Données personnelles

RGDP : UFC Que Choisir c/ Steam | 28 octobre 2019

L’UFC Que Choisir est recevable à agir contre un site internet à destination des consommateurs français, pour violation du Règlement européen relatif à la protection des données personnelles n° 2016/679 du 27 avril 2016 dit RGPD. Les associations de consommateurs agréées sont recevables à solliciter en justice la cessation d’agissements illicites et à demander la suppression de clauses abusives et/ou illicites dans tout contrat ou type de contrat proposé ou destiné à un consommateur, l’agissement illicite, n’étant pas nécessairement constitutif d’une infraction pénale.

Droit d’agir des associations de consommateurs

Les associations agrées peuvent demander à la juridiction civile ou à la juridiction répressive, statuant sur l’action civile, d’ordonner au défendeur ou au prévenu, le cas échéant sous astreinte, toute mesure destinée à faire cesser des agissements illicites ou à supprimer dans le contrat ou le type de contrat en cours ou non, proposé aux consommateurs une clause illicite et peuvent également demander, selon le cas, à la juridiction civile ou à la juridiction répressive de déclarer que cette clause est réputée non écrite dans tous les contrats identiques conclus par le défendeur ou le prévenu avec des consommateurs et de lui ordonner d’en informer à ses frais les consommateurs concernés par tous moyens appropriés.

Associations reconnues au niveau européen

L’article L. 621-7 du code de la consommation, prévoit également que les associations agréées et les organismes justifiant de leur inscription sur la liste publiée au Journal officiel de l’Union européenne en application de l’article 4 de la directive 2009/22/ CE du 23 avril 2009, peuvent agir devant la juridiction civile pour faire cesser ou interdire tout agissement illicite au regard des dispositions transposant les directives mentionnées à l’article 1er de la directive précitée.

Agrément des associations

Les associations de défense des consommateurs peuvent être agréées après avis du ministère public, les conditions dans lesquelles ces associations peuvent être agréées compte tenu de leur représentativité sur le plan national ou local ainsi que les conditions de retrait de cet agrément, étant fixées par décret.

Agrément de l’UFC Que Choisir

L’association UFC – Que Choisir justifie qu’elle remplit la condition préalable d’agrément prévue par l’article L. 421-2 devenu l’article L. 621-1 du code de la consommation en produisant à l’appui de sa demande le décret du 4 août 2016 (J.O du 11 août 2016) portant renouvellement de son agrément pour cinq ans à compter du 22 septembre 2016.

Violation de données personnelles

Au surplus, l’article 43 2°) de la Loi informatique et Liberté prévoit, lorsqu’un préjudice a pour cause un manquement aux dispositions de la loi précitée, par un responsable de traitement de données à caractère personnel ou un sous-traitant, que l’action tendant à la cessation de ce manquement peut être exercée par les associations de défense des consommateurs représentatives au niveau national et agréées en application de l’article L. 811-1 du code de la consommation, dès lors que le traitement de données à caractère personnel affecte des consommateurs, sans que soit exigée l’existence d’une infraction pénalement sanctionnée.

Politique de traitement des données personnelles confuse

 

L’UFC Que Choisir a obtenu la condamnation de la plateforme de distribution de jeux vidéo Steam. En cause, la politique de traitement des données personnelles de la plateforme, considérée comme ni claire ni compréhensible par la juridiction. L’abonné était supposé connaître les « lois applicables sur le marketing par e-mail » ainsi que les dispositions du Code des postes et des communications électroniques et plus précisément son article L. 34-5, ce qui ne pouvait être le cas pour un  « utilisateur moyen » voire d’un « juriste moyen ».

