujet à chaque fois que vous entreprenez une action dans Facebook, par exemple lorsque vous consultez le journal d’une autre personne, envoyez ou recevez un message, recherchez un(e) ami(e) ou une Page, cliquez sur quelque chose ou affichez quelque chose, utilisez une application mobile Facebook ou faites des achats via Facebook. Lorsque vous publiez des informations telles que des photos ou des vidéos sur Facebook, nous pouvons recevoir des données supplémentaires (ou métadonnées), comme l’heure, la date et l’endroit où vous avez pris la photo ou la vidéo.

Comme cela est décrit dans la section Utilisation des informations que nous recevons, nous recueillons également les données provenant d’informations que nous possédons déjà à votre sujet et à propos de vos amis et de tiers afin de vous proposer et de vous suggérer divers services et fonctionnalités. Nous pouvons, par exemple, suggérer des amis, sélectionner des actualités pour votre fil d’actualité ou suggérer d’identifier des personnes dans des photos. Nous pouvons associer votre ville actuelle, vos coordonnées GPS et d’autres informations géographiques pour, par exemple, vous informer et informer vos amis de la proximité de personnes, d’évènements ou de bons plans qui pourraient vous intéresser. Nous pouvons également recueillir des données vous concernant pour vous diffuser des publicités ou d’autres contenus mieux adaptés à votre profil.

Clauses n° 3 à 7 de la Politique d’utilisation des données du 30 janvier 2015 :

I. Quels types d’informations recueillons-nous ?

En fonction des services auxquels vous avez recours, nous recueillons différents types d’informations sur vous ou venant de vous.

1. Vos activités et les informations que vous fournissez

Nous recueillons le contenu ainsi que d’autres types d’informations que vous fournissez lorsque vous avez recours à nos services, notamment lorsque vous créez un compte, créez ou partagez du contenu ou encore lorsque vous communiquez avec d’autres utilisateurs. Ceci peut comprendre des informations concernant le contenu que vous partagez, telles que le lieu d’une photo ou encore la date à laquelle un fichier a été créé. Nous recueillons également des informations concernant la manière dont vous utilisez nos services, telles que les types de contenu que vous consultez ou avec lesquels vous interagissez, ou encore la fréquence et la durée de vos activités.

Les activités des autres utilisateurs et les informations qu’ils fournissent

Nous recueillons également les contenus et les informations que les autres utilisateurs fournissent lorsqu’ils ont recours à nos services, notamment des informations sur vous, par exemple lorsqu’ils partagent une photo de vous, vous envoient un message ou encore lorsqu’ils téléchargent, synchronisent ou importent vos coordonnées.

Vos réseaux de contacts

Nous recueillons des informations sur les personnes et les groupes avec lesquels vous êtes en contact, ainsi que la manière dont vous interagissez avec eux (par exemple, les personnes avec qui vous communiquez le plus ou encore les groupes au sein desquels vous aimez vous exprimer). Nous recueillons également les coordonnées que vous téléchargez, synchronisez ou importez (un carnet d’adresses par exemple) à partir d’un appareil.

Informations relative aux paiements

Si vous avez recours à nos services pour effectuer un achat ou une transaction financière (par exemple, lorsque vous effectuez un achat sur Facebook ou dans un jeu, ou encore lorsque vous faites un don), nous recueillons vos données d’achat ou de transaction. Ceci comprend vos informations de paiement, telles que le numéro de votre carte de crédit ou de débit et d’autres informations concernant votre carte, ainsi que d’autres données de compte et informations d’authentification, vos données de facturation, de livraison et vos cos ordonnées.

Clauses n° 3 à 7 de la Politique d’utilisation des données de mars et septembre 2016 :

Quels types d’informations recueillons-nous ?

En fonction des Services auxquels vous avez recours, nous recueillons différents types d’informations vous concernant ou venant de vous.

Vos activités et les informations que vous fournissez.

Nous recueillons le contenu ainsi que d’autres types d’informations que vous fournissez lorsque vous avez recours à nos Services, notamment lorsque vous créez un compte, créez ou partagez du contenu ou encore lorsque vous communiquez avec d’autres personnes. Ceci peut comprendre des informations concernant le contenu que vous partagez, telles que le lieu d’une photo ou encore la date à laquelle un fichier a été créé. Nous recueillons également des informations concernant la manière dont vous utilisez nos Services, telles que les types de contenu que vous consultez ou avec lesquels vous interagissez, ou encore la fréquence et la durée de vos activités.

Les activités des autres personnes et les informations qu’elles fournissent.

Nous recueillons également les contenus et informations que les autres personnes fournissent lorsqu’elles ont recours à nos Services, notamment des informations vous concernant, par exemple lorsqu’elles partagent une photo de vous, vous envoient un message ou encore lorsqu’elles téléchargent, synchronisent ou importent vos coordonnées.

Vos réseaux de contacts.

Nous recueillons des informations sur les personnes et les groupes avec lesquels vous êtes en contact, ainsi que la manière dont vous interagissez avec eux (par exemple, les personnes avec qui vous communiquez le plus ou encore les groupes au sein desquels vous aimez vous exprimer). Nous recueillons également les coordonnées que vous téléchargez, synchronisez ou importez (un carnet d’adresses, par exemple) à partir d’un appareil.

Informations relatives aux paiements.

Si vous avez recours à nos Services pour effectuer un achat ou une transaction financière (par exemple, lorsque vous effectuez un achat sur Facebook ou dans un jeu, ou encore lorsque vous faites un don), nous recueillons des données concernant cet achat ou cette transaction. Ceci comprend vos informations de paiement, telles que le numéro de votre carte de crédit ou de débit et d’autres informations concernant votre carte, ainsi que d’autres données de compte et informations d’authentification, vos données de facturation, de livraison et vos coordonnées.

Selon l’association UFC QUE CHOISIR, la société FACEBOOK utilise des termes génériques et imprécis comme « données » et « informations » pour désigner toutes les données y compris les données à caractère personnel de l’utilisateur. L’association reproche le caractère flou de ces termes ainsi que la présomption de consentement de l’utilisateur à l’exploitation de ses données qui ne permettent pas à l’utilisateur d’agir en connaissance de cause et de protéger ses données à caractère personnel. L’association considère que les clauses sont illicites au regard des articles L. 111-1 et L.111-2 Code de la consommation, devenus les articles L. 111-2 et L. 111-3 du code de la consommation, de l’article L.121-17, devenu les articles L. 221-5, L. 221-6 et L. 221-7 du code de la consommation, de l’article L. 121-19-2, devenu l’article L. 221-13 du code de la consommation, de l’article R. 111-2 devenu les articles R. 111-2 et R. 111-3 du code de la consommation, de l’article L.133-2, devenu l’article L. 211-1 du code de la consommation, de l’article 6 de la Loi Informatique et Libertés, de l’article 6 de la Directive 95/46 CE. Les clauses critiquées sont également selon l’association abusives au sens de l’article L. 132-1, devenus les articles L. 212-1, L. 212-3 et L. 241-1 du code de la consommation.

La société FACEBOOK réplique que la rubrique énonce de façon détaillée les catégories de données, à caractère personnel ou non, qu’elle collecte dans le cadre de la fourniture du Service Facebook. Elle fait valoir qu’aucune disposition légale ou réglementaire n’impose à la société FACEBOOK d’utiliser spécifiquement les termes « données à caractère personnel ». Selon la société, l’usage dans la PUD des termes comme « données » et « informations » ne vise pas à masquer à l’utilisateur le fait que ses données à caractère personnel sont traitées dans le cadre du Service Facebook mais vise, au contraire, à rendre plus compréhensible et intelligible à l’utilisateur un tel traitement. La société affirme qu’elle ne présume pas le consentement de l’utilisateur au traitement de ses données ; lors de son inscription, l’utilisateur indique qu’il a lu la PUD et accepte la DDR, qui prévoit explicitement que l’utilisateur consent au traitement de ses données.

L’examen des clauses n? 1 à 8.2 et n° 8.9 de la PUD du 15 novembre 2013 et des clauses n° 3 à 7 de la PUD du 30 janvier 2015, de mars et septembre 2016 et du 29 septembre 2016 de la « PUD » doit être associé à celui mené à propos des clauses n° 2.3 et 2.4 de la DDR des 15 novembre 2013, 30 janvier 2015 et 9 décembre 2016 et des clauses n? 1 et 2 de la PUD du 30 janvier 2015, de mars et septembre 2016 et du 29 septembre 2016, précédemment examinées par le Tribunal.

L’ensemble de ces clauses concernent la collecte de l’utilisation auprès de l’utilisateur de données, qualifiées d’ »informations » ou de « données » par la société FACEBOOK, ce que conteste l’UFC-QUE CHOISIR, qui prétend qu’il s’agit de données à caractère personnel bénéficiant de la protection de la Loi Informatique et Libertés.

Au sens de l’article 2 de la Loi Informatique et Libertés, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

Il résulte de l’analyse des clauses précédemment examinées par le Tribunal que les nom, adresse électronique, numéro de téléphone de l’utilisateur constituent des données personnelles au sens de l’article 2 de la loi précitée.

Au regard de l’article 3 1°) de la loi Informatique et Libertés, le responsable du traitement est la personne, qui détermine les finalités et les moyens du traitement des données à caractère personnel.

Il ressort des écritures que la société FACEBOOK ne nie pas être le responsable du traitement au sens de l’article 3 1°) de la loi précitée.

Il résulte de l’article 6 de la Loi Informatique et Libertés qu’un traitement ne peut porter sur des données à caractère personnel, que si elles sont collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et qu’elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Les données doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

Ainsi, s’agissant de données à caractère personnel au sens de l’article 2 de la Loi Informatique et Libertés, pèse sur le responsable du traitement, l’obligation de recueillir le consentement éclairé et explicite de la personne concernée par la collecte et le traitement de ses données personnelles. Le responsable du traitement ne peut donc les traiter, tant qu’il n’a pas obtenu son consentement informé et indubitable.

Etant précisé, qu’au sens de la Loi Informatique et Libertés, le consentement s’entend d’un consentement « informé » et « indubitable ».

Au sens de la Loi Informatique et Libertés, le consentement « informé » exige que tous les éclaircissements nécessaires soient délivrés à la personne concernée (ici, l’utilisateur), avant la manifestation de son consentement et nécessairement avant le début du traitement. En effet, l’utilisateur concerné par le traitement doit être en mesure de comprendre l’usage réel qui est fait des données le concernant, que ces données soient fournies de sa propre initiative, à l’occasion de l’établissement de son profil par exemple, ou collectées sans intervention de sa part.

Le consentement indubitable est celui qui résulte d’une manifestation de volonté incontestable, l’absence d’action ou le comportement passif de l’utilisateur ne relevant pas d’un tel consentement.

Tel n’est pas le cas des clauses actuellement critiquées, qui prévoient, sans information ni consentement exprès préalable, de collecter et de traiter des données à caractère personnel, que l’utilisateur dépose, consciemment ou non sur le réseau, notamment ses nom, adresse électronique, date de naissance, sexe et numéro de téléphone déposées à l’occasion de son inscription sur le réseau (clauses n° 3 à 7 de la PUD 2016), ou de celles déposées à l’occasion d’une mise à jour de son statut, du téléchargement d’une photo (clause n° 3 à 7 de la PUD 2016), lors d’un contact avec la plate-forme via son adresse électronique (clause n° 3 à 7 de la PUD 2016), à l’occasion de l’ajout un ami, de l’indication qu’il est en couple, d’un « Like » (J’aime), de l’adjonction d’un lieu, de l’utilisation d’outils d’importation de contact.

Les clauses litigieuses prévoient également, sans information ni consentement exprès préalable, le recueil d’informations par la société FACEBOOK collectées indirectement les informations sur les personnes et les groupes avec lesquels l’utilisateur est en contact, ainsi que la manière dont il interagit avec eux (clause n° 3 à 7 de la PUD 2016). Ainsi les clauses permettent de collecter des « contenus et informations », « notamment des informations concernant l’utilisateur «  (clauses n° 3 à 7 de la PUD 2016), communiqués par le biais d’amis de l’utilisateur voire « d’autres personnes » (…), qui ont recours aux Services de Facebook (clauses n° 3 à 7 de la PUD 2016), lors du téléchargement de ses coordonnées (clauses n° 3 à 7 de la PUD 2016) : « lorsqu’ »elles » téléchargent synchronisent ou importent (ses) coordonnées »), à l’occasion d’une publication (« lorsqu’ »elles » partagent une photo de (l’utilisateur), ou lui envoient un message), à l’occasion l’ajout d’un lieu ou de l’ajout de l’utilisateur à un groupe.

Des « données » sont pareillement collectées dès que l’utilisateur « entreprend une action dans Facebook » : consultation du journal d’une autre personne, envoi ou réception d’un message, recherche d’un(e) ami(e) ou d’une Page, clic sur quelque chose ou affichage de quelque chose, utilisation d’une application mobile Facebook (recueil des coordonnées téléchargées, synchronisées, importées (carnet d’adresse), données collectées à partir d’achats effectués via Facebook (recueil de données concernant l’achat ou la transaction : informations de paiement, numéro de carte de crédit ou de débit et autres informations concernant la carte, données de compte et informations d’authentification, données de facturation, livraison et les coordonnées de l’utilisateur).

D’autres « données » sont collectées lors de publication par l’utilisateur d’informations « telles que des photos ou des vidéos sur Facebook », publication qui « peut » comprendre des informations concernant le contenu que l’utilisateur partage, telles que le lieu d’une photo ou encore la date à laquelle un fichier a été créé (clause n° 3 à 7 de la PUD 2016), à l’occasion de laquelle la société « peut » « recevoir » des données supplémentaires (métadonnées), « telles que » l’heure, la date et l’endroit où l’utilisateur a pris la photo ou la vidéo (clause n° 3 à 7 de la PUD 2016).

De sorte que la collecte de données à caractère personnel de l’utilisateur voire d’autres personnes, effectuée dans de telles conditions, n’est ni loyale ni licite au sens de la loi précitée, à défaut d’avoir recueilli au préalable le consentement informé de des personnes concernées. Les clauses sont donc illicites au regard des dispositions contenues dans les articles 2 et 6 de la Loi Informatique et Libertés.

Au vu de ce qui précède, en s’abstenant préalablement à son inscription et au sein des clauses critiquées d’informer l’utilisateur de l’existence d’une telle collecte de données à caractère personnel, tout en présumant son consentement à ladite collecte et à l’utilisation de ses données à caractère personnel, le consentement de l’utilisateur n’ayant donc été ni informé ni recueilli, la clause contrevient aux dispositions des articles L. 111-1, L. 111-2, L. 121-17, L. 121-19, L. 121-19-2 et R. 111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation lesquels imposent au professionnel de fournir au consommateur les caractéristiques essentielles du service à rendre.

En usant de termes vagues ou d’expressions générales telles que  » différents types d’informations », « notamment », « par exemple », « parmi lesquelles », « telles que », « peuvent », « pouvant », les clauses ne permettent pas à l’utilisateur d’appréhender l’étendue des données à caractère personnel qui vont être collectées puis utilisées par la société FACEBOOK.

Ces clauses sont donc illicites au regard des articles L. 133-1 et L. 133-2, devenus l’article L. 211-1 du code de la consommation qui contraignent le professionnel à une présentation et une rédaction claire et compréhensible des clauses des contrats qu’ils proposent au consommateur.

De plus, en laissant croire que le professionnel est dispensé de toute obligation à l’égard du consommateur/utilisateur, lorsqu’il collecte, traite, utilise ou partage des informations qui peuvent être qualifiées de données à caractère personnel, les clauses sont de nature à créer un déséquilibre significatif entre les droits et obligations des parties au contrat. Elles sont donc abusives au regard des dispositions de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation.

En conséquence, les clauses n° 1 à 8.2 et n° 8.9 de la PUD du 15 novembre 2013, les clauses n° 3 à 7 de la PUD du 30 janvier 2015, de mars et septembre 2016 et du 29 septembre 2016, illicites au regard des articles L.111-1, L.111-2, et, s’agissant de contrat conclu à distance, des articles L.121-17, L.121-19, L.121-19-2 et R.111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, de l’article L. 133-1 et L. 133-2 devenus l’article L. 211-1 du code de la consommation, des articles 2, 6 de la Loi Informatique et Libertés sont abusives au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation.

Elles seront donc réputées non-écrites.

3. Clauses n° 8.3 et 8.10 de la PUD du 15 novembre 2013 et n° 8 de la PUD du 30 janvier 2015 et de mars et septembre 2016 :

Clause n° 8.3 de la Politique d’utilisation des données du 15 novembre 2013 :

Nous recevons des données provenant de, ou concernant, l’ordinateur, le téléphone mobile ou les autres équipements dont vous vous servez pour installer les applications Facebook ou pour accéder à Facebook, notamment lorsque plusieurs utilisateurs se connectent à partir du même appareil. Cela peut comprendre des informations sur le réseau et les communications, comme votre adresse IP ou votre numéro de téléphone mobile, et d’autres informations relatives à des éléments tels que votre service internet, votre système d’exploitation, le type (y compris les numéros d’identification) de l’appareil ou du navigateur que vous utilisez ou les pages que vous visitez. Par exemple, nous pouvons obtenir vos coordonnées GPS ou d’autres informations de géolocalisation pour vous indiquer si certains de vos amis sont à proximité, ou nous pouvons demander des informations sur l’appareil afin d’améliorer le fonctionnement de nos applications sur celui-ci.

Clause n° 8.10 de la Politique d’utilisation des données du 15 novembre 2013 :

Lorsque nous obtenons vos coordonnées GPS, nous les combinons à d’autres informations géographiques (comme la ville dans laquelle vous indiquez vous trouver). Nous ne conservons ces données tant qu’elles nous sont utiles pour vous fournir nos services, comme lorsque nous conservons vos coordonnées GPS les plus récentes pour vous envoyer des notifications appropriées.

Clause n° 8 de la Politique d’utilisation des données du 30 janvier 2015 et de mars et septembre 2016 et du 29 septembre 2016 :

Informations sur vos appareils

Nous recueillons des informations sur les ordinateurs, téléphones et autres appareils sur lesquels vous installez ou utilisez nos services, en fonction des autorisations que vous avez octroyées. Nous pouvons rassembler les informations que nous recueillons à partir de vos différents appareils afin de vous offrir des services cohérents sur l’ensemble de vos appareils.

Voici quelques exemples d’informations sur les appareils que nous recueillons :

Des données telles que le système d’exploitation, la version matériel, les paramètres de l’appareil, les noms et les types de fichier et de logiciel, le niveau de la batterie et l’intensité du signal, ainsi que les numéros d’identification de l’appareil Les données d’emplacement de l’appareil, notamment les données d’emplacement géographique précises recueillies à travers les signaux GPS, Bluetooth ou Wi-Fi Des informations de connexion telles que le nom de votre opérateur mobile ou de votre fournisseur d’accès à Internet, le type de navigateur que vous utilisez, votre langue et le fuseau horaire dans lequel vous vous situez, votre numéro de téléphone mobile et votre adresse IP.

L’association UFC QUE-CHOISIR reproche aux clauses n° 8.3 et n° 8.10 de la PUD du 15 novembre 2013 et n° 8 de la PUD du 30 janvier 2015, de mars et septembre 2016 de présumer le consentement de l’utilisateur à la collecte d’informations stockées sur ses appareils (dont des données à caractère personnel), sans l’informer des finalités de cette collecte et des moyens dont il dispose pour s’y opposer.
Elle ajoute que depuis le 27 mai 2016 une bannière cookies a été insérée, qui permet de recueillir le consentement au dépôt de cookies. Mais, selon elle, l’utilisateur n’est toujours pas informé des données collectées et des finalités de la collecte. Elle reproche à cette bannière de figurer sur un document qui ne remplit pas les exigences d’un support durable.
Elle critique les dispositions des clauses qui permettent l’obtention de données de géolocalisation de l’utilisateur par l’emploi de GPS, sans accord préalable de l’utilisateur, sans information claire et complète sur les finalités d’un tel accès, ni sur les moyens dont l’utilisateur dispose pour s’y opposer.
L’association conclue que ces clauses sont illicites au regard des articles L. 111-2 devenus articles L. 111-2 et L. 111-3 du code de la consommation, des articles L. 121-17, devenus les articles L. 221-5, L. 221-6 et L. 221-7 du code de la consommation, de l’article L. 121-19-2, devenu l’article L. 221-13, de l’article R. 111-2 code de la consommation, devenu l’article R. 111-2 et R. 111-3 du code de la consommation, de l’article L. 133-2, devenu l’article L. 211-1 du code de la consommation, de l’article 6 1°), 2°) et 3°) de la Loi Informatique et Libertés, de l’article 32-I et II de la Loi Informatique et Libertés, de l’article 9 du code civil. Elles seraient également abusives au sens de l’article L. 132-1 devenu articles L. 212-1, L. 212-3 et L. 241-1 du code de la consommation.

La société FACEBOOK affirme qu’elle informe l’utilisateur de la possibilité pour elle de collecter des données – à caractère personnel ou non – relatives aux appareils de l’utilisateur, en fonction des paramètres de confidentialité configurés, et des autorisations données par l’utilisateur. Elle fait valoir que l’utilisateur est clairement informé de la collecte et du traitement de ses données à caractère personnel sur ses ordinateurs, téléphones et autres appareils, de la finalité d’une telle collecte notamment à des fins de géolocalisation, des données collectées (telles que les données relatives au système d’exploitation, les données d’emplacement de l’appareil ou encore les informations de connexion), des modalités d’exercice des droits de l’utilisateur (notamment de son droit d’opposition) , de la durée de conservation des données durée, dans la Rubrique « Comment puis-je gérer ou supprimer les informations à mon sujet ? ».

Elle admet qu’elle peut être amenée à déposer des cookies permettant la géolocalisation de l’utilisateur, mais précise que ce dépôt s’effectue en conformité avec les dispositions relatives aux cookies, en particulier l’article 32-II de la Loi Informatique et Libertés.

Elle rappelle que le consentement de l’utilisateur n’est pas présumé, puisque l’utilisateur doit donner son consentement, préalablement à un tel traitement de données, en fonction des autorisations qu’il lui a octroyées. Elle souligne que l’utilisateur dispose également de moyens pour s’opposer à la collecte et au stockage de ses données de géolocalisation.

a) Sur la collecte des données présentes dans les appareils de l’utilisateur :

Aux termes des articles L. 111-1, L.111-2, devenus les articles L. 111-1, L. 111-2 I, de l’article L. 121-17 devenu l’article L. 221-5, l’article L. 121-19 devenu l’article L. 221-11 du code de la consommation, préalablement à la conclusion d’un contrat de fourniture de services, le professionnel communique au consommateur, de manière lisible et compréhensible, les caractéristiques essentielles du service, compte tenu du support de communication utilisé et du service concerné. Lorsque le contrat est conclu à distance, le professionnel fournit au consommateur, de manière lisible et compréhensible, les informations prévues à l’article L. 221-5 du code de la consommation ou les met à sa disposition par tout moyen adapté à la technique de communication à distance utilisée.

L’article 2 de la Loi Informatique et Libertés définit comme une donnée à caractère personnel, toute information relative à une personne identifiable ou pouvant être identifiée directement ou directement par référence à un ou plusieurs éléments, qui lui sont propres, la personne étant identifiable, lorsque le responsable du traitement ou toute autre personne dispose de moyens ou a accès aux moyens permettant son identification.

En l’espèce, la clause n° 8.3 de la PUD du 15 novembre 2013 permet la collecte de données relatif des appareils de l’utilisateur ou issue de ces appareils (ordinateur, téléphone mobile et autres équipements) utilisés par l’utilisateur pour installer les applications Facebook ou pour accéder à Facebook. La même clause prévoit la collecte des données de tous utilisateurs, qui se connectent à partir du même appareil.

Ainsi, font l’objet d’une collecte, des informations sur l’adresse IP, le numéro de téléphone mobile, le service internet, le système d’exploitation, le type d’appareil ou de navigateur (« y compris les numéros d’identification »), les pages visitées par l’utilisateur (historique de navigation), les informations de géolocalisation et coordonnées GPS de l’utilisateur.

La clause n° 8 de la PUD des 30 janvier 2015, mars, septembre 2016 et 29 septembre 2016 précise qu’en cas d’obtention des coordonnées GPS de l’utilisateur, la société FACEBOOK « combine » l’ensemble de ces données avec d’autres informations géographiques. La clause autorise la société FACEBOOK à conserver ces données, « tant qu’elles (lui) sont utiles » pour la fourniture de ses services. Elle précise que les coordonnées GPS les plus récentes sont également conservées.

La clause n° 8 de la PUD des 30 janvier 2015, mars, septembre et 29 septembre 2016 autorise la collecte, sur les ordinateurs, les téléphones et autres appareils de l’utilisateur, « en fonction des autorisations que l’utilisateur a accordées », le système d’exploitation, la version matériel, les paramètres de l’appareil, les noms et les types de fichier et de logiciel, le niveau de la batterie, l’intensité du signal, les numéros d’identification de l’appareil, les données d’emplacement de l’appareil (« notamment les données d’emplacement géographique précises recueillies à travers les signaux GPS, Bluetooth ou Wi-Fi »), les informations de connexion (nom de l’opérateur mobile ou du fournisseur d’accès à Internet de l’utilisateur, le type de navigateur qu’il utilise, la langue, le fuseau horaire dans lequel l’utilisateur se situe, son numéro de téléphone mobile et son adresse IP).

Il ressort de l’analyse des clauses critiquées, que l’ensemble des données précitées constituent des données à caractère personnel au sens de l’article 2 de la Loi Informatique et Libertés.

En effet, l’adresse IP de l’ordinateur de l’utilisateur, son numéro de téléphone mobile, son opérateur de téléphone mobile, son fournisseur d’accès à Internet, le type d’appareil, les numéros d’identification, la version matériel, les paramètres de son appareil, le type de navigateur et le système d’exploitation qu’il utilise, son historique de navigation (pages visitées) – contenant nécessairement des indications sur ses centres d’intérêts – les informations de géolocalisation, ses coordonnées GPS, les noms , types de fichier et de logiciel qu’il utilise, les données d’emplacement de l’appareil, la langue, le fuseau horaire dans lequel l’utilisateur se situe, sont des données à caractère personnel au sens de l’article 2 de la Loi Informatique et Libertés.

Etant observé que cette liste de données collectées citées par les clauses n’est pas limitative, puisque qu’elles se bornent à citer « quelques exemples d’informations sur les appareils » susceptibles d’être collectées et traitées.

L’article 6 de la Loi Informatique et Libertés prévoit qu’un traitement ne peut porter sur des données à caractère personnel, que si elles sont collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et qu’elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités, qu’elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

En l’espèce, l’examen des clauses critiquées montre qu’elles n’informent pas clairement l’utilisateur sur la collecte d’informations stockées sur les appareils dont il se sert pour se connecter au réseau et qu’elles présument son consentement à la collecte de données à caractère personnel, puisque l’utilisateur n’a pas accès à ces données et n’a pas non plus conscience de la collecte qui en est faite par la société FACEBOOK. Il ne peut donc y avoir en ces circonstances de consentement éclairé de la part de l’utilisateur préalablement au traitement de ses données à caractère personnel.

En conséquence, la collecte n’est ni loyale ni licite au regard des dispositions de l’article 6 de la Loi Informatique et Libertés.

L’article 32-I 2°) de la Loi Informatique et Libertés exige du responsable du traitement, qu’il informe, sauf si elle l’a été au préalable par le responsable de traitement ou son représentant, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant, de la finalité poursuivie par le traitement, auquel les données sont destinées et des destinataires ou catégories de destinataires des données.

Tel n’est pas le cas des clauses critiquées, qui, s’agissant de la collecte de données de géolocalisation « coordonnées GPS ou d’autres informations de géolocalisation », en dehors de finalités liées à l’activité du réseau social (la finalité « pour vous indiquer si certains de vos amis sont à proximité » relève de l’activité du réseau social), se bornent à évoquer d’autres finalités particulièrement floues, censée améliorer la cohérence des services offerts par Facebook (« afin de vous offrir des services cohérents sur l’ensemble de vos appareils ») ; (« rassembler les informations que nous recueillons à partir de vos différents appareils afin de vous offrir des services cohérents sur l’ensemble de vos appareils »), sans informer l’utilisateur de manière suffisamment claire et précise des finalités poursuivies par la collecte et le traitement des données à caractère personnel et sur les destinataires de ces données.
De sorte que ces finalités sont insuffisamment déterminées et explicites, au regard des dispositions des articles 6 et 32-II de Loi Informatique et Libertés, en ce qu’elles ne permettent pas à l’utilisateur d’appréhender concrètement l’utilisation qui pourrait être faite de ses données

Par conséquent, en s’abstenant d’informer précisément l’utilisateur de la collecte d’informations stockées sur les appareils, dont il se sert pour se connecter au réseau social, en présumant son consentement à la collecte de données à caractère personnel et en omettant d’informer l’utilisateur des finalités de traitement, les clauses sont illicites au regard des articles 2, 6 et 32-I de la Loi Informatique et Libertés, des articles L. 111-1, L. 111-2, L. 121-17, L. 121-19, L. 121-19-2 et R. 111-2, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R. 111-2 du code de la consommation. Les clauses sont donc illicites au regard de ces articles. Elles seront donc réputées non écrites.

b) Sur la collecte de données via le dépôt de cookies :

L’article L. 133-2 devenu l’article L. 211-1 du code de la consommation impose aux professionnels d’adopter une présentation et une rédaction claire et compréhensible des clauses des contrats qu’ils proposent aux consommateurs.

L’article 6 de la Loi Informatique et Libertés prévoit que le traitement de données à caractère personnel d’une personne physique ne peut être effectué qu’à condition que la collecte soit loyale et licite (article 6 1°) et pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités (article 6 2°) ; qu’elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs (article 6 3°), ces données ne devant pas être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées (article 6 5°).

L’article 32-I de la Loi Informatique et Libertés impose au responsable du traitement l’obligation d’informer la personne, auprès de laquelle sont recueillies des données à caractère personnel la concernant, de la finalité poursuivie par le traitement auquel les données sont destinées et des destinataires ou catégories de destinataires des données.

L’article 32-II de la Loi Informatique et Libertés exige du responsable du traitement ou son représentant d’informer tout utilisateur d’un service de communications électroniques de manière claire et complète, de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement et des moyens dont il dispose pour s’y opposer. Aux termes de cet article, les accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

En l’espèce, il résulte de ce qui précède et des écritures de la société FACEBBOK, que les données à caractère personnel précitées sont collectées sur les appareils de l’utilisateur via des cookies (ou, selon les termes de la politique de cookies de la société Facebook, de « toutes autres technologies semblables »), initialement déposés sur l’ordinateur de l’utilisateur par la société FACEBOOK.
Toutefois, aucune mention au sein des clauses n’indique à l’utilisateur que c’est le dépôt de cookies qui permet la collecte desdites données. Les clauses se contentent d’indiquer que la société FACEBOOK « reçoit«  « des données provenant de, ou concernant, l’ordinateur, le téléphone mobile ou les autres équipements dont vous vous servez pour installer les applications Facebook ou pour accéder à Facebook » ou « obtient » les coordonnées GPS de l’utilisateur, voire « recueille » « des informations sur les ordinateurs, téléphones et autres appareils sur lesquels vous installez ou utilisez nos services »,

Or, ces cookies ne peuvent, aux termes de l’article 32-II de la Loi Informatique et Libertés, être déposés ou lus sur le terminal de l’utilisateur, tant qu’il n’a pas donné son consentement résultant d’une manifestation de volonté libre, spécifique et informée, notamment sur les conséquences négatives qui pourraient lui être opposées en cas de son refus de donner son consentement, comme l’impossibilité pour elle d’accès au service.

D’où il suit que même si les utilisateurs sont informés depuis le 27 mai 2016 de l’existence d’une telle collecte de données via une bannière présente au moment de leur inscription, renvoyant par lien hypertexte vers la politique de cookies, aucune disposition au sein des clauses critiquées ne prévoit le renvoi vers ce document.

Ces clauses sont donc illicites au regard des articles L. 111-2 devenus articles L. 111-2 et L. 111-3 du code de la consommation, des articles L. 121-17, devenus les articles L. 221-5, L. 221-6 et L. 221-7 du code de la consommation, de l’article L.121-19-2, devenu l’article L. 221-13, de l’article R. 111-2 Code de la consommation, devenu l’article R. 111-2 et R. 111-3 du code de la consommation, de l’article L. 133-2, devenu article L. 211-1 du code de la consommation, de l’article 6 1°, 2° et 3°, de l’article 32-I et II de la Loi Informatique et Libertés.

c) Sur les données de géolocalisation :

L’article 32-II de la Loi Informatique et Libertés prévoit que tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable par le responsable du traitement ou son représentant, de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques. Il doit être également informé de toute action tendant à inscrire des informations dans cet équipement. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord, lequel peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Les dispositions de l’article précité ne sont toutefois applicables qu’à la condition que l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur aient pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou lorsqu’elles sont strictement nécessaire à la fourniture d’un service de communication en ligne et ce à la demande expresse de l’utilisateur.

Ainsi, l’utilisateur doit donner son accord préalable à l’accès aux informations stockées dans l’appareil qu’il utilise, après avoir reçu une information claire et complète sur les finalités d’un tel accès et des moyens dont il dispose pour s’y opposer.

Tel n’est pas le cas des clauses critiquées, qui prévoient la collecte sur les appareils de l’utilisateur de « données d’emplacement géographique précises », permettant de déterminer la localisation de l’utilisateur de données à travers les signaux GPS, Bluetooth ou Wi-Fi, sans l’avoir préalablement informée de cette collecte, sans avoir recueilli son consentement notamment sur les finalités de traitement et la durée de conservation des données le concernant et sans l’informer des moyens dont il dispose pour s’opposer à cette collecte.

Contrairement à ce que prétend la société FACEBOOK dans ses écritures l’utilisateur ayant activé « la fonctionnalité Services de localisation » ne dispose d’aucune option spécifique via la page « Comment puis-je gérer ou supprimer les informations à mon sujet ? », qui permettent de désactiver le service de localisation de Facebook sur son appareil mobile et de s’opposer à la collecte de données. De sorte que l’option de localisation ayant été sélectionnée, le service de localisation de Facebook reste nécessairement activé et les données automatiquement collectées.

L’article 6 de la Loi Informatique et Libertés impose que les données soient collectées et traitées de manière loyale et licite (article 6 1°)), pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités (article 6 2°)). Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs (article 6 3°)).

Aux termes de l’article 32-I 8°) de la Loi Informatique et Libertés, le responsable du traitement ou son représentant, doit informer la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant de la durée de conservation des catégories de données traitées.

Tel n’est pas le cas de la clause n° 8.10 de la PUD du 15 novembre 2015, qui prévoit, que les données de géolocalisation, obtenues sur les appareils de l’utilisateur et qui sont combinées avec d’autres informations géographiques, sont conservées « tant qu’elles sont utiles » à la société FACEBOOK pour la fourniture de ses services, comme sont conservées les coordonnées GPS les plus récentes pour envoyer à l’utilisateur des « notifications appropriées ».

En s’abstenant d’informer l’utilisateur de la collecte sur ses appareils de données à caractère personnel le concernant, des moyens dont il dispose pour s’opposer, des finalités de ce traitement, de la durée de conservation des données, en omettant de recueillir son consentement avisé et indubitable, les clauses critiquées sont illicites au regard des dispositions des article 6, 32-II et 32-I 8°) de la Loi Informatique et Libertés et devront donc être réputée non écrite.

Au vu de ce qui précède, la clause est également abusive au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation, en ce qu’elle a pour effet de créer un déséquilibre significatif entre les parties au détriment du consommateur utilisateur.

En conséquence, les clauses n°8.3 et 8.10 de la PUD du 15 novembre 2013 et n°8 de la PUD du 30 janvier 2015, de mars et septembre 2016, illicites au regard des articles L. 111-2 devenus articles L. 111-2 et L. 111-3 du code de la consommation, des articles L. 121-17, devenus les articles L. 221-5, L. 221-6 et L. 221-7 du code de la consommation, de l’article L.121-19-2, devenu l’article L. 221-13, de l’article R. 111-2 du code de la consommation, devenu l’article R. 111-2 et R. 111-3 du code de la consommation, de l’article L. 133-2, devenu article L. 211-1 du code de la consommation, de l’article 6, 32-I et II de la Loi Informatique et Libertés, sont abusives au sens de l’article L. 132-1, devenu l’article L. 212-1 du code de la consommation.

4. Sur les clauses n° 8.4 de la PUD du 15 novembre 2013 et 9 de la PUD du 30 janvier 2015, mars, septembre 2016 et du 29 septembre 2016 :

Clause n° 8.4 de la Politique d’utilisation des données du 15 novembre 2013 :

Nous recevons des données à chaque fois que vous accédez à un jeu, une application ou un site web qui utilise la Plate-forme Facebook ou que vous consultez un site avec une fonction de Facebook (comme un module social) et parfois par l’intermédiaire de cookies. Ceci peut comprendre la date et l’heure à laquelle vous avez consulté le site, votre adresse web ou URL, les informations techniques relatives à l’adresse IP, au navigateur et au système d’exploitation que vous utilisez, et votre identifiant si vous êtes connecté(e) à Facebook.

Clause n° 9 de la Politique d’utilisation des données du 30 janvier 2015 et de mars et septembre 2016 et du 29 septembre 2016 :

Informations provenant des sites web et des applications qui ont recours à nos services

Nous recueillons des informations lorsque vous visitez ou utilisez des sites web et des applications de tiers qui ont recours à nos services (par exemple, lorsqu’ils incluent nos boutons J’aime ou Se connecter avec Facebook, ou encore lorsqu’ils font appel à nos services de mesure et de publicité). Ceci comprend des informations sur les sites web et les applications que vous consultez, votre utilisation de nos services sur ces sites web et applications, ainsi que les informations que le développeur ou l’éditeur de l’application ou du site web partagent avec vous ou avec nous.

L’association UFC QUE-CHOISIR reproche aux clauses précitées leur manque de clarté concernant la notion d’ »accès à une application ou à un site ». Ces clauses prévoient une collecte massive, en dehors des services de Facebook, sans précision sur l’étendue, la nature et les finalités du traitement de données à caractère personnel collectées. Selon l’association, la société Facebook traite les données des utilisateurs passifs se rendant sur des sites internet tiers, sans que ceux-ci en aient conscience, puisque les sites consultés n’appartiennent pas à l’ »environnement Facebook ».

Elle affirme que ces clauses sont illicites au regard de l’article L.111-2 devenu articles L. 111-2 et L. 111-3 du code de la consommation, de l’article L.121-17 devenu l’article L. 221-5 du code de a consommation, de l’article R. 111-2 devenu le articles R. 111-2 et R. 111-3 du code de la consommation, de l’article L.133-2 devenu l’article L. 211-1 du code de la consommation, des articles 32-I, 6 et 7 de la Loi Informatique et Libertés, des articles 6, 7 et 10 de la directive 95/46 CE. Les clauses sont également abusives au sens de l’article L.132-1 devenu articles L. 212-1, L. 212-3 et L. 241-1 du code de la consommation.

La société FACEBOOK réplique que cette sous-rubrique (cette clause au sens de l’association) porte sur la possibilité pour la société de collecter des données d’utilisateurs, lorsqu’ils naviguent sur des sites Internet tiers, notamment ceux qui intègrent des « modules sociaux » (par exemple, en cliquant sur le bouton « J’aime »), qui permet à la société FACEBOOK de déposer des cookies. Elle en déduit que la collecte de données via ces modules sociaux ne se fait donc pas en dehors du Service Facebook.

La société affirme informer clairement l’utilisateur des catégories de données collectées – alors qu’une telle information n’étant pas requise par la Loi Informatique et Libertés) – des finalités du traitement réalisé à partir des modules sociaux disponibles sur les sites Internet tiers et des technologies sous-jacentes à ces modules sociaux dans la rubrique (« Comment utilisons-nous ces informations ?« ). Elle soutient qu’elle obtient le consentement éclairé de l’utilisateur, conformément aux dispositions de la Loi Informatique et Libertés et maintient qu’elle informe les utilisateurs dans la « Bannière Cookies » et dans la « Politique Cookies », de la collecte de cookies sur le Site Facebook et en dehors de celui-ci (via des sites Internet ou applications tiers de la collecte de cookies), pour adapter et mesurer les publicités. Elle ajoute que l’utilisateur est informé de la façon de désactiver la publicité comportementale en ligne. Elle précise qu’aucun cookie (y compris le cookie datr) n’est déposé par elle, lorsqu’une personne non enregistrée en tant qu’utilisateur Facebook se rend sur un site Internet tiers qui comprend un « module social » Facebook.

a) Sur le manque de clarté concernant l’accès à des applications et sites web de tiers :

L’obligation d’information précontractuelle prévue dans les articles L.111-1, L.111-2, et, s’agissant de contrat conclu à distance, dans les articles L.121-17, L.121-19, L.121-19-2 et R.111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, impose au professionnel, avant la conclusion du contrat, de fournir au consommateur ou non professionnel les caractéristiques essentielles du service à rendre.

En l’espèce, les clauses critiquées prévoient, qu’à l’occasion de l’ »accès » (cf. PUD 2013), la « visite » ou l’ »utilisation » (cf. PUD 2015 et 2016) par l’utilisateur, de jeux, de « sites web et applications de tiers » (PUD 2015 et 2016), qui utilisent « la Plate-forme Facebook » sont « reçues » (PUD 2013), « recueillies » (PUD 2015, 2016) par la société FACEBOOK notamment via liste, dont l’expression « peut comprendre », au sein de la clause n° 8.4 du 15 novembre 2013, laisse entendre que la liste n’est pas exhaustive. Au rang des données collectées figurent les date et heure à laquelle l’utilisateur a consulté le site, son adresse web ou URL, les informations techniques relatives à son adresse IP, au navigateur et au système d’exploitation dont il se sert, son identifiant s’il est connecté à Facebook. L’ensemble de ces données constituent des données à caractère personnel au sens de l’article 2 de la Loi Informatique et Libertés.

Alors que les clauses critiquées restent silencieuses à ce sujet, la société FACEBOOK explique en page 373 de ses écritures qu’ »un « module social » est une application fournie par le réseau social ; que cette application, « insérée sur un site tiers », permet aux utilisateurs du réseau social « de partager les contenus qu’ils aiment sur le site tiers ou de commenter ces contenus avec leurs « amis » du réseau social ». Elle ajoute dans ses conclusions qu’elle propose une variété de « modules sociaux », que les propriétaires de sites Internet peuvent insérer au sein de leurs sites et précise qu’elle dépose des cookies lorsqu’un utilisateur interagit avec un module social intégré au sein d’un site internet tiers (écritures FACEBOOK, page 374).

Il ressort de ces « explications » que sont concernés par le dépôt de cookies tous les internautes (utilisateurs passifs compris) consultant un site internet tiers au réseau social, dans lequel est inséré un module social Facebook tel que le bouton « J’aime » ou « Se connecter avec Facebook »

Au vu de ce qui précède et après examen des clauses critiquées, qu’est établie que la société FACEBOOK collecte systématiquement (« à chaque fois que ») auprès de l’utilisateur, et plus généralement l’ »internaute » (l’ »utilisateur passif »), des données (dont des données à caractère personnel) d’une part lorsqu’il accède à un site, un jeu, une application n’appartenant pas à l’environnement Facebook, mais qui est en relation avec la « plate-forme » Facebook ou lorsque le site, le jeu, l’application auquel il accède est pourvu d’un « bouton » (« J’aime » ou « Se connecter avec Facebook »). De la même manière la collecte systématique des données est opérée via des « cookies » déposés sur l’appareil de l’utilisateur par la société FACEBOOK.

Aux termes de l’article L. 133-2 devenu l’article L. 211-2 du code de la consommation prévoit que les clauses des contrats proposés par les professionnels aux consommateurs doivent être présentées et rédigées de façon claire et compréhensible.

En employant des termes apparemment anodins (« Plate-forme », « Facebook »), tout en renvoyant par lien hypertexte à leur définition dont l’analyse s’avère difficile et complexe (cf. clause n° 18 DDR du 15 novembre 2013 et 17 des 30 janvier 2015 et 9 décembre 2016), en adoptant une terminologie particulièrement imprécise (« données » ou « informations »), alors qu’il s’agit de données à caractère personnel, en utilisant des termes inconsistants (« recevons », « recueillons », « accédez », « consultez », « visitez », « utilisez »), alors qu’il est question d’une collecte massive de données à caractère personnel des utilisateurs y compris des utilisateurs passifs du site Facebook (internautes), en utilisant un vocabulaire technique (« fonction de Facebook », « module social », « boutons »), en se référant, s’agissant des sites consultés à des sites web et applications de tiers faisant appel à des « services » de Facebook « de mesure et de publicité », sans indiquer dans les documents mis à la disposition de l’utilisateur en quoi consiste ces « services », les clauses précitées ne permettent pas à l’utilisateur de la nature et la portée exacte des traitements opérés à leur insu, lorsqu’ils visitent des sites tiers.

De sorte qu’en utilisant des termes et expressions équivoques et non définis, les clauses critiquées ne présentent pas les caractères de clarté et de compréhensibilité exigées par l’article L. 133-2 devenu l’article L. 211-2 du code de la consommation. Elles sont donc illicites au regard de ces dispositions.

Elles sont également illicites au regard de l’article L. 111-1, L. 111-2 du code de la consommation, L.121-17, L.121-19, L.121-19-2 et R.111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation en ce qu’elles s’abstiennent d’informer l’utilisateur de l’existence de données à caractère personnel qui sont collectées et traitées par la société FACEBOOK.

En ne permettant pas à l’utilisateur d’appréhender la nature et le volume des données à caractère personnel le concernant, en ne l’autorisant pas à s’opposer à une telle collecte, les clauses sont également abusives au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation, en ce qu’elle crée un déséquilibre significatif au détriment de l’utilisateur consommateur.

b) Sur l’absence de consentement éclairé à la collecte :

Aux termes de l’article 2 de la Loi Informatique et Libertés, constituent des données personnelles toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Aux termes des articles 6 et 7 de la Loi Informatique et Libertés, la collecte et le traitement de données à caractère personnel, au sens de l’article 2 de la Loi Informatique et Libertés, ne sont licites qu’à la condition qu’elles aient été collectées de manière loyale et licite, pour des finalités déterminées explicites et légitimes, qu’elles aient fait l’objet d’un consentement informé de la personne concernée, ce implique que tous les éclaircissements nécessaires lui ont été donnés et qu’elles ne soient pas traitées ultérieurement de manière incompatible avec ces finalités initiales.

L’article 32-II de la Loi Informatique et Libertés prévoit que tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant, de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des

informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement et des moyens dont il dispose pour s’y opposer.

Ainsi, lorsque la lecture combinée des clauses critiquées et des clauses n° 8.3, n° 8.10 de la PUD du 15 novembre 2013 et n° 8 de la PUD du 30 janvier 2015 et de mars et septembre 2016 – qui trouvent ici application – révèle que sont collectées à l’occasion de la connexion de l’utilisateur sur des sites web tiers ou des applications tierces comportant des modules sociaux (« boutons »  » J’aime ou Se connecter avec Facebook »), des données à caractère personnel de l’utilisateur (qualifiées par les clauses litigieuses d’ »informations » ou « données »), présentes dans les appareils de l’utilisateur telles que l’adresse IP de l’ordinateur de l’utilisateur, ses identifiants, ses paramètres d’application concernant son appareil, son opérateur téléphonique ou son fournisseur d’accès à Internet, son système d’exploitation, son type de navigateur, les pages de site web tiers ou les applications tierces qu’il a visitées, les informations de cookies, les données d’emplacement de son appareil.

Or, en se rendant sur ces sites et applications, les internautes, authentifiés ou non, n’ont aucune conscience du traitement de données à caractère personnel effectué à leur insu, les sites consultés n’appartenant pas à l’environnement Facebook.

Contrairement à ce que soutient la société FACEBOOK, les utilisateurs ne bénéficient, au sein des clauses critiquées, d’aucune information sur l’existence d’une telle collecte, du traitement réalisé et des finalités poursuivies par ce traitement, aucun lien ne renvoyant à la rubrique (« Comment utilisons-nous ces informations ? »), lequel permettrait, selon la société, d’informer l’utilisateur des catégories de données collectées, des finalités du traitement réalisé à partir des modules sociaux et d’obtenir leur consentement éclairé, alors que les données à caractère personnel ainsi collectées permettent de révéler des informations sur le comportement privé des personnes.

Il résulte de ce qui précède, qu’en n’informant pas les utilisateurs, authentifiés ou non (« utilisateurs passifs »), que des données à caractère personnel sont collectées lors de leur navigation sur des sites, tiers au réseau, ou des applications tierces, la seule présence de « bouton » sur une page Internet, ainsi que la présence de cookies initialement déposés sur l’ordinateur de l’utilisateur par la société FACEBOOK permettant à la société FACEBOOK de collecter les données à caractère personnel de l’internaute, en s’abstenant de recueillir auprès de la personne concernée son consentement, lequel doit résulter d’une action positive de sa part, en ne proposant pas à l’utilisateur les moyens pour s’opposer à cette collecte, les clauses critiquées contreviennent aux dispositions des articles 6 et 7 de la Loi Informatique et Libertés exigeant préalablement au traitement une collecte loyale et licite des données personnelles de la personne concernée par le traitement, les finalités n’étant ni déterminées, ni suffisamment explicites au regard des dispositions de l’article 6 de la Loi Informatique et Libertés.

En conséquence les clauses n° 8.4 de la PUD du 15 novembre 2013 et n° 9 de la PUD du 30 janvier 2015, mars, septembre 2016 et du 29 septembre 2016, illicites au regard des articles L.111-1, L.111-2, et, s’agissant de contrat conclu à distance, des articles L.121-17, L.121-19, L.121-19-2 et R.111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, de l’article L. 133-2 devenu l’article L. 211-2 du code de la consommation, des articles 2, 6, 7 32-II de la Loi Informatique et Libertés et sont abusives au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation.

Elles seront donc réputées non écrites

5. Clauses n° 8.5 et n° 8.11 de la PUD du 15 novembre 2013 et n° 10 et n° +11 de la PUD des 30 janvier 2015, mars, septembre 2016 et 29 septembre 2016 :

Clauses n° 8.5 et 8.11 de la Politique d’utilisation des données du 15 novembre 2013 :

Nous obtenons parfois des données par le biais de nos filiales, partenaires, clients publicitaires ou d’autres tiers. Ces données nous permettent de diffuser des publicités plus pertinentes, de mieux comprendre la façon dont les gens utilisent Facebook et, de manière générale, d’améliorer les services que nous proposons. Par exemple, un annonceur peut nous indiquer que vous avez répondu à une publicité sur Facebook ou sur un autre site afin de nous aider à mesurer l’efficacité de ces publicités, et donc d’en améliorer la qualité.

Les données que nous fournissons à nos partenaires ou clients publicitaires sont dépouillées au préalable de votre nom ou de toute autre information permettant de vous identifier ou associées aux données d’autres utilisateurs, de manière à ce qu’elles ne permettent plus de vous identifier personnellement.

Clauses n° 10 et 11 de la Politique d’utilisation des données du 30 janvier 2015 et de mars et septembre 2016 et du 29 septembre 2016 :

Informations provenant de partenaires tiers

Nous recevons des informations sur vous et vos activités sur et en dehors de Facebook en provenance de nos partenaires tiers, telles que des informations provenant d’un partenaire avec qui nous avons collaboré pour offrir un service, ou encore d’un annonceur au sujet de votre expérience ou de votre interaction avec ce dernier.

Sociétés de Facebook

Nous recevons des informations sur vous en provenance des sociétés qui appartiennent à Facebook ou qui sont exploitées par Facebook, conformément à leurs conditions générales et à leurs règlements. En savoir plus sur ces sociétés et leurs politiques de confidentialité.

L’association UFC QUE-CHOISIR affirme que la société FACEBOOK traite des « des données à caractère personnel » d’utilisateurs même passifs via des partenaires de de la société, de ses filiales ou de tiers, sans les informer des finalités des traitements et des moyens dont l’utilisateur dispose pour s’y opposer. Les clauses sont donc illicites au regard des articles 6 et 32-II et 32-III de la Loi Informatique et Libertés, des articles 6, 10 et 11 de la Directive 95/46 CE. Du fait de leur rédaction lacunaire les clauses critiquées seraient, selon l’association, abusives au sens de l’article L.132-1 du code de la consommation, devenu l’article L. 212-1 du code de la consommation en ce qu’elles sont de nature à induire en erreur le consommateur.

Pour la société FACEBOOK les deux sous-rubriques critiquées prévoient la possibilité de collecter des données d’utilisateurs résultant de l’interaction de ces derniers avec les sites internet opérés par des partenaires de la société FACEBOOK ou des sociétés associées au groupe FACEBOOK, dont les utilisateurs ont accepté les conditions d’utilisation et les politiques de confidentialité.
Elle ajoute qu’elle informe l’utilisateur des catégories de données collectées ainsi que des finalités d’une telle collecte dans une rubrique dédiée et intitulée : « Comment utilisons-nous ces informations ». Elle fait valoir que les dispositions de la Loi Informatique et Libertés relatives aux cookies sont inapplicables, dès lors qu’en l’espèce les données ne sont pas collectées via des cookies mais communiquées par des partenaires tiers à la société et des sociétés du groupe FACEBOOK.

a) Sur le consentement informé de l’internaute :

En l’espèce, il ressort des clauses n° 8.5 et n° 8.11 de la PUD du 15 novembre 2013 et des clauses n° 10 et n° 11 de la PUD des 30 janvier
2015, mars, septembre 2016 et 29 septembre 2016, que la société FACEBOOK « reçoit » (collecte) des sociétés qui appartiennent au groupe FACEBOOK ou qui sont exploitées par le groupe FACEBOOK, de ses filiales, de ses partenaires, de ses clients publicitaires ou autres tiers partenaires du groupe FACEBOOK ou annonceurs tiers au groupe, des informations sur l’utilisateur et sur ses activités, c’est-à-dire des données à caractère personnel. Ces données à caractère personnel sont collectées auprès des utilisateurs du réseau sur le réseau mais également en dehors de ce dernier.

