CA Paris, Pôle 5 ch. 11, 27 février 2026, n° 21/00128
PARIS
Arrêt
Confirmation
PARTIES
Demandeur :
Apple Distribution International Limited (Sté)
Défendeur :
UFC-Que Choisir
COMPOSITION DE LA JURIDICTION
Président :
Mme L'Eleu de la Simone
Conseillers :
Mme L'Eleu de la Simone, Mme Guillemain
Avocats :
Me De Maria, Me Arroyo, Me Rahier, Me Hardouin
FAITS ET PROCEDURE
1. Fondée en 1951 sous le régime de la loi du 1er juillet 1901, l'association L'Union Fédérale des Consommateurs-Que Choisir (ci-après « UFC-Que Choisir'») est l'une des principales organisations de consommateurs en France. Elle compte aujourd'hui 142 associations locales et plus de 137.000 adhérents.
2. En sa qualité d'association représentative des consommateurs, elle agit aux fins de faire respecter leurs droits chaque fois que les pratiques déloyales des professionnels sont susceptibles de léser leurs intérêts. Elle est pour cela agréée pour exercer sur le plan national les droits reconnus aux associations de consommateurs en application de l'article L.811-1 du code la consommation.
3. La société de droit luxembourgeois iTunes, filiale à 100% de la société Apple Inc., a été absorbée par la société Apple Software Services Limites (ci-après «'ASSL'»), qui elle-même a été absorbée par la société de droit irlandais Apple Distribution International (ci-après «'ADI'») et ayant son siège social à [Localité 1] en Irlande. Eu égard aux diverses absorptions successives et de la reprise de l'ensemble des droits et obligations de la société iTunes, la société ADI est devenue l'ayant-cause universel de cette dernière.'
4. La société ADI a pour activité la vente de produits culturels, films, musique et autres livres électroniques via l'application iTunes, ainsi que des jeux et applications mobiles via l'application Apple Store. Depuis le 30 juin 2015 et lancé par la société iTunes, la société ADI propose également un service d'écoute de musique en ligne dénommée «'Apple Music'» dans tous les pays européens, dont la France.
5. Ce service permet aux utilisateurs d'accéder à un important catalogue musical, de créer des listes de lecture ou encore d'écouter la radio. Il fournit également des suggestions personnalisées aux abonnés en fonction de leur activité d'écoute et des préférences musicales qu'ils ont exprimées sans aucune publicité.
6. Hormis une période d'essai gratuit de trois mois, le service Apple Music est facturé 9,99 euros par mois pour un abonnement pour une personne, ou 14,99 euros par mois pour un abonnement familial pouvant être utilisé par six personnes au sein d'un même foyer.
7. Par courrier du 16 décembre 2015, l'association UFC-Que Choisir a mis en demeure la société iTunes de modifier ou supprimer les clauses qu'elle considérait abusives et / ou illicites des conditions d'utilisation d'Apple Music (ci-après «'V1'») datées du 30 juin 2015.
8. Par courrier du 17 mars 2016, la société iTunes a répondu aux préoccupations de l'association UFC-Que Choisir et l'a invité à une réunion physique. L'association n'a toutefois pas donné de suites à ce courrier.
9. Suivant exploit du 7 juin 2016, l'association UFC-Que Choisir a fait assigner la société ADI devant le tribunal de grande instance de Paris, devenu tribunal judiciaire de Paris, aux fins notamment de faire constater le caractère abusif et / ou illicite de certaines clauses des conditions contractuelles du service Apple Music, lesquelles ont évolué au cours de l'instance, et d'obtenir la réparation du préjudice causé à l'intérêt collectif des consommateurs y résultant.
10. Par jugement du 9 juin 2020, le tribunal judiciaire de Paris a':
- déclaré recevable l'ensemble des demandes formées par l'association UFC-Que Choisir à l'encontre de la société ADI,
- déclaré réputées non-écrites, en raison de leur caractère illicite ou abusif, les clauses suivantes':
' la clause «'EXCLUSIONS DE GARANTIES'; LIMITATIONS DE RESPONSABILITÉ'» dans les versions V2, V3, V4 et V5,
' la clause «'DIVERS'» («'Autres stipulations'»), clause d'exonération de responsabilité dans les versions V1, V2, V3, V4 et V5 et clause d'indivisibilité dans les versions V1, V3, V4 et V5,
' les clauses «'ENVOIE DE CONTENU AU SERVICE APPLE MUSIC'» dans la version V1 et «'VOS ENVOIS SUR NOS SERVICES'» dans les versions V3, V4 et V5,
'''''''' ' la clause «'DISPONIBILITÉ DU CONTENU'» dans la version V1,
'''''''' ' la clause « RÉSILIATION'» dans la version V1,
'''''''' ' la clause «'RÉSILIATION ET SUSPENSION DES SERVICES'» dans les versions V3, V4, V5,
'''''''' ' la clause «'UTILISATION DE CONTENU'» dans la version V1'; les clauses «'MODIFICATIONS'» dans la version V1 et «'MODIFICATIONS DU CONTRAT'» dans les versions V3, V4 et V5.
'''''''' ' les clauses figurant dans les conditions d'Utilisation du service Appel Music (Version V4 (septembre 2018) et V5 (mai 2019), reproduites dans le dispositif du jugement),
'''''''' ' les clauses figurant dans l'« Engagement de confidentialité'» (version du 22 mai 2018 et version du 9 mai 2019, reproduites dans le dispositif du jugement),
'''''''' ' les clauses figurant dans le document «'Appel Music et confidentialité'» (version du 17 septembre 2018, reproduites dans le dispositif du jugement),'''
- ordonné à la société ADI de permettre à l'ensemble de ses abonnés français la lecture de l'intégralité du présent jugement par le moyen d'un lien hypertexte devant figurer sur la page d'accueil de son site Internet ainsi que sur celles de ses applications sur tablettes et téléphones pendant une durée de trois mois, ce lien hypertexte devant être mis en place et activable sur ces pages d'accueil,
- dit que la mesure qui précède devra être mise en place dans un délai d'un mois à compter de la signification de la présente décision et sous astreinte provisoire de 3.000 euros par jour de retard à l'expiration de ce délai, cette mesure d'astreinte ne pouvant courir que pendant six mois consécutifs,
- condamné la société ADI à payer au profit de l'association UFC-Que Choisir la somme de 20.000 euros à titre de dommages-intérêts en réparation du préjudice occasionné à l'intérêt collectif des consommateurs,
- condamné la société ADI à payer au profit de l'association UFC-Que Choisir une indemnité de 10.000 euros sur le fondement de l'article 700 du code de procédure civile,
- rejeté la demande d'exécution provisoire de la présente décision,
- débouté les parties de leurs demandes plus amples ou contraires,
- condamné la société ADI aux entiers dépens.
11. La société ADI a formé appel du jugement par déclaration du 23 décembre 2020 enregistrée le 4 janvier 2021.
12. Suivant conclusions transmises par le réseau privé virtuel des avocats le 21 janvier 2022, la société ADI a saisi le conseiller de la mise en état d'un incident d'irrecevabilité de l'appel incident de l'association UFC-Que Choisir.
13. Dans ses dernières conclusions d'incident remises le 15 mars 2022, la société ADI demande au conseiller de la mise en état, au visa des articles 562, 564, 909, 910-1 et 954 du code de procédure civile :
- de déclarer l'association UFC-Que Choisir irrecevable en son appel incident ainsi libellé aux termes de ses conclusions':
' « INFIRMER le jugement rendu le 9 juin 2020 par le Tribunal Judiciaire de Paris en ce qu'il a déclaré :
« L'association demande la suppression des clauses critiquées et ce pour l'ensemble des versions critiquées, sous astreinte de 300,00 euros par clause et par jour de retard, postérieurement à l'expiration d'un délai de 8 jours à compter de la signification du jugement à intervenir et ce conformément aux dispositions de l'article L.421-6 du code de la consommation. et de déclarer inopposables ces clauses à tous les consommateurs. Elle sollicite également de déclarer ces clauses inopposables.
Il n'apparaît pas nécessaire d'assortir de mesures d'astreinte la déclaration de clauses susmentionnées en clauses réputées non-écrites.
L'ensemble de ces postes de demande sera en conséquence rejeté »
Et, statuant à nouveau,
'''''' ' ORDONNER la suppression de toutes les clauses qui seront confirmées comme illicites et/ou abusives par la Cour, dans toutes leurs versions étudiées en première instance, ainsi que dans tous les documents destinées et/ou proposées aux consommateurs, comprenant ainsi, par voie de conséquence, ces mêmes clauses contenues dans les documents contractuels proposés par ADI, à la date de notification de l'arrêt de la Cour »,
Par conséquent,
- de déclarer l'association UFC-Que Choisir irrecevable en ses demandes visées ci-dessus,
- de déclarer le jugement définitif en ce qu'il a débouté l'association UFC-Que Choisir de sa demande de suppression,
En tout état de cause,
- de déclarer l'association UFC-Que Choisir irrecevable en sa demande suivante :
' « ORDONNER la suppression de toutes les clauses qui seront confirmées comme illicites et/ou abusives par la Cour (') dans tous les documents destinées et/ou proposées aux consommateurs, comprenant ainsi, par voie de conséquence, ces mêmes clauses contenues dans les documents contractuels proposés par ADI, à la date de notification de l'arrêt de la Cour »,
- de rejeter les demandes de l'association UFC-Que Choisir fondées sur les articles 32-1 et 700 du Code de procédure civile,
- de condamner l'association UFC-Que Choisir à payer à la société ADI la somme de 10.000 euros au titre de l'article 700 du Code de procédure civile, ainsi qu'aux entiers dépens.
14. Suivant ses dernières conclusions signifiées par le réseau privé virtuel des avocats le 23 mars 2022, l'association UFC-Que Choisir demande au conseiller de la mise en état, au visa des articles 32-1, 562, 909, 910-1 et 954 du code de procédure civile':
- de déclarer la recevabilité de l'appel incident de l'association UFC-Que Choisir,
- de déclarer la recevabilité des demandes formulées par l'association UFC-Que Choisir,
En conséquence,
- de rejeter les prétentions de la société ADI visant à contester la recevabilité de l'appel incident et des demandes formulées par l'association UFC-Que Choisir,
En tout état de cause,
- de condamner la société ADI à une amende civile d'un montant de 10.000 euros en application de l'article 32-1 du Code de procédure civile,
- de condamner la société ADI à payer à l'association UFC-Que Choisir la somme de 10.000 euros au titre de l'article 700 du code de procédure civile, ainsi qu'aux entiers dépens.