En feignant de délivrer de manière peu claire et peu compréhensible (« lois applicables sur le marketing par e-mail ») une information relative aux bases légales de la diffusion de messages publicitaires ciblés (« messages à teneur marketing à votre adresse e-mail au sujet de ses produits et services proposés ») ainsi que de la collecte d’informations à des fins de « prospection commerciale » (« utiliser vos informations recueillies afin de personnaliser ces messages à teneur marketing, et nous pouvons également recueillir des informations indiquant si vous avez ouvert ces messages et quels liens de leur texte vous avez suivis »), en usant d’expressions inadéquates et imprécises, la clause, était illicite au regard de l’article L. 211-1 du code de la consommation. La clause était également irréfragablement abusive au sens de l’article R. 212-1 4°) du code de la consommation, en reconnaissant au professionnel un droit exclusif d’interprétation dans le sens qui lui serait le plus favorable. Elle doit à ce titre être réputée non écrite.

Question du Privacy Shield

 

Autre disposition sanctionnée : la clause relative au Privacy Shield. Les réclamations concernant le dispositif du bouclier de protection des données (Privacy shield) initiées par un résident français peuvent faire l’objet d’une plainte déposée auprès de la CNIL, qui prendra en charge le traitement de cette plainte.

En prévoyant que le résident français devait obligatoirement porter les réclamations relatives au bouclier de protection d’abord auprès de la société, puis en cas d’échec, auprès d’un « fournisseur tiers de services de règlement des différends », choisi par la société (« notre fournisseur »), ou faire « l’objet d’un arbitrage obligatoire« , tout en affirmant que ce type de litiges relève en définitive de la compétence de la »Commission fédérale du commerce », sans mentionner que l’utilisateur peut tout simplement saisir la CNIL en cas d’échec de sa réclamation auprès de la société concernée par le transfert de ses données personnelles vers les Etats-Unis, la clause était illicite au regard des articles 68 de la Loi Informatique et Libertés et des articles 13.2 (d) et 55.1 du RGPD.

Pour rappel, l’article 13 du RGPD précise d’une part que le responsable de traitement doit informer les personnes concernées du droit d’introduire une réclamation auprès d’une autorité de contrôle et d’autre part, que lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, ou, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition.

Les articles 46. 1 et 2 du RGDP encadrent les transferts moyennant des garanties appropriées : le  responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives. Les garanties peuvent être fournies, sans que cela ne nécessite une autorisation particulière d’une autorité de contrôle, par un mécanisme de certification approuvé conformément à l’article 42 (consentement explicite), assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées. En application de ces dispositions, le mécanisme d’auto certification Privacy Shield assure une protection des données qui reste limitée aux transferts à destination des Etats-Unis.

S’agissant du transfert de données hors Union européenne, l’article 68 de la Loi Informatique et Libertés interdit, pour des motifs tenant à la protection des droits fondamentaux des personnes physiques, les transferts de données des Européens vers des États tiers n’assurant pas un « niveau de protection adéquat ».

Droit d’accès des visiteurs passifs

L’association UFC Que Choisir a également  obtenu la censure de la clause imposant aux utilisateurs d’exercer leurs droits via un « tableau de bord ». La clause laisse de côté les données des utilisateurs ne disposant pas d’un compte sur cette plateforme, tels que les simples visiteurs dont les informations de navigation sont collectées via les cookies Google Analytics. Pour ces utilisateurs aucune solution concrète pour l’exercice de leurs droits n’est offerte en violation des obligations d’information prévues par l’article 13 du RGPD, de l’article 32.II de la Loi Informatique et Libertés et du principe de transparence prévu par l’article 12 du RGPD.  Les droits d’accès et de rectification des utilisateurs ne sont pas limités aux utilisateurs d’un service ; ils sont étendus à toute personne physique dont les données sont traitées.

Les utilisateurs « passifs » disposent aussi auprès du responsable du traitement d’un droit d’accès, de correction, de suppression, ou de modification des données personnelles collectées auprès de lui via des cookies. Or, en limitant le droit d’accès, de correction, de suppression, ou de modification des données à caractère personnel collectées aux seuls utilisateurs du site sans prévoir l’exercice de ces droits aux utilisateurs passifs, dont les données à caractère personnel ont cependant été collectées via des cookies, la clause critiquée contrevient aux dispositions des articles 1, 2 et 39 de la Loi Informatique et Libertés.