L’article 6 de la Loi Informatique et Libertés impose que les données soient collectées et traitées de manière loyale et licite (article 6 1°)), pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités (article 6 2°)). Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs (article 6 3°)).

L’article 32-II de la Loi Informatique et Libertés prévoit que tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant, de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques.

Aux termes du même article, l’utilisateur doit être également informé de toute action tendant à inscrire des informations dans cet équipement. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord, lequel peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Le même article précise que ces dispositions ne sont toutefois applicables que si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou sont strictement nécessaire à la fourniture d’un service de communication en ligne et ce à la demande expresse de l’utilisateur.

Il résulte des dispositions de cet article que l’utilisateur doit donner son accord préalablement à l’accès à des informations dans l’appareil qu’il utilise, après avoir reçu une information claire et complète sur les finalités d’un tel accès et des moyens dont il dispose pour s’y opposer.

Tel n’est pas le cas des clauses critiquées qui font état d’une collecte de données à caractère personnel concernant l’utilisateur, sans lui proposer, après qu’il a reçu l’information, de recueillir son consentement de manière indubitable, lequel peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle, et, dans tous les cas, d’une manifestation active de la volonté de l’utilisateur.

De sorte qu’une telle manifestation de volonté ne peut résulter de la simple information présente dans la bannière d’accueil ou de la consultation d’une page à laquelle est renvoyée l’utilisateur.

En conséquence, les clauses litigieuses contreviennent aux dispositions des articles 6 et 32-II de la Loi Informatique et Libertés.

b) Sur les finalités du traitement :

Il ressort de l’analyse des clauses critiquées, que les données personnelles collectées sont utilisées pour « diffuser des publicités plus pertinentes » et améliorer « d’une manière générale » les services de la société FACEBOOK, c’est-à-dire pour adresser à l’utilisateur des messages et des publicités ciblées en fonction des données personnelles ainsi collectées.

Aux termes du 2°) de l’article 6 de la Loi Informatique et Libertés les données à caractère personnel sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

En l’espèce, les clauses évoquent, au titre des finalités poursuivies par le traitement, la diffusion de publicités ciblées, la mesure de leur efficacité, une meilleure compréhension de la façon dont « les gens » (sic) utilisent Facebook et d’une manière générale l’amélioration des services proposés.

En conséquence, les finalités précitées par les clauses, insuffisamment déterminées et explicites au regard des dispositions des articles 6 et 32-II de Loi Informatique et Libertés, sont illicites au regard des dispositions précitées, car elles ne permettent pas à l’utilisateur d’appréhender concrètement l’utilisation qui pourrait être faite de ses données.

De plus, en s’abstenant d’informer l’utilisateur de la collecte de données à caractère personnel sur ces appareils, collecte dont il ignore l’existence et à laquelle il n’a pas expressément consenti, la clause litigieuse place l’utilisateur dans l’impossibilité d’appréhender et de contrôler l’usage qui sera fait de ses données, l’ »anonymisation » des données à caractère personnel, ne pouvant légitimer un traitement qui ne l’est pas.

Au vu de ce qui précède, ces clauses sont abusives au sens de l’article L. 132-1 devenu l’article L. 221-1 du code de la consommation, en ce qu’elles créent un déséquilibre significatif entre les droits et obligations des parties au détriment de l’utilisateur consommateur.

En conséquence les clauses précitées, illicites au regard de L.111-1, L.111-2, L.121-17, L.121-19, L.121-19-2 et R.111-2, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, des articles 6 et 32-II de la Loi Informatique et Libertés, sont abusives au sens de l’article L. 132-1 devenu l’article L. 221-1 du code de la consommation. Elles seront donc réputées non écrites.

6. Clauses n° 12 à 17 et 28 de la PUD du 15 novembre 2013 et n°23 et 24 de la PUD du 30 janvier 2015, mars, septembre 2016 et 29 septembre 2016 :

Clauses n° 12 à 17 de la Politique d’utilisation des données du 15 novembre 2013 :

Informations publiques

Quand nous utilisons le terme « Informations publiques » (que nous appelons parfois « informations accessibles par Tout le monde »), nous faisons référence aux informations que vous choisissez de rendre publiques, ainsi qu’aux informations qui sont toujours publiques.

Information que vous choisissez de rendre publiques

Choisir de rendre des informations publiques désigne parfaitement cette fonction : tout le monde, y compris les personnes en dehors de Facebook, peut voir ces informations. En savoir plus.

Choisir de rendre vos informations publiques signifie également que ces informations : peuvent être associées avec vous (c’est-à-dire votre nom, vos photos de profil, vos photos de couverture, votre journal, votre identifiant, votre nom d’utilisateur, etc.) également en dehors de Facebook ; peuvent apparaître quand quelqu’un procède à une recherche sur
Facebook ou dans un moteur de recherche public ; sont accessibles aux jeux intégrés à Facebook, applications et sites web que vous et vos amis utilisez ; et sont accessibles à toute personne utilisant nos API, par exemple notre API du graphe.

Il peut arriver que vous ne puissiez pas sélectionner un public lorsque vous publiez quelque chose (par exemple, lorsque vous écrivez sur le mur d’une Page ou commentez un article qui utilise notre module de commentaires). C’est parce que certains types d’actualités sont toujours des actualités publiques. En règle générale, vous devez partir du principe que si vous ne voyez aucune icône d’audience, cela signifie que l’information sera publique.

Lorsque d’autres personnes partagent des informations vous concernant, elles peuvent choisir de les rendre publiques.

Informations toujours publiques

Les types d’informations figurant ci-dessous sont toujours publics et sont traités de la même manière que les informations que vous décidez de rendre publiques :

Nom : Cela aide vos amis et votre famille à vous trouver. Si vous ne souhaitez pas communiquer votre nom, vous pouvez toujours supprimer votre compte.

Photos de profil et de couverture : Cela aide vos amis et votre famille à vous trouver. Si vous ne souhaitez pas rendre vos photos publiques, vous pouvez les supprimer. À moins que vous ne la supprimiez, lorsque vous ajoutez une nouvelle photo de profil ou de couverture, l’ancienne photo reste publique dans votre album de photos de profil ou de couverture.

Réseaux : Ceci vous permet de voir qui échange des informations avec qui avant de sélectionner Amis et leurs amis comme public personnalisé. Si vous ne souhaitez pas rendre votre réseau public, vous pouvez quitter le réseau.

Sexe : Cela nous permet de nous adresser correctement à vous.

Nom d’utilisateur et identifiant : Ces informations vous permettent de communiquer un lien personnel vers votre journal ou votre Page, de recevoir des messages à votre adresse électronique Facebook et de contribuer à l’existence même de la plate-forme Facebook.

Clause n° 28 de la Politique d’utilisation des données du 15 novembre 2013 :

Nous pouvons autoriser l’accès aux informations publiques qui ont été partagées par le biais de nos services.

Clauses n° 23 à 24 de la Politique d’Utilisation des données du 30 janvier 2015 :

Le terme informations publiques fait référence aux informations que vous partagez avec tout le monde, dans votre profil public, ou encore aux contenus que vous partagez sur une Page Facebook ou sur un autre forum public. Les informations publiques sont accessibles à tout le monde, à travers comme en dehors de nos services, et peuvent être vues ou retrouvées à l’aide des moteurs de recherche en ligne, des interfaces API et des médias hors ligne, tels que la télévision.

Dans certains cas, les personnes avec qui vous communiquez ont la possibilité de télécharger ou de repartager ces contenus avec d’autres personnes, à travers comme en dehors de nos services. Lorsque vous commentez la publication d’un autre utilisateur ou indiquez aimer un contenu qu’il a partagé sur Facebook, ce dernier décide des personnes autorisées à voir votre commentaire ou votre mention J’aime. Si l’audience choisie est Public, votre commentaire sera également public.

Clauses n° 23 à 24 de la Politique d’Utilisation des données de mars et septembre 2016 et du 29 septembre 2016 :

Le terme informations publiques fait référence aux informations que vous partagez avec tout le monde, dans votre profil public, ou encore aux contenus que vous partagez sur une Page Facebook ou sur un autre forum public. Les informations publiques sont accessibles à tout le monde, au sein comme en dehors de nos Services, et peuvent être vues ou retrouvées à l’aide de moteurs de recherche en ligne, d’API et de médias hors ligne, tels que la télévision.

Dans certains cas, les personnes avec qui vous communiquez et partagez ont la possibilité de télécharger ou de repartager ces contenus avec d’autres personnes, au sein comme en dehors de nos Services. Lorsque vous commentez la publication d’une autre personne ou indiquez aimer un contenu qu’elle a partagé sur Facebook, cette dernière décide des personnes autorisées à voir votre commentaire ou votre mention J’aime. Si l’audience choisie est Public, votre commentaire sera également public.

Pour l’association, les clauses critiquées emploient le terme générique d’ »information » et ne font pas expressément référence à la notion de données à caractère personnel. Elles laissent croire à tort, selon elle, que l’utilisateur peut déterminer la publication et la diffusion de ses données à caractère personnel présentes sur le réseau Facebook. Elle observe qu’en réalité, quel que puisse être le paramétrage déterminé par l’utilisateur, certaines données sont toujours publiques. Par ailleurs les clauses ne précisent pas de manière exhaustive les finalités pour lesquelles les données à caractère personnel sont transmises à des tiers.

Les clauses précitées sont, selon l’association, illicites au regard des articles L. 111-1 et L.111-2 devenus les articles L. 111-2 et L. 111-3 du code de la consommation, L.121-17 devenu les articles L. 221-5, L. 221-6 et L. 221-7 du code de la consommation, L.121-19-2, devenu l’article L. 221-13 du code de la consommation, R. 111-2 devenu les articles R. 111-2 et R. 111-3 du code de la consommation, L.133-2 devenu l’article L. 211-1 du code de la consommation, des articles 6 et 32 loi Informatique et Libertés, 6,10 et 11 de la Directive 95/46 CE et abusives au sens de l’article R.132-1 4° du Code de la consommation, devenu l’article R. 212-1 4°) du code de la consommation.

La société FACEBOOK fait valoir que cette rubrique et sous-rubrique informe les utilisateurs des destinataires de leurs données – à caractère personnel ou non – dans le cadre du fonctionnement du Service Facebook. Elle ajoute qu’il existe de nombreux outils permettant à l’utilisateur de contrôler et maîtriser totalement ses données, les publications et les contenus qu’il publie sur le Service Facebook, puisqu’il peut déterminer son « audience », c’est-à-dire les destinataires de ses communications.

Elle rappelle que le nombre des « informations publiques » recueillies dans le cadre du Service Facebook et qui restent donc toujours publiques, sont limitées. Ces informations participent de l’essence même du réseau social, qui met en relation des utilisateurs. Le réseau social ne peut fonctionner si les utilisateurs sont dans l’impossibilité de se connecter entre eux. Une telle connexion suppose nécessairement que l’utilisateur fournisse certaines informations l’identifiant, comme son nom d’utilisateur ou identifiant ou le pays/langue.

La société FACEBOOK précise que la « sous-rubrique » informe l’utilisateur de la finalité d’une telle collecte qui vise, selon elle, à « communiquer avec les autres », principe et finalité première du Service Facebook.

a) Sur la qualification des données à caractère personnel collectées :

L’obligation d’information précontractuelle prévue dans les articles L.111-1, L.111-2, et, s’agissant de contrat conclu à distance, dans les articles L.121-17, L.121-19, L.121-19-2 et R.111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, impose au professionnel, avant la conclusion du contrat, de fournir au consommateur ou non professionnel les caractéristiques essentielles du service à rendre.

Aux termes des articles L. 133-1 et L. 133-2 devenus l’article L. 211-1 du code de la consommation imposent au professionnel une présentation et une rédaction claire et compréhensible des clauses des contrats qu’ils proposent au consommateur.

Au sens de l’article 2 de la Loi Informatique et Libertés, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

L’article 6 de la Loi Informatique et Libertés prévoit qu’un traitement ne peut porter sur des données à caractère personnel, que si elles sont collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et qu’elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités, qu’elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

En l’espèce, les clauses n° 12 à 17 et n° 28 de la PUD du 15 novembre 2013 et n° 23 et 24 de la PUD du 30 janvier 2015, mars, septembre 2016 et 29 septembre définissent ce que recouvre la notion d’ »informations publiques ». Elles précisent que ces informations relèvent de deux catégories : les informations que l’utilisateur « choisit » de rendre publiques par paramétrage et les informations qui restent toujours publiques parce qu’elles sont insusceptibles de paramétrage.

Il ressort des clauses critiquées qu’elles renvoient l’utilisateur via un hyperlien à une page d’aide intitulée : « Qu’entend-on par « Informations publiques » ? (Pièce UFC n° 6.1 bis) laquelle contient une définition de la notion d’ »Informations publiques ». Les clauses n° 23 à 24 de la Politique d’Utilisation des données du 30 janvier 2015, de mars, septembre 2016 et du 29 septembre 2016, intègrent une définition succincte de l’expression « informations publiques ». Toutes ces clauses indiquent que la notion fait référence aux informations que l’utilisateur partage avec tout le monde, dans son profil public, ou dans les contenus qu’il partage sur une Page Facebook ou sur un autre forum public.

Toutefois, les clauses critiquées ainsi que la page d’aide précitées apprennent qu’au rang des informations publiques « par défaut » et insusceptibles de paramétrage, figurent le nom de l’utilisateur, son identifiant, ses photos de profil, photos de couverture, ses réseaux, son sexe, mais encore sa tranche d’âge, sa langue et son pays (Pièce UFC n° 6.1 bis, Page d’Aide « Qu’entend-on par « Informations publiques » ?).

La même page d’aide révèle que lorsque l’utilisateur n’a accès ni au sélecteur d’audience, ni à aucun paramètre de confidentialité, cela signifie que son « contenu » est également public.

Or, l’ensemble des « informations publiques » précitées constituent des « données à caractère personnel » au sens de l’article 2 de la Loi Informatique et Libertés.

De sorte que la collecte et le traitement de telles données à caractère personnel ne sont licites qu’à condition d’avoir recueilli au préalable le consentement informé de la personne concernée – ce implique que tous les éclaircissements nécessaires lui aient été fournis – et pour des finalités déterminées et explicites, au sens de l’article 6 de la Loi Informatique et Libertés.

Tel n’est pas le cas en l’espèce des clauses critiquées qui, en s’abstenant d’informer l’utilisateur de la nature des données personnelles collectées, ne lui permettent pas de recueillir son consentement. La collecte de telles données ainsi opérée ne répond donc pas aux exigences de loyauté et de licéïté posées par l’article 6 de la Loi Informatique et Libertés.

En conséquence, il conviendra de déclarer ces clauses illicites au regard des articles L.111-1, L.111-2, et, s’agissant de contrat conclu à distance, des articles L.121-17, L.121-19, L.121-19-2 et R.111-2, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation et de l’article 6 de la Loi Informatique et Libertés.

b) Sur le contrôle de l’utilisateur de la publicité de ses données à caractère personnel :

L’analyse des clauses critiquées montre que ces données à caractère personnel restent accessibles, quelles que soient les circonstances, « à tout le monde, y compris aux personnes qui n’utilisent pas Facebook », l’ensemble des « personnes » pouvant les utiliser, mais aussi (…) les associer » à l’utilisateur (Clauses n° 12 à 17 PUD du 15 novembre 2013).

Par ailleurs, les clauses critiquées ainsi que la page d’aide précédemment citée (« Qu’entend-on par « Informations publiques » ? (Pièce UFC n° 6.1 bis)) apprennent que les informations publiques peuvent être vues « notamment » par des personnes qui ne figurent pas dans la liste des amis de l’utilisateur, par des personnes qui ne sont pas connectées à Facebook ou par des personnes qui ont recours à d’autres médias, (supports imprimés, télévision et d’autres sites sur internet), qu’elles sont associées à l’utilisateur, « même en dehors de Facebook », qu’elles apparaissent lorsqu’une recherche est effectuée sur Facebook ou sur un autre moteur de recherche et qu’elles sont accessibles aux jeux, applications et sites web intégrés à Facebook, que l’utilisateur et ses amis utilisent ainsi qu’à toute personne utilisant les « API » ( ?), comme l’ »API du graphe » de la société FACEBOOK ( ?). Etant observé qu’aucune précision, aucune définition de ce qu’il faut entendre par « API » et « API du graphe » n’est fournie dans les documents produits au débat.

De sorte que les informations publiques, comme les « contenus publics » de l’utilisateur, peuvent être vus par tout le monde. Leur diffusion n’est donc pas cantonnée aux seuls utilisateurs du réseau social (famille, amis ou relations), contrairement aux affirmations de la société FACEBOOK qui soutient en page 389 et 396 de ses écritures, que ces « informations publiques », participent de l’essence même du Service Facebook » et sont « nécessaires au bon fonctionnement du Service Facebook ».

Les clauses critiquées, lorsqu’elles sont lues en combinaison avec les clauses 2.1 et n° 2.4 de la DDR (examinées supra) et les clauses n° 36 à 43 et n°44 à 51 de la PUD du 15 novembre 2013 et 21 à 24 de la PUD des 30 janvier 2015, mars et septembre 2016 et 29 septembre 2016 (examinées infra), laissent croire à l’utilisateur, qu’il peut restreindre l’accès à ses données à caractère personnel et maitriser cet accès auprès des tiers grâce au paramétrage.

Or, certaines de ses données restent en permanence publiques. Il en est ainsi des « informations publiques », ainsi que les données qui ne sont pas dotées d’une « icône de partage » (cf. les clauses critiquées et les clauses n° 36 à 43 et n° 44 à 51 de la PUD du 15 novembre 2013 et des clauses n° 21 à 24 de la PUD des 30 janvier 2015, mars et septembre 2016 et 29 septembre 2016).

Elles échappent donc à tout contrôle. Elles sont par suite accessibles à tout le monde, empêchant l’utilisateur de connaitre l’étendue de la divulgation de ses données personnelles à des tiers.

En conséquence, les clauses critiquées sont illicites au sens de l’article L. 133-2, devenu l’article L. 211-1 du code de la consommation.

En recélant une contradiction nuisant à leur clarté et à leur compréhension, ces mêmes clauses sont abusives au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation, car ’elles créent un déséquilibre significatif entre les droits et obligations des parties, au détriment de l’utilisateur consommateur.

c) Sur la violation de l’article 32-III de la Loi Informatique et Libertés :

L’article 32-III de la Loi Informatique et Libertés impose au responsable du traitement, lorsque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, de fournir à cette dernière les informations énumérées à l’article 32-I, dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.

L’association ne démontre pas en quoi les données à caractère personnel que l’utilisateur a lui-même déposées entreraient dans la catégorie des données à caractère personnel qui n’auraient pas été recueillies auprès de la personne concernée.

La demande de l’UFC sera rejetée de ce chef.

En conséquence, les clauses n°12 à 17 et 28 de la PUD du 15 novembre 2013 et n°23 et 24 de la PUD du 30 janvier 2015, mars, septembre 2016 et 29 septembre 2016, illicites au regard des articles L.111-1, L.111-2, et, s’agissant de contrat conclu à distance, des articles L.121-17, L.121-19, L.121-19-2 et R.111-2, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation, de l’article 6 de la Loi Informatique et Libertés, sont abusives au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation. Elles seront donc réputées non écrites.

7. Clauses n° 18 à 22 de la PUD du 15 novembre 2013, n° 26 et 27 de la PUD du 30 janvier 2015, mars, septembre 2016 et 29 septembre 2016 :

Clauses n° 18 à 22 de la Politique d’utilisation des données du 15 novembre 2013 :

Noms d’utilisateur et identifiants

Les noms d’utilisateurs et les identifiants remplissent la même fonction, à savoir vous identifier sur Facebook. Un identifiant se compose généralement d’une chaîne de chiffres et un nom d’utilisateur d’une version quelque peu modifiée de votre nom. Votre nom d’utilisateur s’accompagne d’un lien personnalisé (une URL Facebook telle que www.facebook.com/username) vers votre journal que vous pouvez communiquer à des tiers ou publier sur des sites web externes.

Si quelqu’un possède votre nom d’utilisateur ou votre identifiant, il peut l’utiliser pour accéder à vos informations personnelles sur le site web facebook.com. Par exemple, si quelqu’un possède votre nom d’utilisateur, il peut saisir facebook.com/Username dans son navigateur et consulter vos informations publiques ainsi que tout ce que vous lui permettez de voir. De même, toute personne disposant de votre nom d’utilisateur ou de votre identifiant peut accéder à vos informations par le biais de nos API, comme l’API du graphe. Plus particulièrement, cette personne peut consulter vos informations publiques ainsi que votre tranche d’âge, votre langue et votre pays de résidence.

Si vous ne souhaitez pas que vos informations soient accessibles aux applications de la plate-forme, vous pouvez désactiver toutes les applications de plate-forme à partir des paramètres de confidentialité. Si vous désactivez la Plate-forme, vous ne serez plus en mesure d’utiliser les jeux ou autres applications jusqu’à ce que vous la réactiviez. Pour en savoir plus sur les informations que les applications reçoivent lorsque vous y accédez, consultez Autres sites web et applications.

Si vous souhaitez consulter les informations disponibles à votre sujet par le biais de notre API graphique, saisissez simplement https://graph.f ac e bo o k. c o m /[ Identif iant ou n om d’utilisateur]?metadata=1 dans votre navigateur.

Votre adresse électronique Facebook contient votre nom d’utilisateur public, comme suit : username@facebook.com. Les internautes peuvent utiliser votre adresse électronique Facebook pour vous envoyer des messages et toute personne participant à une conversation peut y répondre.

Clauses n°26 et 27 de la Politique d’utilisation des données du 30 janvier 2015 :

Applications, sites web et services tiers intégrés à nos services ou à l’aide de nos services.

Lorsque vous avez recours à des applications, à des sites web ou à d’autres services tiers qui utilisent nos services ou qui y sont intégrés, ces derniers peuvent recevoir des informations sur ce que vous publiez ou partagez. Par exemple, lorsque vous jouez à un jeu avec vos amis Facebook ou utilisez le bouton Commenter ou Partager de Facebook sur un site web, le développeur ou le site web du jeu peut recevoir des informations sur vos activités dans le jeu ou sur un commentaire ou un lien que vous partagez depuis son site web sur Facebook. En outre, lorsque vous téléchargez ou utilisez des services tiers, ces derniers ont la possibilité d’accéder à votre profil public, y compris votre nom d’utilisateur ou votre identifiant, votre tranche d’âge et votre pays/langue, votre liste d’amis ainsi que toutes les informations que vous partagez avec eux. Les informations recueillies par ces applications, sites web ou services intégrés sont régies par les conditions générales et les règlements de leurs propriétaires respectifs.

Découvrez comment contrôler les informations que les autres utilisateurs ou vous-même partagez avec ces applications et ces sites web.

Clauses n° 26 et 27 de la Politique d’utilisation des données de mars et septembre 2016 et du 29 septembre 2016 :

Applications, sites web et services tiers intégrés à nos Services ou utilisant nos Services.

Lorsque vous avez recours à des applications, à des sites web ou à d’autres services tiers qui utilisent nos Services ou qui y sont intégrés, ces derniers peuvent recevoir des informations sur ce que vous publiez ou partagez. Par exemple, lorsque vous jouez à un jeu avec vos amis Facebook ou utilisez le bouton Commenter ou Partager de Facebook sur un site web, le développeur ou le site web du jeu peut recevoir des informations sur vos activités dans le jeu ou sur un commentaire ou un lien que vous partagez depuis leur site web sur Facebook. En outre, lorsque vous téléchargez ou utilisez des services tiers, ces derniers ont la possibilité d’accéder à votre profil public, y compris votre nom d’utilisateur ou votre identifiant, votre tranche d’âge, votre pays/langue, votre liste d’amis ainsi que toutes les informations que vous partagez avec eux. Les informations recueillies par ces applications, sites web ou services intégrés sont régies par les conditions générales et les règlements de leurs propriétaires respectifs.

Découvrez comment contrôler les informations que d’autres personnes ou vous-même partagez avec ces applications et ces sites web.

L’association UFC QUE-CHOISIR critique l’emploi dans les clauses litigieuses des termes « informations » et « données » pour qualifier des données personnelles au sein des clauses litigieuses et leur reproche de mentionner une liste de finalités, insuffisamment déterminées et explicites. De sorte que les utilisateurs ne sont pas informés du traitement actuel et futur de leurs données, qui, selon l’association, consiste en une collecte de données à caractère personnel à des fins de publicité ciblée.

L’association reproche également aux clauses de ne pas contenir d’information sur les destinataires ou catégories de destinataires des données.

Selon elle, les clauses sont donc illicites au regard des articles L. 111-1, L.111-2, devenus les articles L. 111-2 et L. 111-3 du code de la consommation, des article L.121-17, devenu les articles L. 221-5, L. 221-6 et L. 221-7 du code de la consommation, de l’article L.121-19-2, devenu l’article L. 221-13 du code de la consommation, de l’article R. 111-2 devenu les articles R. 111-2 et R. 111-3 du code de la consommation, de l’article L.133-2, devenu l’article L. 211-1 du code de la consommation, de l’article 6 et 32-I de la Loi Informatique et Libertés, de l’article 6 1° b) et 10 de la Directive 95/46 CE et abusives au sens de l’article L.132-1 devenu les articles L. 212-1, L. 212-3 et L. 241-1 du code de la consommation.

La société FACEBOOK répond que les utilisateurs peuvent s’inscrire ou se connecter à une application ou à un jeu en utilisant leur compte Facebook. Dans ce cas, les développeurs ou sites Internet tiers ont accès aux informations que l’utilisateur choisit de rendre publiques. Elle ajoute que l’utilisation volontaire de « modules sociaux » présents sur ces sites ou applications tiers, nécessite que les utilisateurs soient inscrits et connectés au site Facebook.

La société FACEBOOK affirme qu’elle informe l’utilisateur dans la sous- rubrique critiquée des catégories de données collectées, de la finalité et des catégories de destinataires d’une telle collecte. Elle précise qu’elle recueille son consentement pour le recours aux « modules sociaux », l’utilisateur ayant la possibilité de s’inscrire ou se connecter à une application ou à un jeu à l’aide de son compte Facebook » ou de manière anonyme. Elle fait valoir que les jeux et applications sont fournis par des tiers. Selon la société, leur usage est donc régi par les conditions d’utilisation des tiers développeurs, les sites tiers agissant en qualité de responsables de traitement, lorsqu’ils collectent les données à caractère personnel des utilisateurs qui visitent leur site.

a) Sur l’absence de qualification des données :

En l’espèce les clauses n° 18 à 22 de la PUD du 15 novembre 2013 et n° 26 et 27 de la PUD des 30 janvier 2015, de mars et septembre 2016 et du 29 septembre 2016 concernent d’une part les noms d’utilisateur et identifiants de l’utilisateur et d’autre part la collecte auprès des utilisateurs de ces données.

Les clauses précisent ainsi que « toute personne disposant du nom d’utilisateur ou de son identifiant peut accéder à ses informations par le biais des « API » de la société FACEBOOK, comme l’API du graphe). Elles évoquent la possibilité pour les applications d’accéder aux informations que l’utilisateur « choisit de rendre publiques ».

Or, ces « informations » constituent des données à caractère personnel au sens de l’article 2 de la Loi Informatique et Libertés et restent toujours accessibles à tout le monde, quelles que soient les circonstances.

De sorte que les clauses critiquées sont illicites au regard des articles L. 111-1, L.111-2, devenus les articles L. 111-2 et L. 111-3 du code de la consommation, des articles L.121-17, devenu les articles L. 221-5, L. 221-6 et L. 221-7 du code de la consommation, de l’article L.121-19-2, devenu l’article L. 221-13 du code de la consommation, de l’article R. 111-2 devenu les articles R. 111-2 et R. 111-3 du code de la consommation, de l’article L.133-2, devenu l’article L. 211-1 du code de la consommation, des articles 6 et 32-I de la Loi Informatique et Libertés.

b) Sur l’accès aux données à caractère personnel par des tiers :

Aux termes de l’article 32-I. de la loi précitée, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, par le responsable du traitement ou son représentant, de l’identité du responsable du traitement, de la finalité poursuivie par le traitement auquel les données sont destinées, des destinataires ou catégories de destinataires des données.

L’article 32-III de la Loi Informatique et Libertés impose au responsable du traitement ou son représentant, lorsque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, de fournir à cette dernière les informations énumérées à l’article 32-I, dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.

En prévoyant que, lorsque l’utilisateur ne souhaite pas que ses informations soient accessibles aux applications de la plate-forme Facebook, l’utilisateur doit se rendre sur une page « appropriée » consacrée aux « paramètres de confidentialité » pour désactiver cette « autorisation », la clause établit que l’accès par les applications aux « informations » de l’utilisateur (constituées en réalité de données à caractère personnel), est autorisé par défaut.

De même, et contrairement aux affirmations de la société FACEBOOK, l’utilisateur n’accepte pas de manière exprès « la demande émanant de l’application, permettant que ses contenus et informations soient partagés avec l’application ».

En effet, en page 258 de ses écritures (clause n° 2.3 de la DDR), la société FACEBOOK présente dans une rubrique intitulée « Jouer » (pour l’application « Candy crush saga ») une clause libellée ainsi : « En continuant, vous acceptez les conditions de service (de l’application) (…) ». De sorte que la page citée en exemple dans les conclusions de la société met en évidence un procédé rédactionnel qui présuppose chez l’utilisateur un consentement implicite à l’intégralité des conditions d’utilisation, du seul fait de l’utilisation de l’application par l’utilisateur, sans solliciter son consentement exprès à la collecte et au traitement de ses données personnelles.

Par ailleurs, la société FACEBOOK ne peut, sans se contredire, prétendre d’une part qu’il n’y a aucune collecte effectuée par la société FACEBOOK de données en provenance de tiers, parce que la clause n’en parle pas, et affirmer d’autre part que les sites tiers agissent en qualité de responsables de traitement à l’occasion de la collecte de données à caractère personnel d’utilisateurs visitant leur site (p. 399), tout en reconnaissant en pages 223 et 224 des mêmes écritures, qu’elle dépose « des cookies sur le Service Facebook mais aussi sur des sites Internet ou applications tiers » (ou que des cookies sont déposés « via le Service Facebook, via les services des autres sociétés du groupe Facebook et/ou via des sites Internet ou applications tiers intégrant les modules sociaux Facebook »).

Il résulte de ce qui précède, que, contrairement à ce qu’elle allègue, la société FACEBOOK dépose des cookies sur l’appareil de l’utilisateur lorsqu’il interagit avec un « module social » intégré au sein d’un site Internet tiers (par exemple, en cliquant sur le bouton « J’aime ») et que les données collectées via ces « module sociaux » ne s’effectue pas en dehors du Service Facebook (Tableau récapitulatif conclusions de la société FACEBOOK, page 445 à propos de la clause n° 8.4 de la PUD).

En s’abstenant d’informer l’utilisateur d’une part de la collecte de données à caractère personnel, dont il ignore l’existence et à laquelle il n’a pas expressément consenti, en lui laissant croire qu’il n’a pas à donner a priori son consentement à leur communication à des tiers non désignés ou à s’y opposer a posteriori, en ne l’informant ni sur les exactes finalités déterminées et explicites pour lesquelles la collecte de ses données personnelles est effectuée, les clauses critiquées placent ainsi l’utilisateur dans l’impossibilité de connaitre l’étendue des données à caractère personnel que la société FACEBOOK collecte et utilise, les clauses critiquées.

Elles sont donc illicites au regard des articles 2, 6, 32-I et 32-III de la Loi Informatique et Libertés et abusives au regard de l’article L.132-1, devenu les articles L. 222-1 du code de la consommation, en ce qu’elles ont objet ou pour effet de créer un déséquilibre significatif entre les droits et obligations des parties au détriment de l’utilisateur, consommateur.

En conséquence, les clauses critiquées, illicites au regard des articles L. 111-1, L.111-2, devenus les articles L. 111-2 et L. 111-3 du code de la consommation, des article L.121-17, devenu les articles L. 221-5, L. 221-6 et L. 221-7 du code de la consommation, de l’article L.121-19-2, devenu l’article L. 221-13 du code de la consommation, de l’article R. 111-2 devenu les articles R. 111-2 et R. 111-3 du code de la consommation, de l’article L.133-2, devenu l’article L. 211-1 du code de la consommation, des articles 2, 6, 32-I et 32-III de la Loi Informatique et Libertés. Et abusives au regard de l’article L.132-1, devenu les articles L. 222-1 du code de la consommation. Elles seront donc réputées non écrites.

8. Clauses n° 23 à 24 et n°30 de la PUD du 15 novembre 2013 et n°12 à 19 de la PUD des 30 janvier 2015, mars, septembre 2016 et du 29 septembre 2016 :

Clauses n° 23 à 24 et 30 de la Politique d’utilisation des données du 15 novembre 2013 :

Utilisation des informations que nous recevons

Nous utilisons les informations que nous recevons pour les services et les fonctions que nous vous fournissons, à vous et à d’autres utilisateurs, tels que vos amis, nos partenaires, les annonceurs qui achètent des publicités sur le site, et les développeurs qui conçoivent les jeux, les applications et les sites web que vous utilisez. Ainsi, en plus d’aider les internautes à voir et découvrir ce que vous faites et partagez, nous pouvons utiliser les informations que nous recevons à votre sujet :

– dans le cadre de nos efforts en vue de maintenir la sécurité des produits, des services et des intégrations de Facebook ;

– pour protéger les droits et propriétés de Facebook comme ceux des autres utilisateurs,

– pour vous fournir de meilleurs services et fonctionnalités de géolocalisation, comme pour vous dire si des amis se trouvent à proximité ou si vous vous trouvez non loin de choses intéressantes ;

– pour mesurer et comprendre l’efficacité des publicités que nous affichons et pour diffuser des publicités qui vous concernent plus pertinemment ;

– pour vous soumettre des suggestions, ainsi qu’aux autres utilisateurs de Facebook, telles que : suggérer à vos amis d’utiliser des outils d’importation car vous avez trouvé des amis en les utilisant, suggérer à un autre utilisateur de vous ajouter comme ami car il a importé la même adresse électronique que vous, ou suggérer à un ami de vous marquer sur une photo où vous apparaissez et qu’il a téléchargée ; et

– pour des opérations internes, dont le dépannage, l’analyse de données, les tests, la recherche et l’amélioration des services.

Cette autorisation que vous nous accordez d’utiliser vos informations nous permet non seulement de proposer Facebook dans sa version actuelle, mais également de vous fournir des fonctions et services novateurs que nous développerons à l’avenir et qui utiliseront les informations vous concernant que nous recevons d’une manière nouvelle.

Nous sommes en mesure de suggérer à l’un de vos amis de vous identifier dans une photo en comparant les photos de votre ami aux informations que nous avons réunies à partir de vos photos de profil et d’autres photos dans lesquelles vous avez été identifié(e). Si vous avez activé cette fonctionnalité, vous pouvez contrôler si nous suggérons à un autre utilisateur de vous identifier dans une photo en utilisant le paramètre Journal et identification. Pour en savoir plus :

https://www.facebook.com/help/tag-suggestions

Clauses n° 12 à 19 de la Politique d’utilisation des données du 30 janvier 2015 :

Nous aspirons à créer une expérience utilisateur attrayante et personnalisée. Nous tirons parti de toutes les informations à notre disposition pour fournir nos services et maintenir leur qualité. Voici comment procéder :

Fournir, améliorer et développer nos services.

Nous sommes en mesure de vous proposer nos services, de personnaliser nos contenus et de vous faire des suggestions en nous fondant sur les informations obtenues afin de déterminer la manière dont vous utilisez nos services et interagissez avec eux et avec les personnes ou les activités auxquelles vous êtes connecté(e) et qui vous intéressent, à travers comme en dehors de nos services.

Nous nous servons également des informations à notre disposition pour vous proposer divers raccourcis et suggestions. Par exemple, nous sommes en mesure de suggérer à l’un de vos amis de vous identifier dans une photo en comparant les photos de votre ami aux informations que nous avons réunies à partir de vos photos de profil et d’autres photos dans lesquelles vous avez été identifié(e). Si vous avez activé cette fonctionnalité, vous pouvez contrôler si nous suggérons à un autre utilisateur de vous identifier sur une photo en utilisant le paramètre Journal et identification.

Lorsque nous disposons d’informations de localisation, nous les utilisons pour adapter nos Services pour vous et les autres utilisateurs, par exemple en vous aidant à indiquer votre présence à un certain endroit et en recherchant des événements ou des offres près de chez vous ou encore en indiquant à vos amis que vous vous trouvez à proximité.

Nous menons des enquêtes et des études, testons des fonctionnalités en phase de développement et analysons les informations à notre disposition afin d’évaluer et améliorer nos produits et services, de mettre au point de nouveaux produits et de nouvelles fonctionnalités et de conduire des activités de vérification et de dépannage.

Communiquer avec vous.

Nous utilisons vos informations pour vous envoyer des communications commerciales, vous parler de nos services et vous faire part de nos conditions générales et de nos règlements. Nous nous servons également de vos informations pour vous répondre lorsque vous nous contactez.

Diffuser et évaluer les publicités et les services.

Nous nous servons des informations à notre disposition pour améliorer nos systèmes de publicité et de mesure, ce qui nous permet de vous présenter des publicités pertinentes, à travers nos services ou en dehors, et d’évaluer l’efficacité et la portée de nos publicités et de nos services. En savoir plus sur la diffusion de publicités à travers nos services et les différentes manières de contrôler la façon dont les informations sur vous sont utilisées pour personnaliser les publicités que vous voyez.

Favoriser la sécurité.

Nous nous servons des informations à notre disposition pour effectuer une vérification des comptes et des activités des utilisateurs, et pour garantir la sécurité à travers comme en dehors de nos services. Nous pouvons par exemple examiner toute activité douteuse ou toute infraction de nos conditions générales ou de nos règlements. Nous nous efforçons de protéger votre compte par le biais de nos équipes d’ingénieurs, de systèmes automatisés et de technologies sophistiquées, telles que le chiffrement et l’apprentissage automatique. Nous proposons également des outils de sécurité simples qui permettent de sécuriser davantage votre compte. Pour en savoir plus sur les mesures de sécurité employées par Facebook, consultez les pages d’aide sur la sécurité de Facebook.

Clauses n° 12 à 19 de la Politique d’utilisation des données de mars 2016 :

Nous aspirons à créer une expérience utilisateur attrayante et personnalisée. Nous tirons parti de toutes les informations à notre disposition pour fournir nos Services et maintenir leur qualité. Voici comment :

Fournir, améliorer et développer nos Services.

Nous sommes en mesure de vous proposer nos Services, de personnaliser nos contenus et de vous faire des suggestions en nous fondant sur les informations obtenues afin de déterminer la manière dont vous utilisez nos Services et interagissez avec eux et avec les personnes ou les activités auxquelles vous êtes connecté(e) et qui vous intéressent, au sein comme en dehors de nos Services.

Nous nous servons également des informations à notre disposition pour vous proposer divers raccourcis et suggestions. Par exemple, nous sommes en mesure de suggérer à l’un de vos amis de vous identifier dans une photo en comparant les photos de votre ami aux informations que nous avons réunies à partir de vos photos de profil et d’autres photos dans lesquelles vous avez été identifié(e). Si vous avez activé cette fonctionnalité, vous pouvez décider si nous suggérons ou non à une autre personne de vous identifier sur une photo en utilisant le paramètre Journal et identification.

Lorsque nous disposons d’informations de localisation, nous les utilisons pour adapter nos Services pour vous et d’autres personnes, par exemple en vous aidant à indiquer votre présence à un certain endroit, en recherchant des évènements ou des offres près de chez vous ou encore en indiquant à vos amis que vous vous trouvez à proximité.

Nous menons des enquêtes et des études, testons des fonctionnalités en phase de développement et analysons les informations à notre disposition afin d’évaluer et d’améliorer nos produits et services, de mettre au point de nouveaux produits et de nouvelles fonctionnalités et de conduire des activités de vérification et de dépannage.

Communiquer avec vous.

Nous utilisons vos informations pour vous envoyer des communications commerciales, vous parler de nos Services et vous faire part de nos conditions générales et de nos règlements. Nous nous servons également de vos informations pour vous répondre lorsque vous nous contactez.

Diffuser et évaluer les publicités et les services.

Nous nous servons des informations à notre disposition pour améliorer nos systèmes de publicité et de mesure, ce qui nous permet de vous présenter des publicités pertinentes, au sein de nos Services ou en dehors, et d’évaluer l’efficacité et la portée de nos publicités et de nos services. En savoir plus sur la diffusion de publicités à travers nos Services et les différentes manières de contrôler la façon dont les informations vous concernant sont utilisées pour personnaliser les publicités que vous voyez.

Favoriser la sécurité.

Nous nous servons des informations à notre disposition pour effectuer une vérification des comptes et des activités des utilisateurs, et pour garantir la sécurité au sein comme en dehors de nos Services. Nous pouvons, par exemple, examiner toute activité douteuse ou toute infraction à nos conditions générales ou à nos règlements. Nous nous efforçons de protéger votre compte par le biais de nos équipes d’ingénieurs, de systèmes automatisés et de technologies sophistiquées, telles que le chiffrement et l’apprentissage automatique. Nous proposons également des outils de sécurité simples qui permettent de sécuriser davantage votre compte. Pour en savoir plus sur les mesures de sécurité employées par Facebook, consultez les pages d’aide sur la sécurité de Facebook.

Clauses n° 12 à 19 de la Politique d’utilisation des données à une date inconnue en septembre 2016 et du 29 septembre 2016 :

Comment utilisons-nous ces informations ?

Nous aspirons à créer une expérience utilisateur attrayante et personnalisée. Nous tirons parti de toutes les informations à notre disposition pour fournir nos Services et maintenir leur qualité. Voici de quelle façon :

Fournir, améliorer et développer nos Services.

Nous sommes en mesure de vous proposer nos Services, de personnaliser nos contenus et de vous faire des suggestions en nous fondant sur les informations obtenues afin de déterminer la manière dont vous utilisez nos Services et interagissez avec eux et avec les personnes ou les activités auxquelles vous êtes connecté(e) et qui vous intéressent, au sein comme en dehors de nos Services.

Nous nous servons également des informations à notre disposition pour vous proposer divers raccourcis et suggestions. Par exemple, nous sommes en mesure de suggérer à l’un de vos amis de vous identifier dans une photo en comparant les photos de votre ami aux informations que nous avons réunies à partir de vos photos de profil et d’autres photos dans lesquelles vous avez été identifié(e). Si vous avez activé cette fonctionnalité, vous pouvez décider si nous suggérons ou non à une autre personne de vous identifier sur une photo en utilisant le paramètre Journal et identification.

Lorsque nous disposons d’informations de localisation, nous les utilisons pour adapter nos Services pour vous et d’autres personnes, par exemple en vous aidant à indiquer votre présence à un certain endroit, en recherchant des évènements ou des offres près de chez vous ou encore en indiquant à vos amis que vous vous trouvez à proximité.

Nous menons des enquêtes et des études, testons des fonctionnalités en phase de développement et analysons les informations à notre disposition afin d’évaluer et d’améliorer nos produits et services, de mettre au point de nouveaux produits et de nouvelles fonctionnalités et de conduire des activités de vérification et de dépannage.

Communiquer avec vous.

Nous utilisons vos informations pour vous envoyer des communications commerciales, vous parler de nos Services et vous faire part de nos conditions générales et de nos règlements. Nous nous servons également de vos informations pour vous répondre lorsque vous nous contactez.

Diffuser et évaluer les publicités et les services.

Nous nous servons des informations à notre disposition pour améliorer nos systèmes de publicité et de mesure, ce qui nous permet de vous présenter des publicités pertinentes, au sein de nos Services ou en dehors, et d’évaluer l’efficacité et la portée de nos publicités et de nos services. En savoir plus sur la diffusion de publicités à travers nos Services et les différentes manières de contrôler la façon dont les informations vous concernant sont utilisées pour personnaliser les publicités que vous voyez.

Favoriser la sécurité.

Nous nous servons des informations à notre disposition pour effectuer une vérification des comptes et des activités des utilisateurs, et pour garantir la sécurité au sein comme en dehors de nos Services. Nous pouvons, par exemple, examiner toute activité douteuse ou toute infraction à nos conditions générales ou à nos règlements. Nous nous efforçons de

protéger votre compte par le biais de nos équipes d’ingénieurs, de systèmes automatisés et de technologies sophistiquées, telles que le chiffrement et l’apprentissage automatique. Nous proposons également des outils de sécurité simples qui permettent de sécuriser davantage votre compte. Pour en savoir plus sur les mesures de sécurité employées par Facebook, consultez les pages d’aide sur la sécurité de Facebook.

Nous utilisons des cookies et d’autres technologies similaires pour fournir nos Services et chacune des utilisations décrites dans la présente section de notre politique. Veuillez consulter notre politique d’utilisation des cookies pour en savoir plus.

L’association UFC QUE-CHOISIR critique l’emploi dans les clauses litigieuses des termes « informations » et « données » pour qualifier des données personnelles et de mentionner une liste de finalités, insuffisamment déterminées et explicites, de sorte qu’il est impossible de considérer que les utilisateurs sont effectivement informés du traitement actuel et futur de leurs données à caractère personnel, collectées en vue d’adresser aux utilisateurs une publicité ciblée. L’association reproche aux clauses de ne pas informer l’utilisateur sur les destinataires ou catégories de destinataires des données à caractère personnel.
Selon elle, les clauses sont illicites au regard des articles L. 111-1, L.111-2, devenus les articles L. 111-2 et L. 111-3 du code de la consommation, des article L.121-17, devenu les articles L. 221-5, L. 221-6 et L. 221-7 du code de la consommation, de l’article L.121-19-2, devenu l’article L. 221-13 du code de la consommation, de l’article R. 111-2 devenu les articles R. 111-2 et R. 111-3 du code de la consommation, de l’article L.133-2, devenu l’article L. 211-1 du code de la consommation, de l’article 6 et 32-I de la Loi Informatique et Libertés, de l’article 6 1° b) et 10 de la Directive 95/46 CE et abusives au sens de l’article L.132-1 devenu les articles L. 212-1, L. 212-3 et L. 241-1 du code de la consommation.

Pour la société FACEBOOK, cette rubrique détaille les quatre finalités de la collecte et du traitement des données – à caractère personnel ou non – de l’utilisateur dans le cadre du Service Facebook. Elle précise que les catégories de données traitées ainsi que les destinataires ou catégories de destinataires du traitement sont décrits dans d’autres Rubriques dédiées Quels types d’informations recueillons-nous » et « Comment ces informations sont-elles partagées ? ». Les termes utilisés par la société FACEBOOK permettent, selon elle, à l’utilisateur de comprendre concrètement que, dans le cadre du Service Facebook, il peut partager non seulement des données à caractère personnel mais également d’autres types de contenus.

La société FACEBOOK affirme que dans la sous-rubrique « Diffuser et évaluer les publicités et les services », elle informe clairement l’utilisateur que l’une des finalités du traitement de ses données à caractère personnel est la publicité. Elle fait valoir que l’utilisateur donne son consentement au traitement de ses données à caractère personnel dans la DDR, que les utilisateurs acceptent avant leur inscription, et dans la PUD, que les utilisateurs indiquent avoir lue avant leur inscription.

Elle ajoute que l’utilisateur peut contrôler ses préférences en matière de publicité comportementale en ligne notamment via le lien hypertexte « contrôler », accessible depuis la sous rubrique critiquée et qu’il peut s’opposer au traitement de ses données à caractère personnel.

Elle soutient qu’elle ne divulgue aux annonceurs aucune donnée permettant l’identification des utilisateurs. Elle précise que dans la sous- rubrique « Favoriser la sécurité », la société FACEBOOK met tout en œuvre pour offrir à ses utilisateurs un service sécurisé, conformément à la Loi Informatique et Libertés en fournissant aux utilisateurs des outils simples pour améliorer la sécurité de leur « compte Facebook ».

a) Sur l’absence de qualification des données à caractère personnel :

En l’espèce, les clauses n° 23 à 24 et 30 de la PUD du 15 novembre 2013 et 12 à 19 de la PUD des 30 janvier 2015, mars, septembre 2016 et du 29 septembre 2016, reprennent 40 fois le terme « informations » pour qualifier les données à caractère personnel de l’utilisateur, qui, compte tenu de la généralité de la terminologie employée, inclut nécessairement l’ensemble des données à caractère personnel collectées auprès de l’utilisateur : celles qu’il dépose volontairement sur le site, comme celles qui sont collectées à son insu (« recueillies »), notamment via des cookies déposés par la société FACEBOOK lors de son inscription puis de sa navigation ultérieure sur le site du réseau social ou lors d’une interaction avec un « module social » intégré au sein d’un site internet tiers (cf. clause n° 18 à
22 de la PUD du 15 novembre 2013 et n° 26 et 27 de la PUD des 30 janvier 2015, de mars et septembre 2016 et du 29 septembre 2016).

De sorte qu’en n’informant pas l’utilisateur de la nature des données collectées, en le plaçant ainsi dans l’impossibilité d’en appréhender le volume des données collectées, les clauses n° 23 à 24 et n° 30 de la PUD du 15 novembre 2013 et n° 12 à 19 de la PUD des 30 janvier 2015, mars, septembre 2016 et du 29 septembre 2016, sont illicites au regard des articles L. 111-1, L.111-2, devenus les articles L. 111-2 et L. 111-3 du code de la consommation, des article L.121-17, devenu les articles L. 221-5, L. 221-6 et L. 221-7 du code de la consommation, de l’article L.121-19-2, devenu l’article L. 221-13 du code de la consommation, de l’article R. 111-2 devenu les articles R. 111-2 et R. 111-3 du code de la consommation, de l’article L.133-2, devenu l’article L. 211-1 du code de la consommation et au regard de l’article 6 de la Loi Informatique et Libertés.

b) Sur l’imprécision des finalités de traitement :

Aux termes de l’article 6 de la Loi Informatique et Libertés, un traitement portant sur des données à caractère personnel n’est licite qu’à la condition d’avoir reçu au préalable le consentement de la personne concernée, que ces données soient collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et qu’elles ne soient pas traitées ultérieurement de manière incompatible avec ces finalités initiales, qu’elles soient adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

L’article 32-I 2°) de la Loi Informatique et Libertés exige du responsable du traitement, qu’il informe la personne concernée de la finalité poursuivie par le traitement, auquel les données sont destinées et des destinataires ou catégories de destinataires des données.

Tel n’est pas le cas des clauses critiquées, qui évoquent des finalités du traitement formulées de manière très large, comme l’amélioration du service (« Fournir, améliorer et développer (les) Services »), la communication avec l’utilisateur (« Communiquer avec vous »), l’offre de publicité (Diffuser et évaluer les publicités et les services) ou la sécurité (« Favoriser la sécurité »), sans qu’ait été préalablement au traitement recueilli le consentement informé et indubitable de l’utilisateur à la collecte de ses données à caractère personnel.

En déclarant que l’ »autorisation » donnée par l’utilisateur de traiter ses « informations » vaut également pour l’avenir, les clauses litigieuses ne répondent pas aux exigences posées par l’article 6 de la Loi Informatique et Libertés, car elles n’informent pas l’utilisateur et ne recueillent pas son consentement indubitable au traitement de ses données à caractère personnel et ne lui assurent pas qu’elles soient traitées ultérieurement de manière compatible avec des finalités déterminées, explicites et légitimes, le renvoi par lien hypertexte à des rubriques dédiées au « recueil » et au « partage » des « informations » ne valant pas consentement ni à la collecte ni au traitement ni à la diffusion des données à caractère personnel.

En présentant de manière évasive des finalités de traitement de la collecte des données à caractère personnel de l’utilisateur, le conduisant ainsi à se méprendre sur les finalités présentes et futures du traitement qui leur sont réservées, les clauses critiquées sont abusives au sens de l’article L.132-1 devenu les articles L. 212-1, L. 212-3 et L. 241-1 du code de la consommation, en ce qu’elles créent un déséquilibre significatif au détriment de l’utilisateur consommateur.

En conséquence, les clauses n° 23 à 24 et n°30 de la PUD du 15 novembre 2013 et n°12 à 19 de la PUD des 30 janvier 2015, mars, septembre 2016 et du 29 septembre 2016, illicites au regard des articles L.111-1, L.111-2, L.121-17, L.121-19, L.121-19-2 et R.111-2, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, des articles 2, 6 et 32-I de la Loi Informatique et Libertés, sont abusives au sens de l’article L.132-1 devenu les articles L. 212-1, L. 212-3 et L. 241-1 du code de la consommation

9. Clauses n° 25 et 26 de la PUD du 15 novembre 2013, n° 32 de la PUD des 30 janvier 2015, mars, septembre 2016 et 29 septembre 2016 :

Clauses n° 25 et 26 de la Politique du 15 novembre 2013 :

Vous restez toujours propriétaire des informations vous concernant que nous recevons, même si vous nous donnez l’autorisation de les utiliser. Votre confiance nous est précieuse, voici pourquoi nous ne partageons pas les informations vous concernant que nous recevons avec d’autres parties, sauf si :

– nous avons reçu votre autorisation ;

– nous vous avons prévenu, par exemple en vous en informant dans cette politique ; ou

– nous avons supprimé votre nom et toute autre information personnelle permettant de vous identifier.