'
15. Par ordonnance du 12 mai 2022, le conseiller de la mise en état a':
- dit que les demandes de la société ADI excèdent les pouvoirs du conseiller de la mise en état,
- rejeté les demandes de l'association UFC-Que Choisir au titre de la procédure abusive,
- rejeté la demande de la société ADI au titre de l'article 700 du code de procédure civile,
- rejeté la demande de l'association UFC-Que Choisir au titre de l'article 700 du code de procédure civile,
- dit que les dépens de l'incident suivront le sort de ceux de l'instance au fond.
'
16. Suivant ses dernières conclusions transmises par le réseau privé virtuel des avocats le 22 décembre 2023, la société ADI demande à la cour :
'
I) Sur la recevabilité des demandes de l'UFC :
'
- d'infirmer le jugement rendu le 9 juin 2020 par le Tribunal Judiciaire de Paris en ce qu'il a déclaré recevable l'ensemble des demandes formées par l'association UFC-Que Choisir à l'encontre de la société ADI,
'
Statuant à nouveau de ce chef,
'
A titre principal,
- de juger l'association UFC-Que Choisir irrecevable en ses demandes visant les clauses des conditions générales d'utilisation du service Apple Music (V1, V2, V3, V4 et V5), les clauses de l'engagement de confidentialité (V1 et V2) et les clauses du document Apple Music et confidentialité en ce qu'elles sont fondées sur le droit de la protection des données personnelles et le droit de la propriété littéraire et artistique,
'
- en cas de doute sur l'interprétation des dispositions du droit communautaire sur ce point, de soumettre des questions préjudicielles à la Cour de justice de l'Union Européenne qui pourront être formulées comme suit :
'
« Les articles 1 et 2 de la directive n° 2009/22/CE doivent-ils être interprétés en ce sens qu'ils s'opposent à ce qu'un État membre limite l'action visant à faire cesser ou interdire un acte contraire aux seules directives énumérées à l'annexe I telles que transposées dans l'ordre juridique interne des États membres, à l'exclusion de tout autre texte '
'
L'article 80, paragraphe 2, du règlement n°2016/679/UE doit-il être interprété en ce sens qu'un État membre n'a pas fait usage de la faculté offerte par cette disposition lorsqu'il a introduit dans son droit national, antérieurement à l'adoption de ce règlement, l'action prévue par les articles 1 et 2 de la directive n°2009/22, à savoir une action ayant pour objet de faire cesser ou interdire tout acte contraire aux dispositions nationales transposant les directives limitativement énumérées à l'annexe 1 de cette directive, à l'exclusion de tous autres textes nationaux ou européens portant sur la protection des données personnelles, y compris le règlement n°2016/679 '
'
En cas de réponse négative à la deuxième question préjudicielle, l'article 80, paragraphe 2, du règlement n°2016/679/UE s'oppose-t-il à ce qu'un État ouvre l'action prévue par cette disposition à toutes les associations agréées, y compris celles qui ne rempliraient pas les deux conditions du paragraphe 1 de la même disposition, et notamment les associations agréées dont l'objet unique ou principal est la protection des consommateurs ' »,
'
A titre subsidiaire,
'
- de juger l'association UFC-Que Choisir irrecevable en ses demandes additionnelles visant l'engagement de confidentialité (V1 et V2) et le document Apple Music et confidentialité faute de lien suffisant avec les demandes originaires,
'
A titre infiniment subsidiaire,
'
- de juger l'association UFC-Que Choisir irrecevable en ses demandes visant l'engagement de confidentialité (V1 et V2) dans la mesure où ce document ne concerne pas spécifiquement le service Apple Music qui est seul objet du litige,
'
En tout état de cause,
'
- de juger l'association UFC-Que Choisir irrecevable en ses demandes visant les Clauses 1, 2, 4, 7, 8, 9 et 10 des conditions générales d'utilisation du service Apple Music (V1, V2, V3, V4 et V5), les Clauses 1, 2, 3, 4, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23 et 24 de l'engagement de confidentialité (V1 et V2), les Clauses 1, 2, 3, 4, 5 et 6 du document Apple Music et confidentialité sur le fondement de l'article L. 211-1 du Code de la consommation, dont l'application est exclue par l'article L. 621-8 du Code de la consommation,
'
- dans le cas où la Cour aurait un doute sur l'interprétation de la Directive 93/13/CE du 5 avril 1993 sur ce point, de soumettre à la Cour de justice de l'Union Européenne une question préjudicielle, qui pourrait être rédigée comme suit :
'
« Les articles 5 et 7 §2 de la directive 93/13/CEE doivent-ils être interprétés en ce sens que la règle d'interprétation prévue à l'article 5 ne peut être invoquée dans le cadre d'une action en cessation intentée par une association de consommateurs sur le fondement de la directive 2009/22/CE ' »
'
- de juger l'association UFC-Que Choisir irrecevable en ses demandes visant les Conditions Générales V1, V2, V3, V4, V5, l'Engagement de Confidentialité V1 et V2 et le Document Apple Music et confidentialité V1 qui ne sont plus « en cours d'exécution » au sens de l'article L. 621-8 du Code de la consommation,
'
- de juger l'association UFC-Que Choisir irrecevable en ses demandes visant l'Engagement de Confidentialité et le Document Apple Music et confidentialité qui ne sont pas des « contrats » au sens de l'article L. 621-8 du Code de la consommation,
II) Sur le fond des demandes de l'association UFC-Que Choisir (à titre subsidiaire s'agissant des demandes visées ci-dessus dont l'irrecevabilité est sollicitée par la société ADI, et à titre principal s'agissant des autres demandes de l'association UFC-Que Choisir) :
'
- d'infirmer le jugement rendu le 9 juin 2020 par le Tribunal Judiciaire de Paris en ce qu'il a':
''''' ' déclaré réputées non-écrites, en raison de leur caractère illicite ou abusif, les clauses suivantes':
' La clause « EXCLUSIONS DE GARANTIES ; LIMITATIONS DE RESPONSABILITÉ » dans les versions V2, V3, V4 et V5 ;
' La clause « DIVERS » (« Autres stipulations »), clause d'exonération de responsabilité dans les versions VI, V2, V3, V4 et V5 et clause d'indivisibilité dans les versions VI, V3, V4 et V5) ;
' Les clauses « ENVOI DE CONTENU AU SERVICE APPLE MUSIC » dans la version VI et « VOS ENVOIS SUR NOS SERVICES » dans les versions V3, V4 et V5 ;
' La clause « DISPONIBILITE DU CONTENU » dans la version VI ;
' La clause « RESILIATION » dans la version VI ;
' La clause « RESILIATION ET SUSPENSION DES SERVICES » dans les versions V3, V4 et V5 ;
' La clause « UTILISATION DE CONTENU » dans la version VI ; Les clauses « MODIFICATIONS » dans la version VI et « MODIFICATIONS DU CONTRAT » dans les versions V3, V4 et V5.
' Les clauses figurant dans les conditions d'Utilisation du service Apple Music (Versions V4 (septembre 2018) et V5 (mai 2019), ci-après reproduites) :
'
« Vous acceptez que le concédant puisse collecter et utiliser des données techniques et toute information associée, y compris, notamment, les informations techniques concernant votre dispositif, votre système et votre logiciel d'application, ainsi que les périphériques, et qui son recueillies périodiquement afin de faciliter la fourniture de mises à jour de logiciels, de services d'assistance technique relative au produit, ainsi que d'autres services (le cas échéant) se rapportant à l'application sous licence. Le concédant peut utiliser ces informations aussi longtemps qu'elles sont sous une forme ne permettant pas de vous identifier personnellement, afin d'améliorer ses produits ou de vous fournir des services ou des technologies. »
'
« Vous reconnaissez qu'Apple est en droit de divulguer des données et/ou des formations aux forces de l'ordre, aux autorités publiques et/ou à des tiers, si Apple l'estime raisonnablement nécessaire ou approprié pour faire appliquer et/ou vérifier le respect de toute disposition du présent contrat (y compris notamment le droit d'Apple de coopérer dans le cadre de toute procédure judiciaire relative à votre utilisation des services et/ou du contenu et/ou sur réclamation de tiers relative à votre utilisation illicite des services et/ou du contenu et/ou en violation des droits de ces tiers). »
'
« Sauf dans les cas indiqués au paragraphe (d) ci-dessous ou dans le cas où vous exercez un droit à remboursement ou à compensation qui vous est conféré par la loi, Apple, ses dirigeants, cadres, salariés, membres affiliés, agents, contractants ou concédants de licence ne pourront en aucun cas être tenus pour responsables de perte ou dommage causé par Apple, ses salariés ou agents lorsque : (v) cette perte ou ce dommage résulte d'une perte de revenu, d'activité ou de bénéfice ou d'une perte ou une corruption de données en relation avec votre utilisation du Service. »
'
' Les clauses figurant dans l'Engagement de confidentialité" (version du 22 mai 2018 et version du 9 mai 2019), ci-après reproduites :
'
"Collecte et utilisation des données non personnelles"
'
Nous collectons également des données dont la forme ne nous permet pas de faire un rapprochement direct avec une personne en particulier : Nous pouvons recueillir, utiliser, transférer et divulguer des données non personnelles à quelque fin que ce soit. Vous trouverez ci-après des exemples de données non personnelles que nous collectons et la façon dont nous pouvons les utiliser :
'
Nous pouvons collecter des informations telles que le métier, la langue, le code postal, l'indicatif régional, l'identifiant unique de l'appareil, l'URL de référence, le lieu et le fuseau horaire dans lesquels un produit Apple est utilisé afin de nous permettre de mieux comprendre le comportement du client et d'améliorer nos produits, services et publicité.