Pour rappel, l’article 2 de la Loi Informatique et Libertés pose que toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres constitue une donnée à caractère personnel. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. Toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction, constitue un traitement de données à caractère personnel, la personne concernée par un traitement de données à caractère personnel étant celle à laquelle se rapportent les données qui font l’objet du traitement.

Par ailleurs, l’article 5.1 du RGPD dispose que les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ; collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Clause de « Cookies » sanctionnée

L’article L. 211-1 du code de la consommation, impose aux professionnels dans les contrats qu’ils proposent aux consommateurs que les clauses desdits contrats soient présentées et rédigées de façon claire et compréhensible. En mentionnant que les « cookies » et les « technologies similaires (par exemple, balises Web, pixels, balises publicitaires et identificateurs d’appareils) » aident la société à analyser « comment les utilisateurs utilisent nos services » (c’est-à-dire l’analyse du comportement des utilisateurs de la plate-forme), pour (…) reconnaître l’utilisateur et/ou (son) ou (ses) appareils sur, hors et à travers différents appareils et nos services, et « pour améliorer les services (offerts) », « pour améliorer le marketing (?), l’analyse ou la fonctionnalité du site Web », sans mentionner qu’à l’occasion du dépôt de cookies par la société des données à caractère personnel sont collectées à l’insu de l’utilisateur à l’occasion notamment de la navigation (d’une « visite ») sur le site, la clause est illicite au regard de l’article L. 211-1 du code de la consommation.

Le recueil du consentement de la personne concernée est nécessaire avant le dépôt de cookies, qui ne peuvent donc pas être déposés ou lus sur le terminal de l’utilisateur, tant que ce dernier n’a pas donné son consentement, lequel doit résulter d’une manifestation de volonté libre, spécifique et informée, notamment sur les conséquences négatives qui pourraient lui être opposées en cas de refus de donner son consentement, comme l’impossibilité pour elle d’accès au service.

En s’abstenant d’informer l’utilisateur de la collecte de données à caractère personnel lors de la création et de la gestion de son compte – collecte dont il ignore l’existence et à laquelle il n’a pas expressément consenti – les clauses litigieuses placent l’utilisateur dans l’impossibilité d’appréhender et de contrôler l’usage qui sera fait de ses données à caractère personnel. En présumant une adhésion préalable et globale de l’utilisateur à toute collecte communication ou divulgation des données à caractère personnel à l’égard des tiers, les clauses de l’Accord de protection de la vie privée créent un déséquilibre significatif, leur conférant un caractère abusif, au sens de l’article L. 212-1 du code de la consommation, au détriment des droits du consommateur utilisateur.

Par ailleurs, les clauses d’une politique de collecte de données personnelles sont illicites si elles  prévoient la collecte, via des cookies déposés sur l’ordinateur de la personne concernée (l’utilisateur de la plate-forme), de données de nature à permettre directement ou indirectement son identification, notamment au moyen de l’adresse IP de son ordinateur, sans l’avoir informée préalablement de cette collecte, sans avoir recueilli son consentement, lequel doit être entendu comme la manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair.

Au sens de l’article 4 du RGPD, les « données à caractère personnel » sont constituées de toute information se rapportant à une personne physique identifiée ou identifiable c’est-à-dire une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

L’article 32-II de la Loi Informatique et Libertés prévoit que tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant, de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques. Il doit être également informé de toute action tendant à inscrire des informations dans cet équipement. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord, lequel peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. Toutefois, ces dispositions ne sont applicables que si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou sont strictement nécessaire à la fourniture d’un service de communication en ligne et ce à la demande expresse de l’utilisateur.

L’article 4.11 du RGPD définit le consentement de la personne concernée, comme toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Haut
error: Content is protected !!