Bien entendu, dans le cas des informations que d’autres personnes peuvent communiquer, ce sont ces personnes qui contrôlent la façon dont elles sont communiquées.

Clauses n° 32 de la Politique d’utilisation des données du 30 janvier 2015 et de mars et septembre 2016 et du 29 septembre 2016 :

Services de publicité, de mesure et d’analyse (uniquement des informations qui ne permettent pas de vous identifier personnellement).

Nous voulons que nos publicités soient aussi pertinentes et intéressantes que les autres informations que vous trouvez au sein de nos services. Dans cette optique, nous nous servons de toutes les informations dont nous disposons à votre sujet afin de vous présenter des publicités pertinentes. Nous ne partageons pas les informations qui permettent de vous identifier personnellement (les informations qui permettent de vous identifier personnellement sont les informations telles que votre nom ou votre adresse électronique, pouvant être utilisées pour vous contacter ou vous identifier) avec nos prestataires de services de publicité, de mesure et d’analyse, à moins d’obtenir votre autorisation. Nous pouvons fournir à ces partenaires des informations sur l’efficacité et la portée de leurs publicités, sans communiquer d’informations qui permettent de vous identifier personnellement, ou des informations que nous avons rendues anonymes.

Par exemple, nous pouvons transmettre à un annonceur un rapport sur les performances de ses publicités, sur le nombre de personnes ayant vu ses publicités ou installé une application après avoir vu une publicité, ou encore communiquer des informations démographiques qui ne permettent d’identifier personnellement aucun utilisateur (telles que « femme de 25 ans vivant à Madrid et passionnée de génie logiciel ») à ces partenaires afin de les aider à mieux cerner leur audience ou leurs clients, mais uniquement après que l’annonceur a accepté de se conformer à nos règles publicitaires.

Selon l’UFC QUE CHOISIR, alors qu’il n’y a pas de consentement explicite de l’utilisateur quant à la collecte au traitement de ses données à caractère personnel, les clauses litigieuses prévoient la possibilité pour la société FACEBOOK de partager ces informations avec ses partenaires. La société FACEBOOK prétend que les informations partagées ne permettent pas d’identifier personnellement l’utilisateur ou qu’elles sont rendues anonymes, alors qu’il n’en est rien.
Les clauses seraient donc, selon l’association, illicites au regard des articles L. 111-1 et L. 111-2 devenus articles L. 111-2 et L. 111-3 du code de la consommation, L. 121-17, devenu les articles L. 221-5, L. 221-6 et L. 221-7 du code de la consommation, L.121-19-2, devenu l’article L. 221-13 du code de la consommation, R. 111-2, devenu les articles R. 111-2 et R. 111-3 du code de la consommation, L. 133-2 devenu l’article L. 211-1 du code de la consommation, des articles 6 et 32 de la Loi Informatique et Libertés, des articles 6, 10 et 11 de la Directive 95/46.
Elles seraient également abusives au sens de l’article L.132-1, devenu articles L. 212-1, L. 212-3 et L. 241-1 du code de la consommation, R.132-1 1°) et 4°), devenus articles R. 212-1 1°), 4°) du code de la consommation.

La société FACEBOOK soutient qu’elle communique à ses partenaires aux fins de publicité des informations ne permettant pas l’identification de l’utilisateur, de sorte que la Loi Informatique et Libertés et la Directive Données Personnelles ne s’appliquent pas.

Elle affirme que, comme précisé dans la PUD, elle s’engage à recueillir le consentement préalable de l’utilisateur dans l’hypothèse où des données à caractère personnel seraient communiquées aux fins de publicité à ses partenaires. Elle rappelle qu’elle informe l’utilisateur avant son inscription au Service Facebook, de l’existence et des modalités de la publicité ciblée, en particulier des finalités et des destinataires de la communication de données anonymes ou agrégées ne permettant pas l’identification des utilisateurs. Elle ajoute que l’utilisateur peut configurer ses paramètres de façon à empêcher que ses données à caractère personnel fassent l’objet d’un traitement à des fins de publicité comportementale en ligne.

Aux termes de l’article 6 1°) et 6 2°) de la Loi Informatique et Libertés, les données à caractère personnel sont collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

Aux termes de l’article 32-I 2°) et 5°) de la Loi Informatique et Libertés, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable par le responsable de traitement ou son représentant, de la finalité du traitement et des destinataires ou catégories de destinataires des données.

L’article 32-III de la Loi Informatique et Libertés impose au responsable du traitement ou son représentant, lorsque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, de fournir à cette dernière les informations énumérées à l’article 32-I, dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.

a) Sur le prétendu accord de l’utilisateur sur le « partage  » de ses données à caractère personnel :

L’UFC conteste qu’il y ait eu un consentement explicite de l’utilisateur quant à la collecte et au traitement de ses données à caractère personnel, alors que les clauses litigieuses prévoient la possibilité pour la société FACEBOOK de partager ces données à caractère personnel avec ses partenaires.

En l’espèce les clauses n° 25 et 26 de la Politique du 15 novembre 2013 affirment que la société FACEBOOK ne transmet pas (« nous ne partageons pas ») les « informations personnelles » de l’utilisateur, sauf s’il a donné son autorisation, s’il est « prévenu » (informé) ou si les informations personnelles qui permettent de l’identifier ont été supprimées (anonymisées). Les clauses n° 32 précisent que toutes les informations qui concernent l’utilisateur à la disposition de la société FACEBOOK sont utilisées (« nous nous servons de toutes les informations dont nous disposons à votre sujet »). Elles précisent que ces données sont transférées à ses « prestataires de services de publicité, de mesure et d’analyse « , soit à des annonceurs publicitaires de la société FACEBOOK (cf. Pièce FACEBOOK n° 77 : constat d’huissier du 13 mars 2017, pour le contrat en vigueur au 29 septembre 2016, p.48/466), lorsqu’elles ont anonymisées.

Il ressort des clauses critiquées et des clauses précédemment examinées, que des données à caractère personnel de l’utilisateur, sont collectées auprès de l’utilisateur, y compris via des cookies ou via des sites partenaires de la société FACEBOOK (clauses n° 18 à 22 de la PUD du 15 novembre 2013, n° 26 et 27 de la PUD des 30 janvier 2015, de mars et septembre 2016 et du 29 septembre 2016), soit un mode de collecte de données à caractère personnel, pour lequel l’utilisateur n’a pu donner son accord.

Par ailleurs la société FACEBOOK ne peut prétendre à la fois recueillir avant l’inscription de l’utilisateur le consentement préalable au transfert de ses données à caractère personnel à des annonceurs publicitaires, tout en soutenant, que la PUD, document consacré à l’ »utilisation » de ces données est un document purement informatif et par suite non contraignant, à qui la société dénie toute valeur contractuelle (clause n° 20 de la DDR du 15 novembre 2013 et n° 19 des 30 janvier 2015 et décembre 2016).

De sorte que les clauses sont illicites au regard des articles L.111-1, L.111-2, L.121-17, L.121-19, L.121-19-2 et R.111-2, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, des articles 2, 6 et 32 de la Loi Informatique et Libertés.

b) Sur l’application de la Loi Informatique et Libertés aux données anonymisées :

La société FACEBOOK conteste que la Loi Informatique et Libertés et la Directive Données Personnelles s’appliquent aux données anonymisées.

Aux termes de l’article 6 1°) et 6 2°) de la Loi Informatique et Libertés, les données à caractère personnel sont collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

Aux termes de l’article 32-I 2°) et 5°) de la Loi Informatique et Libertés, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable par le responsable de traitement ou son représentant, de la finalité du traitement et des destinataires ou catégories de destinataires des données.

L’article 32-III de la Loi Informatique et Libertés impose au responsable du traitement ou son représentant, lorsque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, de fournir à cette dernière les informations énumérées à l’article 32-I, dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.

Il résulte des clauses litigieuses, que la société FACEBOOK « partage » (c’est-à-dire transmet) à ses « prestataires de services de publicité » (ses clients, annonceurs publicitaires), des données à caractère personnel de l’utilisateur, dépouillée de certaines informations (« telles que ») son « nom » ou « son adresse électronique ».

Or, en l’espèce, la généralité des termes employés par les clauses critiquées ne permet pas de garantir que suffisamment d’éléments aient été supprimées pour que l’utilisateur ne puisse définitivement plus être identifié.

En effet, pour garantir le caractère irréversible de toute identification de l’utilisateur, il ne suffit pas de supprimer des éléments comme son « nom » ou « son adresse électronique » – ces données à caractère personnel étant spontanément fournies par l’utilisateur – si des données à caractère personnel, collectées indépendamment de sa volonté (notamment via des cookies, clauses n° 8.3 et 8.10 de la PUD du 15 novembre 2013 et n° 8 de la PUD du 30 janvier 2015 et de mars et septembre 2016), permettent son identification et qu’aucune suppression de ces données n’est prévue à l’occasion du processus d’anonymisation.

Dès lors, tant que l’utilisateur reste identifiable directement ou indirectement, ses données à caractère personnel restent soumises à la Loi Informatique et Libertés sur la protection des données à caractère personnel.

Par ailleurs le processus d’anonymisation des données à caractère personnel, qui ne suffit pas à légitimer un traitement, lorsqu’il n’est ni loyal ni licite, constitue au sens de l’article 6 de la Loi Informatique et Libertés un « traitement ultérieur », auquel l’utilisateur, préalablement informé, doit consentir.

En conséquence, les clauses n° 25 et 26 de la PUD du 15 novembre 2013 et n° 32 de la PUD des 30 janvier 2015, mars, septembre 2016 et 29 septembre 2016, sont illicites au regard des articles 6 et 32 de la Loi Informatique et Libertés.

c) Sur le caractère abusif des clauses critiquées :

L’association allègue que ces clauses seraient également abusives au sens de l’article L.132-1, devenu articles L. 212-1, L. 212-3 et L. 241-1 du code de la consommation et R.132-1 1°) et 4°), devenus les articles R. 212-1 1°), 4°) du code de la consommation sans démontrer en quoi consiste le déséquilibre au sens de l’article L.132-1, devenu articles L. 212-1 du code de la consommation. Elle ne met pas non plus en évidence la contradiction qui, selon elle, résiderait dans les termes contenus dans les clauses n° 25 et 26 critiquées et justifierait l’application de l’article R.132-1 1°) et 4°), devenus les articles R. 212-1 1°), 4°) du code de la consommation. En effet, ces clauses présentent, sous un même intitulé, un contenu identique.

La demande de l’association sera rejetée de ce chef.

En conséquence, les clauses n° 25 et 26 de la PUD du 15 novembre 2013 et n° 32 de la PUD des 30 janvier 2015, mars, septembre 2016 et 29 septembre 2016, illicites au regard des articles L.111-1, L.111-2, L.121-17, L.121-19, L.121-19-2 et R.111-2, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, des articles 2, 6 et 32 de la Loi Informatique et Libertés, seront réputées non écrites.

10. Clauses n° 27, 31 à 35 de la PUD du 15 novembre 2013, n° 36 et 37 de la PUD des 30 janvier 2015, mars, septembre 2016 et du 29 septembre 2016 :

Clause n° 27 de la Politique d’utilisation des données du 15 novembre 2013 :

Nous conservons les données aussi longtemps que nécessaire pour l’apport de nos produits et services, y compris ceux décrits ci-dessus. En général, les informations associées à votre compte sont conservées jusqu’à la suppression de ce dernier. Pour certaines catégories de données, nous pouvons également vous informer de pratiques spécifiques de rétention des données.

Clauses n° 31 à 35 de la Politique d’utilisation des données du 15 novembre 2013 :

Suppression et désactivation de votre compte

Si vous souhaitez cesser d’utiliser votre compte, vous pouvez le désactiver ou le supprimer.

Désactiver

En désactivant votre compte, vous cessez toute activité. Les autres utilisateurs ne voient plus votre journal, mais nous n’effaçons pas vos informations. La désactivation d’un compte équivaut à nous indiquer de ne pas supprimer les informations car vous souhaiterez peut-être à l’avenir réactiver ce compte. Vous pouvez désactiver votre compte à partir de : https://www.facebook.com/settings?tab=security

Vos amis vous verront toujours dans leur liste d’amis pendant que votre compte est désactivé.

Suppression

Lorsque vous résiliez votre compte, il est supprimé de façon permanente de Facebook. Un délai d’environ un mois est nécessaire pour supprimer un compte, mais certaines informations peuvent rester dans des copies de sauvegarde et dans des journaux d’activité jusqu’à 90 jours. Résiliez votre compte uniquement si vous êtes certain de ne plus vouloir le réactiver. Vous pouvez supprimer votre compte à partir de : https://www.facebook.com/help/contact.php?show_form=delete_account P o u r e n s a v o i r p l u s : https://www.facebook.com/help/?faq=356107851084108

Certaines informations sont nécessaires pour l’apport de nos services et nous ne les supprimons que lorsque vous supprimez votre compte. Certaines de vos actions sur Facebook, comme lorsque vous publiez dans un groupe ou envoyez un message à quelqu’un (lorsque votre ami peut encore avoir un message que vous avez envoyé même après la suppression de votre compte), ne sont pas enregistrées dans votre compte. Ces informations persistent même après la suppression de votre compte.

Clauses n° 36 et 37 de la Politique d’utilisation des données du 30 janvier 2015 et de mars 2016 :

Nous conservons les données aussi longtemps que nécessaire pour l’apport de nos produits et services, notamment ceux décrits ci-dessus. Les informations associées à votre compte seront stockées jusqu’à ce que ce dernier soit supprimé, sauf si nous n’avons plus besoin de vos données pour fournir nos produits et services.

Vous pouvez supprimer votre compte à tout moment. Lorsque vous supprimez votre compte, nous supprimons le contenu que vous avez publié, comme vos photos et vos statuts. Si vous ne souhaitez pas supprimer votre compte, mais plutôt ne plus utiliser Facebook temporairement, vous pouvez désactiver votre compte. Pour en savoir plus sur la désactivation ou la suppression de votre compte, cliquez ici. Gardez à l’esprit que les informations que les autres utilisateurs ont partagées à votre sujet ne font pas partie de votre compte et ne sont pas supprimées lorsque vous supprimez votre compte.

Nous conservons les données aussi longtemps que nécessaire pour fournir nos produits et services, notamment ceux décrits ci-dessus. Les informations associées à votre compte seront stockées jusqu’à ce que ce dernier soit supprimé, sauf si nous n’avons plus besoin de vos données pour fournir nos produits et services.

Vous pouvez supprimer votre compte à tout moment. Lorsque vous supprimez votre compte, nous supprimons le contenu que vous avez publié, comme vos photos et vos statuts. Si vous ne souhaitez pas supprimer votre compte, mais plutôt ne plus utiliser Facebook temporairement, vous pouvez désactiver votre compte. Pour en savoir plus sur la désactivation ou la suppression de votre compte, cliquez ici. Gardez à l’esprit que les informations vous concernant que d’autres personnes ont partagées ne font pas partie de votre compte et ne sont pas supprimées lorsque vous supprimez votre compte.

L’association UFC QUE-CHOISIR reproche aux clauses de ne pas qualifier les données à caractère personnel de l’utilisateur. Elle critique également l’absence de détermination du délai de conservation des données qui peuvent être conservées bien au-delà de la suppression du compte par l’utilisateur et pendant une durée illimitée.

A ce titre les clauses seraient donc illicites au regard des articles L. 111-1, L. 111-2, devenus les articles L. 111-2 et L. 111-3 du code de la consommation, L. 121-17 devenu les articles L. 221-5, L. 221-6 et L. 221-7 du code de la consommation, L. 121-19-2, devenu l’article L. 221-13 du code de la consommation, R. 111-2, devenu les articles R. 111-2 et R. 111-3 du code de la consommation, L.133-2, devenu l’article L. 211-1 du code de la consommation, des articles 6 et 36 de la Loi Informatique et Libertés, de l’article 6 de la Directive 95/46 CE. L’association ajoute que ces clauses seraient également abusives au sens de l’article L.132-1 devenu les articles L. 212-1, L. 212-3 et L. 241-1 et de l’article R.132-1 4°) devenu l’article R. 212-1 4°) du code de la consommation.

Selon la société FACEBOOK, cette rubrique donne des précisions sur la possibilité pour l’utilisateur d’exercer ses droits d’accès, de rectification et de suppression de ses données, à caractère personnel ou non. La rubrique informe l’utilisateur qu’il a la possibilité d’accéder à ses données, de les gérer via l’historique personnel et d’en obtenir une copie en les téléchargeant. Elle ajoute que chaque utilisateur a la possibilité de supprimer son compte et d’effacer ses données de rectifier tout ou partie de ses données et contenus. Elle affirme l’utilisateur est informé que ses données à caractère personnel sont conservées pendant la durée pendant laquelle l’utilisateur utilise le Service Facebook et que les données à caractère personnel conservées c’est-à-dire les adresses IP liées aux actions spécifiques de cet utilisateur sont supprimées dans un délai maximum de 90 jours ou pour une durée plus longue, pour permettre à la société FACEBOOK de répondre aux obligations légales ou aux requêtes des différentes autorités administratives ou judiciaires et, plus largement, afin de pouvoir exercer ses droits en justice.

a) Sur l’absence de qualification des données à caractère personnel de l’utilisateur :

Le Tribunal ayant eu l’occasion de répondre à cette argumentation dans le cadre de l’examen des clauses n° 12 à 17 et 28 de la PUD du 15 novembre 2013 et n°23 et 24 de la PUD du 30 janvier 2015, mars, septembre 2016 et 29 septembre 2016, des clauses n° 18 à 22 de la PUD du 15 novembre 2013, n° 26 et 27 de la PUD du 30 janvier 2015, mars, septembre 2016 et 29 septembre 2016, des clauses n° 23 à 24 et 30 de la PUD du 15 novembre 2013 et 12 à 19 de la PUD des 30 janvier 2015, mars, septembre 2016 et du 29 septembre 2016.

Il conviendra donc de déclarer les clauses critiquées et pour des motifs identiques à ceux précédemment exposés, illicites au regard des articles L.111-1, L.111-2, et, s’agissant de contrat conclu à distance, des articles L.121-17, L.121-19, L.121-19-2 et R.111-2, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation et de l’article 6 de la Loi Informatique et Libertés.

b) Sur la durée de conservation des données de l’utilisateur après suppression de son compte :

Aux termes des clauses n° 27, 31 à 35 de la PUD du 15 novembre 2013, n° 36 et 37 de la PUD des 30 janvier 2015, mars, septembre 2016 et du 29 septembre 2016 la société FACEBOOK conserve des données de l’utilisateur dont certaines peuvent comprendre des données personnelles « aussi longtemps que nécessaire pour l’apport de (ses) produits et services » les informations associées au compte de l’utilisateur étant stockées jusqu’à la suppression du compte, soit pour une durée qui n’est pas limitée, les clauses prévoyant un délai de conservation des données d’environ un mois en cas de suppression (résiliation) du compte, hormis « certaines informations », qui peuvent rester jusqu’à 90 jours dans des copies de sauvegarde et dans des journaux d’activité.

Or, l’article 6 5°) de la Loi Informatique et Libertés limite la durée de conservation des données à caractère personnel sous une forme permettant l’identification des personnes concernées à une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement.

De la même manière, l’article 36 de la loi Informatique et Libertés dispose que les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue à l’article 6 5°) de la loi Informatique et Libertés, à savoir une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

Tel n’est pas le cas du délai de 90 jours à compter de la demande de suppression du compte, durant lequel les données à caractère personnel de l’utilisateur sont conservées par le responsable du traitement, sous une forme permettant son identification, alors que ses données à caractère personnel ne sont plus nécessaires à la réalisation de la finalité pour laquelle elles ont été collectées, à savoir l’utilisation de la plate-forme. Alors que la société ne justifie pas de la légitimité d’un traitement ultérieur de ces données au regard des conditions prévues à l’article 6 2°) de la Loi Informatique et Libertés (finalités statistiques, recherche scientifique ou historique), compatible avec les finalités initiales de la collecte des données.

De sorte qu’en conservant les données à caractère personnel de l’utilisateur pour une période sans lien avec la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées, la société se réserve ainsi le droit de les conserver sans motif légitime.

Les clauses sont donc illicites au regard des dispositions des articles précités.

En prévoyant que les données à caractère personnel de l’utilisateur sont conservées par la société FACEBOOK pour une durée allant « jusqu’à 90 jours » la société restant seul juge de l’opportunité et de la durée d’une telle rétention, la clause est irréfragablement abusive au sens de l’article R. 132-1 4°) devenu l’article R. 212-1 4°) du code de la consommation, en ce qu’elle a pour objet ou pour effet de conférer au seul professionnel le droit exclusif d’interpréter une quelconque clause du contrat.

En conséquence, les clauses n° 27, 31 à 35 de la PUD du 15 novembre 2013, n° 36 et 37 de la PUD des 30 janvier 2015, mars, septembre 2016 et du 29 septembre 2016, illicites au regard des articles L.111-1, L.111-2, et, s’agissant de contrat conclu à distance, des articles L.121-17, L.121-19, L.121-19-2 et R.111-2, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, de l’article 6 et 36 de la Loi Informatique et Libertés, sont abusives au sens de l’article R.132-1 4°) devenu l’article R. 212-1 4°) du code de la consommation. Elles seront donc réputées non écrites.

11. Clauses n° 29 de la PUD du 15 novembre 2013, n° 30, 31, 32 et 34 de la PUD du 30 janvier 2015, mars et septembre 2016 et 29 septembre 2016 :

Clause n° 29 de la Politique d’utilisation des données du 15 novembre 2013 :

Nous pouvons autoriser des prestataires de services à accéder aux informations pour nous aider à fournir des services

Clauses n° 30, 31, 32 et 34 de la Politique d’utilisation des données du 30 janvier 2015 :

Partager avec des partenaires tiers et des clients

Nous collaborons avec des prestataires de service qui nous aident à fournir et à améliorer nos services, ou qui utilisent nos services publicitaires ou autres produits similaires, nous permettant ainsi d’exploiter nos sociétés et de proposer des services gratuits aux utilisateurs à travers le monde.

Voici les types de prestataire de service avec qui nous pouvons partager des informations sur vous :

Services de publicité, de mesure et d’analyse (uniquement des informations qui ne permettent pas de vous identifier personnellement).

Nous voulons que nos publicités soient aussi pertinentes et intéressantes que les autres informations que vous trouvez au sein de nos services. Dans cette optique, nous nous servons de toutes les informations dont nous disposons à votre sujet afin de vous présenter des publicités pertinentes. Nous ne partageons pas les informations qui permettent de vous identifier personnellement (les informations qui permettent de vous identifier personnellement sont les informations telles que votre nom ou votre adresse électronique, pouvant être utilisées pour vous contacter ou vous identifier) avec nos prestataires de services de publicité, de mesure et d’analyse, à moins d’obtenir votre autorisation. Nous pouvons fournir à ces partenaires des informations sur l’efficacité et la portée de leurs publicités, sans communiquer d’informations qui permettent de vous identifier personnellement, ou des informations que nous avons rendues anonymes. Par exemple, nous pouvons transmettre à un annonceur un rapport sur les performances de ses publicités, sur le nombre de personnes ayant vu ses publicités ou installé une application après avoir vu une publicité, ou encore communiquer des informations démographiques qui ne permettent d’identifier personnellement aucun utilisateur (telles que « femme de 25 ans vivant à Madrid et passionnée de génie logiciel ») à ces partenaires afin de les aider à mieux cerner leur audience ou leurs clients, mais uniquement après que l’annonceur a accepté de se conformer à nos règles publicitaires.

Fournisseurs, prestataires de services et autres partenaires

Nous partageons des informations avec les fournisseurs, prestataires de service et autres partenaires qui collaborent avec nous partout dans le monde, par exemple en offrant des services d’infrastructure technique, en analysant l’utilisation de nos services, en évaluant l’efficacité de nos publicités et de nos services, en fournissant un service d’assistance à la clientèle, en facilitant les divers processus de paiement ou encore en menant diverses enquêtes et études. Ces partenaires doivent adhérer aux obligations de confidentialité les plus strictes en accord avec la présente Politique d’utilisation des données et les accords que nous avons signés avec eux.

Clauses n°30, 31, 32 et 34 de la Politique d’utilisation des données à une date inconnue en mars et septembre 2016 et du 29 septembre 2016 :

Partager avec des partenaires tiers et des clients

Nous collaborons avec des prestataires de service qui nous aident à fournir et à améliorer nos Services, ou qui utilisent nos services publicitaires ou autres produits similaires, nous permettant ainsi d’exploiter nos sociétés et de proposer des services gratuits dans le monde entier.

Voici les types de prestataire de service avec qui nous pouvons partager des informations vous concernant :

Services de publicité, de mesure et d’analyse (uniquement des informations qui ne permettent pas de vous identifier personnellement).

Nous voulons que nos publicités soient aussi pertinentes et intéressantes que les autres informations que vous trouvez au sein de nos Services. Dans cette optique, nous nous servons de toutes les informations vous concernant dont nous disposons afin de vous présenter des publicités pertinentes. Nous ne partageons pas les informations qui permettent de vous identifier personnellement (les informations qui permettent de vous identifier personnellement sont les informations telles que votre nom ou votre adresse e-mail, pouvant être utilisées pour vous contacter ou vous identifier) avec nos prestataires de services de publicité, de mesure et d’analyse, à moins d’obtenir votre autorisation. Nous pouvons fournir à ces partenaires des informations sur l’efficacité et la portée de leurs publicités, sans communiquer d’informations qui permettent de vous identifier personnellement, ou des informations que nous avons rendues anonymes.

Par exemple, nous pouvons transmettre à un annonceur un rapport sur les performances de ses publicités, sur le nombre de personnes ayant vu ses publicités ou installé une application après avoir vu une publicité, ou encore communiquer des informations démographiques qui ne permettent d’identifier personnellement aucun utilisateur (telles que « femme de 25 ans vivant à Madrid et passionnée de génie logiciel ») à ces partenaires afin de les aider à mieux cerner leur audience ou leurs clients, mais uniquement après que l’annonceur a accepté de se conformer à nos règles publicitaires.

Veuillez consulter vos préférences en matière de publicité afin de savoir pourquoi vous voyez une publicité en particulier sur Facebook. Vous avez la possibilité d’ajuster vos préférences en matière de publicité si vous souhaitez contrôler et gérer votre expérience publicitaire sur Facebook.

Fournisseurs, prestataires de service et autres partenaires.

Nous partageons des informations avec les fournisseurs, prestataires de service et autres partenaires qui collaborent avec nous partout dans le monde, par exemple en offrant des services d’infrastructure technique, en analysant l’utilisation de nos Services, en évaluant l’efficacité de nos publicités et de nos services, en fournissant un service d’assistance à la clientèle, en facilitant les divers processus de paiement ou encore en menant diverses enquêtes et études. Ces partenaires doivent adhérer aux obligations de confidentialité les plus strictes en accord avec la présente Politique d’utilisation des données et les accords que nous avons signés avec eux.

Pour l’association UFC-QUE CHOISIR, ces clauses n’apportent aucune précision quant aux destinataires ou catégories de destinataires des données et aux finalités pour lesquelles ces données sont communiquées à des tiers. Elles se bornent à préciser que les données personnelles des utilisateurs ne seront transmises qu’à des « prestataires de services », ce qui n’apporte aucune information, l’expression étant susceptible de viser toutes les personnes physiques ou morales, fournisseurs de services. Selon l’association, les clauses critiquées sont donc illicites au regard des articles 6 2°) et 32-I et III de la Loi Informatique et Libertés, des articles 6, 10 et
11 de la Directive 95/46 CE et abusives au sens de l’article L.132-1 devenu articles L. 212-1, L. 212-3 et L. 241-1 du code de la
consommation.

La société FACEBOOK affirme que les clauses informent l’utilisateur de la communication de données (à caractère personnel ou non) à des prestataires et l’informe des catégories de destinataires des données (services d’infrastructure technique, services d’analyse et d’évaluation du Service Facebook, services d’assistance à la clientèle, etc.) et des finalités du traitement. Elle rappelle que l’utilisateur donne son consentement à une telle communication après avoir cliqué sur le bouton « Inscription » sur le réseau social, indiqué avoir lu la PUD et accepté la DDR, qui prévoit le traitement de ses données à caractère personnel en application de la PUD. Elle ajoute que l’utilisateur renouvelle son consentement en continuant d’utiliser le Service Facebook

L’article 32-I 2°) et 5°) de la Loi Informatique et Libertés exige du responsable du traitement, qu’il informe la personne concernée de la finalité poursuivie par le traitement, auquel les données sont destinées et des destinataires ou catégories de destinataires des données.

L’article 32-III de la Loi Informatique et Libertés impose au responsable du traitement ou son représentant, lorsque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, de fournir à cette dernière les informations énumérées à l’article 32-I, dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.

Tel n’est pas le cas des clauses critiquées qui prévoient d’autoriser ses « prestataires de services », partenaires tiers et clients de la société, au rang desquels figurent des « prestataires », qui lui permettent de « fournir des services » ou qui utilisent les services publicitaires, des annonceurs, clients de la société FACEBOOK, prise en sa qualité de fournisseur d’espaces publicitaires, à accéder aux « informations » de l’utilisateur, c’est-à-dire à leur transférer (« partager ») des données à caractère personnel de l’utilisateur, sans que la personne concernée soit précisément informée des finalités poursuivies par le traitement, auquel les données sont destinées et des destinataires ou catégories de destinataires des données.

S’agissant de la communication à des fins publicitaires de données à caractère personnel de l’utilisateur du réseau social vers des destinataires non définis, désignés d’une manière quasi univoque sous le vocable de « prestataires », les clauses critiquées par l’imprécision de la terminologie adoptée (comme le terme « pouvons »), adossé aux verbes « autoriser », « partager », « fournir », « transmettre » – alors qu’il s’agit du transfert et du traitement de ses données à caractère personnel, effectué sans qu’il ait été préalablement informé et qu’ait été recueilli son consentement notamment sur les finalités et les destinataires du traitement – place l’utilisateur dans l’impossibilité d’appréhender l’usage qui sera fait de ses données.

Or, le consentement, entendu comme l’autorisation donnée par une personne physique au traitement des données la concernant, doit, pour être valablement exprimé, d’une part « être informé », l’information devant précéder le consentement et être délivrée avant le début du traitement, et d’autre part résulter d’une manifestation de volonté indubitable de la part de l’utilisateur.

Ainsi, l’absence d’action ou le comportement passif de l’utilisateur ne peut pas être considérée comme un consentement, qui doit être spécifique pour chacune des finalités, pour lesquelles les données sont traitées.

De sorte qu’en s’abstenant d’informer l’utilisateur d’une part sur les exactes finalités déterminées et explicites pour lesquelles la collecte de ses données personnelles est effectuée et d’autre part sur l’identification des bénéficiaires du transfert de ses données, les clauses critiquées sont illicites au regard des articles 2, 6, 32-I 5° et 32-III de la Loi Informatique et Libertés.

En usant d’expressions inadéquates et ambiguës, les clauses sont illicites au regard des articles L. 133-1 et L. 133-2 devenus l’article L. 211-1 du code de la consommation.

Enfin, les clauses critiquées ont pour effet de conférer au professionnel un droit exclusif d’interpréter une clause ambiguë dans le sens qui lui serait le plus favorable. Elles créent de ce fait un déséquilibre significatif entre les droits et obligations des parties au contrat et sont irréfragablement abusive au sens de l’article R. 132-1 devenu l’article R. 212-1 du code de la consommation.

En conséquence, les clauses n° 29 de la PUD du 15 novembre 2013, n° 30, 31, 32 et 34 de la PUD du 30 janvier 2015, mars et septembre 2016 et 29 septembre 2016, illicites au regard des articles 2, 6, 32-I 5° et 32-III de la Loi Informatique et Libertés, des articles L. 133-1 et L. 133-2 devenus l’article L. 211-1 du code de la consommation, sont abusives au sens de l’article R. 132-1 devenu l’article R. 212-1 du code de la consommation. Elles seront donc réputées non écrites.

12. Clauses n°36 à 43 et n°44 à 51 de la PUD du 15 novembre 2013 et 21 à 24 de la PUD des 30 janvier 2015, mars et septembre 2016 et 29 septembre 2016 :

Clauses 36 à 43 de la Politique d’utilisation des données du 15 novembre 2013 :

II. Publication et vous trouver sur Facebook

Contrôlez chacune de vos publications

Chaque fois que vous publiez un contenu (comme une mise à jour de statut, une photo ou une visite), vous pouvez sélectionner un public spécifique, voire le personnaliser. Pour ce faire, cliquez simplement sur l’icône de partage et sélectionnez les personnes qui peuvent voir votre publication.

Choisissez cette icône pour rendre quelque chose public. Choisir de rendre des informations publiques désigne parfaitement cette fonction. Cela signifie que quiconque, même les personnes en dehors de Facebook, est en mesure de consulter ou d’accéder aux informations.
Choisissez cette icône pour partager avec vos amis sur Facebook. Choisissez cette icône pour personnaliser votre public. Vous pouvez
également l’utiliser pour masquer votre actualité pour certaines
personnes.

Si vous identifiez quelqu’un, cette personne et ses amis peuvent afficher votre actualité, indépendamment du public que vous avez sélectionné. C’est la même chose lorsque vous approuvez une identification ajoutée par un tiers sur votre actualité. Réfléchissez toujours avant de publier. Tout comme les autres informations que vous publiez sur internet ou que vous envoyez dans un courrier électronique, les informations que vous partagez sur Facebook peuvent être copiées ou partagées par une personne qui en prend connaissance.

Même si vous choisissez votre audience, il peut être possible de deviner certaines informations vous concernant. Par exemple,

si vous masquez votre date d’anniversaire mais que vos amis écrivent « bon anniversaire ! » sur votre journal, il sera facile de deviner que cette date est celle de votre anniversaire.

Lorsque vous commentez ou aimez l’actualité de quelqu’un ou que vous écrivez sur son journal, cette personne a la possibilité de sélectionner le public. Par exemple, si un ami publie une actualité publique et que vous la commentez, votre commentaire est public. Vous pouvez généralement voir, avant de commenter, l’audience que quelqu’un a sélectionnée pour son actualité ; cependant l’auteur de l’actualité peut changer l’audience par la suite. Donc, si vous commentez une actualité et que le public de l’actualité change, le nouveau public est en mesure de voir votre commentaire.

Vous pouvez contrôler qui voit les Pages Facebook que vous avez aimées en allant dans votre journal, en cliquant sur la mention J’aime, puis sur Modifier.

Il peut arriver qu’aucune icône de partage ne s’affiche lorsque vous publiez quelque chose (par exemple, lorsque vous écrivez sur le mur d’une Page ou commentez un article qui utilise notre module de commentaires). C’est parce que certains types d’actualités sont toujours des actualités publiques. En règle générale, vous devez partir du principe que si vous ne voyez aucune icône de partage, cela signifie que l’information sera publique.

Clauses n°44 à 51 de la Politique d’utilisation des données du 15 novembre 2013 :

Contrôle sur votre journal

Dès lors que vous ajoutez quelque chose à votre journal, vous pouvez sélectionner un public spécifique, voire le personnaliser. Pour ce faire, cliquez simplement sur l’icône de partage et sélectionnez les personnes qui peuvent voir votre publication.

Choisissez cette icône pour rendre quelque chose public. Choisir de rendre des informations publiques désigne parfaitement cette fonction. Cela signifie que quiconque, même les personnes en dehors de Facebook, est en mesure de consulter ou d’accéder aux informations.

Choisissez cette icône pour partager avec vos amis s u r
Facebook.

Choisissez cette icône pour personnaliser votre public. Vous pouvez également l’utiliser pour masquer le contenu de votre journal pour certaines personnes.

Lorsque vous sélectionnez un public pour votre liste d’amis, vous contrôlez uniquement les personnes qui peuvent voir toute votre liste d’amis sur votre journal. Il s’agit de ce que nous appelons un contrôle de

visibilité du journal. Votre liste d’amis est toujours disponible pour les jeux, les applications et les autres sites web que vous utilisez, et vos amitiés peuvent être visibles partout (notamment sur le journal de vos amis ou dans les recherches). Par exemple, si vous sélectionnez Moi uniquement comme public de votre liste d’amis, mais si votre ami(e) rend sa liste d’amis publique, tout le monde pourra voir votre connexion sur le journal de votre ami(e).

De la même manière, si vous choisissez de masquer votre sexe, ce paramètre ne s’applique qu’à votre journal. C’est parce que nous, comme les applications que vous et vos amis utilisez, devons utiliser votre sexe pour nous adresser correctement à vous sur le site.

Lorsque quelqu’un vous identifie dans une actualité (telle qu’une photo, une mise à jour de statut ou une visite), vous pouvez choisir ou non d’afficher cette actualité sur votre journal. Vous pouvez soit approuver chaque actualité une par une soit approuver toutes les actualités de vos amis. Si vous approuvez une publication et changez d’avis par la suite, vous pouvez la supprimer de votre profil. Lorsque vous masquez des éléments de votre journal (comme des publications ou des connexions), ils n’apparaissent pas dans votre journal. Gardez cependant à l’esprit que toute personne ayant accès à ces publications ou à vos connexions est susceptible de voir ces éléments masqués à un autre endroit (dans le journal d’une autre personne ou dans des résultats de recherche, par exemple). Vous pouvez également supprimer vos publications ou changer le public d’un contenu que vous publiez, ce qui signifie que vous pouvez supprimer des personnes du public d’un contenu, ou en ajouter.

Les utilisateurs de Facebook peuvent voir des amis communs, même s’ils ne peuvent pas voir l’intégralité de votre liste d’amis.

Certaines informations (comme votre nom, vos photos de profil et de couverture) n’ont aucune icône de partage, car elles sont publiques. En règle générale, vous devez partir du principe que si vous ne voyez aucune icône de partage, cela signifie que l’information sera publique.

Clauses 21 à 24 de la Politique d’utilisation des données du 30 janvier 2015 :

Partager à travers nos services

Les gens ont recours à nos services pour communiquer avec d’autres utilisateurs. Nous rendons cela possible en partageant vos informations comme suit :

Les personnes avec qui vous communiquez.

Lorsque vous communiquez à travers nos services, vous avez la possibilité de choisir l’audience autorisée à voir ce que vous partagez. Par exemple, lorsque vous publiez sur Facebook, vous sélectionnez l’audience de votre publication en choisissant un groupe personnalisé de personnes, tous vos amis ou encore les membres d’un groupe. De la même manière, lorsque

vous utilisez Messenger, vous choisissez aussi les personnes à qui vous souhaitez envoyer des photos ou des messages.

Le terme informations publiques fait référence aux informations que vous partagez avec tout le monde, dans votre profil public, ou encore aux contenus que vous partagez sur une Page Facebook ou sur un autre forum public. Les informations publiques sont accessibles à tout le monde, à travers comme en dehors de nos services, et peuvent être vues ou retrouvées à l’aide des moteurs de recherche en ligne, des interfaces API et des médias hors ligne, tels que la télévision.

Dans certains cas, les personnes avec qui vous communiquez ont la possibilité de télécharger ou de repartager ces contenus avec d’autres personnes, à travers comme en dehors de nos services. Lorsque vous commentez la publication d’un autre utilisateur ou indiquez aimer un contenu qu’il a partagé sur Facebook, ce dernier décide des personnes autorisées à voir votre commentaire ou votre mention J’aime. Si l’audience choisie est Public, votre commentaire sera également public.

Clauses 21 à 24 de la Politique d’utilisation des données à une date inconnue en mars et septembre 2016 et du 29 septembre 2016 :

Partager à travers nos Services

Les gens ont recours à nos Services pour communiquer avec les autres. Nous rendons cela possible en partageant vos informations comme suit :

Les personnes avec qui vous communiquez et partagez.

Lorsque vous communiquez à travers nos Services, vous avez la possibilité de choisir l’audience autorisée à voir ce que vous partagez. Par exemple, lorsque vous publiez sur Facebook, vous sélectionnez l’audience de votre publication en choisissant un groupe personnalisé de personnes, tous vos amis ou encore les membres d’un groupe. De la même manière, lorsque vous utilisez Messenger, vous choisissez aussi les personnes à qui vous souhaitez envoyer des photos ou des messages.

Le terme informations publiques fait référence aux informations que vous partagez avec tout le monde, dans votre profil public, ou encore aux contenus que vous partagez sur une Page Facebook ou sur un autre forum public. Les informations publiques sont accessibles à tout le monde, au sein comme en dehors de nos Services, et peuvent être vues ou retrouvées à l’aide de moteurs de recherche en ligne, d’API et de médias hors ligne, tels que la télévision.

Dans certains cas, les personnes avec qui vous communiquez et partagez ont la possibilité de télécharger ou de repartager ces contenus avec d’autres personnes, au sein comme en dehors de nos Services. Lorsque vous commentez la publication d’une autre personne ou indiquez aimer un contenu qu’elle a partagé sur Facebook, cette dernière décide des personnes autorisées à voir votre commentaire ou votre mention J’aime. Si l’audience choisie est Public, votre commentaire sera également public.

Selon l’UFC QUE-CHOISIR, aucun contrôle réel de l’utilisateur sur la publication de ses données n’est possible, car le « paramétrage » n’est pas suffisant pour permettre à l’utilisateur de contrôler l’utilisation et le partage de ses données ; l’utilisateur doit redéfinir le public concerné avant chaque publication d’un contenu et avant chaque ajout de données sur son journal. L’association soutient que certaines données ne peuvent faire l’objet d’un paramétrage, car elles sont considérées comme toujours publiques ou rendues publiques par un autre utilisateur qui a accès aux données d’un utilisateur. Elle affirme que les clauses autorisent la société FACEBOOK à collecter des données par le biais des publications d’autres utilisateurs, sans permettre à l’utilisateur de le savoir pleinement.

La société FACEBOOK invite le tribunal à se référer aux moyens développés à l’occasion de l’examen des clauses n° 12 à 17 et 28 de la PUD du 15 novembre 2013 et clauses 21, 22, 23 et 24 de la PUD du 30 janvier 2015 à propos de la rubrique et sous-rubrique « les informations publiques sur le compte d’un utilisateur ».

En l’espèce, les clauses critiquées (version 2013) portent sur la possibilité ouverte à l’utilisateur de paramétrer chaque publication (contenus et journal) sur le réseau social en choisissant une icône spécifique afin de déterminer l’ »audience » qu’il souhaite toucher (public, amis ou personnalisation).

Toutefois, s’agissant des « informations publiques », qui comprennent des données à caractère personnel de l’utilisateur et qui restent toujours publiques, les clauses critiquées doivent être lues en combinaison avec les clauses 2.1 et n° 2.4 de la DDR, les clauses n° 12 à 17 et 28 de la PUD du 15 novembre 2013 et clauses 21, 22, 23 et 24 de la PUD du 30 janvier 2015, ces dernières ayant fait l’objet d’une sanction de réputé non écrit, en raison de leur illicéité au regard des articles L. 111-1, L. 111-2, des articles L.121-17, L.121-19, L.121-19-2 et R.111-2, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation et de l’article 6 de la Loi Informatique et Libertés.

Par ailleurs, en laissant croire à l’utilisateur, qu’il peut restreindre l’accès à ses données à caractère personnel et maitriser cet accès auprès des tiers grâce au paramétrage, alors que certaines de ses données (non énumérées limitativement) sont qualifiées d’ »informations publiques » « comme » son nom, ses photos de profil et de couverture, ainsi que toutes les « informations » qui ne sont pas dotées d’une « icône de partage », en se contentant à propos ces dernières « informations » de mettre en garde l’utilisateur en énonçant une « règle générale », selon laquelle l’utilisateur « (doit) partir du principe « , lorsqu’il ne voit « aucune icône de partage », qu’il lui faut nécessairement en déduire (a contrario) que les informations sont publiques, qu’elles échappent en conséquence à tout contrôle, qu’elles restent en permanence (c’est-à-dire en toutes circonstances) publiques et par suite qu’elles sont accessibles « à tout le monde au sein comme en dehors (des) Services (de la société FACEBOOK) » et qu’elles « peuvent » donc « être vues ou retrouvées à l’aide de moteurs de recherche en ligne, d’API et de médias hors ligne, tels que la télévision », les clauses critiquées empêchent l’utilisateur de connaitre l’étendue de la divulgation de ses données personnelles à des tiers.

Ces clauses sont donc abusives au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation, en ce qu’elle recèle une contradiction nuisant à sa clarté et à sa compréhension. Elles créent donc un déséquilibre significatif entre les droits et obligations des parties, au détriment de l’utilisateur consommateur.

En conséquence, les clauses n°36 à 43 et n°44 à 51 de la PUD du 15 novembre 2013 et 21 à 24 de la PUD des 30 janvier 2015, mars et septembre 2016 et 29 septembre 2016, illicites au regard des articles L.111-1, L.111-2, et, s’agissant de contrat conclu à distance, des articles L.121-17, L.121-19, L.121-19-2 et R.111-2, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation, de l’article 6 de la Loi Informatique et Libertés, sont abusives au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation. Elles seront donc réputées non écrites.

13 . Clauses n° 52 à 54 de la Politique d’utilisation des données du 15 novembre 2013 :

Clauses n°52 à 54 de la Politique d’utilisation des données du 15 novembre 2013 :

Vous retrouver sur Facebook

Pour que vos amis vous trouvent plus facilement, nous autorisons quiconque possédant vos informations de contact (par exemple adresse électronique ou numéro de téléphone) à vous trouver via la barre de recherche Facebook située en haut de la majorité des pages, ainsi que d’autres outils que nous fournissons, tels que les outils d’importation de contacts, même si vous n’avez pas partagé vos informations de contact avec eux sur Facebook.

Vous pouvez choisir qui peut trouver votre journal à l’aide de l’adresse électronique ou du numéro de téléphone que vous avez ajouté(e) à votre journal via vos Paramètres de confidentialité. Gardez cependant à l’esprit qu’il reste possible de vous retrouver sur Facebook ou de trouver un lien menant à votre journal par le biais d’autres personnes et des contenus qu’elles partagent (et qui vous impliquent), ou encore à travers d’autres publications, comme par exemple si vous êtes identifié(e) dans une photo d’un ami ou si vous publiez un message sur une page publique.

Vos paramètres ne contrôlent pas si des tiers peuvent vous trouver ou trouver un lien dans votre journal lorsqu’ils recherchent du contenu qu’ils sont autorisés à afficher, par exemple une photo ou une actualité dans laquelle vous êtes identifié(e).

Selon l’association la société FACEBOOK fait croire à l’utilisateur qu’il peut « paramétrer » les personnes qui peuvent avoir accès et consulter son journal contenant notamment des données à caractère personnel. Mais le service Facebook permet à un utilisateur d’en retrouver un autre et d’accéder à ses informations présentes sur Facebook, bien que l’utilisateur n’ait pas voulu être retrouvé par cet autre utilisateur sur le réseau Facebook. Ces clauses font donc échec au paramétrage de confidentialité mis à la disposition de l’utilisateur.
Les clauses critiquées seraient, selon l’association, illicites au regard de l’article L. 133-2 devenu article L. 211-1 du code de la consommation, des articles 6 et 32-I loi Informatique et Libertés, 6 et 10 de la Directive 95/46 CE et abusives au sens de l’article L. 132-1, devenu articles L. 212-1, L. 212-3 et L. 241-1 du code de la consommation, R. 132-1 4°) devenu l’article R. 212-1 4°) du code de la consommation.

Pour la société FACEBOOK, l’essence du réseau social Facebook réside dans la possibilité offerte aux utilisateurs de constituer un réseau d’amis et de se retrouver grâce aux informations de contact telles que son email et/ou du numéro de téléphone qu’il aura fournis au Service Facebook.

Selon la société, l’utilisateur reste maître de la confidentialité de ses données en décidant via les paramètres et outils de confidentialité, que seuls ses amis et les amis de ses amis peuvent le contacter ; il est seul responsable d’accepter ou non une demande d’amis. Il peut diminuer sa liste d’amis en refusant ou en retirant les amis avec lesquels il ne souhaite pas ou plus interagir sur le Service Facebook. La société FACEBOOK rappelle à l’utilisateur qu’il peut être identifié via des contenus tiers (comme par exemple des photographies) ou par ses propres contenus qu’il publierait sur une page publique.

Aux termes de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation, les clauses des contrats proposés par les professionnels aux consommateurs doivent être présentées et rédigées de façon claire et compréhensible et s’interprètent en cas de doute dans le sens le plus favorable au consommateur.

L’article 6 de la Loi Informatique et Libertés prévoit qu’un traitement ne peut porter sur des données à caractère personnel que si elles sont collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et qu’elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités, qu’elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

L’article R. 132-1 4°) devenu l’article R. 212-1 du code de la consommation présume irréfragablement abusive la clause qui a pour objet ou pour effet de conférer au seul professionnel le droit exclusif d’interpréter une quelconque clause du contrat.

En l’espèce, les clauses n° 52 à 54 de la Politique d’utilisation des données du 15 novembre 2013 autorisent quiconque (n’importe qui) qui possède les informations de contact de l’utilisateur via la barre de recherche présente sur les pages Facebook ou via d’autres outils fournis par la société FACEBOOK comme les outils d’importation de contacts, quand bien même il ne les aurait pas « partagé avec eux sur Facebook « . Les clauses envisagent la possibilité pour l’utilisateur de choisir les personnes qui peuvent trouver son journal à l’aide de l’adresse électronique ou du numéro de téléphone ajouté au journal via ses « Paramètres de confidentialité ».

De sorte qu’à la lecture des clauses critiquées, les informations de contact comprenant l’adresse électronique ou le numéro de téléphone de l’utilisateur – lorsqu’il les a « ajoutés » au journal – permettent de paramétrer (c’est-à-dire restreindre) l’accès par « quiconque » au journal de l’utilisateur. A contrario, les informations de contact non citées autorisent son accès, car elles ne sont pas affectées par le paramétrage. De même que l’absence d’ajout au journal des informations de contact précitées (adresse électronique ou numéro de téléphone) ne permettent pas non plus le paramétrage. Il en est de même de l’autorisation d’accès au journal de l’utilisateur via des outils d’importation de contact à quiconque, alors que l’utilisateur n’a pas souhaité partager ces informations.

En laissant croire à l’utilisateur, qu’il peut paramétrer l’accès à ses contenus et ses publications, alors que le paramétrage est circonscrit à des circonstances limitées, les clauses critiquées ne répondent pas aux exigences de clarté et de compréhension posées par l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation.

En laissant croire l’utilisateur qu’il peut déterminer la publication et la diffusion de ses données personnelles sur le réseau Facebook, alors que l’examen par le Tribunal des clauses n° 12 à 17 et 28 de la PUD du 15 novembre 2013, les clauses n° 21, 22, 23 et 24 de la PUD du 30 janvier 2015 et les clauses n° 36 à 43 et n° 44 à 51 de la PUD du 15 novembre 2013 et n° 21 à 24 de la PUD des 30 janvier 2015, mars et septembre 2016 et 29 septembre 2016, a révélé que certaines données sont toujours publiques, les clauses litigieuses n° 52 à 54 de la PUD du 15 novembre 2013, prévoyant que quiconque disposant d’une information de contact de l’utilisateur peut avoir accès à ces informations, les clauses sont abusives au regard de l’article R. 132-1 4°) devenu l’article R. 212-1 4°) du code de la consommation, en ce qu’elles recèlent une contradiction nuisant à sa clarté et à sa compréhension et en ce qu’elles ont pour objet ou pour effet de conférer au seul professionnel le droit exclusif d’interpréter une quelconque clause du contrat.

En n’informant pas l’utilisateur de manière explicite des finalités poursuivies par la société FACEBOOK en sa qualité de responsable de traitement de ses données collectées, les clauses litigieuses placent l’utilisateur dans une situation, où il lui est impossible d’appréhender la véritable nature des données collectées et l’utilisation qui pourrait être faite de cette collecte et ultérieurement. Elles sont donc illicites au regard de l’article 6 de la Loi Informatique et Libertés.

En conséquence, les clauses n° 52 à 54 de la PUD du 15 novembre 2013, illicites au regard de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation, de l’article 6 de la Loi Informatique et Libertés, sont abusives au sens de l’article R. 132-1 4°) devenu l’article R. 212-1 4°) du code de la consommation. Elles seront donc réputées non écrites.

14. Clauses n° 55 et 56 de la PUD du 15 novembre 2013 :

Clauses n° 55 et 56 de la Politique d’utilisation des données du 15 novembre 2013 :

Accès sur des téléphones et autres périphériques

Lorsque vous partagez des informations avec vos amis et autres personnes, ils sont susceptibles de les synchroniser ou d’y accéder via leurs téléphones portables et autres périphériques. Par exemple, si vous publiez une photo sur Facebook, toute personne pouvant afficher cette photo pourra l’enregistrer à l’aide des fonctionnalités de Facebook ou d’autres méthodes proposées par leur appareil ou leur navigateur. De même, si vous communiquez vos coordonnées à quelqu’un ou invitez quelqu’un à un évènement, cette personne peut utiliser des applications Facebook ou tierces ou des appareils pour synchroniser ces informations. Par ailleurs, si l’un de vos amis à une application Facebook sur un périphérique, vos informations (comme ce que vous publiez ou les photos que vous partagez) peuvent être stockées sur son périphérique.