'
Nous pouvons recueillir des données concernant les activités du client sur notre site web, les services iCloud, l'iTunes Store, l 'App Store, le Mac App Store, 1'App Store de l'Apple TV, les iBooks Stores et à partir de nos autres produits et services. Ces données sont rassemblées et utilisées pour nous permettre de fournir des informations plus utiles à nos clients et pour savoir quels aspects de notre site web, de nos produits et de nos services sont les plus populaires. Les informations rassemblées sont considérées comme des données non personnelles aux fins du présent Engagement de confidentialité. Nous pouvons collecter et stocker des informations sur votre utilisation de nos services, notamment les recherches que vous effectuez. Ces informations peuvent être utilisées pour améliorer la pertinence des résultats fournis par nos services. Elles ne sont pas associées à votre adresse IP, excepté dans de rares cas afin d'assurer la qualité de nos services sur Internet.
'
Avec votre consentement explicite, nous pouvons collecter des données sur la façon dont vous utilisez votre appareil et vos applications afin d'aider les développeurs à améliorer leurs apps.
'
Si nous associons des données non personnelles à des données personnelles, les données ainsi combinées sont traitées comme des données à caractère personnel tant qu'elles restent associées. »
'
« Nous traitons les données collectées par les cookies et autres technologies comme des données non personnelles. Toutefois, si les adresses IP (Internet Protocol) ou des identifiants similaires sont considérés comme des données personnelles par la loi locale, nous traitons également ces identifiants comme des données personnelles. De la même manière, si des données non personnelles sont associées à des données personnelles, nous traitons les informations ainsi associées comme des données personnelles aux fins du présent Engagement de confidentialité. »
'
« Pour fournir des services de géolocalisation sur les produits Apple, Apple et ses partenaires et licenciés [VERSION DU 09 mai 2019 : « tels que /es fournisseurs de données de cartographique »] peuvent recueillir ; utiliser et partager des données de localisation précises, notamment la localisation géographique en temps réel de votre ordinateur ou appareil Apple. Le cas échéant, les services de géolocalisation peuvent utiliser le GPS, le Bluetooth et votre adresse IP, ainsi que les emplacements des bornes Wi-Fi communautaires et des antennes relais, ou encore d'autres technologies afin de déterminer la localisation approximative de vos appareils. Sauf consentement de votre part, ces données de localisation sont collectées anonymement dans un format ne permettant pas de vous identifier : »
'
« Si vous activez 1'option Suivi publicitaire limité sur votre appareil mobile, les apps tierces ne peuvent pas utiliser l'identifiant publicitaire (un identifiant d'appareil non personnel) pour diffuser des annonces ciblées. »
'
« Les données personnelles, relatives aux services Apple, concernant les personnes résidant dans un État membre de l'Espace économique européen et en Suisse, sont contrôlées par Apple Distribution International en Irlande, et traitées pour son compte par Apple Inc. Apple utilise des clauses contractuelles types approuvées pour le transfert international des données personnelles collectées dans l'Espace économique européen et en Suisse. En tant qu'entreprise internationale, Apple possède de nombreuses entités juridiques situées au sein de différentes juridictions qui sont responsables des données personnelles qu'elles collectent et qui sont traitées en leur nom par Apple Inc. Par exemple, les informations sur le point de vente au sein de nos entités commerciales situées en dehors des États-Unis sont contrôlées par les entités commerciales individuelles dans chaque pays. Les données personnelles associées à Apple, au magasin [VERSION DU 09 mai 2019 : « à l'Apple Store »] en ligne et à iTunes peuvent également être contrôlées par des entités juridiques en dehors des États-Unis, tel que cela est spécifié dans les conditions générales de chaque service. »
'
« Si vous avez des questions ou des inquiétudes concernant l'Engagement de confidentialité Apple ou le traitement des données, vous pouvez contacter notre délégué européen à la protection des données »
'
« Nous pouvons également utiliser les données personnelles à des fins internes, par exemple pour des audits, analyses de données et recherches ans le but d'améliorer les produits, services et communications clients d'Apple. »
'
« Dans certaines juridictions, nous pouvons vous demander une pièce d'identité officielle, mais uniquement dans certains cas, par exemple, lors de l'ouverture d'un compte mobile et de l'activation de votre appareil, lors de la décision d'étendre un crédit commercial, pour gérer des réservations, ou encore si la loi l'exige. »
'
« À des fins de recherche et développement, nous pouvons utiliser des ensembles de données tels que ceux contenant [VERSION DU 09 mai 2019 : « telles que celles qui contiennent »] des images, voix ou autres données pouvant être associées à une personne identifiable. »
'
« Nous utilisons également vos données personnelles pour créer, développer, utiliser, livrer et améliorer nos produits, services, contenus et publicités, et à des fins de prévention des pertes et de lutte contre la fraude. Nous pouvons aussi utiliser vos données personnelles dans des objectifs de sécurité des comptes et réseaux, notamment afin de protéger nos services pour le bénéfice de tous nos utilisateurs [VERSION DU 09 mai 2019 : « ainsi que filtrer et analyser tout contenu chargé pour nous assurer qu'il ne contient pas de contenus illégaux, tels que des abus sexuels sur mineurs »]. Lorsque nous utilisons vos données à des fins de lutte contre la fraude, c'est suite à une transaction en ligne auprès de nous. Nous limitons notre utilisation des données à des fins de lutte contre la fraude aux données strictement nécessaires et dans le cadre de nos intérêts légitimes estimés afin de protéger nos clients et nos services. Pour certaines transactions en ligne, nous pouvons également vérifier les informations que vous nous avez fournies auprès de sources publiquement disponibles. »
'
« Nous pouvons également divulguer vos données [VERSION DU 09 mai 2019 : « des informations vous concernant »] si nous pensons qu'à des fins de sécurité nationale, d'application de la loi ou autre sujet d'intérêt public, la divulgation est nécessaire ou appropriée. »
'
« Apple peut parfois mettre certaines données personnelles à la disposition de partenaires stratégiques travaillant avec Apple pour la fourniture de produits et services, ou aidant Apple à commercialiser ses produits auprès des clients. Par exemple, lorsque vous achetez et activez votre iPhone, vous autorisez Apple et votre opérateur à échanger les informations que vous divulguez pendant la procédure d'activation afin d'exécuter le service. »
'
« A des fins de recherche et développement, nous pouvons utiliser des ensembles de données tels que ceux contenant [VERSION DU 09 mai 2019 : « telles que celles qui contiennent »] des images, voix ou autres données pouvant être associées à une personne identifiable. Lorsque nous acquérons ce type d'ensemble de données, nous le faisons conformément à la loi applicable dans la juridiction dans laquelle se trouve l'ensemble de données. »
'
« Il peut nous arriver de recevoir des données personnelles vous concernant par le biais de tiers, si ces personnes partagent leur contenu avec vous à l'aide de produits Apple, vous envoient des chèques cadeaux et des produits, ou vous invitent à participer à des services ou forums Apple. Nous pouvons également vérifier les informations que vous nous fournissez lorsque vous créez un identifiant Apple avec un tiers, dans un objectif [VERSION DU 09 mai 2019 : « à des fins »] de sécurité et de prévention de la fraude. »
'
« Pour certaines transactions en ligne, nous pouvons également vérifier les informations que vous nous avez fournies auprès de sources publiquement disponibles. »
'
« Nous conservons vos données personnelles pendant la durée nécessaire aux finalités décrites dans le présent Engagement de confidentialité et nos récapitulatifs spécifiques aux services. Pour estimer ces durées, nous déterminons avec soin si nous avons besoin de collecter des données personnelles et, si nous établissons un tel besoin, nous les conservons uniquement pendant la durée la plus courte possible nécessaire à la réalisation de l'objectif de la collecte, sauf si une durée de conservation plus longue est requise par la loi. »
« Nous pouvons traiter vos données personnelles dans les objectifs décrits dans cet Engagement de confidentialité avec votre consentement, pour nous conformer à une obligation légale à laquelle Apple est soumise ou lorsque nous estimons que cela est nécessaire pour atteindre les objectifs légitimes poursuivis par Apple ou un tiers à qui nous pouvons être amenés à divulguer ces données »
'
« Vous pouvez nous aider à faire en sorte que vos coordonnées et préférences soient exactes, complètes et à jour en vous connectant à la page de votre compte Apple. Nous vous fournissons un accès aux autres données personnelles que nous détenons, et une copie de celles-ci, pour que vous puissiez éventuellement nous demander de les corriger si elles sont inexactes ou de les supprimer, à condition qu'Apple ne soit pas obligée de les conserver du fait de la loi ou à des fins commerciales légitimes. Nous pouvons refuser de traiter les demandes futiles/vexatoires, les demandes mettant en péril la confidentialité des données de tiers, les demandes qui sont extrêmement difficiles à mettre en place ou celles pour lesquelles un accès n'est pas imposé autrement par la loi applicable. Nous pouvons également refuser certains aspects de demandes de suppression ou d'accès si nous pensons que, ce faisant, nous nuirions à notre utilisation légitime des données à des fins de lutte contre la fraude ou de sécurité, comme nous l'avons vu précédemment. »
'
« De temps en temps, nous pouvons utiliser vos données personnelles pour envoyer des notifications importantes, telles que des communications sur les achats, et les modifications apportées à nos conditions d'utilisation et politiques. Ces informations étant importantes pour vos relations avec Apple, vous ne pouvez pas vous opposer à la réception de ces communications. »
'
« Toutes les informations que vous fournissez peuvent être transférées à des entités à travers le monde, ou être accessibles à celles-ci, tel que décrit dans le présent engagement de confidentialité. »
'
« Ces sociétés sont dans l'obligation de protéger vos données et peuvent se trouver dans tout pays dans lequel Apple exerce des activités. »
'
"Services de géolocalisation "
'
Pour fournir des services de géolocalisation sur les produits Apple, Apple et ses partenaires et licenciés [VERSION DU 09 mai 2019 : « tels que les fournisseurs de données de cartographique »] peuvent recueillir, utiliser et partager des données de localisation précises, notamment la localisation géographique en temps réel de votre ordinateur ou appareil Apple. Le cas échéant, les services de géolocalisation peuvent utiliser le GPS, le Bluetooth et votre adresse IP, ainsi que les emplacements des bornes Wi-Fi communautaires et des antennes relais, ou encore d'autres technologies afin de déterminer la localisation approximative de vos appareils. Sauf consentement de votre part, ces données de localisation sont collectées anonymement dans un format ne permettant pas de vous identifier. Elles sont utilisées par Apple et ses partenaires et licenciés pour fournir et améliorer les produits et services de géolocalisation. Par exemple, nous pouvons partager la localisation géographique avec des fournisseurs d'applications si vous acceptez leurs services de localisation.