Ne partagez des informations qu’avec des personnes en qui vous avez confiance, car elles sont susceptibles de les enregistrer ou de les partager à nouveau avec d’autres personnes, notamment lorsqu’elles synchronisent les informations avec un périphérique

Selon l’association, ces clauses précisent que l’utilisateur doit choisir en toute connaissance de cause les bénéficiaires d’un partage des informations, en oubliant de préciser que certaines données sont par défaut toujours publiques, donc ouvertes à tous. Ainsi, ces clauses ne répondent pas aux exigences de collecte loyale et licite et de finalités déterminées. L’association reproche aux clauses de ne pas préciser la nature exacte des données collectées, ce qui signifie que l’utilisateur ne peut ni savoir quelles données sont collectées, ni si cette collecte est strictement nécessaire aux finalités du traitement. Ces clauses, selon l’association, seraient illicites au regard de l’article L.133-2, devenu l’article L. 211-1 du code de la consommation et des articles 6 et 32-I de la Loi Informatique et Libertés et des articles article 6 et 10 de la Directive 95/46 CE. Elles seraient également abusives au sens de l’article L.132-1, devenu les articles L. 212-1, L. 212-3 et L. 241-1 du code de la consommation et de l’article R.132-1 4°) devenu article R. 212-1 4°) du code de la consommation.

La société FACEBOOK prétend que cette rubrique visait en 2013 à informer l’utilisateur que ses données et contenus qu’il publie sur le Service Facebook peuvent être enregistrées sur des téléphones et autres périphériques par les autres utilisateurs avec qui il décide de partager ces données et contenus et ainsi rester accessibles à ces utilisateurs. Elle informait l’utilisateur de la finalité du traitement (partage d’informations pour le fonctionnement du Service Facebook), des destinataires du traitement (les utilisateurs choisis par l’utilisateur) et de la nature des données collectées et traitées. La société FACEBOOK affirme que la Loi Informatique et Libertés ne prévoit aucune obligation d’information sur la nature des données collectées ; qu’elle ne saurait identifier avec exhaustivité les données à caractère personnel que l’utilisateur pourrait partager avec d’autres utilisateurs dans la mesure où ces données sont partagées à la discrétion de l’utilisateur. Elle maintient que l’utilisateur est déjà informé par la rubrique « Comment ces informations sont-elles partagées ? » et que certaines de ses données restent publiques.

Aux termes de l’article 6 de la Loi Informatique et Libertés, un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :  » (…) (1°) que les données sont collectées et traitées de manière loyale et licite et pour des finalités déterminées, explicites et légitimes / (2°) elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. (…) elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles / (3°) elles sont collectées et de leurs traitements ultérieurs.  »

Aux termes de l’article 32-I. de la loi précitée, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, par le responsable du traitement ou son représentant, de l’identité du responsable du traitement, de la finalité poursuivie par le traitement auquel les données sont destinées, des destinataires ou catégories de destinataires des données.

En l’espèce les clauses n° 55 et 56 de la PUD du 15 novembre 2013 intitulées « Accès sur des téléphones et autres périphériques », doivent être lues en combinaison avec les clauses n° 8.3 et n° 8.10 de la PUD du 15 novembre 2013, précédemment examinées par le Tribunal. L’examen de ces dernières clauses a montré qu’elles traitaient des données « reçues » (c’est-à-dire collectées) par la société FACEBOOK, à partir des appareils (ordinateurs, téléphone mobile et autres équipements), dont l’utilisateur se sert pour installer des applications Facebook ou pour accéder à Facebook, notamment lorsque plusieurs « utilisateurs » se connectent à partir du même appareil.

Aux termes de ces clauses, l’adresse IP, le numéro de téléphone mobile, le service internet, le système d’exploitation, le type d’appareil ou de navigateur (« y compris les numéros d’identification »), l’historique de navigation (c’est-à-dire les pages internet visitées par l’utilisateur), les informations de géolocalisation et coordonnées GPS de l’utilisateur, font l’objet d’une collecte par la société FACEBOOK et sont conservées par la société tant que qu’elles lui sont utiles pour « fournir (ses) services ». Ces mêmes dispositions sont reprises dans la clause n° 8 de la PUD du 30 janvier 2015, mars et septembre 2016 et du 29 septembre 2016.

Les clauses à présent critiquées envisagent l’hypothèse où, à l’occasion d’un « partage » ou d’une « communication » par l’utilisateur de « données » – sur la nature desquelles les clauses critiquées restent muettes (les exemples cités consistant en le partage ou la communication d’une photo ou des « coordonnées » de l’utilisateur), les amis (ce qui n’a rien d’étonnant s’agissant d’un réseau social), mais également d’ »autres personnes », au rang desquelles figure la société FACEBOOK (cf. les clauses n° 8.3 et
8.10 de la PUD du 15 novembre 2013), peuvent collecter, afficher, enregistrer, « synchroniser » (c’est-à-dire mettre à jour) les « données » partagées, notamment via les applications Facebook ou applications tierces et les fonctionnalités de Facebook, la société FACEBOOK se contentant d’une mise en garde de l’utilisateur de ne partager des informations qu’avec des « personnes en qui il a confiance ».

Or, la collecte, l’affichage, la synchronisation, comme l’enregistrement des données constituent un « traitement » au sens de la Loi Informatique et Libertés.

Ces clauses méconnaissent donc les exigences de collecte loyale et licite et de finalités déterminées posées par les articles 6 et 32-1 de la Loi Informatique et Libertés.

En omettant d’indiquer, quelles données sont concernées par le prétendu « partage » des données, en s’abstenant d’identifier les « autres personnes », destinataires de ce « partage » (en dehors des « amis » de l’utilisateur du réseau social), en employant le terme « susceptibles » à propos du traitement qui pourrait être effectué à cette occasion et de ses finalités, l’utilisateur est placé dans l’incertitude quant à la nature des données collectées et l’utilisation qui peut en être faite.

En conséquence les clauses critiquées ne satisfont pas aux impératifs de clarté et de complétude exigés par l’article L. 133-2, devenu l’article L. 211-1 du code de la consommation.

En restant évasives sur la nature des données collectées, sur les destinataires de cette collecte et les traitements qui leur sont réservés, les clauses critiquées sont abusives au sens de l’article R.132-1 4°) devenu article R. 212-1 4°) du code de la consommation, en ce qu’elles ont pour effet d’accorder au professionnel un droit exclusif d’interpréter les clauses du contrat.

En conséquence, les clauses n° 55 et 56 de la PUD du 15 novembre 2013, illicite au regard des articles L. 133-2, devenu l’article L. 211-1 du code de la consommation, 6 et 32 de la Loi Informatique et Libertés, sont abusives au sens de l’article R.132-1 4°) devenu article
R. 212-1 4°) du code de la consommation. Elles seront donc réputées non écrites.

15. Clauses n° 59 à 65 de la PUD du 15 novembre 2013, n° 25 de la PUD du 30 janvier 2015, mars et septembre 2016 et du 29 septembre 2016 :

Clauses n° 59 à 65 de la Politique d’utilisation de données du 15 novembre 2013 :

Ce que vos amis et d’autres personnes peuvent partager à propos de vous

Liens et identifications

N’importe quel utilisateur peut ajouter un lien à une actualité. Les liens sont des références à quelque chose sur internet, comme un site web ou une Page ou un journal sur Facebook. Par exemple, si vous rédigez une actualité, vous pouvez inclure un lien vers un blog auquel vous faites référence ou un lien vers le journal Facebook d’un blogueur. Si un utilisateur clique sur un lien dans votre journal Facebook, il voit tous les éléments de votre journal qu’il est autorisé à voir.

Une « identification » est un type spécial de lien vers le journal d’une personne qui suggère à la personne identifiée d’ajouter votre actualité à son journal. Lorsque la personne identifiée ne fait pas partie de l’audience prévue pour l’actualité, elle y est ajoutée pour lui permettre de la voir. Tout le monde peut vous identifier dans n’importe quoi. Une fois que vous êtes identifié(e), vous et vos amis pourrez le voir (comme dans le fil d’actualité ou dans une recherche).

Vous pouvez choisir d’afficher ou non sur votre journal une actualité dans laquelle vous avez été identifié. Vous pouvez soit approuver chaque actualité une par une soit approuver toutes les actualités de vos amis. Si vous approuvez une actualité et changez d’avis par la suite, vous pouvez toujours la supprimer de votre journal.

Si vous ne souhaitez pas que quelqu’un vous identifie, nous vous recommandons de le leur dire. Si cela n’aboutit à rien, vous pouvez bloquer cette personne. Cela l’empêchera de vous identifier à l’avenir.

Les rapports sociaux permettent de demander rapidement et facilement de l’aide à une personne de confiance. Pour en savoir plus :
https://www.facebook.com/note.php?note_id=196124227075034& ad t=3& att=iframe

Si vous êtes lié dans un espace privé (par exemple, un message ou un groupe), seules les personnes pouvant afficher l’espace privé peuvent voir le lien. De la même manière, si vous êtes lié dans un commentaire, seules les personnes pouvant afficher le commentaire peuvent voir le lien.

Autres informations

Comme il est exposé dans la rubrique Ce que vos amis et d’autres personnes peuvent partager à propos de vous de la présente politique, vos amis et d’autres personnes ont la possibilité de partager des informations vous concernant. Ils sont par exemple susceptibles de partager des photos ou d’autres informations relatives à votre personne, ou encore de vous identifier dans leurs publications. Si vous n’appréciez pas une de leurs publications, faites-le leur savoir ou signalez la publication.

Clause n° 25 de la Politique d’utilisation des données du 30 janvier 2015 :

Les personnes qui ont accès aux contenus partagés par d’autres utilisateurs à votre sujet.

Les autres utilisateurs ont la possibilité d’utiliser nos services pour partager des contenus à votre sujet avec les personnes de leur choix. Par exemple, les utilisateurs peuvent partager une photo de vous, vous identifier dans une publication ou partager des informations sur vous que vous avez auparavant partagées avec eux. Si vous avez des problèmes avec la publication d’une personne, les rapports sociaux permettent de demander rapidement et facilement de l’aide à une personne de confiance. En savoir plus.

Clause n° 25 de la Politique d’utilisation des données à une date inconnue en mars 2016 et septembre 2016 et du 29 septembre 2016 :

Les personnes qui ont accès aux contenus vous concernant partagés par d’autres personnes.

Certaines personnes utilisent nos Services pour partager des contenus vous concernant avec d’autres personnes de leur choix. Par exemple, ces personnes peuvent partager une photo de vous, vous identifier dans une publication ou partager des informations vous concernant que vous avez auparavant partagées avec elles. Si vous avez des problèmes avec la publication d’une personne, les rapports sociaux permettent de demander rapidement et facilement de l’aide à une personne de confiance. En savoir plus

Pour l’association QUE-CHOISIR, ces clauses affirment que l’utilisateur doit choisir en toute connaissance de cause les bénéficiaires d’un partage des informations, en oubliant de préciser que certaines données sont par défaut toujours publiques, donc ouvertes à tous. Les clauses ne répondent donc pas, selon l’association, aux exigences de collecte loyale et licite et de finalités déterminées. Elle ajoute que la nature exacte des données collectées n’est pas précisée par les clauses. L’utilisateur ne peut donc savoir quelles données sont collectées et si cette collecte est strictement nécessaire aux finalités du traitement. Ces clauses seraient donc, selon elle, illicites au regard des articles L.133-2, devenu l’article L. 211-1 du code de la consommation, des articles 6 et 32-I de la Loi Informatique et Libertés des articles 6 et 10 de la Directive 95/46 CE et abusives au sens de l’article L.132-1, devenu les articles L. 212-1, L. 212-3 et L. 241-1 du code de la consommation et de l’article R.132-1 4°), devenu l’article R. 212-1 4°) du code de la consommation.

La société FACEBOOK soutient que le mécanisme de partage et d’accès aux informations sur le Service Facebook ne présente pas de « risques d’atteinte aux données à caractère personnel d’un utilisateur », car c’est l’utilisateur qui choisit de partager ses données à une audience qu’il a choisie en sélectionnant les utilisateurs susceptibles de l’identifier en accédant à son contenu. Il peut, selon la société, contrôler ses identifications en examinant les publications dans lesquelles il est identifié avant leur publication sur le site Facebook ou en supprimant directement l’identification ou en demandant à la personne l’ayant identifié de supprimer l’identification ou de retirer la publication dans laquelle il apparaît.

La société FACEBOOK maintient que la sous-rubrique critiquée est rédigée en français. Elle ne viole pas la Loi Toubon, le simple renvoi à un document rédigé en anglais étant insuffisant pour caractériser un manquement à ladite loi.

En l’espèce, les clauses litigieuses, intitulées « Ce que vos amis et d’autres personnes peuvent partager à propos de vous » (clauses n° 59 à 65 dans la version 2013) et « Les personnes qui ont accès aux contenus partagés par d’autres utilisateurs à votre sujet » (clauses n° 25 dans les versions 2015 et 2016), sont relatives au type de données et d’informations d’un utilisateur, que d’autres utilisateurs ou « d’autres personnes » communiquent sur le réseau Facebook.

Les articles L. 133-1 et L. 133-2 devenus l’article L. 211-1 du code de la consommation contraignent le professionnel à une présentation et une rédaction claire et compréhensible des clauses des contrats qu’ils proposent au consommateur.

Aux termes de l’article 2 de la loi du 4 août 1994 dite  » loi Toubon »,  » dans la désignation, l’offre, la présentation, le mode d’emploi ou d’utilisation, la description de l’étendue et des conditions de garanties d’un bien, d’un produit ou d’un service, ainsi que dans les factures et quittances, l’emploi de la langue française est obligatoire ».

a) Sur les caractères de clarté et de compréhensibilité des clauses :

Les clauses n° 59 à 65 de la PUD du 15 novembre 2013 et n° 25 des versions 2015 et 2016 envisagent ce que les amis de l’utilisateur et d’ »autres personnes » peuvent « partager » à propos de l’utilisateur.

Les clauses n° 59 à 65 de la PUD du 15 novembre 2013 distinguent d’une part les « liens » qui sont les références « à quelque chose sur internet, comme un site web ou une Page ou un journal sur Facebook » et d’autre part les « identifications » constitués par « un type spécial de lien vers le journal d’une personne qui suggère à la personne identifiée d’ajouter votre actualité à son journal ».

La lecture des clauses critiquées apprend que les « liens » et « identifications » sont des hyperliens (des outils) permettant à un utilisateur de renvoyer la personne qui a accès à son journal à un site internet, à une page ou à un journal sur Facebook. Les « identifications » renvoient plus spécifiquement vers le journal d’une autre personne « identifiée ». Le lien ayant été opéré, cette dernière peut a posteriori approuver ou non cette identification.

De sorte que les « liens » et « identifications » permettent à n’importe quel utilisateur, même s’il ne fait pas partie de l’ »audience » initialement prévue, d’identifier un autre utilisateur. Ces « outils » (« liens » et « identifications ») autorisent donc une large diffusion des « contenus », dont des données à caractère personnel de l’utilisateur, puisque « tout le monde peut identifier (l’utilisateur) dans n’importe quoi ».

Les clauses évoquent également le cas où l’utilisateur a des problèmes avec la publication d’autres utilisateurs (« d’autres personnes »). Dans un tel cas, l’utilisateur identifié n’a pas d’autre choix que de le « faire savoir » aux utilisateurs initiateurs de l’identification (« le leur dire » ; « faites-le leur savoir »), de le bloquer ou de « demander de l’aide » via des « rapports sociaux » à une « personne de confiance » (« les rapports sociaux permettent de demander rapidement et facilement de l’aide à une personne de confiance. En savoir plus ») à compter d’un lien, qui renvoie à une page rédigée en anglais.

D’où il suit qu’en usant de termes mal définis, d’expressions inadéquates et ambiguës, les clauses n° 59 à 65 de la PUD du 15 novembre 2013 et n° 25 de la PUD du 30 janvier 2015, mars et septembre 2016 et du 29 septembre 2016, ne présentent pas les caractères de clarté et de compréhensibilité exigées par l’article L. 133-2 devenu l’article L. 211-2 du code de la consommation. Elles sont par suite illicites au regard des dispositions précitées.

En conférant au professionnel un droit exclusif d’interpréter les clauses litigieuses dans le sens qui lui serait le plus favorable, créant ainsi un déséquilibre significatif entre les droits et obligations des parties au contrat, les clauses précitées sont abusives au sens de l’article de l’article R.132-1 4°), devenu l’article R. 212-1 4°) du code de la consommation. Elles seront réputées non écrites à ce titre.

b) Sur le renvoi par lien hypertexte à une page rédigée en anglais :

L’association UFC QUE CHOISIR affirme que les clauses n° 25 de la PUD des 30 janvier 2015, mars, septembre et 29 septembre 2016, qui, à propos des « rapports sociaux permettant de demander rapidement et facilement de l’aide à une personne de confiance » contiennent un lien hypertexte « En savoir plus » renvoyant à une page rédigée en anglais.

La société FACEBOOK rétorque que le simple renvoi à un document rédigé en anglais ne suffit pas à caractériser un manquement à la loi TOUBON.

En l’espèce, l’examen de la pièce UFC n° 6.5, produite au débat, révèle qu’elle est rédigée en anglais, en contravention avec l’article 2 de la loi du 4 août 1994 dite « loi Toubon » précitée.

Les clauses n° 59 et 65 de la PUD du 15 novembre 2013 sont donc illicites en ce qu’elles ne permettent pas l’accès effectif au contrat par l’utilisateur français, qui se voit appliquer un texte qui n’est pas écrit dans sa langue et qu’il ne peut, de ce fait, pas appréhender.

Ces clauses seront donc réputées non écrites à ce titre.

En conséquence, les clauses n°59 à 65 de la PUD du 15 novembre 2013, n° 25 de la PUD du 30 janvier 2015, mars et septembre 2016 et du 29 septembre 2016, illicites au regard l’article 2 de la loi du 4 août 1994, des articles L. 133-1 et L. 133-2 devenus l’article L. 211-1 du code de la consommation, sont abusives au sens de l’article de l’article R.132-1 4°), devenu l’article R. 212-1 4°) du code de la consommation et doivent être réputées non écrites

16. Clauses n° 67 à 72 de la PUD du 15 novembre 2013

Clauses n° 67 à 72 de la Politique d’utilisation des données du 15 novembre 2013 :

Pages

Les Pages de Facebook sont des pages publiques. Les entreprises utilisent les Pages pour communiquer des informations sur leurs produits. Les personnalités utilisent les Pages pour discuter de leurs derniers projets. Et les communautés utilisent les Pages pour discuter de centres d’intérêt allant du baseball à l’opéra.

Dans la mesure où les Pages sont publiques, les informations que vous partagez sur une page sont des informations publiques. Cela signifie, par exemple, que si vous publiez un commentaire sur une Page, ce commentaire peut être utilisé par le propriétaire de la Page en dehors de Facebook, et tout le monde peut le voir.

Lorsque vous indiquez aimer une Page, vous établissez un lien avec cette Page. Le lien est ajouté à votre journal et vos amis peuvent le voir dans leur fil d’actualité. Vous pouvez également être contacté(e) par ou recevoir des mises à jour de la Page, par exemple dans votre fil d’actualité et vos messages. Vous pouvez supprimer les Pages que vous avez indiqué aimer via votre journal ou sur la Page directement.

Certaines Pages contiennent des contenus qui proviennent directement du propriétaire de la Page. Les propriétaires des Pages peuvent avoir recours à des modules en ligne, tels qu’un « iframe », qui fonctionne comme les jeux et autres applications que vous utilisez à partir de Facebook. Comme ce contenu provient directement de la page du propriétaire, cette page peut recueillir des informations vous concernant, tout comme les autres sites web.

Les administrateurs de page peuvent avoir accès à des données statistiques, qui leur donnent des informations générales sur les personnes qui visitent leur Page (par opposition aux informations relatives à des personnes spécifiques). Ils peuvent également savoir lorsque vous avez établi un lien avec leur Page, lorsque vous avez cliqué sur J’aime ou publié un commentaire

Pour contrôler qui voit les Pages Facebook que vous avez aimées, consultez nos pages d’aide.

Selon l’association UFC QUE-CHOISIR, une page Facebook organisée entre des proches à des fins d’échanges privés peut faire l’objet d’une divulgation publique par toute personne, et, a fortiori, par la société FACEBOOK. Il s’agit donc d’une atteinte supplémentaire à la maîtrise de ses données par le consommateur sur le service Facebook, car le paramétrage par l’utilisateur des informations qu’il publie sur Facebook pour limiter la diffusion de ses données, est impossible dès lors qu’il participe à une page, et ce, même si la page a une vocation « privée ». Ainsi le « propriétaire » de ladite page (qui peut être une entreprise tierce) peut recueillir directement, sans que l’utilisateur en ait conscience, ses données présentes sur le réseau Facebook et rendre ces données de facto publiques. Les clauses sont donc, selon l’association, illicites au regard de l’article 6 de la Loi Informatique et Libertés, de l’article 6 Directive 95/46/CE, de l’article L.133-2, devenu l’article L. 211-1 Code de la consommation et abusives au sens de l’article L.132-1 devenu articles L. 212-1, L. 212-3 et L. 241-1 du code de la consommation.

La société FACEBOOK fait valoir à titre liminaire que les conditions applicables aux « Pages Facebook » font l’objet de conditions d’utilisation distinctes de la DDR et de la PUD ; les griefs de l’UFC à l’encontre de la PUD concernant les Pages Facebook devront être rejetés.

Elle prétend que la clause critiquée précise que le caractère public des « pages » et des informations qu’elles contiennent, s’applique quelle que soit la finalité de ces « pages ». Elle ajoute que l’utilisateur a la maîtrise de la confidentialité de ses données ; il décide de publier ou de ne pas publier ses informations sur une « page » Facebook et de rendre ces informations publiques. Il peut, selon la société, décider d’une diffusion privée de ses contenus en créant un profil, dont il pourra configurer les paramètres de confidentialité, sélectionner son audience ou encore communiquer avec d’autres utilisateurs via le service de messagerie instantanée mis à sa disposition.

Elle fait valoir qu’aucune donnée à caractère personnel n’est communiquée par la société FACEBOOK aux tiers. Seuls les utilisateurs communiquent des données à caractère personnel, lorsqu’ils décident de publier un contenu sur une « page » Facebook. Elle ajoute que les seules données collectées sont des données statistiques, qui ne permettent pas l’identification des personnes concernées. Elles ne tombent donc pas dans le champ d’application de la Loi Informatique et Libertés.

a) Sur la collecte des données de l’utilisateur par une entreprise tierce :

L’article 6 de la Loi Informatique et Libertés prévoit qu’un traitement ne peut porter sur des données à caractère personnel que si elles sont collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et qu’elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités, qu’elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

En l’espèce, aux termes des clauses critiquées, les créateurs des « Pages »- dénommées à cette occasion « propriétaires » des « Pages » – « savent » (« les administrateurs (des pages) (…) peuvent savoir »), lorsque l’utilisateur interagit avec leurs « Pages », (lorsqu’il clique sur le module social « J’aime » ou lorsqu’il publie un « commentaire »), que ces actions ou publications seront vues de tout le monde et qu’elles seront utilisées le « propriétaire » de la « Page » en dehors de Facebook.

Ainsi, selon les clauses critiquées, ces actions ou publications ont pour résultat de créer, entre le « propriétaire » de la « Page » et l’utilisateur, un « lien », qui, ajouté au journal de l’utilisateur, peut être vu par les amis de l’utilisateur dans leur fil d’actualité.

De sorte que les « propriétaires » des « Pages » collectent à cette occasion des données à caractère personnel de l’utilisateur, qui leur permettent de le contacter pour envoyer des mises à jour de la « Page » via son fil d’actualités et des messages sur sa messagerie (« Vous pouvez également être contacté(e) par la « Page » (c’est-à-dire le « propriétaire » de la « Page ») ou recevoir des mises à jour de la Page, par exemple dans votre fil d’actualité et (dans) vos messages. »)

Les clauses critiquées indiquent également que les « administrateurs » des « Pages », (dont on comprend mal en quoi ils se distingueraient des « propriétaires » des « Pages »), ont accès, grâce à la société FACEBOOK (cf. page 432 des écritures de la société FACEBOOK), à des données statistiques, sous la forme d’information qualifiées de « générales » (par opposition aux  » informations relatives à des personnes spécifiques », selon les termes des clauses critiquées), sans que l’on perçoivent précisément, au travers l’ensemble des clauses des conditions générales d’utilisation du réseau social produites au débat, quel procédé la société FACEBOOK utiliserait afin de ne plus rendre identifiables les données à caractère personnel des personnes concernées et transformer les informations « spécifiques » (permettant d’identifier les utilisateurs) en informations qualifiées par la société FACEBOOK de « générales ».

Or, quoiqu’il en soit, la collecte de données à caractère personnel reste, dans de telles circonstances, illicite et déloyale au sens de l’article 6 de la Loi Informatique et Libertés.

Ainsi, en s’abstenant d’informer l’utilisateur de la collecte de données à caractère personnel lors son interaction avec les « Pages Facebook », en ne recueillant pas son consentement informé et indubitable, les clauses litigieuses placent l’utilisateur dans l’impossibilité d’appréhender et de contrôler l’usage qui sera fait de ses données.

Ces clauses sont donc illicites en ce qu’elles ne respectent pas les exigences de collecte et de traitement loyal et licite des données collectées posées par l’article 6 de la Loi Informatique et Libertés. En effet, l’ »anonymisation » des données à caractère personnel collectées ne peut légitimer un traitement qui ne l’est pas.

b) Sur l’absence de clarté et de compréhensibilité des clauses critiquées et leur caractère abusif :

Aux termes de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation, les clauses des contrats proposés par les professionnels aux consommateurs doivent être présentées et rédigées de façon claire et compréhensible et s’interprètent en cas de doute dans le sens le plus favorable au consommateur.

En l’espèce, les clauses soumises à la critique présentent les « Pages Facebook  » comme des « pages publiques » créées par des entreprises, des personnalités ou des communautés. Les informations qui sont publiées (« partagées ») sur ces pages sont « publiques », sans qu’aucun renvoi dans les clauses – serait-il textuel – ne les relie aux rubriques qui définissent ce qu’il faut entendre par « informations publiques » au sens des conditions régissant l’utilisation du réseau social.

Les clauses litigieuses mentionnent également que les « Pages » contiennent des « contenus » provenant directement des sites « propriétaires » de ces « Pages », lesquels ont recours à des modules en ligne, « tels qu’un « iframe » » ( ?), terme non défini dans les conditions générales d’utilisation du réseau social, produites au débat.

Par ailleurs les dispositions des clauses litigieuses viennent contredire les dispositions des clauses n° 19.9 de la DDR du 15 novembre 2013 (reprises par la clause n° 18.9 de la DDR du 30 janvier 2015), selon lesquelles « Cette Déclaration (la DDR) ne confère aucun droit à des tiers bénéficiaires » et la clause n° 10.2 de la DDR du 15 novembre 2013 (reprise par la clause n° 9.2 de la DDR du 30 janvier 2015), selon lesquelles « Nous (la société FACEBOOK) ne transmettons pas votre contenu ni vos informations aux annonceurs sans votre accord ».

Cette clause, illicite au regard des articles précités sont également abusives au sens de l’article L. 132-1 devenu l’article L. 221-1 du code de la consommation, en ce qu’elles créent un déséquilibre significatif entre les droits et obligations des parties au détriment de l’utilisateur consommateur, qui n’est pas en mesure de connaître les données à caractère personnel qui vont être utilisées tant par la société FACEBOOK que par les entreprises ou organisations tierces.

De sorte que ces clauses illicites, comme contrevenant aux dispositions de l’article 6 de la Loi Informatique et Libertés et de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation sont abusives au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation. Elles seront donc réputées non écrites.

17. Clauses n° 73 et 74 de la PUD du 15 novembre 2013 et les clauses n° 26.1 et 26.5 de la PUD du 30 janvier 2015, mars et septembre et 29 septembre 2016 :

Clauses n° 73 et 74 sur la Politique d’utilisation des données du 15 novembre 2015 :

III. Autres sites web et applications

À propos de la plate-forme Facebook

La plate-forme Facebook (ou simplement la plate-forme) fait référence à la manière dont nous partageons vos informations avec les jeux, les applications et les sites web que vous et vos amis utilisez. La plate-forme Facebook vous permet également d’emmener vos amis avec vous ; vous pouvez donc entrer en contact avec eux en dehors de Facebook. De ces deux manières, la plate-forme Facebook vous permet de bénéficier d’une expérience Internet plus personnelle et sociale.

Gardez à l’esprit que les jeux, applications et sites web sont créés et gérés par des entreprises et développeurs tiers qui ne font pas partie de Facebook et ne dépendent pas de son contrôle. Vous devez donc lire leurs conditions d’utilisation et leurs politiques sur les données personnelles afin de savoir de quelle manière sont gérées vos données.

Clauses n° 26.1 et 26.5 de la Politique d’utilisation des données du 30 janvier 2015 :

Applications, sites web et services tiers intégrés à nos services ou à l’aide de nos services.

Les informations recueillies par ces applications, sites web ou services intégrés sont régies par les conditions générales et les règlements de leurs propriétaires respectifs.

Clauses n° 26.1 et 26.5 de la Politique d’utilisation des données à une date inconnue en mars 2016 et septembre 2016 et du 29 septembre 2016 :

Applications, sites web et services tiers intégrés à nos Services ou utilisant nos Services.

Les informations recueillies par ces applications, sites web ou services intégrés sont régies par les conditions générales et les règlements de leurs propriétaires respectifs.

Selon l’association UFC QUE-CHOISIR, les clauses laissent croire à l’utilisateur que des données sont communiquées aux applications ou aux jeux, aux fins d’assurer un bon fonctionnement de ceux-ci, alors qu’en réalité, les données sont collectées et traitées par les développeurs de ces jeux et applications. L’utilisateur ne peut donc se faire une idée des destinataires réels de ses données. L’association ajoute qu’en renvoyant aux conditions d’utilisation des développeurs de jeux, d’application ou de sites web, les clauses accordent à la société FACEBOOK la possibilité de s’exonérer de toute responsabilité, notamment au regard de la sécurité des données qu’elle traite.

La société FACEBOOK se réfère aux arguments développés à l’occasion de l’examen de la clause n° 2.4 de la DDR du 15 novembre 2013 et du 30 janvier 2015, concernant le paramètre « public » d’un compte Facebook.

a) Sur l’absence de clarté des clauses critiquées :

Aux termes de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation, les clauses des contrats proposés par les professionnels aux consommateurs doivent être présentées et rédigées de façon claire et compréhensible et s’interprètent en cas de doute dans le sens le plus favorable au consommateur.

En l’espèce, les clauses se réfèrent aux activités et fonctionnalités de la « plateforme Facebook » : « la plateforme fait référence à la manière dont nous partageons vos informations avec les jeux, les applications et les sites web. »

Or, la notion de « plateforme Facebook », définie dans les clauses n° 18 de la DDR du 15 novembre 2013 et n° 17 de la DDR du 30 janvier 2015 et du 9 décembre 2016, comme un ensemble d’interfaces API ( ?) et de services (du contenu par exemple) permettant aux utilisateurs, « y compris aux développeurs d’applications ou exploitants de sites web », de récupérer des données de la société FACEBOOK ou de fournir des données à la société FACEBOOK, ne peut exclusivement se référer à la manière dont la société FACEBOOK « partage » des informations avec des tiers ; elle constitue en elle-même un traitement de données permettant le partage des données avec d’autres « utilisateurs », entendus à cette occasion de manière extensive comme un ensemble d’utilisateurs comprenant les développeurs d’applications ou exploitants de sites web.

De même, les clauses critiquées, en mettant en évidence le partage de données de l’utilisateur avec des produits (les applications, les jeux, les sites web) plutôt qu’avec des tiers (des développeurs ou des sites web), par l’utilisation de formules et d’expressions telles que « les jeux, les applications et les sites web » et « Applications, sites web et services tiers intégrés à nos services ou à l’aide de nos services », sont de nature à induire en erreur le consommateur sur les destinataires de ses données.

Les clauses critiquées sont donc illicites au regard de l’article L. 133-2, devenu l’article L. 211-1 du code de la consommation, qui prévoit une présentation claire et compréhensible des clauses.

En laissant croire, que des données sont communiquées aux applications elles-mêmes ou aux jeux afin d’assurer leur bon fonctionnement, alors que des données des utilisateurs sont collectées et traitées par les développeurs de ces jeux et applications, les clauses critiquées sont de nature à induire en erreur le consommateur.

Elles sont donc abusives en ce qu’elles provoquent un déséquilibre significatif au sens de l’article entre les droits et obligations des parties au détriment du consommateur.

b) Sur l’absence d’information préalable sur les destinataires de données :

L’article 32-I 2°) et 5°) de la Loi Informatique et Libertés exige du responsable du traitement, qu’il informe la personne concernée de la finalité poursuivie par le traitement, auquel les données sont destinées et des destinataires ou catégories de destinataires des données.

Il résulte de ce qui précède que les clauses critiquées ne permettent pas à l’utilisateur de connaitre les destinataires du « partage » des « informations ».

D’où il suit que les clauses sont illicites au regard de l’article 32 de la Loi Informatique et Libertés.

c) Sur la prétendue exonération de responsabilité de la société FACEBOOK :

L’article 34 de la Loi Informatique et Libertés impose au responsable du traitement de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Tel n’est pas le cas des clauses critiquées, qui renvoient aux seules conditions d’utilisation des développeurs de jeux, d’application ou de sites web ou encore de services (version de 2015 et 2016), accordant à la société FACEBOOK la possibilité de s’exonérer de toute responsabilité, notamment au regard de la sécurité des données dans son traitement, alors que, si la plateforme Facebook est un mode de collecte de données à caractère personnel à destination initiale de la société FACEBOOK, il ressort de l’examen des présentes clauses de la PUD, que la plateforme Facebook constitue également un mode de collecte de données à caractère personnel par des tiers.

D’où il suit que les clauses litigieuses sont illicites au regard de l’article 34 de la Loi Informatique et Libertés.

En conséquence, les clauses illicites au regard des articles L. 133-2 devenu l’article L. 211-1 du code de la consommation, des articles 6, 32 et 34 de la Loi Informatique et Libertés, sont abusives au sens de l’article L. 132-1, devenu les articles L. 212-1 du code de la consommation. Elles seront donc réputées non écrites.

18. Clauses n° 75 à 81 et 82 à 87 de la PUD du 15 novembre 2013 et n° 26.2, 26.3 et 27 de la PUD du 30 janvier 2015, mars et septembre 2016, 29 septembre 2016 :

Clauses n°75 à 81 de la Politique d’utilisation des données du 15 novembre 2013 :

Contrôle des informations qui sont communiquées aux applications

Lorsque vous vous connectez à un jeu, une application ou un site web (parfois appelés « applications » ou « apps »), par exemple en accédant à un jeu, en vous connectant à un site web à l’aide de votre compte Facebook ou en ajoutant une application à votre journal, nous leur communiquons vos informations de base (parfois appelées « profil public »), qui incluent votre identifiant et vos informations publiques. Nous leur communiquons également les identifiants de vos amis (parfois regroupés sous le terme « liste de vos amis ») comme faisant partie de vos informations générales.

Votre liste d’amis permet à l’application de rendre votre expérience plus sociale, car elle vous permet de trouver vos amis qui utilisent cette application. Votre identifiant permet à l’application de personnaliser votre expérience, car elle peut relier votre compte sur cette application à votre compte Facebook et accéder à vos informations de base, qui incluent vos informations publiques et la liste de vos amis. Il s’agit des informations que vous avez choisi de rendre publiques, ainsi que des informations qui sont toujours publiques. Si l’application a besoin d’informations supplémentaires, telles que vos actualités, photos ou mentions J’aime, elle doit vous demander une autorisation spécifique.

Le paramètre Applications vous permet de contrôler les applications que vous utilisez. Vous pouvez voir les autorisations que vous avez accordées à ces applications, la dernière fois qu’une application a accédé à vos informations, et le public sur Facebook qui peut voir les actualités sur votre journal et l’activité que l’application publie en votre nom. Vous pouvez également supprimer les applications que vous ne souhaitez plus utiliser ou désactiver toutes les applications de la plateforme. Si vous désactivez toutes les applications de la plate-forme, votre identifiant n’est plus transmis aux applications, même si vos amis utilisent ces applications. En revanche, vous n’êtes plus en mesure d’utiliser les jeux, les applications ou les sites web via Facebook.

Lors de votre première utilisation d’une application, Facebook indique à l’application votre langue, votre pays de résidence et votre groupe d’âge (par exemple si vous avez moins de 18 ans, entre 18 et 20 ans ou 21 ans ou plus). La tranche d’âge permet aux applications de vous fournir des contenus adaptés à votre âge. Si vous installez l’application, celle-ci peut accéder aux informations que vous avez publiées, les mettre à jour et les stocker. Les applications que vous avez installées peuvent à tout moment actualiser vos données relatives aux informations générales, à la tranche d’âge et au pays. Si votre dernière utilisation d’une application remonter à un certain temps, vous devriez envisager de la supprimer. Une fois qu’une application a été supprimée, elle ne peut plus continuer à mettre à jour les informations supplémentaires auxquelles vous lui avez donné accès, mais elle continue à contenir les informations que vous avez déjà partagées. Vous avez toujours la possibilité de contacter directement l’application et de demander qu’elle supprime vos données. Pour en savoir plus : https://www.facebook.com/help/how-apps-work

Parfois, une console de jeu, un téléphone portable ou tout autre dispositif peut demander l’autorisation de partager des informations spécifiques avec les jeux et les applications que vous utilisez sur ce dispositif. Si vous consentez à cette demande, ces applications ne peuvent pas accéder à d’autres informations sans autorisation spécifique préalable de votre part ou de celle de vos amis.

Les sites ou les applications qui utilisent la personnalisation instantanée reçoivent votre identifiant et votre liste d’amis lorsque vous y accédez.

Vous avez toujours la possibilité de supprimer des applications installées à l ’ a i d e d e v o s p a r a m è t r e s : https://www.facebook.com/settings/?tab=applications . Cependant, n’oubliez pas que les applications peuvent toujours être en mesure d’accéder à vos informations lorsque les personnes avec qui vous partagez des informations les utilisent. De plus, si vous avez supprimé une application et que vous souhaitez supprimer les informations que vous avez déjà partagées avec elle, vous devez contacter l’application. Pour en savoir plus sur l’application, vous pouvez visiter sa Page sur Facebook ou son propre site web. Il se peut par exemple qu’une application soit obligée (pour raisons juridiques, par exemple) de conserver certaines des données que vous lui communiquez

Clauses n°82 à 87 de la Politique d’utilisation des données du 15 novembre 2013 :

Contrôle de ce qui est communiqué lorsque des personnes qui ont accès à vos informations utilisent des applications

Tout comme lorsque vous communiquez des informations par courrier électronique ou n’importe où ailleurs sur le web, les informations que vous publiez sur Facebook peuvent être republiées ailleurs. Cela signifie que si vous publiez quelque chose sur Facebook, toute personne qui peut y accéder peut permettre à d’autres (comme des jeux, des applications ou des sites web qu’ils utilisent) d’y accéder.

Vos amis et les autres personnes avec qui vous communiquez fréquemment souhaitent partager vos informations avec des applications afin d’obtenir une expérience plus personnalisée et sociale. Par exemple, un de vos amis pourrait souhaiter utiliser une application de musique qui lui permet de voir ce que ses amis écoutent. Pour profiter pleinement de cette application, votre ami doit permettre à l’application d’accéder à sa liste d’amis (ce qui comprend votre identifiant d’utilisateur) pour qu’elle puisse savoir lesquels de vos amis l’utilisent également. Votre ami souhaite également indiquer à l’application la musique que vous avez indiqué aimer sur Facebook. Si vous avez rendu cette information publique, l’application peut alors y accéder comme n’importe qui d’autre. Mais si vous n’avez ouvert vos intérêts car vos amis, l’application doit demander à votre ami de l’autoriser à y accéder.

Vous pouvez contrôler la plupart des informations que d’autres peuvent communiquer à des applications à l’aide de votre page de clause 2.3. Mais ces contrôles ne vous permettent pas de limiter l’accès à vos informations publiques et à la liste de vos amis.

Si vous voulez empêcher complètement les applications d’obtenir des informations lorsque vos amis et d’autres personnes les utilisent, vous devez désactiver toutes les applications basées sur la plate-forme Facebook. Ceci signifie que vous ne pouvez plus utiliser de jeux de tiers, d’applications ou de sites web intégrés à Facebook.

Lorsqu’une application demande la permission à quelqu’un d’autre de pouvoir accéder à vos informations, cette application sera autorisée à utiliser cette information uniquement en rapport avec la personne qui a donné cette permission, personne d’autre.

Par exemple, certaines applications utilisent des informations telles que votre liste d’amis pour personnaliser votre expérience et vous indiquer quels sont ceux de vos amis qui utilisent une application particulière.

Clauses n°26.2, 26.3 et 27 de la Politique d’utilisation des données du 30 janvier 2015 :

Lorsque vous avez recours à des applications, à des sites web ou à d’autres services tiers qui utilisent nos services ou qui y sont intégrés, ces derniers peuvent recevoir des informations sur ce que vous publiez ou partagez. Par exemple, lorsque vous jouez à un jeu avec vos amis Facebook ou utilisez le bouton Commenter ou Partager de Facebook sur un site web, le développeur ou le site web du jeu peut recevoir des informations sur vos activités dans le jeu ou sur un commentaire ou un lien que vous partagez depuis son site web sur Facebook. En outre, lorsque vous téléchargez ou utiliser des services tiers, ces derniers ont la possibilité d’accéder à votre profil public, y compris votre nom d’utilisateur ou votre identifiant, votre tranche d’âge et votre pays/langue, votre liste d’amis ainsi que toutes les informations que vous partagez avec eux.

Découvrez comment contrôler les informations que les autres utilisateurs ou vous-même partagez avec ces applications et ces sites web.

Clauses n°26.2, 26.3 et 27 de la Politique d’utilisation des données de mars 2016 :

Lorsque vous avez recours à des applications, à des sites web ou à d’autres services tiers qui utilisent nos Services ou qui y sont intégrés, ces derniers peuvent recevoir des informations sur ce que vous publiez ou partagez. Par exemple, lorsque vous jouez à un jeu avec vos amis Facebook ou utilisez le bouton Commenter ou Partager de Facebook sur un site web, le développeur ou le site web du jeu peut recevoir des informations sur vos activités dans le jeu ou sur un commentaire ou un lien que vous partagez depuis leur site web sur Facebook. En outre, lorsque vous téléchargez ou utilisez des services tiers, ces derniers ont la possibilité d’accéder à votre profil public, y compris votre nom d’utilisateur ou votre identifiant, votre tranche d’âge, votre pays/langue, votre liste d’amis ainsi que toutes les informations que vous partagez avec eux.

Découvrez comment contrôler les informations que d’autres personnes ou vous-même partagez avec ces applications et ces sites web

Clause n°26 et 27 de la Politique d’utilisation des données à une date inconnue en septembre 2016 et du 29 septembre 2016 :

Lorsque vous avez recours à des applications, à des sites web ou à d’autres services tiers qui utilisent nos Services ou qui y sont intégrés, ces derniers peuvent recevoir des informations sur ce que vous publiez ou partagez. Par exemple, lorsque vous jouez à un jeu avec vos amis Facebook ou utilisez le bouton Commenter ou Partager de Facebook sur un site web, le développeur ou le site web du jeu peut recevoir des informations sur vos activités dans le jeu ou sur un commentaire ou un lien que vous partagez depuis leur site web sur Facebook. En outre, lorsque vous téléchargez ou utilisez des services tiers, ces derniers ont la possibilité d’accéder à votre profil public, y compris votre nom d’utilisateur ou votre identifiant, votre tranche d’âge, votre pays/langue, votre liste d’amis ainsi que toutes les informations que vous partagez avec eux. Les informations recueillies par ces applications, sites web ou services intégrés sont régies par les conditions générales et les règlements de leurs propriétaires respectifs.

Découvrez comment contrôler les informations que d’autres personnes ou vous-même partagez avec ces applications et ces sites web.

L’association UFC QUE-CHOISIR prétend que les clauses critiquées prévoient les modalités de communication de certaines données de l’utilisateur et de sa liste d’amis par la société FACEBOOK aux applications, jeux et sites web. Ces communications, selon l’association, se réalisent à chaque interaction de l’utilisateur avec ces applications, jeux et sites web sur le service Facebook, et ce, sans que l’utilisateur en ait conscience. Elle ajoute que les destinataires ou catégories de destinataires, les finalités ainsi que les catégories d’informations concernées ne sont pas précisément désignées. Ces clauses manquent, selon elle, de clarté quant à l’étendue de la collecte des données et des modalités de conservation de celles-ci durant l’utilisation des applications, des jeux ou des « services tiers ». Elles ne permettent pas à l’utilisateur de s’opposer à cette communication et se contentent de présumer son adhésion initiale, définitive, et générale à toute communication ou divulgation de ses données.

Selon l’association, les clauses sont illicites au regard des articles L.133-2 devenu article L. 211-1 du code de la consommation, des articles 6, 32 et 34 de la Loi Informatique et Libertés, des articles 6, 10, 11 et 17 de la Directive 95/46 CE et abusives au sens de l’article L. 132-1, devenu les articles L. 212-1, L. 212-3 et L. 241-1 du code de la consommation, de l’article R. 132-1, 5°), devenu l’article R. 212-1 5°) du code de la consommation.

La société FACEBOOK indique se référer aux arguments développés à propos de l’examen de la clause n° 2.4 DDR du 15 novembre 2013 et du 30 janvier 2015 relatifs aux données accessibles par les développeurs.

a) Sur la communication des données de l’utilisateur à des tiers :

Aux termes de l’article 32-I 2°) et 5°) de la Loi Informatique et Libertés, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable par le responsable de traitement ou son représentant, de la finalité du traitement et des destinataires ou catégories de destinataires des données.

L’article 32-III de la Loi Informatique et Libertés impose au responsable du traitement ou son représentant, lorsque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, de fournir à cette dernière les informations énumérées à l’article 32-I, dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.

Aux termes de l’article 34 de la Loi Informatique et Libertés relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès, le responsable du traitement devant garantir un niveau de sécurité adapté au risque du traitement.

Ainsi, en sa qualité de responsable du traitement, la société FACEBOOK est tenue d’une obligation de préservation des données, de la prévention de leur déformation, de leur endommagement, ou de leur accessibilité par les tiers.

Tel n’est pas le cas des clauses soumises à la critique qui décrivent les modalités de transfert par la société FACEBOOK de données à caractère personnel de l’utilisateur se réalisant à chaque interaction (accès, installation et utilisation) avec des « applications », comprenant non seulement les applications proprement dites, mais également les jeux et les sites web (« un jeu, une application ou un site web (parfois appelés « applications » ou « apps » »), c’est-à-dire des développeurs et des propriétaires de site internet, tous tiers au regard de l’utilisateur du réseau social.

En effet, l’examen de ces clauses montre que cette communication concerne des informations de l’utilisateur, qualifiées d’ »informations de base », « parfois » appelées « profil public », sans que l’utilisateur sache exactement pourquoi ces informations méritent une telle appellation. Ces informations comprennent (« incluent ») (aucune indication ne contribue à éclairer l’utilisateur sur les autres informations susceptibles d’être concernées par la collecte), l’identifiant de l’utilisateur, ses informations publiques, ainsi que les identifiants de ses amis, « parfois » (sic) regroupés sous l’appellation « liste de vos amis », qui fait partie, selon les clauses, des « informations générales », sans qu’aucune précision ne justifie l’emploi de cette dernière et troisième appellation qualifiant les informations intéressées par la collecte, après qu’ont été utilisées les deux premières appellations (« informations de base » et « profil public »).

De la même manière, l’analyse des clauses montre que, lorsque l’utilisateur utilise un « bouton » « Commenter » ou « Partager » de Facebook sur un site web, le développeur ou le propriétaire du site web du jeu collecte sur Facebook, depuis son site web, des informations sur ce que publie l’utilisateur ou sur ses « activités dans le jeu », un « commentaire » ou un « lien » qu’il « partage ».

Ainsi, l’installation d’une « application » par l’utilisateur déclenche nécessairement l’accès de l’ »application » aux informations publiées par l’utilisateur, leur mise à jour (« actualiser vos données relatives aux informations générales, à la tranche d’âge et au pays ») et leur stockage. La première utilisation de « l’application » ou l’utilisation d’un module social sur le site conduit au transfert par la société FACEBOOK, à son profit, d’informations concernant l’utilisateur, comme sa langue, son pays de résidence, son groupe d’âge (ou sa tranche d’âge).

Par un procédé comparable, les développeurs et autres propriétaires de sites web, incarnés par leurs vecteurs et qualifiés à cette occasion de « dispositifs » (console de jeu, téléphone portable ou tout autre dispositif), peuvent demander l’autorisation de partager des informations spécifiques. Aucun exemple n’étant cité, l’utilisateur n’en saura pas plus sur la prétendue spécificité des informations sollicitées avec les jeux et les « applications » utilisées sur lesdits « dispositifs ». Par ailleurs, l’analyse des clauses révèle que les « applications » utilisant la « personnalisation instantanée » disposent d’un accès automatique à l’identifiant de l’utilisateur et à sa liste d’amis.

De sorte qu’en s’abstenant d’informer l’utilisateur de la nature des données transmises les clauses ne répondent pas aux exigences de collecte loyale et licite imposé par l’article 6 1°) de la Loi Informatique et Libertés.

De même, en s’abstenant de fournir les informations énumérées à l’article 32-I de la Loi Informatique et Libertés, dès l’enregistrement des données ou lorsqu’une communication des données à des tiers est envisagée et au plus tard lors de la première communication des données, les données à caractère personnel n’ayant pas été recueillies auprès de la personne concernée, les clauses critiquées sont illicites au regard des articles 32-I 2°) et 5°) et 32-III de la Loi Informatique et Libertés.

En permettant à la société FACEBOOK, en sa qualité de responsable de traitement, de rendre accessible à des tiers les données à caractère personnel de l’utilisateur et en s’abstenant de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et empêcher que des tiers non autorisés y aient accès, les clauses critiquées sont illicites en ce qu’elles contreviennent aux dispositions de l’article 34 de la Loi Informatique et Libertés.

En outre, ces clauses, en étant de nature à induire en erreur l’utilisateur sur la nature et l’étendue des données collectées, qui seront utilisées par des tiers, provoquent un déséquilibre significatif entre les parties au détriment du consommateur. Elles sont donc abusives au regard de l’article L.132-1 devenu l’article L. 212-1 du code de la consommation.

b) Sur l’absence de détermination des finalités de traitement

Il résulte de l’examen des clauses litigieuses que le transfert par la société FACEBOOK à des entreprises tierces (et corrélativement la collecte à leur bénéfice d’informations relevant de la qualification de données à caractère personnel au sens de l’article 2 de la Loi Informatique et Libertés), est réalisé aux fins de « personnaliser (l’) expérience » de l’utilisateur, de « rendre (l’) expérience (de l’utilisateur) plus sociale » ou de lui fournir « des contenus adaptés à son âge ».

Il ressort également de cet examen que, lorsque l’utilisateur veut empêcher les applications d’obtenir des informations (lorsque ses amis et d’autres personnes les utilisent), il doit désactiver toutes les applications basées sur la plate-forme Facebook. Cette désactivation conduit alors l’utilisateur à ne plus avoir la possibilité d’utiliser aucun jeu de tiers, d’application ou de sites web intégrés à Facebook, l’accès de l’utilisateur aux applications ou sites étant conditionné à la possibilité de collecte des données à caractère personnel que l’ »application » et la société FACEBOOK recueillent à l’occasion de leurs installation et utilisation ultérieure.

De sorte qu’en réservant à la société FACEBOOK la faculté de communiquer ces données à caractère personnel à des tiers ou des catégories de tiers non désignés, pour des traitements, dont les finalités ne sont ni déterminées ni explicites, le droit pour l’utilisateur de s’opposer à ce type de traitement de ses données à caractère personnel n’étant envisagé que sous la seule forme de suppression intégrale des applications auxquelles il avait accès, les clauses sont illicites au regard des articles 6,
32-I 2°) et 5°) et 32-III de la Loi Informatique et Libertés.

c) Sur la communication des données des « amis » de l’utilisateur à des tiers :

Aux termes des clauses critiquées la collecte de l’identifiant de l’utilisateur aux développeurs et aux sites web (collectivement dénommés dans les clauses « l’application ») permet de lier son compte Facebook au compte de l’utilisateur sur l’application, de manière à permettre aux développeurs et aux sites web l’accès aux « informations de base » de l’utilisateur, dont ses informations publiques et la liste de ses amis, laquelle fait partie des « informations générales ».

Ainsi, en autorisant non seulement une transmission de données à caractère personnel de l’utilisateur à des tiers, mais également de la liste de ses amis – comprenant également des données à caractère personnel – les clauses sont illicites au regard de l’article 6, 32-I et 32-III de la Loi Informatique et Libertés.

d) Sur le caractère contradictoire des clauses critiquées :

Aux termes de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation, les clauses des contrats proposés par les professionnels aux consommateurs doivent être présentées et rédigées de façon claire et compréhensible et s’interprètent en cas de doute dans le sens le plus favorable au consommateur.

Il résulte de l’examen des clauses litigieuses que l’accès à une « application » sur Facebook par l’utilisateur ou leur ajout sur son journal conduit nécessairement à une communication à cette « application » de la liste de ses amis ; qu’en cas de désactivation de toutes les applications de la plate-forme, l’identifiant de l’utilisateur n’est plus transmis aux « applications », même si les amis de l’utilisateur utilisent ces applications.

Toutefois, la société FACEBOOK ne peut affirmer à la fois que l’utilisateur peut contrôler les informations via des paramétrages et que certaines données « informations publiques » sont toujours accessibles, quelles que soient les circonstances.

Tel est le cas des réseaux d’amis, qui restent toujours publiques, aux termes des clauses n° 12 à 17 et 28 de la PUD du 15 novembre 2013 et n°23 et 24 de la PUD du 30 janvier 2015, mars, septembre 2016 et 29 septembre 2016 intitulées : « Informations toujours publiques – Réseaux », selon lesquelles : « Ceci vous permet de voir qui échange des informations avec qui avant de sélectionner Amis et leurs amis comme public personnalisé. Si vous ne souhaitez pas rendre votre réseau public, vous pouvez quitter le réseau ».

Les clauses critiquées confirment cette contradiction en affirmant que l’utilisateur peut contrôler « la plupart des informations que d’autres peuvent communiquer à des applications à l’aide de votre page de paramètres des applications. Mais ces contrôles ne vous permettent pas de limiter l’accès à vos informations publiques et à la liste de vos amis. »

D’où il suit que les clauses critiquées sont illicites, en ce qu’elles contreviennent aux exigences de clarté et de compréhension prévues par l’article L.133-2 devenu l’article L. 211-1 du code de la consommation. Elles devront à ce titre être réputées non écrites.

En conséquence, les clauses n° 75 à 81 et 82 à 87 de la PUD du 15 novembre 2013 et n° 26.2, 26.3 et 27 de la PUD du 30 janvier 2015, mars et septembre 2016, 29 septembre 2016, illicites au regard des articles L.133-2 devenu article L. 211-1 du code de la consommation, des articles 6, 32 et 34 de la Loi Informatique et Libertés, et abusives au sens de l’article L. 132-1, devenu les articles L. 212-1 du code de la consommation. Elles seront donc réputées non écrites.

19. Clauses n° 88 à 90 de la PUD du 15 novembre 2013 : Clauses n° 88 à 90 de la Politique de confidentialité du 15 novembre 2013 :

Connexion à un autre site avec Facebook

La Plate-forme Facebook vous permet de vous connecter à d’autres applications et sites web à l’aide de votre compte Facebook. Lorsque vous vous connectez à l’aide de Facebook, nous transmettons au site votre identifiant (tout comme lorsque vous vous connectez à n’importe quelle application), mais nous ne communiquons ni votre adresse électronique ni votre mot de passe à ce site web via ce processus sans au préalable vous demander votre autorisation.

Si vous disposez déjà d’un compte sur ce site web, le site peut également relier ce compte à votre compte Facebook. Parfois, il effectue cette liaison à l’aide d’un « email hash », ce qui équivaut à rechercher une personne sur Facebook en utilisant son adresse électronique. Dans ce cas, seules les adresses électroniques sont cryptées. Aucune adresse électronique n’est donc réellement partagée entre Facebook et le site web.

Principe de fonctionnement

Le site web envoie une version cryptée de votre adresse électronique que nous mettons en correspondance dans une base de données d’adresses électroniques, que nous avons également cryptées. En cas de correspondance, nous transmettons au site web le nom d’utilisateur correspondant à l’adresse électronique. De cette manière, quand vous vous connectez au site à partir de Facebook, le site peut relier votre compte Facebook à votre compte sur ce site.

L’association UFC QUE-CHOISIR reproche aux clauses litigieuses d’ouvrir la possibilité à la société FACEBOOK de communiquer certaines données de l’utilisateur à des sites web tiers, sans fournir d’information sur les destinataires ou catégories de destinataires. Elle conclue que l’utilisateur ne peut pas se faire une idée précise de la manière exacte dont ses données à caractère personnel, et notamment son adresse email, sont communiquées. Elle ajoute que le processus de cryptage des adresses email présenté par Facebook ne permet pas d’assurer une pleine anonymisation des données à caractère personnel de l’utilisateur. Les clauses critiquées sont, selon l’association, illicites au regard des articles L. 133-2 devenu l’article L. 211-1 du code de la consommation, des articles 32-I, 32-III et 34 de la loi Informatique et Libertés, des articles 10, 11 et 17 de la Directive 95/46 CE et abusives au sens de l’article R. 132-1 4°) devenu article R. 212-1 4°) du code de la consommation.
La société FACEBOOK répond que l’utilisateur peut accéder à des applications ou sites Internet tiers de façon anonyme (sans connexion via le Service Facebook) ou par l’intermédiaire du Service Facebook. Dans ce dernier cas, l’utilisateur choisit délibérément de communiquer aux tiers les informations qu’il a renseignées sur le Service Facebook. Dans la mesure où l’utilisateur est clairement informé et consent expressément à un tel accès, l’accès par les seules applications et sites Internet tiers aux contenus et informations de l’utilisateur est réalisé conformément à la Loi Informatique et Libertés. Elle fait valoir que la rubrique était (en 2013) parfaitement claire sur les applications visées (applications développées par des tiers et accessibles via le Service Facebook) et les données collectées. Les données de l’utilisateur ainsi accessibles par les tiers étaient extrêmement limitées ; elles ne visaient que l’identifiant renseigné par l’utilisateur et, ultérieurement, le nom d’utilisateur fourni par Facebook Ireland permettant à l’utilisateur de se connecter à ces outils tiers via le Service Facebook. Elle ajoute que cette rubrique ne faisait pas référence à une quelconque anonymisation des données mais à un échange d’informations cryptées entre la société FACEBOOK le site tiers. Les mesures de cryptage mises en œuvre par la société FACEBOOK n’ont pas pour objet d’anonymiser les données mais bien de leur assurer une sécurité de haut niveau.

a) Sur la communication de données de l’utilisateur à des tiers :

Aux termes de l’article 32-I de la Loi Informatique et Libertés, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant, de l’’identité du responsable du traitement et, le cas échéant, de celle de son représentant (article 32-I 1°), de la finalité poursuivie par le traitement auquel les données sont destinées (article 32-I 2°), des destinataires ou catégories de destinataires des données (article 32-I 5°), de la durée de conservation des catégories de données traitées (article 32-I 8°).

L’article 34 de la Loi Informatique et Libertés relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel prévoit que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès, le responsable du traitement devant garantir un niveau de sécurité adapté au risque du traitement.

En l’espèce, les clauses intitulées « Connexion à un autre site avec Facebook » mentionnent qu’à l’occasion d’une connexion de l’utilisateur à un site web (ou « d’autres applications ») – un simple accès constituant une connexion – la société FACEBOOK transmet au site l’identifiant de l’utilisateur, donnée à caractère personnel au sens de l’article 2 de la Loi Informatique et Libertés.

L’analyse des clauses critiquées, combinée avec celle menée par le Tribunal lors de l’examen des clauses n° 75 à 81 et 82 à 87 de la PUD du 15 novembre 2013 et n° 26.2, 26.3 et 27 de la PUD du 30 janvier 2015, mars et septembre 2016, 29 septembre 2016, révèle que lorsque l’utilisateur possède un compte sur le site web ou sur une « application », l’entreprise tierce, développeur ou propriétaire du site web, relie le compte détenu par l’utilisateur sur son site avec son compte Facebook, notamment à l’aide d’un « email hash », dont les clauses litigieuses apprennent, qu’elle « équivaut à rechercher une personne sur Facebook en utilisant son adresse électronique », sans que cette ultime précision constitue une aide pour l’utilisateur dans la compréhension de la nature du processus engagé.

Toutefois, la confrontation des présentes clauses avec les clauses n° 97 à 105 de la PUD du 15 novembre 2013 conduit à inférer, sans que soit acquise la moindre certitude à ce sujet, que l’ »email hash » résulte du processus de « hachage d’e-mail », dont il est question dans les clauses précitées, permettant de déterminer si les utilisateurs des sites et applications ont des comptes Facebook, afin d’en obtenir leur identifiant.

Or, ce procédé de cryptage des adresses électroniques ne garantit nullement que celles-ci ne soient pas identifiées par les sites et applications « partenaires » (cf. c) infra sur l’absence de réel cryptage de l’adresse électronique de l’utilisateur).

Ainsi les clauses litigieuses autorisent d’une part la communication de l’identifiant de l’utilisateur lors de son accès à un site web (ou une « application ») et d’autre part l’accès au compte Facebook de l’utilisateur, lorsque ce dernier dispose d’un compte sur ce site web ou cette « application ».

En autorisant non seulement une transmission de données à caractère personnel de l’utilisateur à des tiers, mais également l’accès à l’ensemble des données relatives à son compte Facebook, lequel comprend des données à caractère personnel, les clauses critiquées sont illicites au regard des articles 6, 32 et 34 de la Loi Informatique et libertés.

b) Absence de clarté et de compréhensibilité des clauses :

Aux termes de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation, les clauses des contrats proposés par les professionnels aux consommateurs doivent être présentées et rédigées de façon claire et compréhensible.

Tel n’est pas le cas des clauses litigieuses, qui distinguent dans un premier temps le site web des autres « applications » pour confondre dans un second temps les deux termes en un seul : le site web.

L’utilisateur n’est dès lors plus en mesure de différencier d’une part les « applications » visées par les clauses n° 75 à 81 et 82 à 87 de la PUD du 15 novembre 2013 et n° 26.2, 26.3 et 27 de la PUD du 30 janvier 2015, mars et septembre 2016, 29 septembre 2016, autorisant l’accès à l’ensemble de ses informations publiques (dont l’adresse e-mail de l’utilisateur) aux sites web et « applications » et les sites visés par les présentes clauses qui affirment ne communiquer aux tiers l’adresse électronique de l’utilisateur que sous une forme cryptée. De sorte que l’utilisateur ne peut pas savoir quand il bénéficie de cette mesure de cryptage et quand il en est exclu.

En conséquence, les clauses litigieuses équivoques et ambigües, ne présentent pas les caractères de clarté et de compréhensibilité exigées par l’article L. 133-2 devenu l’article L. 211-2 du code de la consommation. Elles sont par suite illicites au regard des dispositions précitées.

En outre, les clauses sont également abusives de manière irréfragable au sens de l’article R. 132-1, 4°) devenu article R. 212-1 4°) du code de la consommation, en ce qu’elles ont pour objet ou pour effet de conférer au seul professionnel le droit exclusif d’interpréter une quelconque clause du contrat.

c) Absence de réel cryptage de l’adresse électronique de l’utilisateur :

Aux termes de l’article 34 de la Loi Informatique et Libertés relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès, le responsable du traitement devant garantir un niveau de sécurité adapté au risque du traitement.

Tel n’est pas le cas des clauses qui indiquent, qu’à l’occasion d’une connexion de l’utilisateur du réseau social avec un site web ou une application, auprès desquels il détient un compte, le site web ou l’application relie ce compte avec son compte Facebook, notamment à l’aide d’un « email hash » ( ?), dont les clauses litigieuses apprennent, qu’elle « équivaut à rechercher une personne sur Facebook en utilisant son adresse électronique ». Ce qui sous-entend que les deux entités (sites web et réseau social Facebook) ont la même clé de cryptage. En effet, dans l’hypothèse inverse (absence de communication au destinataire du transfert des données de la clé de cryptage), l’opération de transmission de ces données n’aurait aucun intérêt pour le destinataire. De sorte que, la clé d’encryptage utilisée étant accessible au destinataire des données transférées, le risque d’identification des données à caractère personnel existe.

En affirmant que la société FACEBOOK ne communique ni l’adresse électronique ni le mot de passe de l’utilisateur aux sites web et applications, à moins de lui demander son autorisation, tout en précisant qu’aucune adresse électronique n’est réellement partagée entre Facebook et le site web, les adresses électroniques étant cryptées, alors que le cryptage ne protègent pas les données à caractère personnel de l’utilisateur lorsque l’émetteur et le destinataire de ces données disposent de la même clé de cryptage, les clauses sont illicites comme contrevenant aux dispositions de l’article 34 de la Loi Informatique et Libertés.

Etant observé que le procédé de cryptage (tout comme l’anonymisation) des données à caractère personnel, ne suffit pas à légitimer une collecte des données qui ne l’est pas.

En conséquence, les clauses critiquées, illicites au regard des articles L. 133-2 devenu l’article L. 211-1 du code de la consommation, des articles 32-I et 32-III et 34 de la loi Informatique et Libertés, sont abusives au sens de l’article R. 132-1, 4°) devenu article R. 212-1 4°) du code de la consommation. Elles seront réputées non écrites.

20. Clauses n° 91 à 96 de la PUD du 15 novembre 2013, n° 26.2 à 26.4 de la PUD des 30 janvier 2015, mars, septembre 2016 et 29 septembre 2016 :

Clauses n°91 à 96 de la Politique d’utilisation des données du 15 novembre 2013 :

À propos des modules sociaux

Les modules sociaux sont des boutons, cases et actualités (comme le bouton J’aime) que d’autres sites web peuvent utiliser pour vous présenter des contenus Facebook et vous faire profiter d’une expérience plus sociale et plus personnelle. Bien que ces boutons, cases et actualités apparaissent sur certains sites web, le contenu provient directement de Facebook.

Parfois, les modules fonctionnent exactement comme des applications. Vous pouvez reconnaître ces modules, car ils vous demandent l’autorisation d’accéder à vos informations ou de publier des informations sur Facebook. Par exemple, si vous utilisez un module d’inscription sur un site web, le module vous demande l’autorisation de partager vos informations de base avec le site web afin de faciliter votre inscription sur le site web. De même, si vous utilisez un module Ajouter au journal, le module vous demande l’autorisation de publier des actualités sur vos activités sur ce site web dans Facebook.

Si vous rendez des informations publiques dans un module, par exemple en publiant un commentaire public sur le site web d’un journal, ce site web peut alors accéder à votre commentaire (ainsi qu’à votre nom d’utilisateur) tout comme toute autre personne.

Si vous publiez quelque chose à l’aide d’un module social et que vous ne voyez pas d’icône de partage, vous pouvez supposer que cette actualité est publique. Par exemple, si vous publiez un commentaire via un module de commentaire Facebook présent sur un site, votre actualité est Publique et tout le monde, y compris le site web, peut voir votre actualité.

Les sites web qui utilisent des modules sociaux peuvent parfois affirmer que vous utilisez le module social. Par exemple, ils peuvent savoir que vous avez cliqué sur le bouton J’aime dans un module social.

Nous recevons des données lorsque vous consultez un site avec un module social. Nous conservons ces données pendant 90 jours maximum. Passé ce délai, nous supprimons votre nom et toute information personnelle permettant de vous identifier des données ou nous les associons aux données d’autres personnes de manière à ce qu’elles n’aient plus aucun
l i e n a v e c v o u s . P o u r e n s a v o i r p l u s :
https://www.facebook.com/help/social-plugins

Clauses 26.2 à 26.4 de la Politique d’utilisation des données du 30 janvier 2015 précitées :

Lorsque vous avez recours à des applications, à des sites web ou à d’autres services tiers qui utilisent nos services ou qui y sont intégrés, ces derniers peuvent recevoir des informations sur ce que vous publiez ou partagez. Par exemple, lorsque vous jouez à un jeu avec vos amis Facebook ou utilisez le bouton Commenter ou Partager de Facebook sur un site web, le développeur ou le site web du jeu peut recevoir des informations sur vos activités dans le jeu ou sur un commentaire ou un lien que vous partagez depuis son site web sur Facebook. En outre, lorsque vous téléchargez ou utilisez des services tiers, ces derniers ont la possibilité d’accéder à votre profil public, y compris votre nom d’utilisateur ou votre identifiant, votre tranche d’âge et votre pays/langue, votre liste d’amis ainsi que toutes les informations que vous partagez avec eux.

Clauses 26.2 à 26.4 de la Politique d’utilisation des données de mars 2016 :

Lorsque vous avez recours à des applications, à des sites web ou à d’autres services tiers qui utilisent nos Services ou qui y sont intégrés, ces derniers peuvent recevoir des informations sur ce que vous publiez ou partagez. Par exemple, lorsque vous jouez à un jeu avec vos amis Facebook ou utilisez le bouton Commenter ou Partager de Facebook sur un site web, le développeur ou le site web du jeu peut recevoir des informations sur vos activités dans le jeu ou sur un commentaire ou un lien que vous partagez depuis leur site web sur Facebook. En outre, lorsque vous téléchargez ou utilisez des services tiers, ces derniers ont la possibilité d’accéder à votre profil public, y compris votre nom d’utilisateur ou votre identifiant, votre tranche d’âge, votre pays/langue, votre liste d’amis ainsi que toutes les informations que vous partagez avec eux.

Clause 26 de la Politique d’utilisation des données à une date inconnue en septembre 2016 et du 29 septembre 2016 :

Lorsque vous avez recours à des applications, à des sites web ou à d’autres services tiers qui utilisent nos Services ou qui y sont intégrés, ces derniers peuvent recevoir des informations sur ce que vous publiez ou partagez. Par exemple, lorsque vous jouez à un jeu avec vos amis Facebook ou utilisez le bouton Commenter ou Partager de Facebook sur un site web, le développeur ou le site web du jeu peut recevoir des informations sur vos activités dans le jeu ou sur un commentaire ou un lien que vous partagez depuis leur site web sur Facebook. En outre, lorsque vous téléchargez ou utilisez des services tiers, ces derniers ont la possibilité d’accéder à votre profil public, y compris votre nom d’utilisateur ou votre identifiant, votre tranche d’âge, votre pays/langue, votre liste d’amis ainsi que toutes les informations que vous partagez avec eux. Les informations recueillies par ces applications, sites web ou services intégrés sont régies par les conditions générales et les règlements de leurs propriétaires respectifs.

L’association UFC QUE-CHOISIR reproche aux clauses précitées de prévoir la transmission à des tiers, détenteurs de sites internet, des données d’un utilisateur, collectées par l’intermédiaire d’un module social mis en place par la société FACEBOOK, sans justification et sans consentement de l’utilisateur. Elle reproche également aux clauses de ne pas déterminer les finalités d’une telle transmission ainsi que les catégories d’informations concernées, les destinataires ou catégories de destinataires du traitement. Elle critique l’autorisation donnée à la société FACEBOOK de conserver ces données (potentiellement à des fins commerciales) après les avoir agrégées, produisant ainsi des « métadonnées » dont certaines sont susceptibles de constituer des données à caractère personnel ; l’utilisateur ne peut savoir quelle est la durée réelle de conservation de ses données, pour quelles finalités, et dans quelle mesure ses données sont réellement supprimées.
Selon l’association, les clauses n° 91 à 96 de la PUD du 15 novembre 2013 sont illicites au regard des articles L.133-2, devenu l’article L. 211-1 code de la consommation, des articles 6, 7, 32, 36 et 40 de la Loi Informatique et Libertés, des articles 6, 7, 10, 11 et 32 de la Directive 95/46 CE et abusives au sens des articles R.132-1 4°) et 6°) devenu les articles R. 212-1 4°) et 6°) du code de la consommation. Les clauses n° 26.2 à 26.4 de la PUD du 30 janvier 2015 et de mars et septembre et du 29 septembre 2016 étant illicites au regard des articles L.133-2 devenu article L. 211-1 du code de la consommation, des articles 6 3°), 7 et 32 loi Informatique et Libertés, des articles 6, 7, 10 et 11 de la Directive 95/46 CE.

La société FACEBOOK entend se référer aux arguments qu’elle a développés à l’occasion de l’examen des clauses n° 18 à 22 de la PUD du 15 novembre 2013 et des clauses n° 26 et 27 de la PUD du 30 janvier 2015, relatifs aux données accessibles par les développeurs. Elle affirme informer l’utilisateur et recueillir son consentement pour le recours aux « modules sociaux ». Les jeux et applications étant fournis par des tiers, leur usage est régi exclusivement par les conditions d’utilisation des tiers développeurs. En collectant les données à caractère personnel des utilisateurs qui visitent leur site, les sites tiers agissent en qualité de responsables de traitement. Ce qui ne constitue pas un moyen pour la société FACEBOOK de s’exonérer de sa responsabilité, notamment en matière de sécurité des données.

a) Sur l’absence de clarté et de compréhensibilité des clauses :

L’article L. 133-2 devenu l’article L. 211-1 du code de la consommation impose aux professionnels dans les contrats qu’ils proposent aux consommateurs que les clauses desdits contrats soient présentées et rédigées de façon claire et compréhensible.

Tel n’est pas le cas des clauses n° 91 à 96 de la PUD du 15 novembre 2013, n° 26.2 à 26.4 de la PUD des 30 janvier 2015, mars, septembre 2016 et 29 septembre 2016, qui utilisent des termes et expressions non définis dans les clauses produites au débat (« modules sociaux », « boutons, cases et actualités, « bouton Commenter ou Partager de Facebook ») et qui présentent à l’utilisateur ces dispositifs apparaissant sur certains sites web et les « contenus Facebook » provenant directement du réseau Facebook, comme sources d’amélioration du service Facebook (« faire profiter (l’utilisateur) d’une expérience plus sociale et plus personnelle »), sans permettre à l’utilisateur de saisir la signification exacte de ces dispositifs et par suite leurs fonctions, lorsqu’ils visitent les sites tiers concernés.

En effet, les clauses restent très énigmatiques sur les modalités de fonctionnement de ces « modules sociaux » décrits dans la version 2013 comme fonctionnant « exactement comme des applications ». Ces modalités ne sont citées qu’à titre d’illustrations dans les versions des clauses de 2015 et 2016, (« Par exemple, lorsque vous (…) », (…) « le bouton Commenter ou Partager de Facebook sur un site web, le développeur ou le site web du jeu peut recevoir des informations sur vos activités dans le jeu ou sur un commentaire ou un lien que vous partagez depuis leur site web sur Facebook »).

Ce faisant, les clauses critiquées n’informent pas l’utilisateur de manière claire et compréhensible de la collecte de données à caractère personnel le concernant effectuée à cette occasion, ainsi que des finalités de cette collecte. De sorte que l’absence de telles informations ne permet pas de recueillir le consentement de la personne concernée.

En conséquence, du fait de l’imprécision et du caractère équivoque des termes ou expressions employés, les clauses ne présentent pas les caractères de clarté et de compréhensibilité exigées par l’article L. 133-2 devenu l’article L. 211-2 du code de la consommation. Elles sont donc illicites à leur égard.

Par ailleurs, en utilisant des termes et expressions non définies, les clauses critiquées sont abusives de manière irréfragable au regard de l’article R. 132-4°) devenu l’article R. 212-1 4°) du code de la consommation, en ce qu’elles ont pour objet ou pour effet de conférer au seul professionnel un droit exclusif d’interpréter une quelconque clause du contrat.

b) Sur la transmission de données à caractère personnel de l’utilisateur à des tiers :

L’article 6 de la Loi Informatique et Libertés prévoit qu’un traitement ne peut porter sur des données à caractère personnel, que si elles sont collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et qu’elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités, qu’elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

L’article 7 de la Loi Informatique et Libertés exige qu’un traitement de données à caractère personnel ait reçu le consentement de la personne concernée.

Aux termes de l’article 32-I de la Loi Informatique et Libertés, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant, de l’’identité du responsable du traitement et, le cas échéant, de celle de son représentant (article 32-I 1°), de la finalité poursuivie par le traitement auquel les données sont destinées (article 32-I 2°), des destinataires ou catégories de destinataires des données (article 32-I 5°), de la durée de conservation des catégories de données traitées (article 32-I 8°).

L’article 34 de la Loi Informatique et Libertés relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel prévoit que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès, le responsable du traitement devant garantir un niveau de sécurité adapté au risque du traitement.

En l’espèce, les clauses critiquées prévoient la transmission à des tiers, développeurs et détenteurs de sites internet, de données à caractère personnel d’un utilisateur, collectées par l’intermédiaire d’un « module social » mis en place par la société FACEBOOK sur ces sites et applications comme son nom d’utilisateur, son identifiant, sa tranche d’âge, son pays, sa langue, sa liste d’amis « ainsi que toutes les informations que vous partagez avec eux » ; que lorsque l’utilisateur joue avec ses « amis Facebook » ou qu’il utilise le « bouton Commenter ou Partager de Facebook sur un site web », le développeur ou le détenteur du site internet du jeu collecte (« reçoit ») des informations sur ses activités dans le jeu ou sur un commentaire ou sur le lien que le détenteur du site partage depuis son site web sur Facebook ; que lorsqu’il télécharge ou utilise des services tiers, ces derniers accèdent à son « profil public » (version 2015 et 2016).

En autorisant la communication à des tiers de données à caractère personnel de l’utilisateur via un « module social » mis en place par la société FACEBOOK, sans avoir recueilli le consentement informé et indubitable de l’utilisateur, en permettant l’accès par ces tiers à l’ensemble des données relatives au profil public Facebook de l’utilisateur, comprenant des données à caractère personnel, en ne déterminant pas précisément les finalités d’une telle transmission des données ainsi que les destinataires ainsi que les catégories d’informations concernées, les données collectées n’étant ni adéquates, ni pertinentes et ni proportionnées au regard des finalités pour lesquelles elles sont collectées, les clauses critiquées sont illicites au regard des articles 6, 7, 32 et 34 de la Loi Informatique et libertés.

c) Sur la conservation des données à caractère personnel :

Aux termes de l’article 32-I de la Loi Informatique et Libertés, la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant, de l’’identité du responsable du traitement et, le cas échéant, de celle de son représentant (article 32-I 1°), de la finalité poursuivie par le traitement auquel les données sont destinées (article 32-I 2°), des destinataires ou catégories de destinataires des données (article 32-I 5°), de la durée de conservation des catégories de données traitées(article 32-I 8°).

L’article 36 de la loi Informatique et Libertés dispose que les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue à l’article 6 5°) de la loi Informatique et Libertés, à savoir une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

Aux termes de l’article 40 de la Loi Informatique et Libertés, la personne concernée par un traitement peut exiger du responsable du traitement l’effacement des données à caractère personnel la concernant. Ce dernier doit réaliser cette opération dans les meilleurs délais et justifier à la demande de la personne concernée qu’il y a bien été procédé, la personne concernée ayant la possibilité de saisir la CNIL lorsque le responsable du traitement est resté silencieux pendant 30 jours à compter de sa demande.

En l’espèce, les clauses critiquées dans leur version du 15 novembre 2013 prévoient que la société FACEBOOK collecte (« reçoit ») des données de l’utilisateur à l’occasion de son accès à un site contenant un module social mis en place par ses soins et conserve ces données pendant 90 jours maximum, délai au terme duquel les « nom et toute information personnelle » sont extraits et supprimés des données collectées qui permettant d’identifier l’utilisateur. Ces données sont ensuite associées à d’autres personnes, de manière à ce qu’elles n’aient plus de lien avec l’utilisateur.

Ainsi, sans que l’utilisateur en ait réellement conscience et en l’absence de recueil de son consentement informé et indubitable, des données à caractère personnel de l’utilisateur sont collectées et conservées pendant un délai de 90 jours, la société FACEBOOK se réservant le droit de les stocker sans motif légitime et sans prévoir la possibilité pour l’utilisateur de s’y opposer.

De sorte qu’en prévoyant de conserver des données à caractère personnel collectées auprès de l’utilisateur sans son consentement, les clauses critiquées sont donc illicites au regard des articles 6 5°) et 36 de la loi Informatique et Libertés.

En reconnaissant au professionnel un pouvoir de décision unilatérale quant à la durée de conservation des données à caractère personnel de l’utilisateur, les clauses sont de nature à créer un déséquilibre significatif, au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation, entre les droits et obligations des parties au contrat au détriment du consommateur.

En conséquence, les clauses n° 91 à 96 de la PUD du 15 novembre 2013, illicites au regard des articles L. 133-2 devenu l’article L. 133-2 devenu l’article L. 211-2 du code de la consommation, des articles 6, 7, 32, 36 et 40 de la Loi Informatique et Libertés, sont abusives au sens de l’article R. 132-4°) devenu l’article R. 212-1 4°) du code de la consommation.

En conséquence, les clauses n° 26.2 à 26.4 de la PUD du 30 janvier 2015, mars et septembre 2016 sont illicites au regard des articles L.
133-2 devenu l’article L. 211-1 du code de la consommation, des articles 6, 7 et 32 de la loi Informatique et Libertés.

21. Clauses n° 97 à 105 de la PUD du 15 novembre 2013 :

Clauses n° 97 à 105 de la Politique d’utilisation des données du 15 novembre 2013 :

À propos de la personnalisation instantanée

La personnalisation instantanée (ou « Commencez dès maintenant ») est une manière pour Facebook d’aider les sites partenaires (tels que Bing et RottenTomatoes) sur et en dehors de Facebook à créer une expérience sociale plus personnelle que celle proposée aux utilisateurs connectés par un module social. Lorsque vous accédez à un site ou à une application qui utilise la personnalisation instantanée, il dispose de certaines informations vous concernant et concernant vos amis dès que vous y accédez. En effet, les sites ou les applications qui utilisent la personnalisation instantanée peuvent accéder à votre identifiant, à votre liste d’amis et à vos informations publiques.

Lorsque vous accédez à un site ou à une application avec personnalisation instantanée pour la première fois, vous recevez une notification vous informant que le site ou l’application est partenaire de Facebook afin de fournir une expérience personnalisée.

La notification vous permet de désactiver ou d’annuler la personnalisation instantanée pour ce site ou cette application. Dans ce cas, le site ou l’application doit effacer toutes les informations vous concernant qu’il a reçues de Facebook dans le cadre du programme de personnalisation instantanée. En outre, nous empêchons ce site d’accéder à vos informations à l’avenir, même si vos amis l’utilisent.

Si vous décidez de ne pas avoir recours à la personnalisation instantanée pour tous les sites et applications partenaires, vous pouvez désactiver la personnalisation instantanée à l’aide de votre page de paramètres Applications.

Si vous désactivez la personnalisation instantanée, les sites et applications partenaires ne peuvent plus accéder aux informations publiques, même si vos amis consultent ces sites.

Si vous désactivez la personnalisation instantanée du site ou de l’application après l’avoir utilisé ou consulté plusieurs fois (ou après lui avoir donné une autorisation spécifique d’accéder à vos données), il n’efface pas automatiquement les données vous concernant reçues via Facebook. Comme toutes les autres applications, le site est contraint par nos règlements de supprimer toutes les informations vous concernant si vous le lui demandez.

Principe de fonctionnement

Pour adhérer au programme de personnalisation instantanée, un éventuel partenaire doit tout d’abord signer un accord concernant la protection de vos données personnelles. Par exemple, cet accord exige que les

partenaires effacent les données vous concernant si vous désactivez la personnalisation instantanée lors de votre première visite sur le site ou l’application. Il empêche également le partenaire d’accéder à toute information vous concernant avant que vous ou l’un de vos amis ne le visitiez.

Les partenaires de la personnalisation instantanée utilisent parfois un processus de hachage d’e-mail pour déterminer si leurs utilisateurs disposent de comptes Facebook et pour obtenir leur identifiant. Ce processus est identique à celui de recherche d’une personne sur Facebook à l’aide d’une adresse électronique, sauf que dans ce cas les adresses électroniques sont cryptées et qu’aucune adresse électronique n’est échangée. Le partenaire se doit contractuellement de ne pas utiliser votre identifiant dans n’importe quel but (autre que l’association avec votre compte) avant que vous ou l’un de vos amis ne le visitiez.

Lorsque vous accédez à un site ou à une application avec personnalisation instantanée, nous lui fournissons votre identifiant et votre liste d’amis (ainsi que votre tranche d’âge, vos paramètres régionaux et votre sexe). Le site ou l’application peut relier votre compte aux comptes de vos amis pour rendre le site ou l’application instantanément social. Le site peut également accéder aux informations publications associées aux identifiants qu’il reçoit et qu’il peut utiliser pour personnaliser instantanément le site. Par exemple, si le site est un site musical, il peut accéder à vos intérêts musicaux pour vous proposer des chansons que vous pouvez aimer et accéder aux intérêts musicaux de vos amis pour vous indiquer ce qu’ils écoutent. Il va de soi que le site ne peut accéder à vos intérêts musicaux et à ceux de vos amis que si les paramètres sont réglés sur Public. Si le site ou l’application veut obtenir des informations supplémentaires, il doit vous en demander l’autorisation.

Selon l’association QUE-CHOISIR les clauses litigieuses permettent non seulement une communication des données dites « publiques » de l’utilisateur à des tiers, mais également de sa liste d’amis, ces derniers n’ayant avec eux aucune interaction. L’association QUE-CHOISIR reproche à cette transmission de données à caractère personnel de dépasser largement la finalité du traitement, les clauses tendent à faire peser la responsabilité de la divulgation des données à caractère personnel de « ses amis », sur l’utilisateur qui accède à un site ou à une application utilisant la « personnalisation instantanée ».

A ce titre les clauses sont, selon l’association, illicites au regard des articles L.133-2 devenu l’article L. 211-1 du code de la consommation, des articles 6, 32 et 34 de la Loi Informatique et Libertés et des articles 6, 10, 11 et 17 de la Directive 95/46 CE. Elles seraient également abusives au sens de l’article L. 132-1 devenu l’article L. 212-du code de la consommation.

La société FACEBOOK fait valoir que le Service Facebook n’offre plus ce système de « personnalisation instantanée ». Cette rubrique n’a donc pas été reprise dans la PUD dans sa version du 30 janvier 2015 ni dans la PUD actuellement en vigueur. Les demandes de l’UFC sont en conséquence infondées.

a) Sur l’absence d’objet de la demande de l’association :

La société FACEBOOK fait valoir que la demande de l’UFC QUE- CHOISIR est sans objet puisque les clauses ont été supprimées dans les versions de 2015 et 2016.

Le Tribunal ayant répondu à cette argumentation dans le cadre de l’examen de la clause n° 0.1 de le DDR des 15 novembre 2013 et 30 janvier 2015, il n’y a pas lieu d’examiner de nouveau cette exception.

b) Sur la communication relative aux amis de l’utilisateur :

L’article 6 de la Loi Informatique et Libertés prévoit qu’un traitement ne peut porter sur des données à caractère personnel que si elles sont collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et qu’elles ne sont pas traitées ultérieurement de manière incompatible avec ces finalités, qu’elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

Tel n’est pas le cas des clauses qui, en application d’une convention conclue entre la société FACEBOOK et des sites et applications partenaires, autorisent la société Facebook à fournir l’identifiant de l’utilisateur, sa liste d’amis, sa tranche d’âge, ses paramètres régionaux et son sexe (« nous (..) fournissons votre identifiant et votre liste d’amis (ainsi que votre tranche d’âge, vos paramètres régionaux et votre sexe) » permettant ainsi à des tiers d’accéder aux informations de l’utilisateur – qualifiées de « publiques » par ladite société ainsi qu’à sa liste d’amis, alors que lesdits « amis » n’ont aucune interaction avec les sites et applications en question.

De sorte que la transmission de données à caractère personnel d’utilisateurs qui ne se connectent pas aux sites ou d’applications utilisant la personnalisation instantanée dépasse la finalité du traitement, finalité qui doit être déterminée, explicite et légitime, la collecte des données à caractère personnel devant par ailleurs être adéquate, pertinente et non excessive.

Les clauses précitées sont donc illicites au regard de l’article 6 de la loi Informatique et Libertés

c) Sur l’imputation à l’utilisateur de la divulgation des données à caractère personnel d’autres utilisateurs :

En l’espèce, les clauses précitées autorisent les applications tierces et les sites tiers utilisant la personnalisation instantanée l’accès et la communication automatique aux de données à caractère personnel de l’utilisateur (identifiant), à sa liste d’amis, ses (« informations publiques »), sa tranche d’âge, ses paramètres régionaux et son sexe.

L’association UFC QUE-CHOISIR soutient que la société FACEBOOK rejette toute responsabilité quant à la collecte des données de ses amis sur l’utilisateur.

Or, ni les clauses actuellement examinées, ni la clause n° 5.7 de la DDR présentée en appui de cette allégation, ne font peser sur l’utilisateur qui accède à un site ou qui utilise une application, la responsabilité de la divulgation des données à caractère personnel de « ses amis ».

La demande de l’UFC sera donc rejetée de ce chef.

d) Sur la clarté et la compréhensibilité des clauses :

L’article L. 133-2 devenu l’article L. 211-1 du code de la consommation impose aux professionnels dans les contrats qu’ils proposent aux consommateurs que les clauses desdits contrats soient présentées et rédigées de façon claire et compréhensible.

Tel n’est pas le cas des clauses qui autorisent par défaut l’accès aux données à caractère personnel de l’utilisateur et de sa liste d’amis des sites par des sites web et applications utilisant la « personnalisation instantanée », et accéder « aux informations publications associées aux identifiants (qu’ils reçoivent) et (qu’ils peuvent) utiliser », l’utilisateur étant contraint dès sa première connexion aux sites et applications partenaires de « désactiver ou d’annuler la personnalisation instantanée pour ce site ou cette application » ou de paramétrer son compte pour désactiver la « personnalisation instantanée » pour tous les sites et applications partenaires, alors que les clauses prévoient, dans l’hypothèse d’une désactivation après que l’utilisateur a utilisé ou consulté (le simple accès suffit-il ?) plusieurs fois (combien de fois ?) les sites et applications, que ces derniers gardent les données à caractère personnel de l’utilisateur en ces termes « Si vous désactivez la personnalisation instantanée du site ou de l’application après l’avoir utilisé ou consulté plusieurs fois (ou après lui avoir donné une autorisation spécifique d’accéder à vos données), il n’efface pas automatiquement les données vous concernant reçues via Facebook », à moins que l’utilisateur ne s’adresse directement aux sites tiers pour supprimer ces données (« si vous le lui demandez ».

L’imprécision des termes et expressions contenus dans la clause : (« peuvent accéder », « Le site ou l’application peut relier », « Le site peut également accéder » ; »(…) qu’il peut utiliser », il peut accéder à vos intérêts musicaux », place l’utilisateur dans l’impossibilité d’apprécier la nature et le volume des données collectées à l’occasion de son accès à des sites web et applications partenaires de la société FACEBOOK, susceptibles d’accéder à son compte et par suite à ses données personnelles, ni de la manière dont l’utilisateur peut procéder pour les données à caractère personnel détenues par les tiers soient « effacées » après suppression ou désactivation de la « personnalisation instantanée ».

De façon semblable, en renvoyant au moyen de formules imprécises et de manière non limitative à des finalités vagues comme « créer une expérience sociale plus personnelle » ou « fournir une expérience personnalisée », les clauses n’informent pas l’utilisateur sur les finalités de la collecte et de l’utilisation de ses données à caractère personnel et n’identifient pas non plus clairement les destinataires des données.

Par ailleurs, en laissant croire que le professionnel n’est tenu d’aucune obligation à l’égard du consommateur/utilisateur, lorsqu’il fournit à des entreprises tierces des informations qui peuvent être qualifiées de données à caractère personnel ou en autorise leur accès, les clauses sont abusives en ce qu’elles sont de nature à créer un déséquilibre significatif entre les droits et obligations des parties au contrat, au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation.

e) Sur l’absence de détermination des destinataires des données :

Aux termes des articles 6 et 7 de la Loi Informatique et Libertés un traitement de données à caractère personnel n’est licite qu’à la condition d’avoir reçu au préalable le consentement de la personne concernée, pour des finalités déterminées, explicites et légitimes, les données ne devant pas être traitées ultérieurement de manière incompatible avec ces finalités.

L’article 32-I de la Loi Informatique et Libertés exige du responsable du traitement, qu’il informe la personne concernée de la finalité poursuivie par le traitement, auquel les données sont destinées et des destinataires ou catégories de destinataires des données.

L’article 32-III de la Loi Informatique et Libertés impose au responsable du traitement ou son représentant, lorsque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, de fournir à cette dernière les informations énumérées à l’article 32-I, dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.

L’article 34 de la même loi impose au responsable du traitement de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Or, les clauses qui prévoient la faculté pour le professionnel de communiquer les données à caractère personnel des utilisateurs et/ou d’en permettre son accès à des tiers non désignés ou des catégories de tiers non désignées, sans son consentement informé et indubitable, pour des utilisations non précisées, dont les finalités du traitement ne sont pas spécifiquement envisagées, ne respectent pas les dispositions des articles 6, 7, 32 et 34 de la Loi Informatique et libertés.

Elles sont donc illicites au regard des dispositions précitées.

En conséquence, les clauses n° 97 à 105 de la PUD du 15 novembre 2013, illicites au regard des articles L. 133-2, devenu l’article L. 211-1 du code de la consommation, des articles 6, 7, 32 et 34 de la Loi Informatique et Libertés, sont abusives au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation.

22. Clauses n° 106 à 108 de la PUD du 15 novembre 2013 :

Clauses n° 106 à 108 de la Politique d’utilisation des données du 15 novembre 2013 :

Moteurs de recherche publics

Votre paramètre Recherche publique contrôle si un aperçu de votre journal public s’affiche dans les résultats de recherche lorsque quelqu’un entre votre nom dans un moteur de recherche (y compris dans les résultats sponsorisés). Le paramètre Recherche publique se trouve dans la page Paramètres et outils de confidentialité.

Ce paramètre ne s’applique pas aux moteurs de recherche qui accèdent à vos informations en tant qu’application utilisant la plate-forme Facebook.

Si vous désactivez votre paramètre Recherche publique et que vous recherchez votre profil sur un moteur de recherche, vous pouvez peut-être encore voir un aperçu de votre journal. Cela est dû au fait que certains moteurs de recherche placent les informations en cache pendant un certain temps. Vous pouvez découvrir comment demander à un moteur de recherche de supprimer vos informations mises en cache : https://www.facebook.com/help/?faq=13323

L’association UFC QUE-CHOISIR critique les clauses prévoyant une modalité de communication de données d’un utilisateur « à toute personne » sans autre précision, en n’indiquant pas les finalités d’une telle transmission et les destinataires ou catégories de destinataires des données, ainsi que les catégories d’informations concernées. Ces clauses ne permettent donc pas, selon l’association, à l’utilisateur de s’y opposer. Elles se contenteraient de présumer son adhésion initiale, définitive, et générale à toute communication ou divulgation des données à caractère personnel à l’égard des tiers. Les clauses seraient, selon elle, illicites au regard des articles 6, 32-I et 32-III de la Loi Informatique et Libertés, des articles 6, 10 et 11 de la Directive 95/46 CE et abusives au sens de l’article L.132-1 devenu articles L. 212-1du code de la consommation.
Pour la société FACEBOOK, les demandes de l’UFC sont infondées, car cette rubrique n’a pas été reprise dans la PUD dans sa version du 30 janvier 2015 (ni dans la PUD actuellement en vigueur). Elle précise toutefois que l’information était claire dans cette rubrique puisque la société FACEBOOK expliquait à l’utilisateur que celui-ci pouvait paramétrer ses outils de confidentialité pour permettre, ou non, que son profil apparaisse dans les résultats de recherches effectuées sur les moteurs de recherche. Elle ajoute qu’il appartient à l’utilisateur d’activer l’affichage sur les moteurs de recherche en cochant la case correspondante dans les paramètres de confidentialité de son compte.

Aux termes des articles 6 et 7 de la Loi Informatique et Libertés un traitement de données à caractère personnel n’est licite qu’à la condition d’avoir reçu au préalable le consentement de la personne concernée, pour des finalités déterminées, explicites et légitimes, les données ne devant pas être traitées ultérieurement de manière incompatible avec ces finalités.

L’article 32-III de la Loi Informatique et Libertés impose au responsable du traitement ou son représentant, lorsque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, de fournir à cette dernière les informations énumérées à l’article 32-I, dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.

Les clauses critiquées apprennent indirectement à l’utilisateur, rompu à la pratique des raisonnements a contrario, qu’un « aperçu de (son) journal public  » est, par défaut, affiché dans les résultats de moteurs de recherche (« y compris dans les résultats sponsorisés »), lorsque quelqu’un y a entré son nom. Elle indique que pour mettre un terme à cet affichage, l’utilisateur doit désactiver le paramètre « Recherche publique ». L’effet de cette désactivation étant au mieux différé « certains moteurs de recherche placent les informations en cache pendant un certain temps », voire inexistant quand « le paramètre ne s’applique pas aux moteurs de recherche qui accèdent à vos informations en tant qu’application utilisant la plate-forme Facebook ».

De sorte qu’en autorisant une communication d’informations qualifiées de publiques, contenant néanmoins des données à caractère personnel des utilisateurs à des tiers, sans son consentement informé et indubitable, les clauses critiquées ne répondent pas aux exigences de loyauté, licéité, détermination et légitimité des finalités du traitement prévues à l’article 6 de la loi Informatique et Libertés et à l’exigence d’information préalable de l’utilisateur sur les finalités et les destinataires des données collectées en cas de collecte auprès d’un tiers, prévue par l’article 32-III de la loi Informatique et Libertés précitée.

En présumant une adhésion préalable et globale de l’utilisateur à toute communication ou divulgation des données à caractère personnel à l’égard des tiers, ces clauses créent un déséquilibre significatif, leur conférant un caractère abusif au sens de l’article L.132-1 devenu l’article L. 212-1 du code de la consommation.

En conséquence, les clauses n° 106 à 108 de la PUD du 15 novembre 2013, illicites au regard des articles 6 et 32 de la loi Informatique et Libertés sont abusives au regard de l’article L.132-1, devenu l’article L. 212-1 du code de la consommation. Elles seront donc réputées non écrites.

23. Clauses n° 109 à 117 de la PUD du 15 novembre 2013 et les clauses n° 32 et 33 de la PUD du 30 janvier 2015, mars, septembre 2016 et du 29 septembre 2016 :

Clauses n° 109 à 117 de la Politique d’utilisation des données du 15 novembre 2013 :

IV. Publicités et contenu Facebook

Publicité

Facebook propose une gamme de produits qui permet aux annonceurs d’éveiller l’intérêt des utilisateurs sur Facebook comme sur d’autres sites. En plus des informations que nous fournissons dans cette section, vous pouvez également en savoir plus sur la publicité pour des produits, leur mode de fonctionnement, nos partenariats et les contrôles qui s’offrent à vous en accédant à notre page Publicités affichées sur Facebook.

Lorsque nous diffusons des publicités, nous ne partageons pas vos informations (informations permettant de vous identifier personnellement, telles que votre nom ou vos coordonnées) avec des annonceurs sans votre autorisation. Nous pouvons communiquer des informations aux annonceurs après avoir retiré votre nom et toute autre information qui permettrait de vous identifier ou les combiner avec d’autres informations de façon à ne plus permettre l’identification. Par exemple, nous pouvons dire à un annonceur quel impact sa publicité a ou le nombre de personnes ayant consulté ou cliqué sur ses publicités ou ayant installé une application après avoir vu une publicité.

Afin de vous présenter un contenu que vous pourrez trouver intéressant, nous pouvons utiliser l’ensemble des informations que nous recevons à votre sujet pour publier des publicités plus adaptées à vos goûts. Cela inclut notamment :

les informations que vous fournissez lors de votre inscription ou que vous ajoutez à votre compte ou dans votre journal, ce que vous partagez ou faites sur Facebook, comme l’indication de ce que vous aimez et vos interactions avec les annonceurs, partenaires ou applications, les mots- clés de vos histoires, et ce que nous pouvons déduire de votre utilisation de Facebook.

Pour de nombreuses publicités que nous diffusons, les annonceurs peuvent choisir leur public par lieu, données démographiques, mentions J’aime, mots-clés et toute autre information que nous recevons ou déduisons à propos des utilisateurs. Les annonceurs peuvent déterminer les publicités appropriées par divers moyens, notamment :

données démographiques et intérêts : par exemple, femmes de 18 à 35 ans vivant aux États-Unis et aimant le basket ; rubriques ou mots-clés : par exemple, musique ou personnes aimant une chanson ou un artiste en particulier ;

mention J’aime pour une Page (y compris pour des sujets tels que les produits, les marques, la religion, l’état de santé ou les avis politiques) : par exemple, si vous aimez une Page traitant des aliments sans gluten, vous pourrez recevoir des publicités sur des produits alimentaires appropriés ; ou

catégories (y compris des types tels qu’amateur de cinéma ou fan de science-fiction) : par exemple, si une personne « aime » la Page « Star Trek » et mentionne « La guerre des étoiles » en indiquant se trouver dans un cinéma, nous pouvons en déduire que cette personne est sûrement un fan de science-fiction et les annonceurs pour des films de science-fiction pourraient nous demander de cibler cette catégorie.

En plus de diffuser des publicités adaptées, Facebook associe parfois des publicités à un contexte social, à des informations pertinentes relatives à des actions sociales auxquelles vous ou vos amis avez participé. Par exemple, une publicité pour la Page Facebook d’un restaurant de sushis peut être associée à une actualité de l’un de vos amis qui a indiqué aimer cette Page.

Il nous arrive également parfois de présenter ces types de publicités sur d’autres sites ou de ne présenter que le contexte social (par exemple avec des publicités présentées par d’autres) afin que ces publicités soient plus pertinentes pour vous. Comme c’est le cas pour tout autre contenu que vous partagez sur Facebook, seules les personnes avec lesquelles vous partagez déjà des contenus sur Facebook le verront lorsqu’il est associé à une publicité. Nous autorisons également les annonceurs à entrer en contact avec des utilisateurs sur Facebook à l’aide des informations dont ils disposent déjà à votre sujet (comme des adresses électroniques ou le fait que vous ayez ou non visité leurs sites web précédemment). Vous pouvez en apprendre davantage sur les publicités et le contexte social, y compris les paramètres appropriés et les dispositifs de contrôle dont vous disposez en accédant à la page Publicités affichées sur Facebook.

Si un annonceur choisit de diffuser des publicités, nous montrons ces dernières aux personnes qui répondent aux critères sélectionnés par l’annonceur. Ainsi, si une personne voit ou interagit autrement avec la publicité, l’annonceur peut en déduire que cette personne répond aux critères sélectionnés (par exemple, qu’il s’agit d’une femme âgée entre 18 et 35 ans qui vit aux États-Unis et qui aime le basket-ball). Nous exigeons des annonceurs qu’ils respectent notre règlement publicitaire, y compris les clauses relatives à l’utilisation des données confidentielles.

Les annonceurs et leurs partenaires utilisent parfois des cookies ou d’autres technologies similaires pour proposer et évaluer des publicités et pour rendre celles-ci plus efficaces. En savoir plus sur les cookies, les pixels et les technologies similaires. Lorsque vous publiez une actualité

sur Facebook et qu’un annonceur la sponsorise, l’audience de la publication ne change pas. Seules les personnes qui pouvaient voir la publication à l’origine (celles avec lesquelles vous l’avez partagée) peuvent la voir

Clauses n°32 et 33 de la Politique d’utilisation des données du 30 janvier 2015, de mars et septembre 2016 et du 29 septembre 2016 :

Services de publicité, de mesure et d’analyse (uniquement des informations qui ne permettent pas de vous identifier personnellement).

Nous voulons que nos publicités soient aussi pertinentes et intéressantes que les autres informations que vous trouvez au sein de nos services. Dans cette optique, nous nous servons de toutes les informations dont nous disposons à votre sujet afin de vous présenter des publicités pertinentes. Nous ne partageons pas les informations qui permettent de vous identifier personnellement (les informations qui permettent de vous identifier personnellement sont les informations telles que votre nom ou votre adresse électronique, pouvant être utilisées pour vous contacter ou vous identifier) avec nos prestataires de services de publicité, de mesure et d’analyse, à moins d’obtenir votre autorisation. Nous pouvons fournir à ces partenaires des informations sur l’efficacité et la portée de leurs publicités, sans communiquer d’informations qui permettent de vous identifier personnellement, ou des informations que nous avons rendues anonymes. Par exemple, nous pouvons transmettre à un annonceur un rapport sur les performances de ses publicités, sur le nombre de personnes ayant vu ses publicités ou installé une application après avoir vu une publicité, ou encore communiquer des informations démographiques qui ne permettent d’identifier personnellement aucun utilisateur (telles que « femme de 25 ans vivant à Madrid et passionnée de génie logiciel ») à ces partenaires afin de les aider à mieux cerner leur audience ou leurs clients, mais uniquement après que l’annonceur a accepté de se conformer à nos règles publicitaires.

Veuillez consulter vos préférences en matière de publicité afin de savoir pourquoi vous voyez une publicité en particulier sur Facebook. Vous avez la possibilité d’ajuster vos préférences en matière de publicité si vous souhaitez contrôler et gérer votre expérience publicitaire sur Facebook.

L’UFC QUE-CHOISIR reproche aux clauses de permettre l’envoi systématique de publicité ciblée ou comportementale, sans avoir obtenu un consentement exprès distinct, réel et préalable de l’utilisateur notamment au regard de la collecte et de l’exploitation de données à caractère personnel sensibles. De plus, elle considère qu’en conservant l’identification des utilisateurs de Facebook, le processus d’agrégation et d’anonymisation, que la société FACEBOOK affirme utiliser, n’est pas explicité et n’offre en conséquence aucune garantie. Les clauses seraient, selon l’association, illicites au regard des articles 6, 7, 8 et 32 de la loi Informatique et Libertés et des articles 6, 7, 8, 10 et 11 de la Directive 95/46 CE.

La société FACEBOOK affirme qu’elle informe clairement l’utilisateur que l’une des finalités du traitement de ses données à caractère personnel est la publicité. La présente sous-rubrique « Diffuser et évaluer les publicités et les services » y est consacrée. Les utilisateurs ont à leur disposition une page spécifique entièrement dédiée à la publicité, qui donne aux utilisateurs des informations supplémentaires sur le fonctionnement des publicités. Elle maintient que, contrairement à ce que soutient l’UFC, l’utilisateur peut contrôler par paramétrage via l’outil « Vos préférences publicitaires », accessible depuis la sous-rubrique, notamment les publicités comportementales.

L’article L. 133-2 devenu l’article L. 211-1 du code de la consommation impose aux professionnels dans les contrats qu’ils proposent aux consommateurs que les clauses desdits contrats soient présentées et rédigées de façon claire et compréhensible.

L’article 6 de la Loi Informatique et Libertés impose que les données soient collectées et traitées de manière loyale et licite (article 6 1°)), pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités (article 6 2°)). Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs (article 6 3°)).