Certains services de géolocalisation proposé par Apple, tels que la fonctionnalité « Localiser mon iPhone », ont besoin de vos données personnelles pour fonctionner.
« Pour identifier et empêcher la fraude, les données d'utilisation de votre appareil, notamment le nombre approximatif d'appels passés et reçus ou d'emails envoyés et reçus, sont utilisées pour calculer un indice de confiance de l'appareil lors d'une tentative d'achat. »
'
"Prise de décision automatisée et profilage"
'
« Les sites web, les services en ligne, les applications interactives, les e-mails et les publicités d'Apple peuvent utiliser des « cookies » et d'autres technologies, telles que des « pixel tags » et des balises web.
'
Si vous utilisez le navigateur avec Safari et que vous souhaitez désactiver les cookies, allez dans les préférences Safari, puis dans le volet Confidentialité où une option vous permettra de gérer vos préférences. Sur votre appareil mobile Apple, accédez à Réglages > Safari, faites défiler l'écran vers le bas pour atteindre la section Confidentialité et sécurité, puis appuyez sur « Bloquer les cookies » pour gérer vos préférences. Pour les autres navigateurs, veuillez consulter votre fournisseur pour savoir comment désactiver les cookies. Veuillez noter que certaines fonctionnalités du site web Apple ne seront plus disponibles une fois les cookies désactivés.
'
Dans certains de nos e-mails, nous utilisons des « URL de destination » liées au contenu du site web Apple. Lorsque les clients cliquent sur l'une de ces URL, ils sont transférés vers un autre serveur web avant d'arriver sur la page de destination de notre site web. Nous suivons ces données de clic pour nous aider à déterminer [VERSION DU 09 mai 2019 : « pour déterminer »} l'intérêt porté à certains sujets et mesurer l'efficacité de nos communications clients. Si vous préférez ne pas être suivi de cette façon, vous ne devez pas cliquer sur les liens texte ou graphiques figurant dans les e-mails.
'
Les balises « pixel tags » nous permettent d'envoyer des e-mails dans un format que les clients peuvent lire et de savoir si les messages ont été ouverts. Nous pouvons utiliser ces informations pour réduire ou supprimer les messages adressés aux clients »
'
' Les clauses figurant dans le document "Apple Music et confidentialité" (version du 17 septembre 2018) ci-après reproduites :
« Lorsque vous créez un profil sur Apple Music, nous vous recommandons d'autres abonnés à Apple Music avec lesquels vous pourriez devenir ami. Apple ne collecte et ne stocke aucune information concernant vos contacts lors de la recherche d'amis à recommander : Seuls des hachages abrégés et chiffrés des numéros de téléphone et adresses e-mail de vos contacts sont envoyés à Apple ; les abonnés à Apple Music correspondants à recommander sont ensuite recherchés localement sur votre appareil »
'
« Il est possible que nous recueillions, utilisions, transférions ou divulguions des informations non personnelles, quel que soit le motif. Par exemple, nous sommes susceptibles d'agréger vos données non personnelles et celles d'autres utilisateurs d'Apple Music dans le but d'améliorer le service. »
'
« Nous sommes tenus de communiquer certaines informations non personnelles relatives à votre emploi d'Apple Music à des partenaires du service, tels que des maisons de disque, de sorte qu'ils puissent évaluer leurs performances, satisfaire aux normes comptables et régler les droits d'auteurs dus, de même qu'améliorer leurs produits et services. Nous communiquons également aux artistes des statistiques d'écoute et démographiques (comme l'âge et le sexe des utilisateurs) non personnelles agrégées pour leur permettre de mieux cerner leur public. »
'
« Cet indice est stocké pendant une durée déterminée sur nos serveurs. »
'
« Les informations relatives à votre bibliothèque musicale iCloud vous sont associées pendant toute la durée de votre abonnement et pendant une courte période après sa résiliation. »
'
« Nous conservons les données concernant les morceaux que vous écoutez pendant les durées spécifiées par les lois en vigueur relatives aux états financiers. »
'
« Prenez garde lorsque vous choisissez de partager des informations en ligne ; certaines pourraient être rendues publiques. Les données partagées depuis Apple Music vers d'autres sites web ou réseaux sociaux sont régies par les engagements de confidentialité de ces services. »
'
« Nous pouvons également vérifier les informations que vous nous fournissez lorsque vous créez un identifiant Apple avec un tiers, dans un objectif [VERSION DU 09 mai 2019 : « à des fins »] de sécurité et de prévention de la fraude. »
'
- ordonné à la société ADI de permettre à l'ensemble de ses abonnés français la lecture de l'intégralité du présent jugement par le moyen d'un lien hypertexte devant figurer sur la page d'accueil de son site Internet ainsi que sur celles de ses applications sur tablettes et téléphones pendant une durée de trois mois, ce lien hypertexte devant être mis en place et activable sur ces pages d'accueil,
- dit que la mesure qui précède devra être mise en place dans un délai d'un mois à compter de la signification de la présente décision et sous astreinte provisoire de 3.000 euros par jour de retard à l'expiration de ce délai, cette mesure d'astreinte ne pouvant courir que pendant six mois consécutifs,
- condamné la société ADI à payer au profit de l'association UFC-Que Choisir la somme de 20.000 euros à titre de dommages-intérêts en réparation du préjudice occasionné à l'intérêt collectif des consommateurs,
- condamné la société ADI à payer au profit de l'association UF-Que Choisir une indemnité de 10.000 euros sur le fondement de l'article 700 du code de procédure civile,
- débouté les parties de leurs demandes plus amples ou contraires, exclusivement en ce que ce chef de jugement vise des demandes de la société ADI, et plus précisément les demandes suivantes présentées aux termes de ses conclusions récapitulatives du 23 septembre 2019 :
'
« Condamner l'UFC au paiement à ADI de la somme de 50 000 euros sur le fondement de l'article 700 du code de procédure civile ainsi qu'aux entiers dépens »
'
- condamné la société ADI aux entiers dépens de l'instance et a ordonné en tant que de besoin l'application des dispositions de l'article 699 du code de procédure civile au profit de Me Hardouin, Avocat au barreau de Paris,
'
Statuant à nouveau de ces chefs,
'
A titre principal,
'
- de juger que la demande de l'association UFC-Que Choisir visant à faire déclarer abusives et/ou illicites les « Clauses » critiquées du document Apple Music et confidentialité et de l'Engagement de Confidentialité est infondée en raison de la nature non-contractuelle de ces documents,
'
- de rejeter la demande de l'association UFC-Que Choisir visant à faire déclarer abusives et/ou illicites les « Clauses » critiquées du document Apple Music et confidentialité et de l'Engagement de Confidentialité,
'
- en cas de doute sur ce point, de poser à la Cour de Justice une question préjudicielle sur l'interprétation des Directives 93/13/CE et 2011/83/CE qui pourrait être rédigée comme suit :
« Le document d'information établi par un responsable du traitement des données personnelles en application des articles 12 à 14 du règlement 2016/679/UE peut-il constituer un « contrat conclu entre un vendeur ou un fournisseur et un consommateur » au sens de l'article 1er de la directive 93/13/CEE ou un « contrat conclu entre un professionnel et un consommateur » au sens de l'article 3 de la directive 2011/83/UE ' »
'
A titre subsidiaire, dans l'hypothèse où la cour d'appel jugerait que l'association UFC-Que Choisir est fondée à faire déclarer abusives et/ou illicites des « Clauses » figurant dans des documents de nature non-contractuelle,
'
- de juger que la demande de l'association UFC-Que Choisir visant à faire déclarer abusives et/ou illicites les « clauses » critiquées de l'Engagement de Confidentialité est infondée dans la mesure où ce document ne concerne pas exclusivement le service Apple Music,
- de rejeter la demande de l'association UFC-Que Choisir visant à faire déclarer abusives et/ou illicites les « clauses » critiquées de l'Engagement de Confidentialité,
En tout état de cause,
'
- de juger que les demandes de l'association UFC-Que Choisir visant à faire déclarer abusives et/ou illicites les « clauses » critiquées (i) des Conditions Générales, (ii) du document Apple Music et confidentialité, et (iii) de l'Engagement de Confidentialité sont infondées dans la mesure où ces « clauses » sont licites et non-abusives,
- de rejeter les demandes de l'association UFC-Que Choisir visant à faire déclarer abusives et/ou illicites les « clauses » critiquées (i) des Conditions Générales, (ii) du document Apple Music et confidentialité, et (iii) de l'Engagement de Confidentialité,
'
A titre infiniment subsidiaire, sur les sanctions prononcées par le Tribunal et/ou sollicitées par l'association UFC-Que Choisir,
'
i) Sur la sanction consistant à voir déclarer les clauses réputées non écrites,
'
- de juger que la demande de l'association UFC-Que Choisir tendant à faire déclarer « réputées non écrites » les clauses critiquées ou à en obtenir la suppression est inapplicable aux prétendues violations du RGPD qui sont reprochées à la société ADI,
- de juger irrecevable et à tout le moins infondée la demande de l'association UFC-Que Choisir tendant à faire déclarer réputées non-écrites les clauses critiquées,
- de rejeter la demande de l'association UFC-Que Choisir tendant à faire déclarer « réputées non écrites » les clauses critiquées,
- en cas de doute sur ce point, de poser des questions préjudicielles à la Cour de justice de l'Union européenne sur la compatibilité de la sanction du réputé non-écrit avec le règlement 2016/679/UE qui pourraient être libellées comme suit :
'
« i. Le fait de réputer non écrite ou d'ordonner la suppression d'une clause qui serait illicite au regard des exigences du règlement 2016/679/UE constitue-t-il une mesure correctrice au sens de son article 58 § 2 ou une sanction au sens de son article 84 '
'
Dans la première hypothèse :
'
ii. L'article 58 § 2 du règlement 2016/679/UE doit-il être interprété comme autorisant les Etats membres à adopter ou à maintenir des dispositions nationales prévoyant d'autres mesures correctrices que celles qu'il énumère '
'
iii. Dans l'affirmative, le fait de réputer non écrite ou d'ordonner la suppression d'une énonciation du document d'information établi en application des articles 12 à 14 du règlement 2016/679/UE qui ne serait pas conforme à leurs exigences est-il de nature à constituer une mesure correctrice, rendant ledit document conforme, dans l'intérêt des personnes concernées par le traitement des données personnelles '
'
Dans la seconde hypothèse :
'
iv. Quelle est la sanction du défaut de notification par l'Etat membre à la Commission, prévue par l'article 84 du règlement 2016/679/UE, des dispositions légales de droit national prévoyant d'autres sanctions en cas de violation du règlement ' »
'
ii) Sur la demande de suppression des clauses,
'
Sur la demande de suppression des clauses soumise par l'UFC dans les termes suivants du dispositif de ses conclusions du 21 août 2021':
'
« INFIRMER le jugement rendu le 9 juin 2020 par le Tribunal Judiciaire de Paris en ce qu'il a déclaré :
'''''''''''
« "L'association demande la suppression des clauses critiquées et ce pour l'ensemble des versions critiquées, sous astreinte de 300,00 euros par clause et par jour de retard, postérieurement à l'expiration d'un délai de 8 jours à compter de la signification du jugement à intervenir et ce conformément aux dispositions de l'article L.421-6 du code de la consommation et de déclarer inopposables ces clauses à tous les consommateurs. Elle sollicite également de déclarer ces clauses inopposables.