Aux termes de l’article 7 de la Loi Informatique et Libertés, un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire au respect d’une obligation légale incombant au responsable du traitement (7 1°), à la sauvegarde de la vie de la personne concernée (7 2°)), à l’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement (7 3°)), à l’exécution soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci (7 4°)), la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée (7
5°)).
L’article 32-I de la Loi Informatique et Libertés exige du responsable du traitement qu’il informe la personne, auprès de laquelle sont recueillies des données à caractère personnel la concernant, de la finalité poursuivie par le traitement auquel les données sont destinées et des destinataires ou catégories de destinataires des données.

Aux termes de l’article 32-II de la Loi Informatique et Libertés, tout utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, par le responsable du traitement ou son représentant de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement et des moyens dont il dispose pour s’y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

En l’espèce, les clauses n° 109 à 117 de la PUD du 15 novembre 2013 et n° 32 et 33 de la PUD du 30 janvier 2015, mars, septembre 2016 et du 29 septembre 2016 critiquées ont trait à l’activité de la société FACEBOOK en matière publicitaire.

Il sera observé à titre liminaire que seules les clauses n° 109 à 117 de la PUD du 15 novembre 2013 mettent en évidence le déroulement du processus conduisant à la diffusion de la publicité par la société FACEBOOK sur les comptes des utilisateurs du réseau social. Les clauses n° 32 et 33 de la PUD du 30 janvier 2015, mars, septembre 2016 et du 29 septembre 2016 ne reprennent pas cette description. Mais elle figure toujours sur une page intitulée « Les publicités sont une partie importante de Facebook » (Pièce FACEBOOK n° 77 – PV du constat d’huissier du 13 mars 2017, p. 47 et s.) à laquelle l’utilisateur est désormais renvoyé, lorsqu’il clique sur l’hyperlien « contrôle » dans la PUD à la rubrique relative à la publicité.

Les clauses n° 109 à 117 de la PUD du 15 novembre 2013 décrivent opportunément l’enchaînement des actions menant à la diffusion de la publicité par la société FACEBOOK sur le réseau social : choix d’un objectif commercial par les annonceurs, choix des personnes que les annonceurs souhaitent atteindre en fonction de certains critères (« choix d’une audience »), d’un public ciblé en fonction des lieu, données démographiques, mentions « J’aime » pour une Page « y compris pour des sujets tels que les produits, marques, religion, état de santé ou avis politiques »), « mots-clés » et « toute autre information » que la société FACEBOOK « reçoit » (collecte) ou « déduit » à propos des utilisateurs, création de publicités « appropriées » (« en fonction de ») par les publicitaires et diffusion de ces publicités par la société FACEBOOK auprès de personnes susceptibles d’être intéressées, d’où les notions de « pertinence » et d’ »efficacité » des publicités, relevées dans les clauses et, par suite, de la notion de « publicité comportementale » évoquée dans ses conclusions par la société FACEBOOK.

Il résulte des clauses critiquées et des autres documents produits au débat, notamment des PV des constats d’huissier des 27 mai 2016 et 13 mars 2017 (Pièces FACEBOOK n° 26 et n° 77 précitées), que la société FACEBOOK offre (c’est-à-dire vend) aux annonceurs des espaces publicitaires (des « produits »), permettant de proposer aux utilisateurs du réseau social des publicités qualifiées de « pertinentes » par les clauses dans les versions de 2015 et 2016), car elles permettent « d’éveiller l’intérêt » des utilisateurs sur Facebook comme sur d’autres sites (version 2013).

Pour mener à bien cette activité de ventes d’espaces publicitaires, les clauses décrivent les informations de l’utilisateur, que la société FACEBOOK « reçoit » (collecte) à son sujet pour publier des publicités « plus adaptées à ses goûts ». Les informations sont constituées d’informations de l’utilisateur « fournies lors de l’inscription », d’informations « ajoutées » au compte ou dans son journal, d’informations « partagées » ou « faites » (modules sociaux, boutons), d’ »interactions » avec les annonceurs (clics sur les publicités), d’ »interactions » avec des « partenaires » ou « applications » (accès aux sites), de « mots-clés de (ses) histoires » ( ?), et « tout ce que » la société FACEBOOK « peut déduire de l’utilisation (par l’utilisateur) de Facebook » (version 2013), la société FACEBOOK se servant « de toutes les informations dont (elle) dispos(e) à (son) sujet afin de (lui) présenter des publicités pertinentes » (version 2015, 2016).

A cet effet, les clauses précisent que la société FACEBOOK associe des publicités à « à des informations pertinentes relatives à des actions sociales (appelées « contexte social »), auxquelles l’utilisateur et ses amis ont participé (un restaurant de sushis associé à une actualité d’un des amis qui a indiqué aimer (« Like ») une « Page » traitant de sushis. (2013). Elles évoquent également le fait que la société FACEBOOK affiche également ces publicités sur d’autres sites que Facebook ou présente ces informations pertinentes relatives à des actions sociales avec des publicités présentées par d’autres, « afin que ces publicités soient plus pertinentes » pour l’utilisateur.

Les clauses précisent également que la société FACEBOOK permet aux annonceurs de contacter des utilisateurs de Facebook à l’aide d’informations, dont ils disposent à son sujet, comme les adresses électroniques ou d’autres informations qu’ils ont collectées lors des visites des utilisateurs de leurs sites web (version 2013). Les clauses précisent également que les « annonceurs et leurs partenaires utilisent des cookies ou d’autres technologies similaires pour proposer et évaluer des publicités et pour rendre celles-ci plus efficaces (version 2013) ».

Elles affirment que la société FACEBOOK s’abstient de communiquer des informations qui permettent d’identifier « personnellement » l’utilisateur et de communiquer des informations anonymisées (versions 2015, 2016) ; qu’elle transmet à cet effet à ses clients (les « annonceurs ») des « rapports sur les performances de ses publicités » (version 2013) « des informations sur l’efficacité et la portée de leurs publicités » (2015, 2016), sur le nombre de personnes ayant vu leurs publicités ou installé une application après avoir vu une publicité ou communiquer des « informations démographiques », qui, assurent-elles, ne permettent pas d’ »identifier personnellement » les utilisateurs (versions 2015, 2016). Les informations communiquées aux annonceurs sont, selon les clauses, combinées avec d’autres informations de façon à ne plus permettre son identification (version 2013) : « Nous ne partageons pas les informations qui permettent de vous identifier personnellement (les informations qui permettent de vous identifier personnellement sont les informations telles que votre nom ou votre adresse électronique, pouvant être utilisées pour vous contacter ou vous identifier) avec nos prestataires de services de publicité, de mesure et d’analyse, à moins d’obtenir votre autorisation » (versions 2015, 2016).

Les clauses affirment qu’un contrôle des publicités est ouvert a posteriori à l’utilisateur en se référant aux paramètres appropriés et les dispositifs de contrôle dont (l’utilisateur) dispose (-) en accédant à la page) (version 2013). Elles présentent la convention conclue entre la société FACEBOOK avec des tiers comme la seule garantie protégeant l’utilisation des données à caractère personnel des utilisateurs : « Nous exigeons des annonceurs qu’ils respectent notre règlement publicitaire y compris les clauses relatives à l’utilisation des données confidentielles » (version 2013).

a) Sur le consentement de l’utilisateur à l’envoi de publicités ciblées :

Les clauses les plus récentes (versions 2015 et 2016) prévoient la possibilité de désactiver les publicités ciblées (comportementales). Elles imposent néanmoins à l’utilisateur le renvoi à partir des clauses critiquées, et par deux liens hypertextes successifs, à une page intitulée « Préférences publicitaires », sur laquelle figurent trois rubriques dont les titres ont un contenu sémantique voisin : « Fonctionnement des publicités sur Facebook », « Contrôlez les publicités que vous voyez » et « Comment puis-je modifier la façon dont les publicités sont ciblées à mon intention en fonction de mon activité en dehors de Facebook ? », toutes accessibles par hyperlien.

L’utilisateur persévérant et bien inspiré devra cliquer sur le troisième lien, renvoyant à la page « Comment puis-je modifier la façon dont les publicités sont ciblées à mon intention en fonction de mon activité en dehors de Facebook ? ». La simple lecture de l’intitulé de la sous-rubrique établit qu’il s’agit bien d’une « modification » et non d’un choix initial des « préférences » de l’utilisateur. Car la société FACEBOOK a d’emblée repéré les « préférences » des utilisateurs, en « se basant » sur « les informations de profil », « les actions » que l’utilisateur effectue sur Facebook, « les sites web » qu’il « visite » (à laquelle il accède ou qu’il utilise) et « les applications » que l’utilisateur « utilise en dehors de Facebook » (Rubrique « Préférences publicitaires » (cf. conclusions FACEBOOK, p. 376). La page n’offre donc pas à l’utilisateur la faculté de recueillir son consentement spécifique à la collecte de ses données à caractère personnel destinées à la diffusion de publicités comportementales, mais la modification de ses « préférences ».

Par ailleurs, la lecture de cette même page apprend à l’utilisateur qu’il n’a pas la possibilité de paramétrer la publicité sur le site Facebook. La page propose en effet des modalités de désinscription depuis le navigateur de son ordinateur ou depuis son appareil (mobile). L’utilisateur apprend, lorsqu’il souhaite se désinscrire à partir de son ordinateur, qu’il doit le faire sur des sites internet tiers au réseau Facebook. Pour ce faire, il dispose de trois hyperliens (rédigés en anglais) qui renvoient à des entités adhérant au programme de désinscription, dont celui intitulé « European Interactive Digital Advertising Alliance ». Ce lien permettra à l’utilisateur de se désinscrire auprès des seules entreprises participant à ce programme de désinscription (cf. conclusions FACEBOOK, p. 377 et Pièce FACEBOOK n° 77 – Constat d’huissier du 23 mars 2017, p. 236 à 243).

De sorte que les effets de cette désinscription seront limités.

Cette désinscription n’aura aucun effet sur les entreprises non-adhérentes du programme de désinscription. Ainsi, l’utilisateur ne disposant d’aucune option dite d’ »opt-in » portant sur l’opposition à la collecte initiale des données, cette dernière continuera d’être opérée, malgré le paramétrage, au bénéfice ces entreprises non-adhérentes.

Elle n’aura pas non plus d’ »influence » sur l’envoi de publicités sur le compte Facebook. En effet la rubrique « Préférences publicitaires », (Conclusions FACEBOOK, p. 376) mentionne que leur volume restera identique (« la modification des préférences publicitaires (…) ne change pas le nombre total de publicités que vous voyez »)).

De plus, aux termes de la rubrique précitée et des multiples renvois examinés par le Tribunal, faute d’informations supplémentaires, la faculté d’opposition de l’utilisateur (faculté dite d’ »opt-out », conclusions UFC, p.
129), ne porte que sur la diffusion de publicité ciblée sur le site Facebook. Elle n’affecte pas les publicités comportementales qui pourrait être diffusées sur des applications ou sites internet tiers.

Par ailleurs, les clauses ne prévoient pas la possibilité pour l’utilisateur de demander la suppression des données collectées initialement par les entreprises adhérentes du programme de désinscription.

La mise en œuvre d’une telle opération de désactivation (« opt-out »), particulièrement complexe comparée à l’absence de consentement originaire de l’utilisateur à la collecte de ses données, notamment lorsqu’elle est issue du dépôt préalable de « cookies et autres technologies », ne permet pas d’obtenir le consentement informé et indubitable de l’utilisateur au sens de l’article 7 de la Loi Informatique et Libertés.

D’où il suit que sont illicites comme contrevenant aux exigences des articles 6, 7 et 32 de la Loi Informatique et Libertés, les clauses permettant à des tiers, clients annonceurs ou partenaires de la société FACEBOOK, de publier sur le compte de l’utilisateur du réseau social des publicités ciblées conçues à partir de la collecte de données à caractère personnel réalisée grâce à des cookies (ou autres dispositifs semblables) installés sur l’ordinateur ou le téléphone mobile de l’utilisateur par la société FACEBOOK ou par un de ses clients ou partenaires de ladite société, sans l’informer et sans recueillir son consentement indubitable préalablement à l’accomplissement d’une telle collecte, des finalités déterminées, explicites et légitimes du traitement pour lequel ces données ont été collectées et des destinataires ou des catégories de destinataires de ces données.

b) Sur la collecte de données sensibles :

L’article 8 de la Loi Informatique et Libertés interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci, sauf exceptions limitativement énumérées, notamment le consentement exprès de la personne concernée.

Or, les clauses n° 109 à 117 de la PUD du 15 novembre 2013 autorisent la société FACEBOOK à collecter des données relatives à « la religion, l’état de santé ou les avis politiques », lesquelles constituent des données sensibles au sens de l’article 8 de la loi précitée.

De façon semblable, les clauses n° 32 et 33 de la PUD du 30 janvier 2015, mars, septembre 2016 et du 29 septembre 2016 envisagent de collecter et diffuser, auprès de ses clients annonceurs ou partenaires, des données à caractère personnel de l’utilisateur sans distinction quant à la nature des données, au rang desquelles des données sensibles peuvent figurer.

D’où il suit, que sont illicites au regard de l’article précité, d’une part les clauses n° 109 à 117 de la PUD du 15 novembre 2013 qui envisagent la collecte et de la diffusion auprès des annonceurs et partenaires de la société FACEBOOK de données relevant de la catégorie des données sensibles et d’autre part les clauses n° 32 et 33 de la PUD du 30 janvier
2015, mars, septembre 2016 et du 29 septembre 2016, qui prévoient les mêmes traitements pour l’ensemble des données de l’utilisateur, parmi lesquels figurent des données sensibles sont collectées.

En conséquence, les clauses n° 109 à 117 de la PUD du 15 novembre 2013 et les clauses n° 32 et 33 de la PUD du 30 janvier 2015, mars, septembre 2016 et du 29 septembre 2016, illicites au regard des articles 6, 7, 8 et 32 de la loi Informatique et Libertés.

24. Clauses n° 119 à 127 de la PUD du 15 novembre 2013 et n° 20 de la PUD du 30 janvier 2015, mars, septembre 2016 et 29 septembre 2016 :

Clauses n° 119 à 127 de la Politique d’utilisation des données du 15 novembre 2013 :

V. Cookies, pixels et autres technologies semblables

Les cookies sont des petites données placées sur votre ordinateur, votre téléphone mobile ou autre appareil. Les pixels de suivi sont des petits blocs de code placés dans une page web qui permettent par exemple à un serveur de voir si une page a été affichée et sont souvent utilisés avec les cookies.

Nous utilisons des technologies telles que les cookies, les pixels et le stockage local (comme sur votre navigateur ou appareil, ce qui est semblable à un cookie mais contient plus d’informations) pour fournir et analyser notre gamme de produits et services. Pour en savoir plus : https://www.facebook.com/help/cookies Nous utilisons ces technologies pour, par exemple :

rendre Facebook plus simple à utiliser ;

activer des fonctionnalités et enregistrer des informations vous concernant (sur votre appareil ou dans le cache de votre navigateur, par exemple), et concernant votre utilisation de Facebook ; diffuser, comprendre et améliorer la publicité ;

analyser et comprendre l’utilisation de nos produits et services ; et pour vous protéger, protéger des tiers ainsi que Facebook.
Par exemple, nous pouvons utiliser ces outils pour savoir que vous êtes connecté(e) à Facebook, pour vous aider à utiliser les modules sociaux et partager des boutons ou pour savoir quand vous interagissez avec nos partenaires publicitaires ou de la plate-forme.

Nous pouvons demander à nos annonceurs ou autres partenaires de publier des publicités ou services sur des ordinateurs, des téléphones portables ou tout autre dispositif doté d’un cookie, d’un pixel ou autre technologie similaire placé(e) par Facebook ou par la société tierce (bien que nous ne partagions pas d’autres informations permettant de vous identifier personnellement auprès cet annonceur).

La plupart des entreprises présentes sur Internet utilisent des cookies (ou d’autres outils technologiques similaires), y compris nos partenaires publicitaires et de la plate-forme. Par exemple, nos partenaires de plate- forme, annonceurs ou administrateurs de page peuvent utiliser des cookies ou d’autres technologies similaires lorsque vous accédez à leurs applications, publicités, pages ou autre contenu.

Les cookies et les fonctionnalités telles que le stockage local sont nécessaires au bon fonctionnement de Facebook, comme en permettant le chargement plus rapide de certaines pages car certains contenus sont déjà enregistrés dans votre navigateur ou en nous aidant à vérifier que nous proposons bien du contenu personnalisé à la bonne personne.

Pour en savoir plus sur la façon dont les annonceurs utilisent généralement les cookies et les choix que les annonceurs peuvent proposer, consultez Network Ad v e r ti s in g I n itiati ve (http://www.networkadvertising.org/managing/opt_out.asp ),Digital Advertising Alliance (http://www.aboutads.info/), Internet Advertising Bureau (US) (http://www.iab.net) ou Internet Advertising Bureau (EU) (http://youronlinechoices.eu/). Consultez l’aide de votre navigateur ou dispositif pour connaître les commandes permettant de supprimer ou de bloquer les cookies et autres technologies similaires, ou de faire de même avec d’autres types de données stockées sur votre ordinateur ou dispositif (en utilisant les divers paramètres de votre navigateur, par exemple). Si vous décidez d’utiliser ces commandes, il se peut que votre utilisation de Facebook ou d’autres sites web et applications en soit affectée.

Clause n° 20 de la Politique d’utilisation des données du 30 janvier 2015 :

Nous utilisons des cookies et d’autres technologies similaires pour fournir nos services et chacune des utilisations décrites dans la présente section de notre règlement. Veuillez consulter notre règlement relatif à l’utilisation des cookies pour en savoir plus.

Clause n° 20 de la Politique d’utilisation des données de mars et septembre 2016 et du 29 septembre 2016 :

Nous utilisons des cookies et d’autres technologies similaires pour fournir nos Services et chacune des utilisations décrites dans la présente section de notre politique. Veuillez consulter notre politique d’utilisation des cookies pour en savoir plus

L’association UFC QUE-CHOISIR affirme que les clauses soumises à la critique n’informent pas l’utilisateur sur les finalités de l’emploi de cookies, de pixels de suivi ou de technologies de stockage et sur les moyens dont dispose l’utilisateur pour s’y opposer. Elle soutient également que le renvoi aux informations sur les cookies par lien hypertexte rédigé en anglais n’est pas conforme. Elle reproche l’absence de communication de ces informations à valeur contractuelle sur support durable et le défaut du recueil du consentement. Elle indique toutefois que la politique d’utilisation des cookies a été modifiée le 26 mai et qu’elle présente désormais des informations claires et complètes. 2016. De même, elle constate qu’a été mis en place un bandeau cookie conforme aux prescriptions légales le 27 mai 2016.
Les clauses de 2013 seraient donc, selon l’association, illicites au regard de l’article 2 loi du 4 août 1994, l’article L.133-2, devenu article L. 211-1 du code de la consommation, les articles 6, 32-I, 32-II et 32-III loi Informatique et Libertés et 6, 10 et 11 de la Directive 95/46 CE et abusives au sens de l’article L.132-1 devenu les articles L. 212-1, L. 212-3 et L. 241-1 du code de la consommation et R.132-1 1° devenu l’article R. 212-1 1° u code de la consommation.

Pour la société FACEBOOK, le paragraphe informe l’utilisateur qu’elle utilise des cookies pour chacune des finalités décrites dans cette Rubrique. Elle précise qu’elle a mis en place la Bannière Cookies afin de fournir des informations supplémentaires à chacun des nouveaux utilisateurs et visiteurs du site Facebook (utilisateurs non enregistrés) concernant l’utilisation des cookies. Elle ajoute que même sans la Bannière Cookies, le paragraphe informe l’utilisateur et le visiteur de l’existence, des finalités et des moyens de contrôle des cookies et renvoie, pour de plus amples détails, à la Politique Cookies via le lien hypertexte « Politique d’utilisation des cookies » et précise que la Politique Cookies ne fait pas partie du socle contractuel. Par ailleurs, le lien hypertexte « Politique d’utilisation des cookies » renvoie à une page rédigée en français. L’utilisateur consent donc valablement à l’utilisation de cookies.

a) Sur l’utilisation des cookies, pixels et autres technologies

L’article L. 133-2 devenu l’article L. 211-1 du code de la consommation impose aux professionnels dans les contrats qu’ils proposent aux consommateurs que les clauses desdits contrats soient présentées et rédigées de façon claire et compréhensible.

La Loi Informatique et Libertés fixe les conditions dans lesquelles des données à caractère personnel – permettant directement ou indirectement d’identifier des personnes physiques (article 2) – peuvent être collectées, exploitées, conservées, gérées, utilisées ou plus généralement faire l’objet d’une opération de traitement, en conférant à la personne concernée par ces opérations un droit à la protection de ses données personnelles, qui doivent être traitées loyalement à des fins déterminées explicites et légitimes (article 6), sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi (article 7).

C’est ainsi que l’article 6 de la Loi Informatique et Libertés prévoit qu’un traitement ne peut porter sur des données à caractère personnel qu’à la condition qu’elles soient collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et qu’elles ne soient pas traitées ultérieurement de manière incompatible avec ces finalités, qu’elles soient adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

L’article 32-I de la Loi Informatique et Libertés exige du responsable du traitement ou de son représentant, qu’il informe la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant – sauf si elle l’a été au préalable – de l’’identité du responsable du traitement et, le cas échéant, de celle de son représentant (article 32-I 1°), de la finalité poursuivie par le traitement auquel les données sont destinées (article 32-I 2°), des destinataires ou catégories de destinataires des données (article 32-I 5°), de la durée de conservation des catégories de données traitées (article 32-I 8°).

L’article 32-II de la Loi Informatique et libertés prévoit que tout utilisateur d’un service de communications électroniques doit être informé par le responsable du traitement ou son représentant de manière claire et complète, de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement (cookies et autres dispositifs). Il doit également être informé es moyens dont il dispose pour s’y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord.

L’article 32-III de la Loi Informatique et Libertés impose au responsable du traitement ou son représentant, lorsque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, de fournir à cette dernière les informations énumérées à l’article 32-I, dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.

En l’espèce, les clauses actuellement critiquées doivent être lues, en combinaison avec les clauses n° 8.3 et n° 8.10 de la PUD du 15 novembre 2013, la clause n° 8 de la PUD du 30 janvier 2015 et de mars et septembre 2016.

Ces clauses enseignent que des données à caractère personnel sont collectées sur les appareils de l’utilisateur via des cookies ou « toutes autres technologies semblables » initialement déposés sur l’ordinateur de l’utilisateur par la société FACEBOOK, sans qu’aucune mention au sein des clauses soumises à la critique n’indique à l’utilisateur que c’est le dépôt de cookies qui permet la collecte desdites données, les clauses se contentant d’indiquer que la société FACEBOOK « reçoit » « des données » ou « obtient » les coordonnées GPS de l’utilisateur, voire « recueille » « des informations sur les ordinateurs, téléphones et autres appareils sur lesquels l’utilisateur installe ou utilise les services de Facebook.

Les clauses litigieuses doivent être également associées aux clauses n° 109 à 117 du 15 novembre 2013 et les clauses n° 32 et n° 33 de la PUD du 30 janvier 2015, mars, septembre 2016 et 29 septembre 2016, qui autorisent la collecte de données à caractère personnel des utilisateurs au moyen de cookies et autres dispositifs initialement déposés sur leurs appareils par la société FACEBOOK ou des entreprises tierces, « partenaires » de la société FACEBOOK, ainsi que leur diffusion auprès d’entreprises, clientes de la société FACEBOOK, aux fins d’envoi des publicités ciblées (« pertinentes ») sur les compte Facebook des utilisateur.

Or, il résulte de l’examen de l’ensemble de ces clauses qu’elles ne donnent aucune information à l’utilisateur sur la nature des données collectées ni sur les fonctions assurées par le placement sur les appareils de l’utilisateur de « cookies », définis comme des « petites données placées sur (son) ordinateur, (son) téléphone mobile ou autre appareil » ou les pixels de suivi, (…) petits blocs de code placés dans une page web (…). Etant relevé qu’aucune information sur le placement et les fonctionnalités des cookies (et autres dispositifs) n’était jusqu’en 2016 à la disposition de l’utilisateur sur le site, date à laquelle la bannière d’information relative à la présence de cookies a été placée sur sa page d’accueil, ainsi que le concèdent la société FACEBOOK et l’association UFC QUE-CHOISIR dans leurs écritures respectives.

Il ressort également que les clauses critiquées ne donnent pas non plus d’informations sur les finalités, qui seraient poursuivies par la société FACEBOOK en sa qualité de responsable de traitement des données collectées, les clauses se contentant d’évoquer, au moyen de formules générales, des finalités évasives, telles que « fournir et analyser notre gamme de produits et services », « rendre Facebook plus simple à utiliser », « activer des fonctionnalités et enregistrer des informations vous concernant (sur votre appareil ou dans le cache de votre navigateur, par exemple), et concernant votre utilisation de Facebook », « diffuser, comprendre et améliorer la publicité », « analyser et comprendre l’utilisation de nos produits et services », et « pour vous protéger, protéger des tiers ainsi que Facebook ».

Aucune de ces « finalités » ne relève des finalités déterminées, explicites et légitimes exigées par l’article 6 de la Loi Informatique et Libertés.

Les clauses litigieuses ne désignent pas non plus les tiers bénéficiaires du transfert des données. Elles placent ainsi l’utilisateur dans une situation, où il lui est impossible d’appréhender la nature des données collectées et l’utilisation, qui pourrait en être faite et ultérieurement.

En se bornant à renvoyer l’utilisateur vers son navigateur, les clauses n’envisagent pas non plus les modalités permettant à l’utilisateur de s’opposer aux placements de cookies.

De sorte que sont illicites comme contrevenant aux dispositions de l’article 6, 32-I, 32-II et 32-III de la Loi Informatique et Libertés de la Loi Informatique et Libertés, les clauses litigieuses qui prévoient la collecte des données à caractère personnel de l’utilisateur auxquelles il n’a pas accès, pour laquelle il n’a pu exprimer au préalable son consentement éclairé, n’ayant eu ni la conscience ni l’information de l’existence d’une telle collecte, et qui prévoient la faculté pour le professionnel de communiquer les données à caractère personnel de l’utilisateur ainsi collectées à des tiers ou des catégories de tiers non désignés, pour des finalités qui ne sont pas déterminées, explicites et légitimes, sans offrir la possibilité à l’utilisateur de s’opposer initialement à cette collecte.

Au vu de ce qui précède, les clauses contreviennent aux dispositions de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation, en ce qu’elles ne permettent pas à l’utilisateur de se forger une opinion sur la collecte de ses données à caractère personnel opérée par la société FACEBOOK et ses partenaires, sur leur nature, leur volume, sur les finalités de leur traitement et sur les bénéficiaires de ce traitement.

b) Sur le renvoi par liens hypertextes à des pages rédigées en anglais :

Aux termes de l’article 2 de la loi du 4 août 1994,  » dans la désignation, l’offre, la présentation, le mode d’emploi ou d’utilisation, la description de l’étendue et des conditions de garanties d’un bien, d’un produit ou d’un service, ainsi que dans les factures et quittances, l’emploi de la langue française est obligatoire ».

En l’espèce, les clauses critiquées renvoient par un lien Hypertexte rédigé en anglais « Network Advertising Initiative », à deux pages rédigées en anglais (Pièce UFC n° 6.2 consultée le 19 mars 2014, 2 pages) intitulée « Consumer Opt-out/NAI Network Advertising Initiative ».

Les clauses critiquées doivent être lues en combinaison avec la clause n° 0.1 de le DDR des 15 novembre 2013 et 30 janvier 2015, qui prévoit la primauté de la version anglaise sur la version française du contrat d’utilisation.

Les clauses litigieuses sont donc illicites au regard de l’article 2 de la loi du 4 août 1994, en ce qu’elles ne permettent pas l’accès effectif au contrat par l’utilisateur français, qui se voit appliquer un texte qui n’est pas écrit dans sa langue et qu’il ne peut, de ce fait, pas appréhender.

Elles seront donc réputées non écrites à ce titre.

En conséquence, les clauses n° 119 à 127 de la PUD du 15 novembre 2013 et n ° 20 de la PUD du 30 janvier 2015, mars, septembre 2016 et 29 septembre 2016, illicites au regard des articles 6, 32-I, 32-II, 32-II de la Loi Informatique et libertés, de l’article de la loi du 4 août 1994, l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation. Elles seront donc réputées non écrites.

25. Clause n° 128 de la PUD du 15 novembre 2013, n° 39, 40 et 41 de la PUD du 30 janvier 2015, mars et septembre 2016 et du 20 septembre 2016 :

Clause n° 128 de la Politique d’utilisation des données du 15 novembre 2013 :

Safe Harbor

Facebook adhère aux programmes « Safe Harbor framework » établis entre le Département américain du Commerce et l’Union européenne, ainsi qu’entre le Département américain du Commerce et la Suisse pour la collecte, l’utilisation et l’enregistrement des données provenant de l’Union européenne. Pour consulter notre certification, accédez au site web SafeHarbor du Département américain du Commerce : https://safeharbor.export.gov/list.aspx. Dans le cadre de notre participation au programme SafeHarbor, nous avons convenu que TRUSTe assure la résolution des différends que vous pourriez avoir avec nous au sujet de nos politiques et pratiques. Si vous souhaitez contacter TRUSTe, consultez https://feedback-form.truste.com/watchdog/request

Clauses n° 39 à 41 de la Politique de confidentialité des données du 30 janvier 2015 :

VI. Fonctionnement de nos services mondiaux

Facebook Inc. adhère aux programmes « Safe Harbor framework » établis entre les Etats-Unis et l’Union européenne, et entre les Etats-Unis et la Suisse pour la collecte, l’utilisation et la conservation des données provenant de l’Union européenne et de la Suisse, comme défini par le ministère du Commerce américain. Pour consulter notre certification, consultez le site web de Safe Harbor.

Dans le cadre de notre participation au programme Safe Harbor, nous avons convenu que TRUSTe assure la résolution des différends que vous pourriez avoir avec nous au sujet de nos règlements et pratiques. Vous pouvez contacter TRUSTe via son site web.

Facebook peut partager des informations en interne avec les sociétés qui lui appartiennent ou avec des tiers aux fins décrites dans la présente politique. Les informations recueillies au sein de l’Espace économique européen (« EEE ») peuvent, par exemple, être transmises à d’autres pays en dehors de l’EEE aux fins décrites dans les présentes.

Clauses n° 39 à 41 de la Politique de confidentialité des données de mars 2016 :

Comment fonctionnent nos services mondiaux ?

Facebook, Inc. adhère aux programmes « Safe Harbor framework » (Sphère de sécurité) établis entre les États-Unis et l’Union européenne, et entre les États-Unis et la Suisse pour la collecte, l’utilisation et la conservation des données provenant de l’Union européenne et de la Suisse, comme défini par le ministère du Commerce américain. Pour consulter notre certification, consultez le site web de Safe Harbor.

Dans le cadre de notre participation au programme Sphère de sécurité, nous avons convenu que TRUSTe assure la résolution des différends que vous pourriez avoir avec nous au sujet de nos règlements et pratiques. Vous pouvez contacter TRUSTe via son site web.

Facebook peut partager des informations en interne avec les sociétés qui lui appartiennent ou avec des tiers aux fins décrites dans la présente politique. Les informations recueillies au sein de l’Espace économique européen (« EEE ») peuvent, par exemple, être transmises à d’autres pays en dehors de l’EEE aux fins décrites dans la présente politique.

Selon l’UFC QUE-CHOISIR, les clauses indiquent que Facebook fait l’objet d’une certification Safe Harbor. Or, depuis la décision de la CJUE du 6 octobre 2015 (aff. C362/14), la société FACEBOOK ne peut procéder à un transfert de données personnelles vers les Etats-Unis sur la base du Safe Harbor. L’association reproche aux clauses de ne pas indiquer les pays destinataires du transfert de données et les garanties apportées lorsque les destinataires sont situés dans des pays n’appartenant pas à la Communauté européenne et n’assurant pas un niveau de protection suffisant de la vie privée. Elle ajoute que les clauses renvoient par liens hypertextes à des pages internet rédigées en anglais. Les clauses sont donc illicites au regard de l’article 2 de la loi du 4 août 1994, de l’article L. 133-
2, devenu article L. 211-1 du code de la consommation, des articles 68 et 32 de la Loi Informatique et Libertés et 91 du décret n°2005-1309 du 20 octobre 2005, des articles 10, 11 et 25 de la Directive 95/46 CE et abusives au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation, de l’article R. 132-1 1°), devenu l’article R. 212-1 1°) du code de la consommation.

La société FACEBOOK affirme que, même si le programme Safe Harbor ne fournit plus une base valable pour les transferts internationaux de données depuis sa récente annulation par la CJUE, elle a d’ores et déjà mis en œuvre des protections alternatives appropriées, comme le Privacy Shield, un contrat de transfert entre Facebook Ireland, en qualité de responsable de traitement et Facebook, Inc., en qualité de sous-traitant, fondé sur les clauses contractuelles types approuvées par la Commission Européenne et le consentement des utilisateurs, comme précédemment démontré. Elle ajoute que la Loi Informatique et Libertés n’impose nullement au responsable de traitement d’informer la personne concernée de l’existence de telles clauses contractuelles et précise que l’utilisateur est informé que ses données à caractère personnel peuvent être envoyées dans des pays hors de l’EEE, notamment de la nature des données transférées, de la finalité du transfert et des catégories de destinataires des données.

a) Sur le « Safe Harbor » :

L’article 68 de la Loi Informatique et Libertés prévoit que « le responsable d’un traitement ne peut transférer des données à caractère personnel vers un Etat n’appartenant pas à la Communauté européenne que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font l’objet ou peuvent faire l’objet. »

Aux termes de l’article 32-I 7°) le responsable du traitement est tenu d’informer la personne concernée par la collecte de ses données personnelles, le cas échéant, des transferts de ces données envisagés à destination d’un Etat non-membre de la Communauté européenne.

L’information apportée aux utilisateurs dans la PUD quant aux transferts de données effectués hors Union européenne doit, en application de l’article 32-I 7°) de la loi Informatique et Libertés précitée, être conforme aux exigences de l’article 91 du décret n°2005-1309 du 20 octobre 2005, pris en application de la loi Informatique et Libertés, impose que soient fournies des informations portant sur « le ou les pays d’établissement du destinataire des données dans les cas où ce ou ces pays sont déterminés lors de la collecte des données » (1°), la nature des données transférées (2°), la finalité du transfert envisagé (3°) la ou les catégories de destinataires des données (4°), le niveau de protection offert par le ou les pays tiers. (5°) ».

Ainsi, s’agissant du transfert de données hors Union européenne, l’article 68 de la Loi Informatique et Libertés interdit pour des motifs tenant à la protection des droits fondamentaux des personnes physiques les transferts de données des Européens vers des États tiers n’assurant pas un « niveau de protection adéquat » au sens de l’article 25 de la Directive 95/46 CE indiquant que « Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l’objet d’un traitement, ou destinées à faire l’objet d’un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat. »

L’article 69 de la Loi Informatique et Libertés admet, lorsque le pays tiers n’assure pas un niveau de protection adéquat, le transfert aux cas de consentement indubitable de la personne concernée, transfert nécessaire à l’exécution d’un contrat, à la sauvegarde d’un intérêt public important, à la défense d’un droit en justice ou à la sauvegarde de l’intérêt vital de la personne concernée.

En l’espèce les clauses litigieuses mentionnent dans les versions de 2013, 2015 et 2016 la conformité des transferts des données effectués hors Union européenne aux principes de Safe Harbor, la société FACEBOOK précisant dans les clauses n° 39 à 41 du 30 janvier 2015 et de mars 2016 qu’elle peut partager (transmettre) en interne des informations en interne avec les sociétés qui lui appartiennent ou avec des tiers aux fins décrites dans la présente politique. Les informations recueillies au sein de l’Espace économique européen (« EEE ») peuvent, par exemple, être transmises à d’autres pays en dehors de l’EEE aux fins décrites dans les présentes « 

De sorte qu’en n’indiquant pas les pays destinataires du transfert de données, ni les garanties apportées, lorsque les destinataires sont situés dans des pays n’appartenant pas à la Communauté européenne et qui n’assurent pas un niveau de protection suffisant de la vie privée, ces clauses sont illicites car contraires à l’article 68 de la loi Informatique et Libertés et à l’article 25 de la Directive 95/46 CE.

En l’absence d’information sur de tels transferts de données, ces clauses sont également illicites au regard de l’article 32-I de la Loi Informatique et Libertés qui impose une obligation d’information au responsable de traitement notamment sur les destinataires ou catégories de destinataires des données (art. 32-I 5°)), le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un Etat non-membre de la Communauté européenne (art. 32-I 7°)).

En prévoyant le transfert à l’étranger des données à caractère personnel sans préciser vers quels Etats a lieu ce transfert, sans exiger le consentement exprès du consommateur ou du non-professionnel, lorsqu’il est légalement requis, les clauses sont abusives au regard des articles L. 132-1 devenu L. 212-1 du code de la consommation en ce qu’elles créent un déséquilibre significatif entre les droits et obligations des parties au détriment de l’utilisateur consommateur ou non-professionnel.

b) Sur le renvoi par des liens hypertextes à des pages rédigées en anglais :

Aux termes de l’article 2 de la loi du 4 août 1994,  » dans la désignation, l’offre, la présentation, le mode d’emploi ou d’utilisation, la description de l’étendue et des conditions de garanties d’un bien, d’un produit ou d’un service, ainsi que dans les factures et quittances, l’emploi de la langue française est obligatoire ».

En l’espèce, les clauses critiquées renvoient par des liens à deux pages rédigées en anglais (Pièce UFC n° 6.6 consultée le 13 juillet 2015) intitulée « TRUSTe Feedback and Resolution System – Welcome to TRUSTe’s and Resolution System ».

Les clauses critiquées doivent être lues en combinaison avec la clause n° 0.1 de le DDR des 15 novembre 2013 et 30 janvier 2015, qui prévoit la primauté de la version anglaise sur la version française du contrat d’utilisation.

Les clauses litigieuses sont donc illicites au regard de l’article 2 de la loi du 4 août 1994, en ce qu’elles ne permettent pas l’accès effectif au contrat par l’utilisateur français, qui se voit appliquer un texte qui n’est pas écrit dans sa langue et qu’il ne peut, de ce fait, pas appréhender. Elles seront donc réputées non écrites à ce titre.

En conséquence, les clauses n° 128 de la PUD du 15 novembre 2013, n° 39, 40 et 41 de la PUD du 30 janvier 2015, mars et septembre 2016 et du 20 septembre 2016, illicites au regard de l’article 2 de la loi du 4 août 1994, de l’article L. 133-2, devenu article L. 211-1 du code de la consommation, des articles 68 et 32 de la Loi Informatique et Libertés, de l’article 91 du décret n°2005-1309 du 20 octobre 2005, sont abusives au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation.

26. Clauses n° 129 de la PUD du 15 novembre 2013, n° 43 de la PUD du 30 janvier 2015, mars et septembre 2016, n° 42 de la PUD du 29 septembre 2016 :

Clause n° 129 de la Politique d’utilisation des données du 15 novembre 2013 :

Nous contacter pour toute question ou plainte

Si vous avez des questions ou des remarques concernant notre Politique d’utilisation des données ou nos pratiques, écrivez-nous à 1601 Willow Road, Menlo Park, CA 94025 si vous habitez aux États-Unis ou au Canada, ou à Facebook Ireland Ltd., Hanover Reach, 5-7 Hanover Quay, Dublin 2, Irlande si vous habitez en dehors des États-Unis et du Canada. Chacun peut également nous contacter via cette page : https://www.facebook.com/help/contact_us.php?id=173545232710000

Clause n° 43 de la Politique d’utilisation des données du 30 janvier 2015 :

Pour en savoir plus sur le fonctionnement du principe de confidentialité sur Facebook, veuillez consulter la page Les bases de la confidentialité sur Facebook. Si vous avez des questions concernant la présente politique, voici comment procéder pour nous contacter :

Si vous habitez aux États-Unis ou au Canada…

Veuillez contacter Facebook, Inc. en ligne ou par la poste à l’adresse : Facebook, Inc.
1601 Willow Road

Menlo Park, CA 94025, États-Unis

Si vous habitez ailleurs…

Le contrôleur de données en charge de vos informations est Facebook Ireland Ltd., que vous pouvez contacter en ligne ou par la poste à l’adresse: Facebook Ireland Ltd.

4 Grand Canal Square Grand Canal Harbour

Dublin 2, Irlande

Clause n° 43 de la Politique d’utilisation des données de mars 2016 :

Pour en savoir plus sur le fonctionnement du principe de confidentialité sur Facebook, veuillez consulter la section Principes de base liés à la confidentialité. Si vous avez des questions concernant la présente politique, voici comment procéder pour nous contacter :

Si vous habitez aux États-Unis ou au Canada…

Veuillez contacter Facebook, Inc. en ligne ou par la poste à l’adresse : Facebook, Inc.
1601 Willow Road

Menlo Park, CA 94025, États-Unis

Si vous habitez ailleurs…

Le contrôleur de données en charge de vos informations est Facebook Ireland Ltd., que vous pouvez contacter en ligne ou par la poste à l’adresse :

Facebook Ireland Ltd.

4 Grand Canal Square Grand Canal Harbour

Dublin 2, Irlande

Clause n° 43 de la Politique d’utilisation des données de septembre 2016 :

Pour en savoir plus sur le fonctionnement du principe de confidentialité sur Facebook, consulter la section Principes de base liés à la confidentialité. Si vous avez des questions concernant la présente politique, voici comment procéder pour nous contacter :

Si vous habitez aux États-Unis ou au Canada…

Veuillez contacter Facebook, Inc. en ligne ou par courrier à l’adresse : Facebook, Inc.
1601 Willow Road

Menlo Park, CA 94025

Si vous habitez ailleurs…

Le contrôleur de données en charge de vos informations est Facebook Ireland Ltd., que vous pouvez contacter en ligne ou par courrier à l’adresse:

Facebook Ireland Ltd.

4 Grand Canal Square Grand Canal Harbour Dublin 2 Irlande

Clause n° 42 de la Politique d’utilisation des données du 29 septembre 2016 :

Pour en savoir plus sur le fonctionnement du principe de confidentialité sur Facebook, consulter la section Principes de base liés à la confidentialité. Si vous avez des questions concernant la présente politique, voici comment procéder pour nous contacter :

Si vous habitez aux États-Unis ou au Canada…

Veuillez contacter Facebook, Inc. en ligne ou par courrier à l’adresse : Facebook, Inc.
1601 Willow Road

Menlo Park, CA 94025

Si vous habitez ailleurs…

Le contrôleur de données en charge de vos informations est Facebook Ireland Ltd., que vous pouvez contacter en ligne ou par courrier à l’adresse :

Facebook Ireland Ltd.

4 Grand Canal Square Grand Canal Harbour Dublin 2 Irlande

L’association UFC QUE-CHOISIR reproche à la clause n° 129 de la PUD du 15 novembre 2013 de contraindre l’utilisateur à passer plusieurs filtres avant toute notification de la part d’un utilisateur en cas de questions ou remarques ce qui réduit de manière notable l’exercice du droit de notification par l’utilisateur. La clause est donc abusive au sens de l’article R. 132-1 6°) devenu article R. 212-1 6°) du code de la consommation.

L’association reproche à la clause n° 43 de la PUD du 30 janvier 2015 et de mars et septembre 2016 et la clause n° 42 de la PUD du 29 septembre 2016 d’être illicites au regard de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation et d’être abusive au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation et de l’article R. 132-1 6°) devenu l’article R. 212-1 6°) du même code. Car, selon elle, même si les PUD de 2015 et 2016 ont supprimé les filtres, l’information est à nouveau fragmentée et obscure. Les clauses ne facilitent donc pas l’exercice du droit d’accès de l’utilisateur.

La société FACEBOOK répond que les reproches de l’UFC à l’encontre de la « Clause 129 » de la PUD 2013 sont sans objet, car le lien hypertexte litigieux n’est plus proposé aux utilisateurs. Elle rappelle que la PUD permet à tout utilisateur de la contacter par courriel ou d’obtenir des informations additionnelles via un lien conduisant à plusieurs questions au sujet de la PUD, telle que la suppression d’un compte et la demande de communication des données à caractère personnel. Elle affirme que la société FACEBOOK permet ainsi aux utilisateurs d’exercer leur droit d’accès ainsi que leur droit d’interroger le responsable de traitement conformément à l’article 39 de la Loi Informatique et Libertés. Elle précise que cette rubrique explique que la Page Confidentialité est un outil d’information supplémentaire mis à la disposition de l’utilisateur, accessible directement depuis la PUD, qui complète l’information déjà fournie à l’utilisateur selon le principe de l’information à deux niveaux, « par strates » ou « par couches », non contestée par l’UFC. Elle fait valoir qu’elle met à la disposition de l’utilisateur d’autres moyens de la contacter : par courrier à l’adresse indiquée ou encore en ligne via un formulaire de contact, en cliquant sur la rubrique « Signaler un problème », disponible à partir du menu déroulant s’affichant en haut à droite de chacune des pages du Site Facebook.

a) Sur la clause n° 129 de la Politique d’utilisation des données du 15 novembre 2013 :

L’article 39-I de la Loi Informatique et Libertés prévoit un droit d’accès aux données faisant l’objet d’un traitement à toute personne physique justifiant de son identité.

Ainsi, l’utilisateur, personne physique, a le droit d’interroger le responsable d’un traitement de données à caractère personnel en vue d’obtenir la confirmation que des données à caractère personnel la concernant font ou ne font pas l’objet de ce traitement (1 ) ; des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées (2°) ; le cas échéant, des informations relatives aux transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne (3°) ; la communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l’origine de celles- ci (4°) ; les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé. Toutefois, les informations communiquées à la personne concernée ne doivent pas porter atteinte au droit d’auteur au sens des dispositions du livre Ier et du titre IV du livre III du code de la propriété intellectuelle (5°).

Une copie des données à caractère personnel est délivrée à l’intéressé à sa demande. Le responsable du traitement peut subordonner la délivrance de cette copie au paiement d’une somme qui ne peut excéder le coût de la reproduction. (…)

Les dispositions du présent article ne s’appliquent pas lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d’atteinte à la vie privée des personnes concernées et pendant une durée n’excédant pas celle nécessaire aux seules finalités d’établissement de statistiques ou de recherche scientifique ou historique. Hormis les cas mentionnés au deuxième alinéa de l’article 36 (traitement de conservation d’archives), les dérogations envisagées par le responsable du traitement sont mentionnées dans la demande d’autorisation ou dans la déclaration adressée à la Commission nationale de l’informatique et des libertés.

En l’espèce, la clause critiquée prévoit les modalités de contact offertes par la société FACEBOOK à l’utilisateur qui souhaite poser des questions ou faire des remarques sur sa Politique d’Utilisation des données ou ses pratiques.

Les critiques de l’association UFC QUE CHOISIR visent uniquement les modalités par liens hypertextes mises en place sur la plate-forme pour l’exercice du droit d’accès à ses données à caractère personnel ouvert en application de l’article 39 de la Loi Informatique et Libertés. Elles ne concernent pas les modalités d’accès aux données par courrier postal envoyés aux adresses figurant au sein de la clause.

A l’appui de sa demande, l’association UFC QUE CHOISIR produit (Pièce UFC n° 6.3) la page issue d’une page d’aide, qualifiée de « formulaire » et intitulée « Questions concernant la politique d’utilisation des données ».

L’utilisateur, accédant à cette page, est averti que ce formulaire est réservé « aux questions ou demande de clarification concernant la politique d’utilisation des données de Facebook ou nos accords avec TRUSTe ». Toutefois ces accords ne sont pas repris dans les liens hypertextes subséquents.

L’utilisateur est également informé que « tout autre demande effectuée par le biais de ce formulaire restera sans réponse ». De sorte que l’utilisateur désirant exercer les droits reconnus par l’article 39 de la Loi Informatique et Libertés peut s’arrêter à ce niveau de lecture du « formulaire », aucun poste de demande évoqué par la loi précitée ne relevant d’une simple demande de « clarification » de la politique d’utilisation des données de Facebook ou ses accords avec TRUSTe.

De plus, sous la rubrique « Questions fréquemment posées par les utilisateurs », sont proposés trois séries liens : « Désactivation ou résiliation d’un compte » ; « Demande de suppression de quelque chose sur Facebook pour des raisons de respect de la vie privée » ; « Demande de leur copie de leurs données personnelles ».

Les trois liens précités ne correspondent pas non plus aux demandes que l’utilisateur est susceptible de formuler au titre du même article, mais il peut activer le dernier lien pour accéder à la demande de copie de ses données personnelles, dont il n’est pas justifié qu’elle débouchât sur un autre lien hypertexte.

En conséquence, après trois liens hypertextes successifs, l’utilisateur peut accéder uniquement à une demande de copie de ses données.

Il ne peut donc pas demander – comme l’article 39-I de la Loi Informatique et Libertés le prévoit – les informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées, les informations relatives aux transferts de données à caractère personnel envisagés à destination d’un État non membre de la Communauté européenne, les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à son égard. En effet « pour tout autre question ou commentaire », l’utilisateur est renvoyé à la recherche d’un formulaire approprié ou des informations supplémentaires dans les pages d’aide.

Le formulaire propose également à l’utilisateur qui souhaite poser une question « concernant la politique d’utilisation des données ou le respect de la vie privée en Californie » de recueillir ses prénom et nom ainsi que son « adresse électronique de contact », pour poser ladite question dans un espace laissé libre intitulé « Informations supplémentaires », assorti de la consigne : « Veuillez décrire votre question ou votre situation, avec autant de détails que possible ».

Lorsque l’utilisateur formule une requête serait-ce dans le cadre des trois liens précédemment (comme la Demande de suppression de quelque chose sur Facebook pour des raisons de respect de la vie privée), aucun accusé de réception de sa demande n’est prévu. La société FACEBOOK ne s’enquérant que de l’utilité de la page consultée, l’utilisateur ne peut donc s’assurer que sa réclamation a bien été envoyée.

D’où il suit que la complexité de la procédure par lien hypertextes mise en place par le responsable du traitement, le caractère désordonné de la démarche, l’imprécision des termes et expressions adoptés dans le formulaire de contact sont de nature à entraver l’exercice des droits que l’utilisateur tient de l’article 39 de la Loi Informatique et Libertés.

La clause n° 129 de la PUD du 15 novembre 2013 est donc abusive au regard de l’article R. 132-1 6°) devenu article R. 212-1 6°) du code de la consommation, en ce qu’elle supprime ou réduit le droit à réparation du préjudice subi par le consommateur en cas de manquement par le professionnel à l’une quelconque de ses obligations.

b) Sur la clause n° 43 de la PUD du 30 janvier 2015 et de mars et septembre 2016 et la clause n° 42 de la PUD du 29 septembre 2016 :

En l’espèce, l’utilisateur, qui souhaite entrer en contact avec la société FACEBOOK et formuler une requête à partir des clauses n° 43 de la PUD du 30 janvier 2015 et de mars et septembre 2016 et la clause n° 42 de la PUD du 29 septembre 2016 doit cliquer sur le lien hypertexte « Principes de base liés à la confidentialité ».

Il est alors renvoyé par le biais de ce lien à la consultation d’une page intitulée « Notions de base sur la confidentialité Facebook – Vous avez le contrôle – Nous sommes là pour vous aider çà vivre l’expérience que vous souhaitez – Découvrez comment protéger votre confidentialité sur Facebook » (Pièce UFC n°6.4 bis, page consultée le 13 juillet 2015), où figurent cinq liens hypertextes (« ce que vous montrez aux autres », « comment les autres interagissent avec vous », « ce que vous voyez », « comment protéger votre compte » ou … « Lisez notre Politique d’utilisation des données ». Si ce cinquième lien est sélectionné par l’utilisateur, l’utilisateur retourne à la Politique d’utilisation des données, soit document, à l’origine de sa démarche.

Au vu des pièces produites, en dehors du fait que ce retour au document de départ a de quoi perturber l’utilisateur, aucun des libellés des liens hypertextes présentés sur la page « Notions de base sur la confidentialité Facebook » ne conduit l’utilisateur à envisager qu’il puisse accéder à un formulaire autorisant la formulation d’une requête en vue d’exercer son droit d’accès. L’utilisateur n’a dès lors pas d’autre choix que d’envoyer un courrier postal à l’adresse indiquée ou, ainsi que le soutient la société FACEBOOK en page 424 de ses écritures, de cliquer sur l’onglet « Signaler un problème », affiché en haut de chacune des pages du site Facebook.

Toutefois, aucune des trois rubriques apparaissant dans le menu déroulant :  » avis global – « Parlez-nous de votre expérience avec Facebook ») ; « Quelque chose ne fonctionne pas – « Dites-nous si quelque chose ne fonctionne pas » ; « Contenu abusif » – »cela inclut tout contenu nuisible ou indésirable ou toute violation du règlement », ne répond au souhait de l’utilisateur de formuler une demande d’accès aux informations concernant ses données à caractère personnel.

Les clauses n° 43 de la PUD du 30 janvier 2015 et de mars et septembre 2016 et la clause n° 42 de la PUD du 29 septembre 2016, sont illicites au regard de l’article de l’article L. 133-2 devenu article L. 211-1 du code de la consommation, en ce qu’elles ne permettent pas à l’utilisateur d’avoir des informations claires et compréhensibles lui permettant d’exercer son droit d’accès. Les clauses sont également abusives au sens au sens de l’article L.132-1 devenu l’article L. 212-1 du code de la consommation en ce qu’elles créent un déséquilibre significatif entre les droits et obligations des parties au détriment du consommateur utilisateur et au sens de l’article R. 132-1 6°) devenu article R. 212-1 6°) du code de la consommation, en ce qu’elle supprime ou réduit le droit à réparation du préjudice subi par le consommateur en cas de manquement par le professionnel à l’une quelconque de ses obligations.