'
« "Il n'apparaît pas nécessaire d'assortir de mesures d'astreinte la déclaration de clauses susmentionnées en clauses réputées non-écrites.
« "L'ensemble de ces postes de demande sera en conséquence rejeté".
'
« Et, statuant à nouveau,
'
« ORDONNER la suppression de toutes les clauses qui seront confirmées comme illicites et/ou abusives par la Cour, dans toutes leurs versions étudiées en première instance, ainsi que dans tous les documents destinées et/ou proposées aux consommateurs, comprenant ainsi, par voie de conséquence, ces mêmes clauses contenues dans les documents contractuels proposés par ADI, à la date de notification de l'arrêt de la Cour ».
'
' - Principalement,
'
Sur la partie de la demande de suppression de l'UFC en ce qu'elle vise « toutes les clauses qui seront confirmées comme illicites et/ou abusives par la Cour, dans toutes leurs versions étudiées en première instance »,
'
- de constater que l'association UFC-Que Choisit ne vise pas les chefs du jugement critiqués par son appel incident dans le dispositif de ses conclusions,
- de juger que l'appel incident n'a pu opérer aucun effet dévolutif et que la Cour n'est saisie d'aucune demande en conséquence,
'
Sur la partie de la demande de suppression de l'UFC en ce qu'elle vise « tous les documents destinées et/ou proposées aux consommateurs, comprenant « ainsi, par voie de conséquence, ces mêmes clauses [qui seraient considérées comme illicites et/ou abusives] contenues dans les documents contractuels proposés par ADI, à la date de notification de l'arrêt de la Cour »,
- de juger que la demande de suppression de clauses formulée par l'association UFC-Que Choisir constitue une prétention nouvelle,
- de la déclarer irrecevable,
'
b - A défaut, si la Cour par impossible s'estime saisie par l'appel incident de l'association UFC-Que Choisir sur la partie déjà débattue en première instance et/ou considère que la demande n'est pas nouvelle sur la partie de la demande de l'association UFC-Que Choisir non débattue en première instance,
'
- de juger que la demande de suppression de clauses formulée par l'association UFC-Que Choisir est irrecevable et à tout le moins infondée,
- de rejeter la demande de suppression de clauses formulée par l'association UFC-Que Choisir,
'
iii) Sur la demande de réparation du préjudice,
'
- de juger la demande de l'association UFC-Que Choisir en réparation du préjudice porté à l'intérêt collectif des consommateurs comme infondée,
- de rejeter dans son intégralité la demande de l'association UFC-Que Choisir en réparation du préjudice porté à l'intérêt collectif des consommateurs,
'
Dans tous les cas, sur l'appel incident de l'UFC au titre de la réparation du préjudice,
- de rejeter l'appel incident de l'association UFC-Que Choisir tendant à voir réformer le jugement de son chef ayant accordé une indemnisation à l'association UFC-Que Choisir,
'
iv) Sur les autres demandes de l'UFC,
'
- de juger que la demande de publication de l'association UFC-Que Choisir est infondée,
- de rejeter la demande de publication,
- de juger que la demande d'astreinte de l'association UFC-Que Choisir est infondée,
- de rejeter la demande d'astreinte,
'
III. En tout état de cause, sur les autres demandes de l'association UFC-Que Choisir et les frais et dépens de l'instance,
'
- de débouter l'association UFC-Que Choisir de l'ensemble de ces demandes, fins et conclusions,
- de condamner l'association UFC-Que Choisir à payer à la société ADI la somme de 70.000 euros au titre de l'article 700 du code de procédure civile, ainsi qu'aux entiers dépens.
'
17. Suivant ses dernières conclusions transmises par le réseau privé virtuel des avocats le 21 juin 2023, l'association UFC-Que Choisir demande à la cour, au visa de la directive 93/13/CEE du Conseil du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs, de la directive 2009/22/CE du Parlement européen et du Conseil du 23 avril 2009 relative aux actions en cessation en matière de protection des intérêts des consommateurs, des articles 5, 12, 13, 14, 32, 79, 80 et 82 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, des articles 82 et 116 de la loi n°78-16 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, de l'article 15 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, des articles L. 121-2, L. 211-1, L. 212-1, L. 212-3, L. 221-5, L. 221-15, L. 241-1, L. 621-1, L. 621-2, L. 621-7, L. 621-8, R. 212-1 et R. 212-2 du code de la consommation, des articles 226-18 et R. 625-10 du code pénale, des articles L. 131-1 et L. 131-3 du code de la propriété intellectuelle, de l'article 34-5 du code des postes et des communications électroniques ainsi que des articles 1101 et 1210 du code civil :
I. Sur les chefs de jugement qui seront confirmés (Prétentions n°1, n°2 et n°3) :
'
- de confirmer le jugement rendu le 9 juin 2020 par le tribunal judiciaire de Paris en ce qu'il a déclaré recevable l'ensemble des demandes formées par l'association UFC-Que Choisir à l'encontre de la société ADI,
- de confirmer le jugement rendu le 9 juin 2020 par le tribunal judiciaire de Paris en ce qu'il a déclaré réputées non-écrites, en raison de leur caractère illicite ou abusif, les clauses suivantes :
' La clause « EXCLUSIONS DE GARANTIES ; LIMITATIONS DE RESPONSABILITÉ » dans les versions V2, V3, V4 et V5,
''' ' La clause « DIVERS » (« Autres stipulations »), clause d'exonération de responsabilité dans les versions V1, V2, V3, V4 et V5 et clause d'indivisibilité dans les versions V1, V3, V4 et V5),
'''''' ' Les clauses « ENVOI DE CONTENU AU SERVICE APPLE MUSIC » dans la version V1 et « VOS ENVOIS SUR NOS SERVICES » dans les versions V3, V4 et V5,
'''''' ' La clause « DISPONIBILITE DU CONTENU » dans la version V1,
'''''' ' La clause « RESILIATION » dans la version V1,
'''''' ' La clause « RESILIATION ET SUSPENSION DES SERVICES » dans les versions V3, V4 et V5,
'''''' '''''' ' La clause « UTILISATION DE CONTENU » dans la version V1 ; Les clauses « MODIFICATIONS » dans la version V1 et « MODIFICATIONS DU CONTRAT » dans les versions V3, V4 et V5,
'''''' '''''' ' Les clauses figurant dans les conditions d'Utilisation du service Apple Music (Versions V4 (septembre 2018) et V5 (mai 2019), ci-après reproduites) :
'
« Vous acceptez que le concédant puisse collecter et utiliser des données techniques et toute information associée, y compris, notamment, les informations techniques concernant votre dispositif, votre système et votre logiciel d'application, ainsi que les périphériques, et qui sont recueillies périodiquement afin de faciliter la fourniture de mises à jour de logiciels, de services d'assistance technique relative au produit, ainsi que d'autres services (le cas échéant) se rapportant à l'application sous licence. Le concédant peut utiliser ces informations aussi longtemps qu'elles sont sous une forme ne permettant pas de vous identifier personnellement, afin d'améliorer ses produits ou de vous fournir des services ou des technologies. »
'
« Vous reconnaissez qu'Apple est en droit de divulguer des données et/ou des informations aux forces de l'ordre, aux autorités publiques et/ou à des tiers, si Apple l'estime raisonnablement nécessaire ou approprié pour faire appliquer et/ou vérifier le respect de toute disposition du présent contrat (y compris notamment le droit d'Apple de coopérer dans le cadre de toute procédure judiciaire relative à votre utilisation des services et/ou du contenu et/ou sur réclamation de tiers relative à votre utilisation illicite des services et/ou du contenu et/ou en violation des droits de ces tiers). »
'
« Sauf dans les cas indiqués au paragraphe (d) ci-dessous ou dans le cas où vous exercez un droit à remboursement ou à compensation qui vous est conféré par la loi, Apple, ses dirigeants, cadres, salariés, membres affiliés, agents, contractants ou concédants de licence ne pourront en aucun cas être tenus pour responsables de perte ou dommage causé par Apple, ses salariés ou agents lorsque : (v) cette perte ou ce dommage résulte d'une perte de revenu, d'activité ou de bénéfice ou d'une perte ou une corruption de données en relation avec votre utilisation du Service. »
'
'''''' ' Les clauses figurant dans l'"Engagement de confidentialité" (version du 22 mai 2018 et version du 9 mai 2019), ci-après reproduites :
'
"Collecte et utilisation des données non personnelles'
'
Nous collectons également des données dont la forme ne nous permet pas de faire un rapprochement direct avec une personne en particulier. Nous pouvons recueillir, utiliser, transférer et divulguer des données non personnelles à quelque fin que ce soit. Vous trouverez ci-après des exemples de données non personnelles que nous collectons et la façon dont nous pouvons les utiliser :
'
Nous pouvons collecter des informations telles que le métier, la langue, le code postal, l'indicatif régional, l'identifiant unique de l'appareil, l'URL de référence, le lieu et le fuseau horaire dans lesquels un produit Apple est utilisé afin de nous permettre de mieux comprendre le comportement du client et d'améliorer nos produits, services et publicité.
'
Nous pouvons recueillir des données concernant les activités du client sur notre site web, les services iCloud, l'iTunes Store, l'App Store, le Mac App Store, l'App Store de l'Apple TV, les iBooks Stores et à partir de nos autres produits et services. Ces données sont rassemblées et utilisées pour nous permettre de fournir des informations plus utiles à nos clients et pour savoir quels aspects de notre site web, de nos produits et de nos services sont les plus populaires. Les informations rassemblées sont considérées comme des données non personnelles aux fins du présent Engagement de confidentialité. Nous pouvons collecter et stocker des informations sur votre utilisation de nos services, notamment les recherches que vous effectuez. Ces informations peuvent être utilisées pour améliorer la pertinence des résultats fournis par nos services. Elles ne sont pas associées à votre adresse IP, excepté dans de rares cas afin d'assurer la qualité de nos services sur Internet
Avec votre consentement explicite, nous pouvons collecter des données sur la façon dont vous utilisez votre appareil et vos applications afin d'aider les développeurs à améliorer leurs apps.
Si nous associons des données non personnelles à des données personnelles, les données ainsi combinées sont traitées comme des données à caractère personnel tant qu'elles restent associées. »
« Nous traitons les données collectées par les cookies et autres technologies comme des données non personnelles. Toutefois, si les adresses IP (Internet Protocol) ou des identifiants similaires sont considérés comme des données personnelles par la loi locale, nous traitons également ces identifiants comme des données personnelles. De la même manière, si des données non personnelles sont associées à des données personnelles, nous traitons les informations ainsi associées comme des données personnelles aux fins du présent Engagement de confidentialité. »
'
« Pour fournir des services de géolocalisation sur les produits Apple, Apple et ses partenaires et licenciés [VERSION DU 09 mai 2019 : « tels que les fournisseurs de données de cartographique »] peuvent recueillir, utiliser et partager des données de localisation précises, notamment la localisation géographique en temps réel de votre ordinateur ou appareil Apple. Le cas échéant, les services de géolocalisation peuvent utiliser le GPS, le Bluetooth et votre adresse IP, ainsi que les emplacements des bornes Wi-Fi communautaires et des antennes relais, ou encore d'autres technologies afin de déterminer la localisation approximative de vos appareils. Sauf consentement de votre part, ces données de localisation sont collectées anonymement dans un format ne permettant pas de vous identifier. »
« Si vous activez l'option Suivi publicitaire limité sur votre appareil mobile, les apps tierces ne peuvent pas utiliser l'identifiant publicitaire (un identifiant d'appareil non personnel) pour diffuser des annonces ciblées. »
'
« Les données personnelles, relatives aux services Apple, concernant les personnes résidant dans un État membre de l'Espace économique européen et en Suisse, sont contrôlées par Apple Distribution International en Irlande, et traitées pour son compte par Apple Inc. Apple utilise des clauses contractuelles types approuvées pour le transfert international des données personnelles collectées dans l'Espace économique européen et en Suisse. En tant qu'entreprise internationale, Apple possède de nombreuses entités juridiques situées au sein de différentes juridictions qui sont responsables des données personnelles qu'elles collectent et qui sont traitées en leur nom par Apple Inc. Par exemple, les informations sur le point de vente au sein de nos entités commerciales situées en dehors des États-Unis sont contrôlées par les entités commerciales individuelles dans chaque pays. Les données personnelles associées à Apple, au magasin [VERSION DU 09 mai 2019 : « à l'Apple Store »] en ligne et à iTunes peuvent également être contrôlées par des entités juridiques en dehors des États-Unis, tel que cela est spécifié dans les conditions générales de chaque service. »
'
« Si vous avez des questions ou des inquiétudes concernant l'Engagement de confidentialité Apple ou le traitement des données, vous pouvez contacter notre délégué européen à la protection des données »
'
« Nous pouvons également utiliser les données personnelles à des fins internes, par exemple pour des audits, analyses de données et recherches ans le but d'améliorer les produits, services et communications clients d'Apple. »
« Dans certaines juridictions, nous pouvons vous demander une pièce d'identité officielle, mais uniquement dans certains cas, par exemple, lors de l'ouverture d'un compte mobile et de l'activation de votre appareil, lors de la décision d'étendre un crédit commercial, pour gérer des réservations, ou encore si la loi l'exige. »
« À des fins de recherche et développement, nous pouvons utiliser des ensembles de données tels que ceux contenant [VERSION DU 09 mai 2019 : « telles que celles qui contiennent »] des images, voix ou autres données pouvant être associées à une personne identifiable ».
'
« Nous utilisons également vos données personnelles pour créer, développer, utiliser, livrer et améliorer nos produits, services, contenus et publicités, et à des fins de prévention des pertes et de lutte contre la fraude. Nous pouvons aussi utiliser vos données personnelles dans des objectifs de sécurité des comptes et réseaux, notamment afin de protéger nos services pour le bénéfice de tous nos utilisateurs [VERSION DU 09 mai 2019 : « ainsi que filtrer et analyser tout contenu chargé pour nous assurer qu'il ne contient pas de contenus illégaux, tels que des abus sexuels sur mineurs »]. Lorsque nous utilisons vos données à des fins de lutte contre la fraude, c'est suite à une transaction en ligne auprès de nous. Nous limitons notre utilisation des données à des fins de lutte contre la fraude aux données strictement nécessaires et dans le cadre de nos intérêts légitimes estimés afin de protéger nos clients et nos services. Pour certaines transactions en ligne, nous pouvons également vérifier les informations que vous nous avez fournies auprès de sources publiquement disponibles. »
« Nous pouvons également divulguer vos données [VERSION DU 09 mai 2019 : « des informations vous concernant »] si nous pensons qu'à des fins de sécurité nationale, d'application de la loi ou autre sujet d'intérêt public, la divulgation est nécessaire ou appropriée. »
« Apple peut parfois mettre certaines données personnelles à la disposition de partenaires stratégiques travaillant avec Apple pour la fourniture de produits et services, ou aidant Apple à commercialiser ses produits auprès des clients. Par exemple, lorsque vous achetez et activez votre iPhone, vous autorisez Apple et votre opérateur à échanger les informations que vous divulguez pendant la procédure d'activation afin d'exécuter le service. »
'
« À des fins de recherche et développement, nous pouvons utiliser des ensembles de données tels que ceux contenant [VERSION DU 09 mai 2019 : « telles que celles qui contiennent »] des images, voix ou autres données pouvant être associées à une personne identifiable. Lorsque nous acquérons ce type d'ensemble de données, nous le faisons conformément à la loi applicable dans la juridiction dans laquelle se trouve l'ensemble de données. »
« Il peut nous arriver de recevoir des données personnelles vous concernant par le biais de tiers, si ces personnes partagent leur contenu avec vous à l'aide de produits Apple, vous envoient des chèques cadeaux et des produits, ou vous invitent à participer à des services ou forums Apple. Nous pouvons également vérifier les informations que vous nous fournissez lorsque vous créez un identifiant Apple avec un tiers, dans un objectif [VERSION DU 09 mai 2019 : « à des fins »] de sécurité et de prévention de la fraude. »
'
« Pour certaines transactions en ligne, nous pouvons également vérifier les informations que vous nous avez fournies auprès de sources publiquement disponibles. »
« Nous conservons vos données personnelles pendant la durée nécessaire aux finalités décrites dans le présent Engagement de confidentialité et nos récapitulatifs spécifiques aux services. Pour estimer ces durées, nous déterminons avec soin si nous avons besoin de collecter des données personnelles et, si nous établissons un tel besoin, nous les conservons uniquement pendant la durée la plus courte possible nécessaire à la réalisation de l'objectif de la collecte, sauf si une durée de conservation plus longue est requise par la loi. »
« Nous pouvons traiter vos données personnelles dans les objectifs décrits dans cet Engagement de confidentialité avec votre consentement, pour nous conformer à une obligation légale à laquelle Apple est soumise ou lorsque nous estimons que cela est nécessaire pour atteindre les objectifs légitimes poursuivis par Apple ou un tiers à qui nous pouvons être amenés à divulguer ces données »
'
« Vous pouvez nous aider à faire en sorte que vos coordonnées et préférences soient exactes, complètes et à jour en vous connectant à la page de votre compte Apple. Nous vous fournissons un accès aux autres données personnelles que nous détenons, et une copie de celles-ci, pour que vous puissiez éventuellement nous demander de les corriger si elles sont inexactes ou de les supprimer, à condition qu'Apple ne soit pas obligée de les conserver du fait de la loi ou à des fins commerciales légitimes. Nous pouvons refuser de traiter les demandes futiles/vexatoires, les demandes mettant en péril la confidentialité des données de tiers, les demandes qui sont extrêmement difficiles à mettre en place ou celles pour lesquelles un accès n'est pas imposé autrement par la loi applicable. Nous pouvons également refuser certains aspects de demandes de suppression ou d'accès si nous pensons que, ce faisant, nous nuirions à notre utilisation légitime des données à des fins de lutte contre la fraude ou de sécurité, comme nous l'avons vu précédemment. »
« De temps en temps, nous pouvons utiliser vos données personnelles pour envoyer des notifications importantes, telles que des communications sur les achats, et les modifications apportées à nos conditions d'utilisation et politiques. Ces informations étant importantes pour vos relations avec Apple, vous ne pouvez pas vous opposer à la réception de ces communications. »
'
« Toutes les informations que vous fournissez peuvent être transférées à des entités à travers le monde, ou être accessibles à celles-ci, tel que décrit dans le présent Engagement de confidentialité. »
'
« Ces sociétés sont dans l'obligation de protéger vos données et peuvent se trouver dans tout pays dans lequel Apple exerce des activités. »
"Services de géolocalisation "
'
Pour fournir des services de géolocalisation sur les produits Apple, Apple et ses partenaires et licenciés [VERSION DU 09 mai 2019 : « tels que les fournisseurs de données de cartographique »] peuvent recueillir, utiliser et partager des données de localisation précises, notamment la localisation géographique en temps réel de votre ordinateur ou appareil Apple. Le cas échéant, les services de géolocalisation peuvent utiliser le GPS, le Bluetooth et votre adresse IP, ainsi que les emplacements des bornes Wi-Fi communautaires et des antennes relais, ou encore d'autres technologies afin de déterminer la localisation approximative de vos appareils. Sauf consentement de votre part, ces données de localisation sont collectées anonymement dans un format ne permettant pas de vous identifier. Elles sont utilisées par Apple et ses partenaires et licenciés pour fournir et améliorer les produits et services de géolocalisation. Par exemple, nous pouvons partager la localisation géographique avec des fournisseurs d'applications si vous acceptez leurs services de localisation.