En conséquence, les clauses n° 129 de la PUD du 15 novembre 2013, n° 43 de la PUD du 30 janvier 2015, mars et septembre 2016, n° 42 de la PUD du 29 septembre 2016, illicites au regard de l’article L. 133-2 devenu article L. 211-1 du code de la consommation, sont abusives au sens de l’article L.132-1 devenu l’article L. 212-1 du code de la consommation et de l’article R. 132-1 6°) devenu l’article R. 212-1 6°) du même code.

27. Clauses n° 130 et 131 de la PUD du 15 novembre 2013, n° 38 de la PUD du 30 janvier 2015, mars, septembre 2016 et 29 septembre 2016 :

Clauses n° 130 et 131 de la Politique d’utilisation des données du 15 novembre 2013 :

Réponse aux requêtes judiciaires et réduction des risques de dommages

Nous pourrons accéder à vos données personnelles, les préserver et les partager en réponse à une requête judiciaire (mandat de perquisition, ordonnance d’un tribunal ou autre) si nous pensons en toute bonne foi que la loi nous y oblige. Cela peut inclure la réponse à des requêtes judiciaires provenant de juridictions en dehors des États-Unis, lorsque nous avons toutes les raisons de penser que la réponse est requise par la loi de cette juridiction, qu’elle s’applique aux utilisateurs dépendant de cette juridiction et qu’elle est conforme aux normes internationalement reconnues.

Nous pourrons également accéder à des informations personnelles, les préserver et les partager lorsque nous sommes convaincus qu’il est nécessaire de : détecter, empêcher et traiter des fraudes ou toute autre activité illicite ; nous protéger nous-mêmes et protéger des tiers, notamment dans le cas d’enquêtes ; ou empêcher la mort ou tout risque imminent d’atteinte à l’intégrité physique d’une personne.

Les informations que nous recevons à votre propos, telles que les données de transactions liées aux achats avec Facebook, peuvent être utilisées, traitées et conservées pendant un certain temps lorsqu’elles font l’objet d’une demande légale, d’une enquête gouvernementale ou d’enquêtes concernant d’éventuelles violations de nos conditions d’utilisation ou politiques, ou pour éviter tout autre dommage. Nous sommes en outre susceptibles de conserver pendant une durée minimale d’un an les informations de comptes désactivés suite à une infraction à nos Conditions d’utilisation et ce, afin d’éviter les abus répétés ou d’autres infractions.

Clause n° 38 de la Politique d’utilisation des données du 30 janvier 2015 :

V. Comment procédons-nous pour répondre aux demandes légales et pour éviter tout risque de dommage ?

Nous pourrons accéder à vos données personnelles, les préserver et les partager en réponse à une demande légale (mandat de perquisition, ordonnance d’un tribunal ou autre) si nous pensons en toute bonne foi que la loi nous y oblige. Cela peut inclure la réponse à des demandes légales provenant de juridictions en dehors des Etats-Unis, lorsque nous avons toutes les raisons de penser que la réponse est requise par la loi de cette juridiction, qu’elle s’applique aux utilisateurs dépendant de cette juridiction et qu’elle est conforme aux normes internationalement reconnues. Nous pourrons également accéder à des informations personnelles, les préserver et les partager lorsque nous sommes convaincus qu’il est nécessaire de : détecter, empêcher et traiter des fraudes ou toute autre activité illicite ; nous protéger nous-mêmes et protéger des tiers, notamment dans le cas d’enquêtes ; ou empêcher la mort ou tout risque imminent d’atteinte à l’intégrité physique d’une personne.

Par exemple, nous pouvons partager des informations concernant la fiabilité de votre compte à nos partenaires tiers afin d’éviter toute forme de fraude et d’abus à travers comme en dehors de nos services. Les informations que nous recevons à votre propos, telles que les données de transactions liées aux achats avec Facebook, peuvent être utilisées, traitées et conservées pendant un certain temps lorsqu’elles font l’objet d’une demande ou obligation légale, d’une enquête gouvernementale ou d’enquête concernant d’éventuelles violations de nos conditions d’utilisation ou de nos règlements, ou pour éviter tout autre dommage. Nous sommes en outre susceptibles de conserver pendant une durée minimale d’un an les informations de comptes désactivés suite à une infraction à nos Conditions d’utilisation, et ce, afin d’éviter les abus répétés ou d’autres infractions.

Clause n° 38 de la Politique d’utilisation des données de mars 2016 : Comment procédons-nous pour répondre aux demandes légales et pour éviter tout risque de dommage ?

Nous pourrons accéder à vos données personnelles, les conserver et les partager en réponse à une demande légale (mandat de perquisition, ordonnance d’un tribunal ou autre) si nous pensons en toute bonne foi que la loi nous y oblige. Cela peut inclure la réponse à des demandes légales provenant de juridictions en dehors des États-Unis, lorsque nous avons toutes les raisons de penser que la réponse est requise par la loi de cette juridiction, qu’elle s’applique aux utilisateurs dépendant de cette juridiction et qu’elle est conforme aux normes internationalement reconnues. Nous pouvons également accéder à vos informations, les conserver et les communiquer quand nous estimons qu’elles sont nécessaires pour détecter et empêcher la fraude ou toute autre activité illicite, pour protéger vos intérêts, les nôtres ou ceux d’autrui, y compris dans le cadre d’une enquête, ou pour éviter tout risque de mort ou de préjudice corporel imminent. Par exemple, nous pouvons partager des informations concernant la fiabilité de votre compte à nos partenaires tiers afin d’éviter toute forme de fraude et d’abus au sein comme en dehors de nos Services.

Les informations vous concernant que nous recevons, telles que les données de transactions liées aux achats avec Facebook, peuvent être utilisées, traitées et conservées pendant un certain temps lorsqu’elles font l’objet d’une demande ou d’une obligation légale, d’une enquête gouvernementale ou d’enquêtes concernant d’éventuelles violations de nos conditions d’utilisation ou de nos règlements, ou pour éviter tout autre dommage. Nous sommes en outre susceptibles de conserver pendant une durée minimale d’un an les informations de comptes désactivés suite à une infraction à nos conditions d’utilisation, et ce, afin d’éviter les abus répétés ou d’autres infractions.

Clause n°38 de la Politique d’utilisation des données de septembre 2016 et du 29 septembre 2016 :

Comment procédons-nous pour répondre aux demandes légales et pour éviter tout risque de dommage ?

Nous pourrons accéder à vos données personnelles, les conserver et les partager en réponse à une demande légale (mandat de perquisition, ordonnance d’un tribunal ou autre) si nous pensons en toute bonne foi que la loi nous y oblige. Cela peut inclure la réponse à des demandes légales provenant de juridictions en dehors des États-Unis, lorsque nous avons toutes les raisons de penser que la réponse est requise par la loi de cette juridiction, qu’elle s’applique aux personnes qui utilisent le service et qui dépendent de cette juridiction et qu’elle est conforme aux normes internationalement reconnues. Nous pouvons également accéder à vos informations, les conserver et les communiquer quand nous estimons qu’elles sont nécessaires pour détecter et empêcher la fraude ou toute autre activité illicite, pour protéger vos intérêts, les nôtres ou ceux d’autrui, y compris dans le cadre d’une enquête, ou pour éviter tout risque de mort ou de préjudice corporel imminent. Par exemple, nous pouvons partager des informations concernant la fiabilité de votre compte à nos partenaires tiers afin d’éviter toute forme de fraude et d’abus au sein comme en dehors de nos Services. Les informations vous concernant que nous recevons, telles que les données de transactions liées aux achats avec Facebook, peuvent être utilisées, traitées et conservées pendant un certain temps lorsqu’elles font l’objet d’une demande ou d’une obligation légale, d’une enquête gouvernementale ou d’enquêtes concernant d’éventuelles violations de nos conditions d’utilisation ou de nos règlements, ou pour éviter tout autre dommage. Nous sommes en outre susceptibles de conserver pendant une durée minimale d’un an les informations de comptes désactivés suite à une infraction à nos conditions d’utilisation, et ce, afin d’éviter les abus répétés ou d’autres infractions

Selon l’association UFC QUE-CHOISIR, les clauses, par des motifs particulièrement généraux et vagues, autorisent la société FACEBOOK à conserver les données à caractère personnel de l’utilisateur au-delà de la durée légale de conservation laquelle est circonscrite à la fourniture du service Facebook, sans information du consommateur et sans son consentement. Les clauses seraient donc illicites au regard de l’article L. 133-2, devenu article L. 211-1 du code de la consommation, des articles 6 et 36 Loi Informatique et Libertés et de l’article 6 de la Directive 95/46 CE. Elles seraient également abusives au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation et de l’article R. 132-1 4°) devenu l’article R. 212-1 4°) du code de la consommation.

Pour la société FACEBOOK, Facebook Ireland conserve les données à caractère personnel des utilisateurs pour la durée nécessaire aux finalités du traitement ; elle n’est pas soumise à une obligation d’informer spécifiquement l’utilisateur de la durée ou des motifs d’une telle conservation. Elle fait valoir qu’elle informe l’utilisateur que ses données peuvent être conservées en vue de répondre aux obligations légales pour une durée excédant la fermeture de son compte lorsque le compte a été fermé en raison d’un manquement de la part de l’utilisateur. Une telle conservation pour répondre à des demandes légales ou pour éviter tout risque de dommage n’exige pas de recueillir le consentement préalable de l’utilisateur.

L’article 6 5°) de la Loi Informatique et Libertés limite la durée de conservation des données à caractère personnel sous une forme permettant l’identification des personnes concernées à une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement.

Aux termes de l’article 36 de la Loi Informatique et Libertés, les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue à l’article 6 5°) de la Loi Informatique et Libertés, qu’en vue d’être traitées à des fins historiques, statistiques ou scientifiques ou avec l’accord exprès de la personne concernée.

Tel n’est pas le cas des clauses qui prévoit la conservation, par la société FACEBOOK en sa qualité de responsable du traitement des données à caractère personnel de l’utilisateur, sous une forme permettant son identification, durant un délai indéterminé (« pendant un certain temps »), lorsque ces données « font l’objet d’une demande légale, d’une enquête gouvernementale ou d’enquêtes concernant d’éventuelles violations de nos conditions d’utilisation ou politiques ou pour éviter tout autre dommage » (version 2013) ou « font l’objet d’une demande ou obligation légale, d’une enquête gouvernementale ou d’enquête concernant d’éventuelles violations de nos conditions d’utilisation ou de nos règlements, ou pour éviter tout autre dommage » (version 2015 et version 2016), alors que ses données à caractère personnel ne sont plus nécessaires à la réalisation de la finalité pour laquelle elles ont été collectées (à savoir l’utilisation du réseau social), la société FACEBOOK ne justifiant ni de la légitimité d’un traitement ultérieur de ces données au regard des conditions prévues à l’article 36 de la Loi Informatique et Libertés (finalités statistiques, recherche scientifique ou historique), ni du recueil du consentement exprès de l’utilisateur, personne concernée par le traitement au sens de la loi précitée.

Les clauses n° 130 et 131 de la PUD du 15 novembre 2013, n° 38 de la PUD du 30 janvier 2015, mars, septembre 2016 et 29 septembre 2016 sont donc illicites au regard des articles 6 et 36 de la Loi Informatique et Libertés.

En permettant la conservation des données à caractère personnel de l’utilisateur pendant une durée, excédant celle qui est nécessaire à la réalisation des finalités pour lesquelles elles sont collectées, les clauses sont abusives au sens de l’article L. 132-1 devenu articles L. 212-1 du code de la consommation, en ce qu’elles créent un déséquilibre significatif entre les parties au détriment de l’utilisateur consommateur.

En conséquence, les clauses n° 130 et 131 de la PUD du 15 novembre 2013, n° 38 de la PUD du 30 janvier 2015, mars, septembre 2016 et 29 septembre 2016, illicites au regard des articles 6 et 36 de la Loi Informatique et Libertés, sont abusives au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation. Elles seront donc réputées non écrites.

28. Clauses n° 132 de la PUD du 15 novembre 2013, n° 35 de la PUD des 30 janvier 2015, mars, septembre 2016 et 29 septembre 2016 :

Clause n° 132 de la Politique d’utilisation des données du 15 novembre 2013 :

Demandes d’accès

Vous pouvez accéder à vos données personnelles stockées par Facebook, et les modifier, en vous connectant à votre compte et en affichant votre journal et vos activités. Vous pouvez également télécharger une copie de vos données personnelles via vos Paramètres (page Paramètres généraux du compte), en cliquant sur Télécharger une copie de vos données Facebook, puis en cliquant sur le lien vers l’archive étendue. Pour en savoir plus : https://www.facebook.com/help/?faq=226281544049399

Clause n° 35 de la Politique d’utilisation des données du 30 janvier 2015 :
IV. Comment puis-je gérer ou supprimer les informations à mon sujet ? Vous avez la possibilité de gérer les contenus et les informations que vous partagez lorsque vous utilisez Facebook à l’aide de l’outil Historique personnel. Vous pouvez également télécharger les informations associées à votre compte Facebook à l’aide de l’outil Télécharger vos informations

Clause n° 35 de la Politique d’utilisation des données de mars et septembre 2016 et du 29 septembre 2016 :
Comment puis-je gérer ou supprimer les informations me concernant ? Vous avez la possibilité de gérer les contenus et les informations que vous partagez lorsque vous utilisez Facebook à l’aide de l’outil Historique personnel. Vous pouvez également télécharger les informations associées à votre compte Facebook à l’aide de l’outil Télécharger vos données

L’association UFC QUE-CHOISIR reproche aux clauses précitées de ne pas prévoir l’effacement des données et de ne pas informer l’utilisateur de la possibilité d’obtenir de la société FACEBOOK un justificatif de la modification ou de la suppression de ses données. Les clauses seraient donc illicites au regard, de l’article 40 de la Loi Informatique et Libertés, de l’article 32 de la Directive 95/46 CE et abusives au sens de l’article L.132-1 devenu l’article L. 212-1 du code de la consommation.

Pour la société FACEBOOK, cette rubrique donne des précisions informe l’utilisateur, dans cette Rubrique, qu’il peut supprimer son compte, et partant, l’ensemble de ses données y associées, à caractère personnel ou non. Contrairement à ce que prétend l’UFC, Facebook Ireland détaille le processus d’effacement des données.

Aux termes de l’article 40 de la Loi Informatique et Libertés, la personne concernée par un traitement peut exiger du responsable du traitement peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite.

Ce dernier doit réaliser cette opération dans les meilleurs délais et justifier à la demande de la personne concernée qu’il y a bien été procédé.

En l’espèce, la clause n° 132 de la PUD du 15 novembre 2013 (la rubrique « Demandes d’accès » (version 2013)) convie l’utilisateur à accéder à ses données personnelles en se connectant à son compte en affichant son journal et ses activités ou en téléchargeant une copie de ses données Facebook en cliquant sur « le lien vers l’archive étendue » « https://www.facebook.com/help/?faq=226281544049399 ». Les clause n° 35 de la PUD des 30 janvier 2015, mars, septembre 2016 et 29 septembre 2016 invitent l’utilisateur en réponse à la question « Comment puis-je gérer ou supprimer les informations me concernant ? » à télécharger ses « informations Facebook » à l’aide de l’outil « Télécharger vos données » (version 2015) « les informations associées à son compte Facebook » à l’aide de l’outil « Télécharger vos données » (version 2016).

Il ressort de l’analyse des clauses qu’elles ne prévoient pas l’effacement des données ni n’informent l’utilisateur qu’il peut obtenir de la société FACEBOOK un justificatif de la modification ou de la suppression des données.

La société FACEBOOK indique dans ses conclusions que c’est l’utilisateur lui-même qui décide de la modification ou de la suppression de ses données à caractère personnelles et qu’ayant la maitrise de ces données. L’utilisateur qui souhaite supprimer certaines données peut « examiner les données précédemment partagées via son historique personnel » et les supprimer le cas échéant comme il peut supprimer les informations ainsi sélectionnées via son profil.

Toutefois, les données à caractère personnel de l’utilisateur ne sont pas circonscrites aux seules données accessibles à l’utilisateur sur son compte ; des données à caractère personnel restent présentes sur les profils d’autres utilisateurs, d’autres intègrent des données collectées, sans que l’utilisateur en ait conscience, par la société FACEBOOK et/ou par des tiers partenaires de la société au moyen de différents dispositifs : cookies, modules sociaux, pixels etc., ainsi que le mentionnent les clauses n° 27, 31 à 35 de la PUD du 15 novembre 2013 et les clauses 35 à 37 de la PUD du 30 janvier 2015 en ces termes : « Gardez à l’esprit que les informations que les autres utilisateurs ont partagées à votre sujet ne font pas partie de votre compte et ne sont pas supprimées lorsque vous supprimez votre compte. »

En adoptant des expressions inadéquates (« informations », « contenus ») alors qu’il s’agit de données à caractère personnel (dénommées néanmoins « données personnelles » dans la version 2013), en s’abstenant d’informer l’utilisateur qu’il peut demander au responsable du traitement la modification ou l’effacement de ses données à caractère personnel et réclamer un justificatif de la modification ou de la suppression de ses données, les clauses sont illicites car elles contreviennent aux dispositions de l’article L. 133-2 devenu article L. 211-1 du code de la consommation.

En outre, en induisant en erreur l’utilisateur consommateur sur l’étendue de ses droits, les clauses sont abusives, en ce qu’elles créent au bénéfice du professionnel un déséquilibre significatif déséquilibre significatif au sens de l’article L.132-1 devenu l’article L. 212-1 du code de la consommation.

En conséquence, les clauses n° 132 de la PUD du 15 novembre 2013, n° 35 de la PUD des 30 janvier 2015, mars, septembre 2016 et 29 septembre 2016, illicites au regard des articles 40 de la Loi Informatique et Libertés, de l’article L. 133-2 devenu article L. 211-1 du code de la consommation, sont abusives au sens de l’article L.132-1 devenu l’article L. 212-1 du code de la consommation. Elles seront réputées non écrites.

29. Clauses n° 137 de la PUD du 15 novembre 2013 et la clause n° 5.4 des Standards de la communauté du 30 janvier 2015 :

Clause n° 137 de la Politique d’utilisation des données du 15 novembre 2013 :

Comptes de commémoration.

Nous pouvons placer le compte d’une personne décédée sur une liste spéciale. En plaçant le compte d’une personne décédée sur cette liste spéciale, nous conservons son journal sur Facebook mais limitons l’accès et certaines fonctionnalités. Vous pouvez signaler le profil d’une personne d é c é d é e : https://www.facebook.com/help/contact.php?show_form=deceased

Nous pouvons également clôturer un compte si nous recevons une demande formelle répondant à certaines conditions.

Clause n° 5.4 des Standards de la communauté du 30 janvier 2015 : Comptes d’amis ou de proches décédés : comment créer un espace pour se souvenir des êtres chers disparus sur Facebook.

Facebook est un lieu où les gens partagent leurs histoires et évoquent des souvenirs au sujet d’amis ou de proches décédés. Une fois que nous avons reçu une preuve de décès, nous sécurisons le compte et le transformons en compte de commémoration. Nous procédons à cette transformation dès que nous recevons une preuve valide attestant le décès de la personne concernée. Apprenez en davantage sur ce qui se passe lorsque nous transformons un compte en compte de commémoration.

Les membres directs de la famille peuvent également demander le retrait et la suppression du profil d’un proche.

L’association UFC QUE-CHOISIR conteste le maintien d’un compte d’un utilisateur après sa mort, la finalité principale du traitement de données à caractère personnel mis en œuvre par Facebook réside dans la fourniture d’un service de communication via la plateforme Facebook, dont une personne décédée ne peut par définition plus bénéficier. La clause est donc contraire à l’article 6 de la Loi Informatique et Libertés qui précise que les données ne doivent pas être traitées ultérieurement de manière incompatible avec les finalités pour lesquelles elles ont été initialement collectées. La clause est donc illicite au regard des articles 6 et 40 de la Loi Informatique et Libertés et des articles 6 et 32 de la Directive 95/46 CE. Elle est abusive au sens de l’article L.132-1 devenu l’articles L. 212-1du code de la consommation.

Pour la société FACEBOOK la clause ne figure plus dans la PUD mais dans les Standards de la Communauté.

Elle fait valoir qu’elle laisse la possibilité à l’utilisateur de décider, dans ses paramètres de sécurité et, par anticipation, de la suppression de son compte après son décès. L’utilisateur gardant la maîtrise de son compte, la société FACEBOOK et Facebook Ireland ne peut maintenir le compte de l’utilisateur contre sa volonté. A défaut de choix exprès de l’utilisateur, la société FACEBOOK laisse la possibilité aux héritiers de demander la suppression du compte.

Elle précise qu’en l’absence de disposition légale spécifique, la CNIL se réfère aux bonnes pratiques de Facebook Ireland concernant les comptes de commémoration.

La société FACEBOOK ajoute, qu’aucun compte de commémoration ne peut être créé en l’absence d’une demande spécifique. Seuls les proches de l’utilisateur décédé ont le pouvoir de demander le maintien ou le retrait du compte de l’utilisateur (en l’absence d’une décision de retrait clairement exprimé par ce dernier).

Le Tribunal examinera conjointement les clauses n° 137 de la PUD du 15 novembre 2013 et n° 5.4 des Standards de la communauté du 30 janvier 2015.

Aux termes de l’article 6 1°) et 6 2°) de la Loi Informatique et Libertés, les données à caractère personnel sont collectées et traitées de manière loyale et licite, pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

L’article 40 de la Loi Informatique et Libertés que « Les héritiers d’une personne décédée justifiant de leur identité peuvent, si des éléments portés à leur connaissance leur laissent présumer que les données à caractère personnel la concernant faisant l’objet d’un traitement n’ont pas été actualisées, exiger du responsable de ce traitement qu’il prenne en considération le décès et procède aux mises à jour qui doivent en être la conséquence. Lorsque les héritiers en font la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées en vertu de l’alinéa précédent ».

Ainsi, l’article 40 de la Loi Informatique et Libertés prévoit que le responsable du traitement doit, sur demande de ses héritiers, « mettre à jour » les données à caractère personnel de l’utilisateur décédé et justifier à ses derniers qu’il a bien procédé à ces opérations.

Dans un tel cas la clause soumise à la critique prévoit que le décès du titulaire du compte n’entraîne pas automatiquement sa suppression et par conséquent l’effacement de ses données, à moins que ses héritiers en formule la requête en demandant la suppression du compte. En effet, la clause envisage dans une telle hypothèse que « le compte d’une personne décédée (soit) sur une liste spéciale », tout en conservant son journal sur le site et en limitant son accès et certaines fonctionnalités.

Par ailleurs la société Facebook justifie qu’elle a mis en place un dispositif spécifique proposant par anticipation à l’utilisateur de supprimer son compte à son décès.

De sorte que la clause litigieuse ne contrevient pas aux articles 6 et 40 de la Loi Informatique et Libertés.

La demande de l’association UFC QUE-CHOISIR tendant à réputer non-écrites les clauses n° 137 de la PUD du 15 novembre 2013 et n° 5.4 des Standards de la communauté du 30 janvier 2015 sera donc rejetée de ce chef.

30. Clauses n° 139 et 140 de la PUD du 15 novembre 2013 et n° 28 et 34 de la PUD des 30 janvier 2015, mars et septembre 2016 et du 29 septembre 2016 :

Clauses n° 139 et 140 de la Politique d’utilisation des données du 15 novembre 2013 :

Filiales

Nous pouvons être amenés à partager les informations que nous recevons avec certaines entreprises appartenant juridiquement au groupe dont Facebook fait partie, ou qui viennent rejoindre ce groupe (de telles entreprises sont fréquemment dénommées filiales). De la même manière, nos filiales sont, elles aussi, susceptibles de partager des informations avec nous.

Ce partage s’effectue dans le respect des lois applicables, y compris lorsque ces lois applicables exigent un consentement. Facebook et ses filiales peuvent utiliser les informations partagées par les utilisateurs afin de contribuer à la distribution, la compréhension et l’amélioration des services qu’ils proposent.

Fournisseurs d’accès internet

Nous transmettons vos informations aux personnes et aux entreprises qui nous aident à fournir, comprendre et améliorer les services que nous proposons. Par exemple, nous pouvons utiliser des fournisseurs externes pour nous aider à héberger notre site web, à publier des photos et des vidéos, à traiter les paiements, à analyser des données, à mener et publier des études, à mesurer l’efficacité de publicités ou à fournir des résultats de recherche. Dans certains cas, nous fournissons le service conjointement à une autre entreprise, telle que les Petites annonces de Facebook. Dans ce cas, nos partenaires doivent consentir à utiliser vos informations uniquement conformément au contrat que nous signons avec eux, ainsi que conformément aux dispositions de la présente politique d’utilisation des données.

Clauses n° 28 de la Politique d’utilisation des données du 30 janvier 2015 :

Partager au sein des sociétés de Facebook

Nous partageons les informations dont nous disposons à votre sujet avec les sociétés appartenant à Facebook. En savoir plus sur nos sociétés.

Clauses n° 28 de la Politique d’utilisation des données de mars 2016 et septembre 2016 :

Le partage au sein des sociétés de Facebook.

Nous partageons les informations vous concernant dont nous disposons avec les sociétés appartenant à Facebook. En savoir plus sur nos sociétés.

Clause n° 34 de la Politique d’utilisation des données du 30 janvier 2015, de mars 2016 et septembre 2016 et du 29 septembre 2016 :

Fournisseurs, prestataires de service et autres partenaires

Nous partageons des informations avec les fournisseurs, prestataires de service et autres partenaires qui collaborent avec nous partout dans le monde, par exemple en offrant des services d’infrastructure technique, en analysant l’utilisation de nos services, en évaluant l’efficacité de nos publicités et de nos services, en fournissant un service d’assistance à la clientèle, en facilitant les divers processus de paiement ou encore en menant diverses enquêtes et études.

Ces partenaires doivent adhérer aux obligations de confidentialité les plus strictes en accord avec la présente Politique d’utilisation des données et les accords que nous avons signés avec eux.

Selon l’association UFC QUE-CHOISIR, les clauses précitées prévoient le partage des données avec les filiales, fournisseurs, prestataires de service et autres partenaires, sans déterminer ou rappeler leur finalité et les destinataires ou catégories de destinataires de manière précise et sans permettre à l’utilisateur de s’y opposer en présumant l’adhésion initiale, définitive, et générale à toute communication ou divulgation des données à caractère personnel à l’égard des tiers. Les clauses seraient donc, selon l’association, illicites au regard de l’article 32 de la Loi Informatique et Libertés et des articles 10 et 11 de la Directive 95/46 CE. Elles seraient également abusives au sens de l’article L.132-1, devenu l’article L. 212-1 du Code de la consommation.

Pour la société FACEBOOK, la « clause n° 28 », selon la numérotation de l’UFC, a pour objet d’informer l’utilisateur des destinataires du traitement mis en œuvre ; une liste des sociétés destinataires est accessible via le lien « en savoir plus » est mis à la disposition de l’utilisateur, une autre rubrique (« Comment utilisons-nous ces informations ») informe les utilisateurs des finalités de ce traitement. Elle précise qu’il n’est nullement indiqué dans cette sous-rubrique que Facebook Ireland communiquerait les données à caractère personnel des utilisateurs aux autres sociétés de son groupe à des fins commerciales.

La « clause n° 34 » informe l’utilisateur que des données (à caractère personnel ou non), peuvent être communiquées à des prestataires : des catégories de destinataires des données (services d’infrastructure technique, services d’analyse et d’évaluation du Service Facebook, services d’assistance à la clientèle, etc.) ; des finalités du traitement (la société FACEBOOK peut communiquer les données de l’utilisateur à des sous-traitants, notamment techniques, afin de fournir et d’améliorer le Service Facebook).

Les articles 6 et 32 de la Loi Informatique et Libertés prévoient qu’un traitement peut porter sur des données à caractère personnel à condition que les données soient collectées et traitées de manière loyale et licite (article 6 1°), qu’elles soient collectées pour des finalités déterminées, explicites et légitimes, qu’elles ne soient pas traitées ultérieurement de manière incompatible avec ces finalités (article 6 2°), et que la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant soit informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant de la finalité poursuivie par le traitement auquel les données sont destinées et des destinataires ou catégories de destinataires des données (article 32-I 5°). Elle doit être également informée de manière claire et complète par le responsable du traitement ou son représentant de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement et des moyens dont il dispose pour s’y opposer (article 32-II 1°) et 2°). Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord.

L’article 32-III de la Loi Informatique et Libertés impose au responsable du traitement ou son représentant, lorsque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, de fournir à cette dernière les informations énumérées à l’article 32-I, dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données.

Aux termes de l’article 38 de la Loi Informatique et Libertés, toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement. Elle a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur.

En l’espèce les clauses critiquées prévoient sue la société FACEBOOK « fournit », « transmet » à des « entreprises appartenant juridiquement au groupe dont Facebook fait partie », ou à des « filiales » du groupe FACEBOOK, voire à des « personnes », des « entreprises », des « fournisseurs, prestataires de service et autres partenaires  » qui collaborent avec la société FACEBOOK, qui l’ »aident » à « fournir, comprendre et améliorer les services ») des « informations partagées par les utilisateurs », des informations dont la société FACEBOOK dispose au sujet de l’utilisateur (« les informations vous concernant dont nous disposons ») ou des « contenus ».

Or, constitue un « traitement automatisé » de données à caractère personnel au sens de l’article 2 de la Loi Informatique et Libertés, la communication par « transmission, diffusion ou tout autre forme de mise à disposition » à des tiers, entreprises « appartenant juridiquement » au groupe FACEBOOK, « filiales » de ce groupe, ou à des « personnes » et à des « entreprises », qui « aident » la société FACEBOOK à « fournir, comprendre et améliorer les services » (fournisseurs externes), entités distinctes de la société FACEBOOK, auprès desquelles la société FACEBOOK reçoit et avec qui elle le « partage » des données à caractère personnel permettant l’envoi de publicités ciblées.

En conséquence, la « transmission, diffusion ou tout autre forme de mise à disposition » de données à caractère personnel constituant un « traitement automatisé » de données à caractère personnel au sens de l’article précité – lequel est en l’espèce réalisé à des fins étrangères à celles pour lesquelles les données à caractère personnel ont été initialement collectées – nécessite que l’utilisateur soit informé des nouvelles finalités du traitement et des destinataires des éventuels transferts de ses données, afin qu’il soit en mesure d’y consentir.

Tel n’est pas le cas de la clause qui prévoit l’échange (la transmission) de données personnelles de l’utilisateur à des tiers, sans que soit prévu le recueil de son consentement informé spécifique et indubitable.

De sorte que les clauses n° 139 et 140 de la PUD du 15 novembre 2013 et n° 28 et 34 de la PUD des 30 janvier 2015, mars et septembre 2016 et du 29 septembre 2016 sont illicites au regard des articles 2, 6, 32-I, 32-II, 32- III de la Loi Informatique et Libertés.

Par ailleurs, en laissant croire à l’utilisateur que ses données à caractère personnel peuvent être communiquées à des tiers non désignés ou des catégories de tiers non désignées, sans qu’il soit appelé à y consentir préalablement ou qu’il puisse s’y opposer a posteriori, les clauses sont abusives au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation, en ce qu’elles créent un déséquilibre significatif entre les parties au détriment du consommateur.

En conséquence, les clauses n° 139 et 140 de la PUD du 15 novembre 2013 et n° 28 et 34 de la PUD des 30 janvier 2015, mars et septembre 2016 et du 29 septembre 2016, illicites au regard des articles 2, 6, 32-I, 32-II, 32-III de la Loi Informatique et Libertés, sont abusives au sens de l’article L. 132-1 devenu l’article L. 1 212-1 du code de la consommation. Elles seront donc réputées non écrites.

31. Clauses n° 141 de la PUD du 15 novembre 2013, la clause n° 19 de la PUD du 30 janvier 2015, de mars, septembre 2016 et du 29 septembre 2016 :

Clause n°141 de la Politique d’utilisation des données du 15 novembre 2013 :

Sécurité et bogues

Facebook prend toutes les précautions appropriées pour protéger vos informations, mais vous devez nous aider. Pour obtenir des informations détaillées sur la sécurité du site Facebook, consultez la page Sécurité de Facebook. Nous faisons notre possible pour proposer un environnement sûr mais nous ne pouvons pas garantir nos services ou produits.

Clause n°19 de la Politique d’utilisation des données du 30 janvier 2015 et de mars et septembre 2016 et du 29 septembre 2016 :

Favoriser la sécurité.

Nous nous servons des informations à notre disposition pour effectuer une vérification des comptes et des activités des utilisateurs, et pour garantir la sécurité à travers comme en dehors de nos services. Nous pouvons par exemple examiner toute activité douteuse ou toute infraction de nos conditions générales ou de nos règlements. Nous nous efforçons de protéger votre compte par le biais de nos équipes d’ingénieurs, de systèmes automatisés et de technologies sophistiquées, telles que le chiffrement et l’apprentissage automatique. Nous proposons également des outils de sécurité simples qui permettent de sécuriser davantage votre compte. Pour en savoir plus sur les mesures de sécurité employées par Facebook, consultez les pages d’aide sur la sécurité de Facebook.

Selon l’association, par ces clauses la société FACEBOOK s’exonère totalement de sa responsabilité en tant que professionnel proposant une prestation de service et en qualité de responsable de traitement quant à la protection des données à caractère personnel de l’utilisateur. Les clauses critiquées seraient illicites au regard des articles L. 121-19-4 devenu L.
221-15 du code de la consommation, 34 de la Loi Informatique et Libertés et de l’article 17 de la Directive 95/46 CE. Elles seraient également abusives au sens de l’article R. 132-1 5°) et 6°), devenu l’article R. 212-1
5° et 6°) du code de la consommation.

La société FACEBOOK répond qu’au travers de la sous-rubrique « Favoriser la sécurité », elle indique mettre tout en œuvre pour offrir à ses utilisateurs un service sécurisé, conformément à la Loi Informatique et Libertés. La société FACEBOOK fournit aux utilisateurs des outils simples pour améliorer la sécurité de leur « compte Facebook ».

L’article L. 121-19-4 devenu l’article L. 221-15 du code de la consommation prévoit que le professionnel est responsable de plein droit à l’égard du consommateur de la bonne exécution des obligations résultant du contrat conclu à distance, que ces obligations soient exécutées par le professionnel qui a conclu ce contrat ou par d’autres prestataires de services, sans préjudice de son droit de recours contre ceux-ci.

Aux termes de l’article 34 de la Loi Informatique et Libertés relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès, le responsable du traitement devant garantir un niveau de sécurité adapté au risque du traitement.

En l’espèce, les clauses litigieuses doivent être lues en combinaison avec les clauses n° 16 de la DDR du 15 novembre 2013 et n° 15 de la DDR du 30 janvier 2015 et 9 décembre 2016, qui prévoient sous l’intitulé  » Litiges » que la société FACEBOOK « essaie » de fournir les services du réseau Facebook « dans un environnement sans défaut et sûr » tout en rappelant que l’utilisateur l’utilise à son « propre risque » et que la société fournit le Service « en l’état », « sans garanties exprès ou implicites », (…) les clauses n° 16 du 15 novembre 2013 et n° 15 des 30 janvier 2015 et 9 décembre 2016 suggérant à l’utilisateur que le professionnel pourrait fournir une prestation imparfaite sans engager sa responsabilité et que l’utilisateur.

En parfait écho aux clauses précitées, la clause n° 141 de la PUD du 15 novembre 2013, sous l’intitulé « Sécurité et bogues » affirme que la société FACEBOOK « prend toutes les précautions appropriées pour protéger vos informations », « fait son possible pour proposer un environnement sûr » (sans pouvoir) « garantir ses services ou produits », suggérant également à l’utilisateur qu’elle pourrait fournir une prestation imparfaite sans engager sa responsabilité.

La clause n° 19 des 30 janvier 2015, mars, septembre et 29 septembre 2016, sous l’intitulé « Favoriser la sécurité » affirme « s’efforcer » de protéger le compte de l’utilisateur, grâce à ses « équipes d’ingénieurs, de systèmes automatisés et de technologies sophistiquées, telles que le chiffrement et l’apprentissage automatique ». Elle présente à l’utilisateur des exemples de moyens déployés par la société FACEBOOK pour assurer la sécurité des comptes des utilisateurs « à travers comme en dehors de ses services » : vérification des comptes et activités, exemples pris de détection d’activités douteuses, d’infractions aux conditions générales ou règlements.

En laissant croire à l’utilisateur qu’elle ne pourrait voir sa responsabilité engagée à l’occasion d’une inexécution ou d’une exécution défectueuse du service qu’elle propose, alors qu’en sa qualité fournisseur d’une prestation de services à distance la société FACEBOOOK est tenue à une obligation de résultat, les clauses critiquées sont illicites au regard de l’article L. 121-19-4, devenu l’article L. 221-15 du code de la consommation.

Les clauses n° 141 de la PUD du 15 novembre 2013 et n° 19 des 30 janvier 2015, mars, septembre et 29 septembre 2016, soulignent que la société FACEBOOK a besoin de l’aide de l’utilisateur (« vous devez nous aider ») pour protéger ses informations, et propose à l’utilisateur « des outils de sécurité simples qui permettent de sécuriser davantage votre compte », de sorte qu’elles mettent à la charge de l’utilisateur la sécurité de ses données à caractère personnel.

En affirmant, tant dans les clauses de 2013 que celles de 2015 et 2016, que la société FACEBOOK ne garantit pas un « environnement sûr » du réseau social (2013), que la sécurité du compte de l’utilisateur dépendrait de l’aide de l’utilisateur et de l’utilisation des outils qu’elle a mis en place, en lui laissant croire à l’utilisateur qu’il a la charge de la sécurité de ses données à caractère personnel, alors qu’en sa qualité de responsable de traitement, la société FACEBOOK est tenue d’une obligation de préservation des données ainsi que de prévention de leur déformation, de leur endommagement ou de leur accessibilité par des tiers, les clauses sont illicites au regard de l’article 34 de la Loi Informatique et Libertés.

Il résulte de ce qui précède que les clauses litigieuses contreviennent aux dispositions de l’article R. 132-1 5°), devenu l’article R. 212-1 5°) du code de la consommation en ce qu’elles ont pour objet ou pour effet de contraindre le consommateur à exécuter ses obligations, alors que réciproquement le professionnel n’exécuterait pas ses obligations de délivrance ou de garantie d’un bien ou son obligation de fourniture d’un service.

De plus, les clauses critiquées qui ont pour effet d’écarter la responsabilité du professionnel dans tous les cas de dysfonctionnement des prestations fournies au consommateur, sont abusives au regard de l’article R. 132-1 6°) devenu l’article R. 212-1 6°) du code de la consommation, en ce qu’elles ont pour objet ou pour effet d’exonérer le professionnel de son éventuelle responsabilité et de supprimer ou réduire le droit à réparation du préjudice subi par le consommateur en cas de manquement par le professionnel à l’une de ses obligations.

En conséquence, les clauses n° 141 de la PUD du 15 novembre 2013, la clause n° 19 de la PUD du 30 janvier 2015, de mars, septembre 2016 et du 29 septembre 2016, illicites au regard des articles L. 121-19-4 devenu L. 221-15 du code de la consommation, de l’article 34 de la Loi Informatique et Libertés, sont abusives au sens de l’article R. 132-1 5°) et 6°), devenu l’article R. 212-1 5° et 6°) du code de la consommation.

32. Clauses n° 142 de la PUD du 15 novembre 2013, n° 29 de la PUD du 30 janvier 2015, mars, septembre 2016 et 29 septembre 2016 :

Clause n°142 de la Politique d’utilisation des données du 15 novembre 2013 :

Changement de propriétaire

En cas de changement de propriétaire, nous pouvons transférer les informations au nouveau propriétaire pour lui permettre d’assurer le bon fonctionnement du service. Il devra toutefois continuer à honorer les engagements que nous avons pris dans la présente politique d’utilisation des données.

Clause n°29 de la Politique d’utilisation des données du 30 janvier 2015, de mars et septembre 2016 et du 29 septembre 2016 :

Nouveau propriétaire

Si les droits de propriété ou le contrôle d’une partie ou de l’intégralité de nos services ou de leurs éléments changent, nous avons la possibilité de communiquer vos informations au nouveau propriétaire.

L’association reprochent aux clauses soumises à la critique d’envisager le transfert des données à caractère personnel de l’utilisateur à l’occasion d’un changement de propriétaire de la plateforme Facebook. Selon l’association, la rédaction lacunaire des clauses ne permet pas aux utilisateurs de s’assurer que leurs données personnelles bénéficieront de la même protection en cas de changement de propriétaire de la plateforme Facebook. Elles ont donc illicites de l’article L.133-2 devenu article L. 211-1 du code de la consommation et abusives au sens de l’article R. 132-2 5°) devenu article R. 212-2 5°) du code de la consommation.

Pour la société FACEBOOK, la sous-rubrique prévoit le changement de contrôle ou la reprise par un tiers des activités du Service Facebook, y compris le traitement des données à caractère personnel des utilisateurs, qui sont nécessaires au bon fonctionnement dudit service. La société FACEBOOK rappelle qu’elle obtient le consentement de l’utilisateur -à supposer qu’un tel consentement soit requis – lorsque l’utilisateur accepte la DDR et l’utilisation de ses données en application de la PUD. De ce fait, l’utilisateur consent au principe d’un tel changement de contrôle ou d’une telle reprise. La société ajoute que la cession des données à caractère personnel répond à l’intérêt légitime de la société FACEBOOK et du nouveau propriétaire, qui n’ont pas à recueillir le consentement de l’utilisateur, conformément à l’article 7 de la Loi Informatique et Libertés. Dans une telle hypothèse, la société FACEBOOK affirme que la PUD alors en vigueur continuera de s’appliquer jusqu’à ce que le nouveau propriétaire décide, le cas échéant, de la modifier et de faire approuver ces modifications selon le procédé décrit dans la clause n° 13 de la DDR. En cas de modification de la PUD par le nouveau propriétaire, l’utilisateur reste libre de cesser d’utiliser le Service Facebook, comme à tout moment de sa relation avec la société FACEBOOK, auquel cas ses données seront supprimées et ne seront plus utilisées.

En l’espèce la clause prévoit le changement de propriétaire du Service Facebook et corrélativement le transfert des données à caractère personnel des utilisateurs nécessaires au « bon fonctionnement » du réseau social.

S’agissant du transfert des données à caractère personnel de l’utilisateur du réseau social au bénéfice d’un cessionnaire, en utilisant des expressions inappropriées telles que « changement de propriétaire » ou « droits de propriété » ou « contrôle d’une partie ou de l’intégralité de nos services ou de leurs éléments changent », en lieu et place de « cession », ou « vos informations », alors qu’il est question de ses « données à caractère personnel » ; en usant d’expressions vagues (« assurer le bon fonctionnement du service »), les clauses litigieuses ne permettent pas à l’utilisateur de mesurer, dans une telle situation, quelles pourraient être la nature et le volume de ses données transférées au « nouveau propriétaire », ni les protections dont il pourrait bénéficier à l’occasion de la cession de son contrat.

De sorte, que les clauses n° 142 de la PUD du 15 novembre 2013, n° 29 de la PUD du 30 janvier 2015, mars, septembre 2016 et 29 septembre 2016, illicites au regard de l’article L.133-2 devenu article L. 211-1 du code de la consommation et abusives au sens de l’article R. 132-2 5°) devenu article R. 212-2 5°) du code de la consommation. Elles seront donc réputées non écrites.

33. Clauses n° 143 et 144 de la PUD du 15 novembre 2013, la clause n° 42 de PUD du 30 janvier 2015, mars et septembre 2016, n° 41 de la PUD du 29 septembre 2016 :

Clauses n°143 et 144 de la Politique d’utilisation des données du 15 novembre 2013 :

Notifications de changement

Si nous devons apporter des modifications à cette politique d’utilisation des données, nous vous en informerons (par exemple par le biais d’une publication ici et sur la Page Facebook Site Governance). Si les modifications sont matérielles, nous vous fournirons une notification supplémentaire, claire et appropriée aux circonstances. Pour vous assurer de recevoir directement toutes les notifications, vous pouvez indiquer que vous vous aimez la Page Facebook Site Governance.

Possibilité d’apporter des commentaires

Sauf changement pour raisons légales ou administratives ou pour corriger une affirmation erronée, nous vous donnons la possibilité de faire des commentaires sur les modifications dans un délai de sept (7) jours. Une fois la période allouée aux commentaires passée, si nous décidons d’adopter une ou plusieurs modifications, nous vous informerons (par exemple, par le biais de la Page Facebook Site Governance ou de la présente politique) de la date de leur entrée en vigueur

Clause n°42 de la Politique d’utilisation des données du 30 janvier 2015 :

VII. Comment procéderons-nous pour vous aviser des modifications apportées à la présente politique ?

Nous vous aviserons de toute modification importante des présentes, et vous donnerons la possibilité de consulter et de commenter la version révisée avant de continuer à utiliser nos Services.

Clause n°42 de mars 2016 de septembre 2016 :

Comment procéderons-nous pour vous aviser des modifications apportées à la présente politique ?

Nous vous aviserons de toute modification importante apportée à la présente politique, et vous donnerons la possibilité de consulter et de commenter la version révisée avant de continuer à utiliser nos Services.

Clause n°41 de la Politique d’utilisation des données du 29 septembre 2016 :

Comment procéderons-nous pour vous aviser des modifications apportées à la présente politique ?

Nous vous aviserons de toute modification importante apportée à la présente politique, et vous donnerons la possibilité de consulter et de commenter la version révisée avant de continuer à utiliser nos Services.

L’association UFC QUE-CHOISIR reproche aux clauses de renvoyer à des pages en langue anglaise et de réserver à la société FACEBOOK le droit de modifier unilatéralement la PUD en procédant sans notification systématique préalable. L’information est laissée à la libre discrétion de Facebook car elle ne concerne que les modifications matérielles et/ou importantes jugées comme telles par la société. Dans ces clauses, la société FACEBOOK procède par renvoi par lien hypertexte auxdites modifications, il appartient donc à l’utilisateur de vérifier régulièrement les conditions contractuelles en ligne. La société Facebook présume l’adhésion de l’utilisateur aux nouvelles conditions contractuelles de manière implicite par la seule continuation d’utilisation des services Facebook. L’association considère que les clauses sont illicites au regard de la loi du 4 août 1994, de l’article L. 133-2 devenu l’article L. 211-1 du code de la consommation de l’article L. 111-1, L. 111-2 devenus les articles L. 111-2 et L. 111-3 du code de la consommation, de l’article L.121-17 devenu les articles L. 221-5, L. 221-6 et L. 221-7 du code de la consommation de l’article L. 121-19-2, devenu l’article L. 221-13, de l’article L.133-2 devenu article L. 211-1 du code de la consommation, de l’article R. 111-2 devenu les articles R. 111-2 et R. 111-3 du code de la consommation, de l’article L. 121-84 devenu les articles L. 224-29 et L. 224-33 du code de la consommation et abusive au sens des article R. 132-1 1°), 3°) devenus articles R. 212-1 1°), 3°) et 6°) du code de la consommation, de l’article L. 132-2 6°) devenu l’article R. 212-2 1 6°) du code de la consommation.

Pour la société FACEBOOK, les griefs de l’UFC à cet égard sont sans objet car la version de 2013 de la PUD n’existe plus. Elle ajoute que les informations publiées le renvoi à la « Page Facebook Site Governance » sont disponibles en français. Elle ajoute qu’elle avise systématiquement l’utilisateur de toute modification importante de la PUD. C’est bien le professionnel, qui doit et qui, en pratique, peut déterminer si la modification est « importante » ou non, de la même manière que le code de la consommation impose au professionnel d’informer le consommateur des caractéristiques « essentielles » du service, laissant ainsi au professionnel le soin de déterminer seul les caractéristiques essentielles de son service. Elle conclue que l’utilisateur consent à toute modification en acceptant la DDR lors de son inscription et en continuant d’utiliser le service.

a) Sur l’ »absence d’objet » de la demande de l’association :

La société FACEBOOK fait valoir que la demande de l’UFC QUE- CHOISIR est sans objet les clauses n° 143 et 144 de la Politique d’utilisation des données du 15 novembre 2013 ayant été supprimées. Les informations publiées sur la « Page Facebook Site Governance » sont désormais disponibles en français ainsi qu’en anglais, les mêmes informations sont traduites dans les deux langues.

Le Tribunal ayant répondu à cette argumentation dans le cadre de l’examen de la clause n° 0.1 de le DDR des 15 novembre 2013 et 30 janvier 2015, il n’y a pas lieu d’examiner de nouveau cette exception.

b) Sur le renvoi à des pages en anglais dans les clauses n° 143 et 144 de la PUD du 15 novembre 2013 :

Les articles L. 133-1 et L. 133-2 devenus l’article L. 211-1 du code de la consommation contraignent le professionnel à une présentation et une rédaction claire et compréhensible des clauses des contrats qu’ils proposent au consommateur.

Aux termes de l’article 2 de la loi du 4 août 1994 dite  » loi Toubon »,  » dans la désignation, l’offre, la présentation, le mode d’emploi ou d’utilisation, la description de l’étendue et des conditions de garanties d’un bien, d’un produit ou d’un service, ainsi que dans les factures et quittances, l’emploi de la langue française est obligatoire ».

Tel n’est pas le cas des clauses n° 143 et 144 de la Politique d’utilisation des données du 15 novembre 2013, qui contiennent trois liens hypertextes renvoyant à la « Page Facebook Site Governance », dont l’association UFC QUE-CHOISIR justifie, qu’elle était rédigée en anglais durant la période de validité des conditions d’utilisation visées (Pièce UFC QUE CHOISIR n° 5.2, capture d’écran réalisée le 19 mars 2014). Cette « Page », rédigée en anglais, n’est pas compréhensible pour l’utilisateur français, qui se voit dès lors empêché d’accéder effectivement au contenu du contrat.

Ces clauses sont donc illicites au regard de l’article 2 de la loi du 4 août 1994 et de l’article L. 133-2 du code de la consommation, et abusives au sens de l’article R.132-1 6°) du code de la consommation, devenu l’article R. 212-1, 6°) en créant un déséquilibre significatif entre les droits et obligations des parties au contrat, au détriment du consommateur. Elles seront donc réputées non écrites.

Ces clauses sont également abusives de manière irréfragable au regard de l’article R. 132-1 1°), devenu l’article R. 212 -1 1°) du code de la consommation en ce qu’elles constatent l’adhésion du consommateur à des clauses reprises dans un document, auquel il n’est pas fait expressément référence lors de la conclusion du contrat et dont le consommateur n’a pas eu connaissance avant sa conclusion (cf. supra clause n° 0.2 de la DDR).

c) Sur l’absence d’information en cas de modification des conditions contractuelles et sur le droit d’interprétation discrétionnaire de la société FACEBOOK :

L’obligation d’information précontractuelle prévue dans les articles L.111-1, L.111-2, et, s’agissant de contrat conclu à distance, dans les articles L.121-17, L.121-19, L.121-19-2 et R.111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, impose au professionnel, avant la conclusion du contrat, de fournir au consommateur de manière lisible et compréhensible les caractéristiques essentielles du service à rendre.

En l’espèce, les clauses litigieuses doivent être rapprochées des clauses n° 13, 14 de la DDR du 15 novembre 2013, n° 14 de la DDR du 30 janvier 2015, la clause n° 14 de la DDR du 30 janvier 2015, qui prévoient que la société FACEBOOK avise l’utilisateur de la seule modification que la société FACEBOOK juge « importante ».

Ainsi, à leur tour, comme l’avaient exprimé les clauses n° 13 et 14 de la DDR du 15 novembre 2013 et n° 13 des 30 janvier 2015 précédemment examinées, les clauses n° 143 et 144 de la PUD du 15 novembre 2013, n° 42 de la PUD du 30 janvier 2015, mars et septembre 2016 et 29 septembre 2016, envisagent d’informer l’utilisateur des seules modifications « importantes » (versions 2013, 2015, 2016), cette qualification relevant de la seule appréciation de la société FACEBOOK. Les clauses prévoient que cette information se fait par le biais (« par exemple ») d’une publication sur la PUD et sur la « Page Facebook Site Governance », rédigée en anglais pour la version 2013.

Les clauses précisent encore que, si les « modifications sont matérielles » ( ?) – sans que l’utilisateur sache exactement ce que recouvre une telle expression – la société FACEBOOK fournira « une notification supplémentaire, claire et appropriée aux circonstances », en conseillant toutefois l’utilisateur d’ »indiquer qu’il aime (via un bouton « J’aime » ?) la « Page Facebook Site Governance », s’il veut être assuré de recevoir directement toutes les notifications (version 2013).

De sorte qu’en prévoyant que l’utilisateur ne sera pas informé de toute modification apportée à la PUD mais seulement de celles qu’elle jugera « importantes », les clauses conférent à la société FACEBOOK le droit de modifier unilatéralement un document contractuel, sans information préalable de l’utilisateur. De sorte qu’elles sont présumées abusives de manière irréfragable au sens des dispositions de l’article R. 132-1 3°) devenu l’article R. 212-1 3°) du code de la consommation en ce qu’elles ont pour objet ou pour effet de réserver au professionnel le droit de modifier unilatéralement les clauses du contrat relatives aux caractéristiques du service à rendre.