'
Certains services de géolocalisation proposés par Apple, tels que la fonctionnalité « Localiser mon iPhone », ont besoin de vos données personnelles pour fonctionner. »
'
« Pour identifier et empêcher la fraude, les données d'utilisation de votre appareil, notamment le nombre approximatif d'appels passés et reçus ou d'emails envoyés et reçus, sont utilisées pour calculer un indice de confiance de l'appareil lors d'une tentative d'achat. »
'
"Prise de décision automatisée et profilage"
'
« Les sites web, les services en ligne, les applications interactives, les e-mails et les publicités d'Apple peuvent utiliser des « cookies » et d'autres technologies, telles que des « pixel tags » et des balises web.
'
Si vous utilisez le navigateur web Safari et que vous souhaitez désactiver les cookies, allez dans les préférences Safari, puis dans le volet Confidentialité où une option vous permettra de gérer vos préférences. Sur votre appareil mobile Apple, accédez à Réglages > Safari, faites défiler l'écran vers le bas pour atteindre la section Confidentialité et sécurité, puis appuyez sur « Bloquer les cookies » pour gérer vos préférences. Pour les autres navigateurs, veuillez consulter votre fournisseur pour savoir comment désactiver les cookies. Veuillez noter que certaines fonctionnalités du site web Apple ne seront plus disponibles une fois les cookies désactivés.
'
Dans certains de nos e-mails, nous utilisons des « URL de destination » liées au contenu du site web Apple. Lorsque les clients cliquent sur l'une de ces URL, ils sont transférés vers un autre serveur web avant d'arriver sur la page de destination de notre site web. Nous suivons ces données de clic pour nous aider à déterminer [VERSION DU 09 mai 2019 : « pour déterminer »] l'intérêt porté à certains sujets et mesurer l'efficacité de nos communications clients. Si vous préférez ne pas être suivi de cette façon, vous ne devez pas cliquer sur les liens texte ou graphiques figurant dans les e-mails.
'
Les balises « pixel tags » nous permettent d'envoyer des e-mails dans un format que les clients peuvent lire et de savoir si les messages ont été ouverts. Nous pouvons utiliser ces informations pour réduire ou supprimer les messages adressés aux clients »
'
'''''' '''''' ' Les clauses figurant dans le document "Apple Music et confidentialité" (version du 17 septembre 2018) ci-après reproduites :
'
« Lorsque vous créez un profil sur Apple Music, nous vous recommandons d'autres abonnés à Apple Music avec lesquels vous pourriez devenir ami. Apple ne collecte et ne stocke aucune information concernant vos contacts lors de la recherche d'amis à recommander. Seuls des hachages abrégés et chiffrés des numéros de téléphone et adresses e-mail de vos contacts sont envoyés à Apple ; les abonnés à Apple Music correspondants à recommander sont ensuite recherchés localement sur votre appareil. »
'
« Il est possible que nous recueillions, utilisions, transférions ou divulguions des informations non personnelles, quel que soit le motif. Par exemple, nous sommes susceptibles d'agréger vos données non personnelles et celles d'autres utilisateurs d'Apple Music dans le but d'améliorer le service. »
'
« Nous sommes tenus de communiquer certaines informations non personnelles relatives à votre emploi d'Apple Music à des partenaires du service, tels que des maisons de disque, de sorte qu'ils puissent évaluer leurs performances, satisfaire aux normes comptables et régler les droits d'auteurs dus, de même qu'améliorer leurs produits et services. Nous communiquons également aux artistes des statistiques d'écoute et démographiques (comme l'âge et le sexe des utilisateurs) non personnelles agrégées pour leur permettre de mieux cerner leur public. »
'
« Cet indice est stocké pendant une durée déterminée sur nos serveurs. »
'
« Les informations relatives à votre bibliothèque musicale iCloud vous sont associées pendant toute la durée de votre abonnement et pendant une courte période après sa résiliation. »
'
« Nous conservons les données concernant les morceaux que vous écoutez pendant les durées spécifiées par les lois en vigueur relatives aux états financiers. »
'
« Prenez garde lorsque vous choisissez de partager des informations en ligne ; certaines pourraient être rendues publiques. Les données partagées depuis Apple Music vers d'autres sites web ou réseaux sociaux sont régies par les engagements de confidentialité de ces services. »
'
« Nous pouvons également vérifier les informations que vous nous fournissez lorsque vous créez un identifiant Apple avec un tiers, dans un objectif [VERSION DU 09 mai 2019 : « à des fins »] de sécurité et de prévention de la fraude. »
'
- de confirmer le jugement rendu le 9 juin 2020 par le tribunal judiciaire de Paris en ce qu'il a ordonné à la société ADI de permettre à l'ensemble de ses abonnés français la lecture de l'intégralité du jugement par le moyen d'un lien hypertexte devant figurer sur la page d'accueil de son site Internet ainsi que sur celles de ses applications sur tablettes et téléphones pendant une durée de trois mois, ce lien hypertexte devant être mis en place et activable sur ces pages d'accueil,
- de confirmer le jugement rendu le 9 juin 2020 par le tribunal judiciaire de Paris en ce qu'il a dit que la mesure qui précède devra être mise en place dans un délai d'un mois à compter de la signification du jugement et sous astreinte provisoire de 3 000 euros (trois mille euros) par jour de retard à l'expiration de ce délai, cette mesure d'astreinte ne pouvant courir que pendant six mois consécutifs,
Et, statuant à nouveau,
'
- d'ordonner à la société ADI de permettre à l'ensemble de ses abonnés français la lecture de l'intégralité du présent arrêt par le moyen d'un lien hypertexte devant figurer sur la page d'accueil de son site Internet ainsi que sur celles de ses applications sur tablettes et téléphones pendant une durée de trois mois, ce lien hypertexte devant être mis en place et activable sur ces pages d'accueil,
- de juger que la mesure qui précède devra être mise en place dans un délai d'un mois à compter de la signification de l'arrêt et sous astreinte provisoire de 3.000 euros par jour de retard à l'expiration de ce délai, cette mesure d'astreinte ne pouvant courir que pendant six mois consécutifs,
'
II. Sur les chefs de jugement qui seront infirmés (Prétentions n°4 et n°5) :
'
- d'infirmer le jugement rendu le 9 juin 2020 par le tribunal judiciaire de Paris en ce qu'il a condamné la société ADI à payer au profit de l'association UFC-Que Choisir la somme de 20.000 euros à titre de dommages-intérêts en réparation du préjudice occasionné à l'intérêt collectif des consommateurs,
- d'infirmer le jugement rendu le 9 juin 2020 par le tribunal judiciaire de Paris en ce qu'il a déclaré :
'
« L'association demande la suppression des clauses critiquées et ce pour l'ensemble des versions critiquées, sous astreinte de 300,00 euros par clause et par jour de retard, postérieurement à l'expiration d'un délai de 8 jours à compter de la signification du jugement à intervenir et ce conformément aux dispositions de l'article L.421-6 du code de la consommation et de déclarer inopposables ces clauses à tous les consommateurs. Elle sollicite également de déclarer ces clauses inopposables.
'
Il n'apparaît pas nécessaire d'assortir de mesures d'astreinte la déclaration de clauses susmentionnées en clauses réputées non-écrites.
L'ensemble de ces postes de demande sera en conséquence rejeté ».
'
Et, statuant à nouveau,
'
- de condamner la société ADI à payer au profit de l'association UFC-Que Choisir la somme de 200.000 euros à titre de dommages-intérêts en réparation du préjudice occasionné à l'intérêt collectif des consommateurs,
- de prendre acte que l'association UFC-Que Choisir s'engage à affecter cette somme, de façon intégrale et exclusive, au fonds de dotation UFC-Que Choisir,
- d'ordonner la suppression de toutes les clauses qui seront confirmées comme illicites et/ou abusives par la Cour, dans toutes leurs versions étudiées en première instance, ainsi que dans tous les documents destinées et/ou proposées aux consommateurs, comprenant ainsi, par voie de conséquence, ces mêmes clauses contenues dans les documents contractuels proposés par la société ADI, à la date de notification de l'arrêt de la cour,
'
En tout état de cause,
- de confirmer le jugement rendu le 9 juin 2020 par le tribunal judiciaire de Paris en ce qu'il a condamné la société ADI aux entiers dépens de l'instance et ordonné en tant que de besoin l'application des dispositions de l'article 699 du code de procédure civile au profit de Me Hardouin, avocat au barreau de Paris,
- de condamner la société ADI à payer au profit de l'association UF-Que Choisir une indemnité de 70.000 euros sur le fondement de l'article 700 du code de procédure civile en prenant en considération l'incident soulevé par ADI lors de la mise état.
* 18. La clôture a été prononcée suivant ordonnance en date du 4 juillet 2024.
SUR CE, LA COUR,
Sur la recevabilité
19. Pour conclure à l'infirmation du jugement en ce qu'il a déclaré recevables les demandes de l'association UFC-Que Choisir, la société ADI développe différents arguments détaillés ci-après quant à la recevabilité de la majorité des demandes de l'association, notamment en ce que (a) l'association UFC-Que Choisir ne peut être considérée recevable à agir sur le fondement de dispositions étrangères aux directives énumérées à l'Annexe 1 de la Directive 2009/22/CE tant au titre du droit des données personnelles ou du droit d'auteur'; (b) que dans l'hypothèse où l'association était recevable à agir, la recevabilité des demandes doit être limitée aux Conditions Générales et, à tout le moins, aux Conditions Générales et au Document Apple Music et Confidentialité'; (c) que l'association est irrecevable à incriminer des clauses des Conditions Générales ou des Documents relatifs à la protection des données personnelles en visant l'article L. 211-1 du code de la consommation'; et (d) qu'en tout état de cause, l'association UFC-Que Choisir ne peut être considérée recevable à agir en suppression ou pour obtenir le caractère non écrit de «'clauses'» qui ne sont plus en cours d'exécution au jour où la cour statuera.