En prévoyant que l’utilisateur consulte régulièrement la PUD ou la « Page Facebook Site Governance » ou en le contraignant à recourir à un procédé spécifique pour être informé de modification éventuelle de la PUD, les clauses critiquées, qui ont pour objet de reporter sur l’utilisateur l’exécution de l’obligation légale d’information pesant sur le professionnel, créent un déséquilibre significatif au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation entre les droits et obligations des parties au contrat au détriment de l’utilisateur consommateur.

En conséquence, les clauses n° 143 et 144 de la PUD du 15 novembre 2013, la clause n° 42 de PUD du 30 janvier 2015, mars et septembre 2016, n° 41 de la PUD du 29 septembre 2016, illicites au regard de l’article 2 de la loi du 4 août 1994, des articles L.111-1, L.111-2, et, s’agissant de contrat conclu à distance, dans les articles L.121-17, L.121-19, L.121-19-2 et R.111-2 du code de la consommation, devenus les articles L. 111-1 et L. 111-2, L. 221-11 et R.111-2 du code de la consommation, L. 133-1 et L. 133-2 devenus l’article L. 211-1 du code de la consommation, sont abusives au sens de l’article R. 132-1 3°) devenu l’article R. 212-1 3°) du code de la consommation et L. 132-1 devenu l’article L. 212-1 du code de la consommation. Elles seront donc réputées non écrites.

34. Clauses n° 145 et 146 de la PUD du 15 novembre 2013 et sur la clause n° 43 de la PUD du 30 janvier 2015, mars et septembre 2016 et sur la clause 42 de PUD du 29 septembre 2016 :

Clauses n°145 et 146 de la Politique d’utilisation des données du 15 novembre 2013 :

Informations pour les utilisateurs situés en dehors des États-Unis et du Canada

Informations sur l’entreprise : le site web à l’adresse www.facebook.com et les services contenus dans ces pages sont proposés aux utilisateurs en dehors des États-Unis et du Canada par Facebook Ireland Limited, Hanover Reach, 5-7 Hanover Quay, Dublin 2, Irlande. L’entreprise Facebook Ireland Ltd. a été fondée et enregistrée en Irlande en tant que société privée à responsabilité limitée. 462932, et est le contrôleur des données responsable de vos informations. Directeurs : Sonia Flynn (Irlande), Shane Crehan (Irlande).

Vos droits à la vie privée conformément à la loi californienne

La loi californienne autorise les résidents de Californie à demander certains détails concernant les informations personnelles qu’une entreprise partage avec des tiers à des fins de marketing direct de ces tiers. Facebook ne communique pas vos informations personnelles à des tiers aux fins de marketing direct propre et indépendant de ces tiers, sauf si vous nous y autorisez. En savoir plus sur les informations que nous recevons et l’utilisation que nous en faisons et autres sites web et applications. Si vous avez des questions sur nos pratiques de partage ou sur vos droits conformément à la loi californienne, écrivez-nous à 1601 Willow Road, Menlo Park, CA 94025, États-Unis, ou contactez-nous via c e t t e p a g e d ’ a i d e : https://www.facebook.com/help/contact_us.php?id=173545232710000.

Clause 43 de la Politique d’utilisation des données du 30 janvier 2015 :

Pour en savoir plus sur le fonctionnement du principe de confidentialité sur Facebook, veuillez consulter la page Les bases de la confidentialité sur Facebook. Si vous avez des questions concernant la présente politique, voici comment procéder pour nous contacter :

Si vous habitez aux États-Unis ou au Canada…

Veuillez contacter Facebook, Inc. en ligne ou par la poste à l’adresse : Facebook, Inc.
1601 Willow Road

Menlo Park, CA 94025, États-Unis

Si vous habitez ailleurs…

Le contrôleur de données en charge de vos informations est Facebook
Ireland Ltd., que vous pouvez contacter en ligne ou par la poste à l’adresse
: Facebook Ireland Ltd.

4 Grand Canal Square Grand Canal Harbour Dublin 2, Irlande

Clause 43 de la Politique d’utilisation des données de mars 2016 :

Pour en savoir plus sur le fonctionnement du principe de confidentialité sur Facebook, veuillez consulter la section Principes de bases liés à la confidentialité. Si vous avez des questions concernant la présente politique, voici comment procéder pour nous contacter :

Si vous habitez aux États-Unis ou au Canada…

Veuillez contacter Facebook, Inc. en ligne ou par la poste à l’adresse : Facebook, Inc.
1601 Willow Road

Menlo Park, CA 94025, États-Unis

Si vous habitez ailleurs…

Le contrôleur de données en charge de vos informations est Facebook
Ireland Ltd., que vous pouvez contacter en ligne ou par la poste à l’adresse
: Facebook Ireland Ltd.

4 Grand Canal Square Grand Canal Harbour

Dublin 2, Irlande

Clause n°43 de la Politique d’utilisation des données de septembre 2016 :

Pour en savoir plus sur le fonctionnement du principe de confidentialité sur Facebook, consulter la section Principes de base liés à la confidentialité. Si vous avez des questions concernant la présente politique, voici comment procéder pour nous contacter :

Si vous habitez aux États-Unis ou au Canada…

Veuillez contacter Facebook, Inc. en ligne ou par courrier à l’adresse : Facebook, Inc.
1601 Willow Road

Menlo Park, CA 94025

Si vous habitez ailleurs…

Le contrôleur de données en charge de vos informations est Facebook Ireland Ltd., que vous pouvez contacter en ligne ou par courrier à l’adresse: :

Facebook Ireland Ltd.

4 Grand Canal Square Grand Canal Harbour Dublin 2 Irlande

Clause n°42 de la Politique d’utilisation des données du 29 septembre 2016 :

Comment adresser vos questions à Facebook ?

Pour en savoir plus sur le fonctionnement du principe de confidentialité sur Facebook, consulter la section Principes de base liés à la confidentialité. Si vous avez des questions concernant la présente politique, voici comment procéder pour nous contacter :

Si vous habitez aux États-Unis ou au Canada…

Veuillez contacter Facebook, Inc. en ligne ou par courrier à l’adresse : Facebook, Inc.

1601 Willow Road

Menlo Park, CA 94025

Si vous habitez ailleurs…

Le contrôleur de données en charge de vos informations est Facebook Ireland Ltd., que vous pouvez contacter en ligne ou par courrier à l’adresse:

Facebook Ireland Ltd. 4

Grand Canal Square Grand Canal Harbour

Dublin 2, Irlande

L’association critique l’absence d’information sur les droits des utilisateurs non-résidents californiens et donc des utilisateurs français. Dans sa version de 2015 et 2016, la clause évoque la société Facebook Ireland en qualité de « contrôleur de données en charge de vos informations ». La rédaction étant ambiguë, elle induit en erreur le consommateur, qui ne peut savoir s’il s’agit du point de contact ou du responsable de traitement. Les clauses seraient, selon l’association, illicites au regard des articles L.111-1, L.111-
2 devenu les articles L. 111-2 et L. 111-3 du code de la consommation, L.121-17, devenu les articles L. 221-5, L. 221-6 et L. 221-7 du code de la consommation, L.121-19-2, devenu l’article L. 221-13 du code de la consommation, L.133-2, devenu l’article L. 211-1 du code de la consommation, R. 111-2, devenu les articles R. 111-2 et R. 111-3 du code de la consommation.

La société FACEBOOK répond que, s’agissant des griefs relatifs à la PUD 2013 portant sur les droits à la vie privée, ceux-ci sont sans fondement, puisque la PUD 2013 n’existe plus. Elle ajoute que cette sous rubrique visait les seuls résidents de Californie, à l’exclusion des utilisateurs français du Service Facebook. Les griefs de l’UFC sont sans objet. Elle précise également que les termes « contrôleur de données en charge de vos informations » identifient la société Facebook Ireland comme la personne morale en charge du contrôle des données à caractère personnel des utilisateurs.

L’article L. 133-2 devenu l’article L. 211-1 du code de la consommation impose au professionnel dans les contrats proposés aux consommateurs de présenter et rédiger les clauses de façon claire et compréhensible.

Les clauses n° 145 et 146 de la Politique d’utilisation des données du 15 novembre 2013 prévoient que le contrôleur des données, responsable des données des utilisateurs situés en dehors des Etats-Unis, est la société Facebook Ireland.

L’association prétend que cette clause serait illicite en ce que la rédaction serait ambiguë et induirait en erreur le consommateur, qui ne peut savoir s’il s’agit du point de contact ou du responsable de traitement.

En l’espèce, sous l’intitulé « Informations pour les utilisateurs situés en dehors des États-Unis et du Canada », les clauses n° 145 et 146 de la PUD du 15 novembre 2013, rédigées en français, mentionnent le nom et l’adresse la société Facebook Ireland, dont il peut être déduit qu’il s’agit de la société contractant avec les utilisateurs situés en dehors des États- Unis et du Canada.

Mention est faite de ce que la société Facebook Ireland est le contrôleur des données responsable des informations de ces utilisateurs.

De sorte que la rédaction des clauses les clauses n° 145 et 146 de la PUD du 15 novembre 2013 n’est pas ambiguë.

La demande de l’association sera rejetée de ce chef.

S’agissant des clauses n° 43 de la PUD du 30 janvier 2015, mars et septembre 2016 et sur la clause 42 de PUD du 29 septembre 2016, l’information concernant l’identité du responsable du traitement (« contrôleur des données ») est noyée dans la masse des informations de contact, elle n’est donc pas directement accessible à l’utilisateur.

De sorte que la clause est illicite au regard de l’article L.133-2 devenu l’article L. 211-1 du code de la consommation.

Quant à la partie intitulée « Vos droits à la vie privée conformément à la loi californienne » (version 2013) consacrée à la fois aux droits des utilisateurs « résidents de Californie » et, dans le doute, aux autres utilisateurs, la rédaction des trois-quarts de la clause confond l’ensemble des utilisateurs de sorte qu’elle rend le contenu contradictoire, obscur et incompréhensible.

Les clauses sont donc illicites au regard de l’article L.133-2 du code de la consommation, devenu l’article L. 211-1 du code de la consommation.

En conséquence, les clauses n° 145 et 146 de la PUD du 15 novembre 2013 et la clause n° 43 de la PUD du 30 janvier 2015, mars et septembre 2016 et la clause 42 de PUD du 29 septembre 2016 sont illicites au regard des articles L. 111-1, L. 111-2 devenu l’article L. 111-2 du code de la consommation, L. 133-2, devenu l’article L. 211-1 du code de la consommation. Elles seront réputées non écrites.

C. Sur les standards de la communauté :

L’association fait valoir que les Standards de la communauté Facebook sont identifiés sur les pages internet comme appartenant au socle contractuel du service Facebook.

En réplique aux griefs formulés par l’association UFC QUE-CHOISIR à partir de clauses des « Standards » numérotées, la société FACEBOOK répond de manière thématique (par « rubrique »), ainsi qu’elle avait procédé pour l’examen des clauses de la PUD.

Cette façon de procéder rend malaisée la compréhension des réponses faites par la société FACEBOOK aux critiques de l’association UFC QUE- CHOISIR.

1. Clauses n° 4 des Standards de la communauté Facebook du 15 novembre 2013 et n° 3, 3.1, 3.3 et 3.6 du 30 janvier 2015 :

Clause n° 4 des Standards de la communauté Facebook du 15 novembre 2013 :

VIOLENCE ET MENACES

La sécurité est en tête des priorités de Facebook. Nous retirons des contenus et, lorsque nécessaire, communiquons avec les autorités, lorsque nous percevons un risque de blessures ou une menace directe pour la sécurité du public. Vous ne devez pas menacer autrui ou organiser des actes de violence. Les organisations connues pour des activités terroristes ou criminelles ne sont pas autorisées à utiliser notre site. Nous interdisons également la promotion, la planification ou la célébration d’actions qui ont entraîné ou pourraient entraîner une atteinte aux finances d’autrui, y compris du fait de vols ou de vandalisme.

Clause n° 3 des Standards de la communauté du 30 janvier 2015 :

Garantir votre sécurité

Lorsque nous pensons qu’un contenu représente un réel risque de préjudice physique ou une atteinte directe à la sécurité publique, nous supprimons ledit contenu, désactivons les comptes concernés et collaborons avec les autorités. Apprenez-en davantage sur la façon dont Facebook gère les contenus abusifs.

Clause n° 3.1 des Standards de la communauté du 30 janvier 2015 :

Menaces directes : comment nous aidons les personnes qui se sentent menacées par d’autres sur Facebook.

Nous examinons attentivement les signalements de propos menaçants afin d’identifier les atteintes sérieuses à la sécurité publique et personnelle. Nous supprimons les menaces crédibles de violence physique à l’encontre d’individus. Nous supprimons également les menaces spécifiques de vol, de vandalisme et d’autres préjudices financiers.

Nous pouvons tenir compte de facteurs tels que l’emplacement géographique ou la visibilité publique d’une personne pour déterminer la crédibilité d’une menace. Nous pouvons considérer les menaces à l’encontre de personnes résidant dans des régions violentes ou instables comme étant crédibles.

Clause n° 3.3 des Standards de la communauté :

Organisations dangereuses : les types d’organisations interdits sur Facebook

Nous n’autorisons pas la présence sur Facebook d’organisations impliquées dans les activités suivantes :

– activités terroristes ;

– activités criminelles organisées.

Nous supprimons également le contenu qui exprime un soutien aux groupes impliqués dans les activités violentes ou criminelles mentionnées ci-dessus. Soutenir et encenser les chefs des organisations, ou cautionner leurs activités violentes, n’est pas autorisé.

Nous apprécions les discussions générales et les critiques sociales sur ces sujets dans leur ensemble, mais nous demandons aux utilisateurs de faire preuve de sensibilité à l’égard des victimes de violence et de discrimination.

Clause 3.6 des Standards de la communauté du 30 janvier 2015 :

Activité criminelle : comment nous gérons les signalements d’activité criminelle sur Facebook

Nous interdisons le recours à Facebook pour faciliter ou organiser des activités criminelles qui entraînent des préjudices physiques à l’encontre de personnes, d’entreprises ou d’animaux, ou des dommages financiers pour des personnes ou des entreprises. Lorsque nous pensons qu’un contenu représente un réel risque de préjudice physique ou une atteinte à la sécurité publique, nous collaborons avec les autorités.

Nous vous interdisons également de mettre en avant un délit que vous auriez commis. Nous autorisons cependant les utilisateurs de Facebook à plaider la cause ou à discuter de la légalité d’activités criminelles, ainsi qu’à en parler de façon humoristique ou satirique.

L’association UFC QUE-CHOISIR conteste la rédaction des clauses, qui confère une grande liberté à la société FACEBOOK de supprimer des contenus du compte Facebook de l’utilisateur et de désactiver son compte. Les critères d’évaluation des activités criminelles ou encore des atteintes à la sécurité par l’utilisateur sont, selon l’association, imprécis, alors que le contenu est censuré, sans que soit prévu de recours potentiel de la personne ayant publié le contenu. L’association UFC QUE-CHOISIR affirme que la société FACEBOOK confond le droit discrétionnaire de supprimer des contenus et de désactiver le compte d’un utilisateur qu’elle s’arroge et les obligations qui pèsent sur elle en sa qualité a minima d’hébergeur. Les clauses seraient donc abusives au sens des articles R.132-
1 4°) et 6°) devenus les articles R. 212-1 4°) et 6°) du code de la consommation.

Selon la société FACEBOOK, la clause donne à l’utilisateur des exemples d’application des règles figurant dans la clause n° 3 de la DDR. Sa décision de supprimer un contenu n’est pas discrétionnaire. Le préambule de la Rubrique « Garantir votre sécurité » ainsi que les trois sous-rubriques litigieuses (« Menaces directes : comment nous aidons les personnes qui se sentent menacées par d’autres sur Facebook » ; « Organisations dangereuses : les types d’organisations interdits sur Facebook » ; « Activité criminelle : comment nous gérons les signalements d’activité criminelle sur Facebook ») précisent au contraire que cette décision sera fondée sur des risques d’atteinte à la sécurité (sécurité publique ou intégrité des personnes). Elle souligne qu’elle doit disposer d’une marge de manœuvre pour déterminer au cas par cas l’existence d’un risque d’atteinte à la sécurité et, le cas échéant, prendre la mesure appropriée. Elle fait valoir qu’aucune disposition légale ne lui impose de prévoir expressément un droit d’opposition à la suppression de contenus. Elle allègue que ces sous- rubriques ne permettent pas de l’exonérer de sa responsabilité, s’il était postérieurement établi que sa décision de supprimer un contenu ou un compte était fautive et affirme qu’elle ne fait aucune confusion entre les responsabilités qui lui incombent en sa qualité d’hébergeur et en vertu desquelles elle a l’obligation de retirer des contenus manifestement illicites qui lui seraient notifiés, et celles qui incombent à l’utilisateur s’agissant des contenus qu’il publie, en qualité d’éditeur/fournisseur de contenus.

La société FACEBOOK affirme les clauses sont constituées d’exemples d’application des règles figurant dans la clause n° 3 de la DDR.

Toutefois, l’examen des clauses précitée montre qu’elles se bornent à énoncer des règles particulièrement évasives concernant le comportement attendu de l’utilisateur telles que « Vous ne publierez pas de contenus : incitant à la haine ou à la violence (3.6), menaçants, à caractère pornographique ou contenant de la nudité ou de la violence gratuite (3.7) », les règles imposées à l’utilisateur n’étant assorties d’aucune sanction.

En revanche, l’examen des mêmes clauses (cf. clause n° 3 de la DDR supra) a révélé que, lorsqu’elles étaient lues en combinaison avec les clauses n° 16 de la DDR du 15 novembre 2013, et n° 15 des 30 janvier 2015 et 9 décembre 2016, des sanctions comme la suppression du contenu publié par l’utilisateur ou du compte de l’utilisateur (« arrêter de fournir (à l’utilisateur) tout ou partie de Facebook (…) ») pouvaient être mises en œuvre par la société FACEBOOK, si l’utilisateur enfreignait « la lettre ou l’esprit de cette Déclaration » (DDR) ou s’il créait un risque de poursuites à l’encontre de la société Facebook). Ces clauses ont été réputées non écrite en raison de ce qu’une activité, notamment frauduleuse, exercée sur le site de Facebook et qui ne résulterait pas uniquement de l’utilisateur, exposerait l’utilisateur à la suspension des services et écarterait a priori toute responsabilité de la société FACEBOOK à l’égard de ses propres services.

Tel n’est pas le cas des clauses n° 4 des Standards de la communauté Facebook du 15 novembre 2013 et n° 3, 3.1, 3.3 et 3.6 dans sa version du 30 janvier 2015 prévoyant que la société FACEBOOK, en sa qualité d’hébergeur de contenus, peut supprimer des contenus (« nous retirons des contenus » ; « supprimons également le contenu qui exprime un soutien aux groupes impliqués dans les activités violentes ou criminelles ») ou de supprimer des comptes ( » (…) désactivons les comptes concernés »), dès lors qu’il a connaissance d’un contenu manifestement illicite (« Nous examinons attentivement les signalements de propos menaçants afin d’identifier les atteintes sérieuses à la sécurité publique et personnelle »), à l’occasion de situations déterminées « risque de blessures ou une menace directe pour la sécurité du public » ; « (…) organisations connues pour des activités terroristes ou criminelles menaces crédibles de violence physique à l’encontre d’individus », « menaces spécifiques de vol, de vandalisme et d’autres préjudices financiers » et en tenant compte de critères « tels que l’emplacement géographique ou la visibilité publique d’une personne pour déterminer la crédibilité d’une menace. Nous pouvons considérer les menaces à l’encontre de personnes résidant dans des régions violentes ou instables comme étant crédibles. »

Contrairement à ce que soutient l’association UFC QUE-CHOISIR, les clauses critiquées n’organisent pas l’exonération de la société FACEBOOK, lorsque le contenu ou le compte de l’utilisateur a été supprimé à tort.

D’où il suit que la demande de l’UFC QUE-CHOISIR sera rejetée.

2. Clauses n° 5 des Standards de la communauté Facebook dans sa version du 15 novembre 2013 et n° 3.2 du 30 janvier 2015 :

Clause n° 5 des Standards de la communauté Facebook du 15 novembre 2013 :

SUICIDES OU BLESSURES A SON PROPRE ENCONTRE

Facebook prend très au sérieux les menaces d’atteinte à la santé des utilisateurs. Nous supprimons tout encouragement à l’automutilation, à la consommation de stupéfiants ou aux troubles de l’alimentation. Nous travaillons également avec des agences de prévention du suicide dans le monde entier.

Clause n°3.2 des Standards de la communauté du 30 janvier 2015 :

Nous n’autorisons pas les contenus qui encouragent l’automutilation ou le suicide. Nous travaillons avec des organisations dans le monde entier afin de fournir une assistance aux personnes en détresse. Nous interdisons tout contenu qui met en avant ou encourage le suicide ou toute autre forme de blessures volontaires, telles que l’automutilation ou les troubles de l’alimentation. Nous ne considérons pas les modifications corporelles comme étant une automutilation. Nous supprimons également tout contenu qui identifie des victimes ou des survivants d’un suicide ou d’une automutilation, et qui les prend pour cible, que ce soit sérieusement ou de manière humoristique. Les utilisateurs peuvent toutefois partager des informations au sujet de l’automutilation et du suicide, dans la mesure où elles ne l’encouragent pas.

Selon l’association UFC QUE-CHOISIR, la société FACEBOOK s’arroge le droit de supprimer toute donnée (nom d’utilisateur, identifiants, messages, statuts, etc.) dont elle juge que la publication est susceptible de constituer des menaces d’atteinte à la santé des utilisateurs (version 2013) ou qui met en avant ou encourage le suicide ou toute autre forme de blessures volontaires, telles que l’automutilation ou les troubles de l’alimentation (version 2015). A l’inverse, aucune suppression définitive des contenus signalés comme illicites par l’utilisateur n’est assurée, ainsi qu’il a été exposé précédemment, créant ainsi un déséquilibre significatif entre les droits et obligations du consommateur et du professionnel. De telles dispositions seraient donc abusives selon l’association.

La société FACEBOOK répond que la clause donne à l’utilisateur des exemples d’application des règles figurant dans la clause n° 3.7 de la DDR. Elle ajoute que le droit de suppression de contenus répond à l’obligation légale en sa qualité d’hébergeur.

En l’espèce, les clauses n° 5 des Standards de la communauté Facebook dans sa version du 15 novembre 2013 et n° 3.2 dans sa version du 30 janvier 2015, envisagent la suppression de contenus et la suppression du compte de l’utilisateur en cas de contenus encourageant « l’automutilation ou le suicide ».

De sorte que pour des raisons identiques à celles énoncées à la clause n° 4 des Standards de la communauté Facebook du 15 novembre 2013 et n° 3, 3.1, 3.3 et 3.6 du 30 janvier 2015, la clause n° 5 des Standards de la communauté Facebook dans sa version du 15 novembre 2013 et n° 3.2 du 30 janvier 2015 n’est pas abusive quand elle prévoit la suppression de contenus et du compte de l’utilisateur par la société FACEBOOK, en sa qualité d’hébergeur de contenus, dès lors qu’il a connaissance d’un contenu manifestement illicite.

En conséquence la demande de l’UFC QUE-CHOISIR sera rejetée de ce chef.

3. Clauses n° 6 des Standards de la communauté Facebook du 15 novembre 2013 et n° 3.4 du 30 janvier 2015 :

Clause n° 6 des Standards de la communauté Facebook du 15 novembre 2013 :

INTIMIDATION ET HARCELEMENT

Facebook ne tolère pas l’intimidation et le harcèlement. Chacun peut s’exprimer mais nous réagissons fermement en cas de rapports de comportements abusifs à l’encontre d’individus. L’envoi répété d’invitations à entrer en contact ou de messages non sollicités est une forme de harcèlement.

Clause n° 3.4 des Standards de la communauté du 30 janvier 2015 :

Harcèlement et intimidation : notre réaction aux cas de harcèlement et d’intimidation

Nous ne tolérons ni le harcèlement ni l’intimidation. Nous vous autorisons à vous exprimer librement sur des sujets et des personnes d’intérêt public, mais supprimons tout contenu semblant viser délibérément l’humiliation ou le déshonneur d’une personne privée. Cela inclut, sans pour autant s’y limiter :

– les Pages qui identifient des personnes privées en vue de les déshonorer ;

– les images retouchées en vue d’humilier une personne privée ;

– les photos ou vidéos de cas d’intimidation physique publiées en vue de faire honte à la victime ;

– le partage d’informations personnelles à des fins de chantage ou de harcèlement ;

– l’envoi répété de messages ou d’invitations indésirables à d’autres personnes.

Nous définissons comme personne privée toute personne n’ayant attiré l’attention ni des médias ni du grand public par ses actions ou sa profession publique.

L’UFC QUE-CHOISIR reproche aux clauses d’accorder un pouvoir d’interprétation discrétionnaire à la société FACEBOOK, en présumant la responsabilité de l’utilisateur en cas d’activité exercée sur son compte, que la société jugerait comme relevant d’une intimidation ou d’un harcèlement. La société FACEBOOK induirait ainsi que toute activité indésirable du compte ne pourrait jamais relever de sa propre faute ou de sa propre défaillance. Les clauses seraient donc illicites au regard de l’article L. 121-19-4, devenu L. 221-15 du code de la consommation, de l’article L. 121-84, devenu les articles L. 224-29 et L. 224-33 du code de la consommation et abusives au sens de l’article R. 132-1 4°) devenu article R. 212-1 4°) du code de la consommation.
Pour la société FACEBOOK la clause donne à l’utilisateur des exemples d’application des règles figurant dans la clause 3.6 de la DDR. Cette sous-rubrique ne vise pas à affirmer la pleine responsabilité de l’utilisateur quant à l’activité de son compte et à exclure celle de Facebook Ireland. En tant qu’hébergeur, Facebook Ireland doit retirer promptement des contenus illicites qui lui seraient notifiés. L’utilisateur est quant à lui responsable de tout contenu illicite qu’il publie.

En l’espèce, les clause n° 6 des Standards de la communauté Facebook du 15 novembre 2013 et n° 3.4 dans sa version du 30 janvier 2015 qualifient le harcèlement comme « l’envoi répété d’invitations à entrer en contact ou de messages non sollicités est une forme de harcèlement » et indique que les contenus « semblant viser délibérément l’humiliation ou le déshonneur d’une personne privée », comme « les Pages qui identifient des personnes privées en vue de les déshonorer », « les images retouchées en vue d’humilier une personne privée », « les photos ou vidéos de cas d’intimidation physique publiées en vue de faire honte à la victime », « le partage d’informations personnelles à des fins de chantage ou de harcèlement », « l’envoi répété de messages ou d’invitations indésirables à d’autres personnes ».

De sorte que pour des raisons identiques à celles énoncées à la clause n° 4 des Standards de la communauté Facebook du 15 novembre 2013 et n° 3, 3.1, 3.3 et 3.6 du 30 janvier 2015, n° 5 des Standards de la communauté Facebook du 15 novembre 2013 et n° 3.2 dans sa version du 30 janvier 2015, les clauses n° 6 des Standards de la communauté Facebook du 15 novembre 2013 et n° 3.4 du 30 janvier 2015 qui prévoient la suppression de contenus et du compte de l’utilisateur par la société FACEBOOK, en sa qualité d’hébergeur de contenus, dès lors qu’il a connaissance d’un contenu manifestement illicite, ne sont pas abusives au sens de l’article R. 132-1 4°) devenu article R. 212-1 4°) du code de la consommation.

En conséquence la demande de l’UFC QUE-CHOISIR sera rejetée de ce chef.

4. Clauses n° 8 et 9 des Standards de la communauté Facebook du 15 novembre 2013 et 4.3 du 30 janvier 2015

Clauses n° 8 et 9 des Standards de la communauté Facebook du 15 novembre 2013 :

CONTENU GRAPHIQUE

Facebook est depuis longtemps un lieu où les gens vont pour partager leurs expériences et sensibiliser l’opinion sur des sujets qui leur importent. Parfois, ces expériences et ces sujets impliquent du contenu visuel qui est d’intérêt public, par exemple le non-respect des droits de l’Homme ou les actes de terrorisme. Dans de nombreux cas, lorsque ce type de contenu est partagé, c’est pour le condamner. Toutefois, des images graphiques partagées par sadisme ou pour glorifier la violence n’ont pas leur place sur notre site.

Lorsque les utilisateurs partagent du contenu, nous attendons qu’ils le fassent de manière responsable. Cela implique de choisir avec précaution le public auquel le contenu est destiné. Pour les vidéos graphiques, il convient de prévenir le public de la nature du contenu de la vidéo afin qu’il puisse choisir en toute connaissance de cause de la regarder ou non.

Clause n°4.3 des Standards de la communauté Facebook du 30 janvier 2015 :

Facebook est depuis longtemps un lieu où les gens partagent leurs expériences et sensibilisent l’opinion sur des sujets importants. Parfois, ces expériences et ces sujets impliquent de la violence et des images explicites d’intérêt public, montrant par exemple des cas de non-respect des droits de l’Homme ou des actes de terrorisme. Dans de nombreux cas, lorsque ce type de contenu est partagé, c’est pour le condamner ou sensibiliser les autres sur le sujet. Nous supprimons les images explicites lorsqu’elles sont partagées par sadisme, ou pour célébrer ou glorifier la violence.

Nous attendons des utilisateurs qui partagent du contenu sur Facebook qu’ils le fassent de façon responsable, notamment en choisissant soigneusement qui pourra voir le contenu en question. Nous demandons également aux utilisateurs d’avertir leur audience du contenu qu’elle est le point de voir, si celui-ci impliques des scènes de violence explicites

L’association UFC QUE-CHOISIR reproche aux clauses critiquées d’user d’un vocabulaire volontairement imprécis, permettant à Facebook d’interpréter largement les possibles violations de ses conditions contractuelles. Elle ajoute que les clauses font porter sur le seul utilisateur le poids de la publication de ses contenus, ce qui est en contradiction avec les modalités de publicité des contenus sur Facebook, qui sont par défaut publiques et font reposer à tort les conséquences de ces paramétrages sur l’utilisateur.

La société FACEBOOK conteste les allégations de l’association UFC QUE-CHOISIR en affirmant que la sous-rubrique donne à l’utilisateur des exemples d’application des règles figurant dans les clauses n° 3.7 et 5.2 de la DDR, en prenant le soin d’expliquer de manière générale au début de la sous-rubrique le contexte dans lequel interviendrait la suppression de contenus violents. Elle utilise par la suite des termes précis se rapportant aux types de contenus pouvant faire l’objet de suppression : contenus relatifs à la « violence », au « sadisme », à la « violation des droits de l’Homme » et aux « actes de terrorisme ». Selon elle, la prétendue contradiction avec les modalités de publicité de contenus est absurde : c’est l’utilisateur qui sélectionne l’audience de ses contenus publiés. En sa qualité d’éditeur/fournisseur de contenu, l’utilisateur est responsable des contenus qu’il publie sur le Site Facebook.

En l’espèce, les clauses prévoient que les « images graphiques partagées par sadisme ou pour glorifier la violence » sont susceptibles d’être supprimées (« n’ont pas leur place sur notre site » (2013)) ; « Nous supprimons les images explicites lorsqu’elles sont partagées par sadisme, ou pour célébrer ou glorifier la violence » (2015) et demandent aux utilisateurs « de prévenir le public de la nature du contenu de la vidéo afin qu’il puisse choisir en toute connaissance de cause de la regarder ou non ».

De sorte que pour des raisons identiques à celles énoncées aux clauses précédemment examinées, n’est pas abusive la clause qui prévoit la suppression de contenus par la société FACEBOOK, en sa qualité d’hébergeur de contenus, dès lors qu’il a connaissance d’un contenu manifestement illicite.

La demande de l’association QUE-CHOISIR sera donc rejetée.

5. Clauses n° 10 des Standards de la communauté Facebook du 15 novembre 2013 et les clauses n°3.7 et 4.1 des Standards de la communauté du 30 janvier 2015 :

Clause n° 10 des Standards de la communauté Facebook du 15 novembre 2013 :

NUDITE ET PORNOGRAPHIE

Facebook interdit la publication de contenus pornographiques et de matériaux de nature sexuelle lorsqu’un mineur est impliqué. Nous imposons également des limites à l’affichage de certaines parties du corps. Nous respectons le droit de publier des contenus de nature personnelle, qu’il s’agisse de photos d’une sculpture telle que le David de Michel-Ange ou de photos avec un enfant au sein de sa mère.

Clause n° 3.7 des Standards de la communauté du 30 janvier 2015 :

Violence et exploitation sexuelles : comment nous combattons la violence et l’exploitation sexuelle sur Facebook

Nous supprimons tout contenu menaçant ou qui encourage la violence ou l’exploitation sexuelle des mineurs et les agressions sexuelles. Afin de protéger les victimes et les survivants, nous supprimons également les photographies et les vidéos mettant en scène des actes de violence sexuelle, ainsi que les images mises en ligne à des fins de vengeance ou sans l’autorisation des personnes impliquées.

Notre définition de l’exploitation sexuelle comprend la sollicitation de contenus à caractère sexuel, tout contenu impliquant des mineurs, les menaces de partage d’images intimes et les offres de services de nature sexuelle. Si nécessaire, nous transmettons ce type de contenus aux autorités. Les offres de service de nature sexuelle comprennent la prostitution, les services d’escorte, les massages à caractère sexuel et les actes sexuels filmés.

Clause n°4.1 des Standards de la communauté Facebook du 30 janvier 2015 :

Nudité

Les utilisateurs partagent parfois des scènes de nudité dans le cadre de campagnes de sensibilisation ou de projets artistiques. Nous limitons l’affichage de scènes de nudité, car certaines audiences au sein de notre communauté mondiale peuvent être sensibles à ce type de contenu, en particulier de par leur culture ou leur âge. Afin de traiter les utilisateurs de façon juste et de répondre rapidement aux signalements, il est essentiel pour nous de mettre en place des règles que nos équipes internationales peuvent appliquer uniformément et facilement lors des examens de contenus. En conséquence, nos règles peuvent parfois être plus formelles que nous l’aurions souhaité et limiter le contenu partagé à des fins légitimes. Nous cherchons sans cesse à mieux évaluer ce type de contenu et à mieux appliquer nos standards.

Nous supprimons les photographies présentant des organes génitaux ou des fesses entièrement exposées. Nous limitons également certaines images de poitrines féminines si elles montrent le mamelon, mais nous autorisons toujours les photos de femmes qui défendent activement l’allaitement ou qui montrent les cicatrices post-mastectomie de leur poitrine. Nous autorisons également les photos de peintres, sculptures et autres œuvres d’art illustrant des personnages nus. Les restrictions sur l’affichage de nudité et d’activité sexuelle s’appliquent également au contenu créé numériquement, sauf si le contenu est publié à des fins éducatives, humoristiques ou satiriques. Les images illustrant explicitement des rapports sexuels sont interdites. Les descriptions d’actes sexuels qui entrent dans les détails peuvent également être supprimées.

L’association UFC QUE-CHOISIR reproche aux clauses critiquées d’adopter un vocabulaire volontairement imprécis permettant à la société FACEBOOK d’interpréter largement les éventuelles violations de ses conditions contractuelles. Les clauses seraient donc abusives au sens de l’article R. 132-1, 4°) devenu article R. 212-1 4°) du code de la consommation.

Selon la société FACEBOOK la sous-rubrique donnerait à l’utilisateur des exemples d’application des règles figurant dans les clauses 3.7 et 5.2 de la DDR, car selon elle, la protection des droits des mineurs et des victimes commande de pouvoir définir largement ces types de contenus illicites. Il n’est donc pas souhaitable, ni d’ailleurs possible en pratique, de dresser une liste exhaustive des types de contenus visés en l’espèce.

La clause n° 10 des Standards de la communauté Facebook du 15 novembre 2013 et les clauses n°3.7 et 4.1 des Standards de la communauté du 30 janvier 2015 imposent des « limites à l’affichage de certains parties du corps » (clause n° 10) et envisagent de supprimer « tout contenu menaçant ou qui encourage la violence ou l’exploitation sexuelle des mineurs et les agressions sexuelles » et « les photographies et les vidéos mettant en scène des actes de violence sexuelle, ainsi que les images mises en ligne à des fins de vengeance ou sans l’autorisation des personnes impliquées ».
La même clause définit également l’exploitation sexuelle qui selon ses termes « comprend la sollicitation de contenus à caractère sexuel, tout contenu impliquant des mineurs, les menaces de partage d’images intimes et les offres de services de nature sexuelle », défini comme « la prostitution, les services d’escorte, les massages à caractère sexuel et les actes sexuels filmés » et prévoit de transmettre « ce type de contenus aux autorités » (clause n° 3.7).
La clause n° 4.1 informe que la société FACEBOOK limite « l’affichage de scènes de nudité, car certaines audiences au sein de notre communauté mondiale peuvent être sensibles à ce type de contenu, en particulier de par leur culture ou leur âge » et supprime « les photographies présentant des organes génitaux ou des fesses entièrement exposées », (…) « certaines images de poitrines féminines si elles montrent le mamelon », sauf les photos de femmes « qui défendent activement l’allaitement ou qui montrent les cicatrices post-mastectomie de leur poitrine ». Les « photos de peintres, sculptures et autres œuvres d’art illustrant des personnages nus » sont autorisées ». Alors que « les images illustrant explicitement des rapports sexuels sont interdites. Les descriptions d’actes sexuels qui entrent dans les détails peuvent également être supprimées ».

En conséquence, pour des raisons identiques à celles énoncées aux clauses précédemment examinées, les clauses critiquées, ne sont pas abusives la clause qui prévoit la suppression de contenus par la société FACEBOOK, en sa qualité d’hébergeur de contenus, dès lors qu’il a connaissance d’un contenu manifestement illicite.

6. Clauses n° 12 des Standards de la communauté Facebook du 15 novembre 2013 et sur la clause n° 6 des Standards de la communauté Facebook du 30 janvier 2015 :

Clause n° 12 des Standards de la communauté Facebook du 15 novembre 2013 :

PROPRIETE INTELLECTUELLE

Vous devez avoir le droit de publier ce que vous publiez sur Facebook. Nous vous demandons de respecter les droits d’auteur, de marques de commerce et tous autres droits.

Clause n° 6 des Standards de la communauté Facebook du 30 janvier 2015 :

Préserver votre propriété intellectuelle

Facebook est un site où vous pouvez partager les contenus qui vous intéressent. Le contenu et les informations que vous publiez sur Facebook vous appartiennent et vous pouvez contrôler la façon dont ce contenu est partagé, grâce aux paramètres de confidentialité et aux paramètres des applications. Toutefois, avant de partager du contenu sur Facebook, assurez-vous que vous avez le droit de le faire. Nous vous demandons de respecter les droits d’auteur, les marques de commerce et tout autre droit reconnu par la loi. En savoir plus sur les droits de propriété intellectuelle

Selon l’association UFC QUE-CHOISIR, les clauses litigieuses exige que l’utilisateur respecte, les règles de droit applicables en matière de propriété intellectuelle, alors que la clause n° 2 de la DDR prévoit les conditions de licence qu’octroie l’utilisateur au profit de la société FACEBOOK sur ses données. Les clauses seraient donc abusives au sens de l’article R. 132-1,
5°) devenu l’article R. 212-1 5°) du code de la consommation.

Pour la société FACEBOOK, les clauses rappellent à l’utilisateur les règles qu’il doit respecter en application des clauses 4.10 et 5 de la DDR. Elle soutient qu’elle respecte également les droits d’autrui, l’objectif de la clause n° 2 de la DDR étant précisément de lui permettre de ne pas violer les droits de propriété intellectuelle des tiers

Toutefois, en exigeant le respect par l’utilisateur des règles de droit applicables en matière de propriété intellectuelle, tout en s’affranchissant des mêmes règles au travers d’une autre clause (cf. clause n° 2 de la DDR, cf. supra), qui lui confère des droits susceptibles d’être protégées par les mêmes dispositions légales, les clauses critiquées sont abusives au sens de l’article R. 132-1 5°) devenu l’article R. 212-1 5°) du code de la consommation.

De sorte qu’abusives au sens de l’article R. 132-1 5°) devenu l’article R. 212-1 5°) du code de la consommation, les clauses n° 12 des Standards de la communauté Facebook du 15 novembre 2013 et n° 6 des Standards de la communauté Facebook du 30 janvier 2015 seront réputées non écrites.

7. Clauses n° 13 et n° 14 des Standards de la communauté Facebook du 15 novembre 2013 et n° 5.2 des Standards de la communauté du 30 janvier 2015 :

Clauses n° 13 et 14 des Standards de la communauté Facebook du 15 novembre 2013 :

HAMEÇONNAGE ET COURRIER INDESIRABLE

La sécurité des utilisateurs est une de nos priorités et nous faisons en sorte de les protéger contre toute tentative d’atteinte à la sécurité des comptes ou de la vie privée. Nous vous demandons également de respecter nos membres en vous abstenant de les contacter à des fins commerciales sans leur consentement.

SECURITE

La sécurité des utilisateurs de notre service nous tient à cœur et nous faisons en sorte d’empêcher les atteintes à leur vie privée ou à leur sécurité, en raison de fraudes notamment. En outre, nous vous demandons de respecter nos membres en vous abstenant de les contacter à des fins commerciales sans leur consentement.

Clause n° 5.2 des Standards de la communauté Facebook du 30 janvier 2015 :

Fraude et contenu indésirable : comment nous vous protégeons contre la fraude et le contenu indésirable.

Nous nous efforçons de garantir la sécurité des informations que vous partagez. Nous étudions la moindre faille de sécurité potentielle. Toute tentative visant à compromettre la sécurité d’un profil, notamment une fraude, peut être signalée aux autorités. L’utilisation d’informations trompeuses ou incorrectes en vue d’obtenir des mentions J’aime, des abonnés ou des partages de façon artificielle n’est pas autorisée. Nous vous demandons également de respecter les utilisateurs en vous abstenant de les contacter à des fins commerciales sans leur consentement.

L’association UFC QUE-CHOISIR conteste la rédaction des clauses en ce qu’elles limitent la responsabilité de la société FACEBOOK à l’occasion d’un dommage causé lors d’un hameçonnage, courrier indésirable ou atteinte à la sécurité du service Facebook. Les clauses seraient donc illicites au regard de l’article L. 121-19-4, devenu L. 221-15 du code de la consommation, de l’article 34 de la Loi Informatique et Libertés et 17 de la Directive 95/46 CE et abusives au sens de l’article R. 132-1, 5°), devenu l’article R. 212-1 5°) du code de la consommation.

La société FACEBOOK réplique que les clauses informent l’utilisateur de la mise en œuvre à son profit de toutes mesures propres à assurer la sécurité des informations de l’utilisateur, en application notamment de la clause n° 4 de la DDR. Elle précise que rien dans cette sous-rubrique ne vise à limiter la responsabilité de Facebook Ireland.

Aux termes des clauses critiquées, la société FACEBOOK au sein de la clause précitée d’indiquer qu’elle fait « en sorte d’empêcher les atteintes » à la vie privée ou à la sécurité de l’utilisateur, et qu’elle « s’efforce » « de garantir la sécurité des informations » que l’utilisateur partage.

Or, aux termes de l’article L. 121-19-4 devenu l’article L. 221-15 du code de la consommation le professionnel est responsable de plein droit à l’égard du consommateur de la bonne exécution des obligations résultant du contrat conclu à distance, que ces obligations soient exécutées par le professionnel qui a conclu ce contrat ou par d’autres prestataires de services, sans préjudice de son droit de recours contre ceux-ci.

De même, l’article 34 de la Loi Informatique et Libertés, prévoit que le responsable de traitement, est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et empêcher que des tiers non autorisés y aient accès.

Or, le libellé des clauses donne à croire à l’utilisateur que la société FACEBOOK ne serait pas en mesure d’assumer la charge de la sécurisation de ses données, alors qu’en sa qualité de fournisseur d’une prestation de services à distance elle est tenue d’une obligation de résultat à l’égard de l’utilisateur quant à la prestation convenue et qu’en sa qualité de responsable de traitement, elle est tenue à une obligation de préservation de ces données.

Les clauses critiquées sont donc illicites au regard l’article L. 121-19-4 devenu l’article L. 221-15 du code de la consommation et de l’article 34 de la Loi Informatique et Libertés précité.

Elles seront donc réputées non écrites.

8. Clause n° 5.4 des Standards de la communauté du 30 janvier 2015 :

Clause n° 5.4 des Standards de la communauté du 30 janvier 2015 : Comptes d’amis ou de proches décédés : comment créer un espace pour se souvenir des êtres chers disparus sur Facebook.

Facebook est un lieu où les gens partagent leurs histoires et évoquent des souvenirs au sujet d’amis ou de proches décédés. Une fois que nous avons reçu une preuve de décès, nous sécurisons le compte et le transformons en compte de commémoration. Nous procédons à cette transformation dès que nous recevons une preuve valide attestant le décès de la personne concernée. Apprenez en davantage sur ce qui se passe lorsque nous transformons un compte en compte de commémoration.

Les membres directs de la famille peuvent également demander le retrait et la suppression du profil d’un proche.

L’association UFC QUE-CHOISIR conteste le maintien d’un compte d’un utilisateur après sa mort, la finalité principale du traitement de données à caractère personnel mis en œuvre par Facebook réside dans la fourniture d’un service de communication via la plateforme Facebook, dont une personne décédée ne peut par définition plus bénéficier. La clause serait donc contraire à l’article 6 de la Loi Informatique et Libertés et illicite au regard des articles 6 et 40 de la Loi Informatique et Libertés, des articles 6 et 32 de la Directive 95/46 CE. Elle serait également abusive au sens de l’article L.132-1 devenu l’articles L. 212-1du code de la consommation.

La société FACEBOOK fait valoir qu’elle laisse la possibilité à l’utilisateur de décider, dans ses paramètres de sécurité et, par anticipation, de la suppression de son compte après son décès. L’utilisateur gardant la maîtrise de son compte, la société FACEBOOK et Facebook Ireland ne peut maintenir le compte de l’utilisateur contre sa volonté. A défaut de choix exprès de l’utilisateur, la société FACEBOOK laisse la possibilité aux héritiers de demander la suppression du compte. En l’absence de disposition légale spécifique, la CNIL se réfère aux bonnes pratiques de Facebook Ireland concernant les comptes de commémoration. Elle n’ajoute qu’aucun compte de commémoration ne peut être créé en l’absence d’une demande spécifique. Seuls les proches de l’utilisateur décédé ont le pouvoir de demander le maintien ou le retrait du compte de l’utilisateur (en l’absence d’une décision de retrait clairement exprimé par ce dernier).

Le Tribunal ayant déjà eu l’occasion de répondre à cette argumentation dans le cadre de l’examen de la clause n° 137 de la PUD du 15 novembre 2013 et pour des motifs identiques à ceux précédemment exposés, la demande de l’association UFC QUE- CHOISIR, tendant à réputer non-écrites la clause n° 5.4 des Standards de la communauté du 30 janvier 2015, sera rejetée.

III – Sur les autres demandes

1) Sur l’information des consommateurs concernés

À défaut d’identification personnelle des consommateurs ayant pu le cas échéant être lésés par les clauses litigieuses, la demande de l’association QUE CHOISIR tendant à enjoindre la société FACEBOOK d’informer à ses frais et sous astreinte l’ensemble des consommateurs concernés sera rejetée en l’état.

Il convient toutefois de faire droit au principe de cette demande en ordonnant à la société FACEBOOK de permettre à l’ensemble de ses adhérents français la lecture de l’intégralité du présent jugement par le moyen d’un lien hypertexte devant figurer sur la page d’accueil de son site Internet ainsi que sur celles de ses applications sur tablettes et téléphones pendant une durée de trois mois, ce lien hypertexte devant être mis en place sur ces pages d’accueil dans un délai d’un mois à compter de la signification de la présente décision et sous astreinte provisoire de 5.000 € par jour de retard à l’expiration de ce délai. Cette astreinte pourra ainsi courir pendant un délai de six mois au maximum.

2) Sur la réparation des préjudices moral et matériel

L’ensemble des clauses litigieuses n’étant plus présenté depuis plusieurs années au consommateur, le préjudice moral occasionné à l’intérêt collectif des consommateurs sera arbitré à la somme 30.000 € (trente mille euros).

L’association QUE CHOISIR n’apportant pas la preuve de l’existence d’un préjudice matériel distinct du préjudice moral subi par l’intérêt collectif des consommateurs, ce second poste de demande de dommages- intérêts sera rejeté.

3) Sur la publication du communiqué judiciaire

L’ensemble des clauses litigieuses n’étant plus présenté depuis plusieurs années au consommateur, il n’apparaît pas utile de faire droit aux demandes de l’association QUE CHOISIR aux fins de publication par voie de presse et de diffusion sur le site Internet FACEBOOK d’un communiqué judiciaire relatif à la présente décision.

4) Sur la demande reconventionnelle

Eu égard à l’annulation de la plus grande partie des clauses mises en débat, la société FACEBOOK sera purement et simplement déboutée de sa demande reconventionnelle de dommages-intérêts en allégation de procédure abusive ainsi que de sa demande subséquente de publication d’un communiqué à cet effet.

5) Sur l’exécution provisoire

Aucune situation d’urgence particulière ne justifie que la présente décision soit assortie de l’exécution provisoire.

6) Sur l’article 700 du code de procédure civile et les dépens

Il serait effectivement inéquitable, au sens des dispositions de l’article 700 du code de procédure civile, de laisser à la charge de l’association QUE CHOISIR les frais irrépétibles qu’elle a été amenée à engager à l’occasion de cette instance et qu’il convient d’arbitrer à la somme de 20.000 €, compte tenu de l’extrême longueur de cette procédure.

Succombant à l’instance sur la plus grande partie des demandes de l’association QUE CHOISIR, la société FACEBOOK sera purement et simplement déboutée de sa demande de défraiement au visa de l’article 700 du code de procédure civile et sera condamnée à supporter les entiers dépens de l’instance.

Enfin, succombant en très grande partie à l’instance, la société FACEBOOK en supportera les entiers dépens.

DÉCISION

Le Tribunal, statuant publiquement par jugement mis à disposition au greffe, contradictoire et en premier ressort;

DÉCLARE RECEVABLE l’ensemble des demandes formées par l’association UNION FÉDÉRALE DES CONSOMMATEURS (UFC)

QUE CHOISIR à l’encontre de la société de droit irlandais FACEBOOK IRELAND.

DIT que l’ensemble des clauses susmentionnées et précédemment discutées des Conditions générales d’utilisation du réseau social Facebook, résultant d’offres contractuelles de la société de droit américain FACEBOOK INC. et de la société de droit irlandais FACEBOOK IRELAND au titre de la Déclaration des droits et des responsabilités du 15 novembre 2013, de la Déclaration des droits et des responsabilités du 30 janvier 2015, de la Déclaration des droits et des responsabilités du 9 décembre 2016, de la Politique d’utilisation des données du 15 novembre 2013, de la Politique d’utilisation des données du 30 janvier 2015 et de mars et septembre 2016, de la Politique d’utilisation des données du 29 septembre 2016, des Standards de la communauté Facebook du 15 novembre 2013 et des Standards de la communauté Facebook du 30 janvier 2015 sont réputées non-écrites en raison de leur caractère abusif ou illicite dans tous les contrats proposés par la société FACEBOOK, y compris ceux qui ne sont plus proposés, à l’exception des clauses suivantes :

* clause n° 137 de la PUD du 13 novembre 2013 ;
* clauses n° 4 des Standards de la communauté et n° 3, 3.1, 3.3, 3.6 des Standards de la communauté du 30 janvier 2015 ;
* clauses n° 5 des Standards de la communauté du 15 novembre 2013 et n° 3.2 des Standards de la communauté du 30 janvier 2015 ;
* clauses n° 6 des Standards de la communauté du 15 novembre 2013 et n° 3.4 des Standards de la communauté du 30 janvier 2015 ;
* clauses nn° 8 et 9 des Standards de la communauté du 15 novembre 2013 et n° 4.3 des Standards de la communauté du 30 janvier 2015 ;
* clauses n° 10 des Standards de la communauté du 15 novembre 2013 et n° 3.7 et 4.1 des Standards de la communauté du 30 janvier 2015 ;
* clause n° 5.4 des Standards de la communauté du 30 janvier 2015.

ORDONNE à la société FACEBOOK IRELAND de permettre à l’ensemble de ses adhérents français la lecture de l’intégralité du présent jugement par le moyen d’un lien hypertexte dans une bannière exclusivement dédiée devant figurer sur la page d’accueil de son site Internet ainsi que sur celles de ses applications sur tablettes et téléphones pendant une durée de trois mois, ces dispositifs d’accès et de lecture devant être créés dans un délai d’un mois à compter de la signification de la présente décision et sous astreinte provisoire de 5.000 € par jour de retard à l’expiration de ce délai, cette astreinte ne pouvant courir que pendant une durée de six mois au maximum.

CONDAMNE la société FACEBOOK IRELAND à payer au profit de l’association UFC-QUE CHOISIR la somme de 30.000 € (trente mille euros) en réparation du préjudice moral ayant été occasionné à l’intérêt collectif des consommateurs.

CONDAMNE la société FACEBOOK IRELAND à payer au profit de l’association UFC-QUE CHOISIR une indemnité de 20.000 € (vingt mille euros) sur le fondement de l’article 700 du code de procédure civile.

DÉBOUTE les parties de leurs demandes plus amples ou contraires.

CONDAMNE la société FACEBOOK IRELAND aux entiers dépens de l’instance.

 

Le Tribunal : Philippe Valleix (premier vice-président), Géraldine Detienne (vice-présidente), Martine Charre Serveau (juge), Claire Angelini (greffier lors des débats), Juliette Jarry (greffier lors du prononcé)

Avocats : Me François-Pierre Lani, Me Bertrand Liard

Source : quechoisir.org

Lire notre présentation de la décision