20. L'association UFC-Que Choisir conclut pour sa part à la confirmation du jugement sur ce chef en soutenant que, par des arguments également détaillés ci-dessous, les moyens produits par la société ADI sur l'irrecevabilité à agir de l'association sont tous infondés.
21. Aux termes de l'article 122 du code de procédure civile':
«'Constitue une fin de non-recevoir tout moyen qui tend à faire déclarer l'adversaire irrecevable en sa demande, sans examen au fond, pour défaut de droit d'agir, tel le défaut de qualité, le défaut d'intérêt, la prescription, le délai préfix, la chose jugée.'»
A) Sur la recevabilité fondée sur le droit des données personnelles et du droit d'auteur
22. La société ADI soutient que, sur le fondement des articles L. 621-7 et L. 621-8 du code de la consommation, l'action à l'encontre de clauses abusives et / ou illicites ouverte aux associations de consommateurs n'est recevable qu'à l'égard des clauses qui contreviendraient aux dispositions nationales transposant les directives exhaustivement listées à l'Annexe 1 de la directive 2009/22/CE.
23. Elle fait alors valoir que les demandes de l'association UFC-Que Choisir visant la clause 7 des Conditions Générales (V1, V2, V3, V4 et V5) au titre des articles L. 131-1 et L. 131-3 du code de la propriété intellectuelle, les clauses 8, 9 et 10 des Conditions Générales (V1, V2, V3, V4 et V5) et les «'clauses'» des Documents relatifs à la protection des données personnelles au titre du RGPD et de la Loi Informatique et Libertés (LIL) sont irrecevables car aucune des dispositions visées ci-dessus par l'association UFC-Que Choisir ne résulte de la transposition des directives limitativement énumérées à l'Annexe 1 de la directive 2009/22/CE.
'
24. La société ADI ajoute que l'association UFC-Que Choisir ne peut retirer aucun droit d'action de l'article 80 § 2 du RGPD qui n'est pas immédiatement invocable dans l'ordre juridique interne et qui a été transposé en droit interne uniquement sous forme d'action de groupe, que l'association n'exerce pas en l'espèce.
25. L'association UFC-Que Choisir réplique d'une part que l'Annexe 1 de la directive 2009/22/CE vise expressément la directive 93/13/CE concernant les clauses abusives dans les contrats conclus avec les consommateurs. L'association UFC-Que Choisir soutient alors qu'elle est fondée à agir considérant qu'une clause qui ne respecte pas les articles L. 131-1 et suivants du code de la propriété intellectuelle crée un déséquilibre significatif préjudiciable aux consommateurs et qu'elle est, par conséquent, abusive.
'
26. D'autre part, elle souligne en premier lieu que la directive 2020/1828 qui a vocation à remplacer la directive 2009/22 à partir du 25 juin 2023 intègre dans son Annexe 1 la possibilité pour les associations de consommateurs d'agir sur le fondement du RGPD. En second lieu, elle soutient que l'article 80 § 2 du RGPD a été transposé par l'article 37 de la LIL de sorte que l'association UFC-Que Choisir peut se fonder sur cette directive pour demander la cessation et / ou la réparation d'un préjudice subi par les consommateurs.
27. Il y a lieu de rappeler que la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (« loi Informatique et Libertés »), a défini les principes à respecter lors « de la collecte, du traitement et de la conservation des données personnelles ». Le Règlement Général sur la Protection des Données (« RGPD »), entré en application le 25 mai 2018 et transposé en droit français avec la loi française du 20 juin 2018, encadre le traitement des données. Les versions postérieures à cette date des documents soumis à la cour relèvent donc du RGPD.
28. Ainsi la Loi Informatique et Libertés, créée en 1978 et modifiée en 2004, concerne l'ensemble des traitements automatisés de données personnelles. Elle s'applique donc à tous les secteurs qui ont recours à des données personnelles dans le cadre de leurs activités. Plusieurs dispositions sont comprises dans cette loi, à savoir :
- L'obligation de déclarer auprès de la CNIL les fichiers contenant des données personnelles
- L'interdiction de collecter des données à caractère sensible, c'est-à-dire relatives à la religion, la santé, la politique, etc (sauf exceptions)
- Le principe de collecte loyale de données
- L'obligation d'assurer la sécurité de l'ensemble des données collectées
- L'obligation d'informer les individus concernés de la collecte de leurs données
- Le droit à l'accès, la modification et la suppression des données en question.
29. Il est manifeste que l'UFC-Que Choisir, par son action, n'a pas pour but une analyse des traitements de données à caractère personnel du service Apple Music mais une analyse des clauses contractuelles et de leur légalité au regard des dispositions de la loi Informatique et Libertés et du RGPD.
30. A cet égard, deux listes de clauses abusives sont issues du code de la consommation':
- une liste de clauses indéniablement abusives au nombre de 12, ou'"liste noire" qui se trouve à l'article R. 212-1 du code,
- une liste de clauses abusives jusqu'à preuve du contraire au nombre de 10, ou "liste grise" qui se trouve à l'article R. 212-2 du code
31. Les clauses énumérées dans ces listes ne sont pas de véritables clauses telles qu'elles sont rédigées dans les contrats ; il s'agit plutôt de leur description': seront abusives toutes les clauses qui ont "pour objet ou pour effet de" produire le résultat décrit.
32. Ces listes étant indicatives et non exhaustives, d'autres textes, non issus du code de la consommation, peuvent servir de fondement à l'appréciation du caractère illicite d'une clause dans un contrat de consommation.
33. Seule l'analyse clause par clause permettra de déterminer si une violation de la loi Informatique et Libertés et du RGPD ou encore des articles L. 131-1 et L. 131-3 du code de la propriété intellectuelle est caractérisée et donc l'illicéité de la ou des clauses concernées constatée.
34. En outre la cour relève que si le RGPD ne figure pas dans la directive 2009/22/CE, l'article 80.2 du RGPD, transposé en droit français à l'article 37 de la LIL, habilite expressément les associations agréées à exercer les droits conférés par le règlement. La jurisprudence de la CJUE (Fashion ID) confirme cette capacité d'action des associations de consommateurs en matière de protection des données, qui constitue un droit propre et autonome.
35. La demande de la société ADI quant à la saisine de la CJUE concernant des questions préjudicielles relatives à l'interprétation de certaines dispositions du droit communautaire sera donc rejetée.
36. L'action de l'association UFC-Que Choisir est donc recevable, sans que l'existence d'un mandat conféré par une personne concernée ne soit nécessaire, sur le fondement du droit des données personnelles et du droit de la propriété littéraire et artistique et le jugement sera confirmé sur ce point.
B) Sur la recevabilité fondée sur l'objet du litige
37. La société ADI soutient d'abord que les prétentions de l'association UFC-Que Choisir portaient initialement sur des clauses de nature contractuelle des Conditions Générales et devaient être étudiées sur le fondement du droit de la consommation. Elle fait valoir que les demandes de l'association UFC-Que Choisir formées en cours d'instance sont des demandes additionnelles au sens de l'article 65 du code de procédure civile en ce que les nouveaux griefs ont transformé l'objet du litige sur des documents non-contractuels d'information relatifs à la politique de confidentialité de la société ADI.
38. La société ADI ajoute ensuite que le litige engagé avait pour objet le service d'abonnement «'Apple Music'» et que l'association UFC-Que Choisir a fait évoluer ses prétentions en cours d'instance pour viser au sein de son action de nouveaux documents n'ayant aucun lien avec le service «'Apple Music'» initialement concerné, pour viser l'ensemble des produits et services proposés par la société ADI.
39. Enfin, la société ADI soutient que les premiers juges n'ont pas caractérisé l'existence d'un lien suffisant au sens de l'article 70 du code de procédure civile entre les demandes additionnelles de l'association UFC-Que Choisir et ses prétentions originaires, en ce que les demandes additionnelles formées deux ans et demi après l'assignation ne sont pas intervenues dans le cadre d'une évolution raisonnable de l'instance.
40. A tout le moins, si un lien suffisant entre les demandes additionnelles et les prétentions originaires était caractérisé, la société ADI fait valoir que les demandes de l'association UFC-Que Choisir visant les documents relatifs à la protection des données personnelles, à savoir l'Engagement de Confidentialité (V1 ou V2) qui constituent un document d'information générale, sont irrecevables car elles ne concernent pas spécifiquement le service «'Apple Music'», puisque l'objet du litige était cantonné uniquement à ce service.'
41. L'association UFC-Que Choisir réplique d'abord que ses prétentions visées par l'article 4 du code de procédure civile n'ont jamais évolué comme l'attestaient déjà les courriers échangés entre les parties lors de la phase précontentieuse et dont l'association soutient avoir toujours inclus dans ses prétentions un volet «'violation de la réglementation des données à caractère personnel'».
42. L'association UFC-Que Choisir ajoute ensuite que l'argument consistant à considérer que ses demandes seraient nouvelles suite à l'évolution de la documentation proposée aux consommateurs est inopérant car elle n'a aucun contrôle sur la manière dont la société ADI propose ces conditions d'utilisation et autres politiques de confidentialité.
'
43. Enfin, l'association UFC-Que Choisir fait valoir que ses développements formulés ne sont que le résultat du comportement de l'inertie de la société ADI, notamment en ce que cette dernière savait depuis la mise en demeure du 16 décembre 2015 qu'il lui était reproché des agissements contraires à la législation relative aux données à caractère personnel, que le RGPD est entré en vigueur le 23 mai 2018 et que la société a disposé de plus de deux ans pour se mettre en conformité, en vain. '
44. Aux termes de l'article 4 du code de procédure civile':
«'L'objet du litige est déterminé par les prétentions respectives des parties.
Ces prétentions sont fixées par l'acte introductif d'instance et par les conclusions en défense. Toutefois l'objet du litige peut être modifié par des demandes incidentes lorsque celles-ci se rattachent aux prétentions originaires par un lien suffisant.'»
45. En vertu de l'article 65 du code de procédure civile':
«'Constitue une demande additionnelle la demande par laquelle une partie modifie ses prétentions antérieures.'»
46. Aux termes de l'article 70 alinéa 1er du même code':
«'Les demandes reconventionnelles ou additionnelles ne sont recevables que si elles se rattachent aux prétentions originaires par un lien suffisant.'»
47. Force est de constater que les prétentions de l'UFC dont la société ADI soutient qu'elles auraient évolué en cours de première instance, qui s'inscrivent dans le cadre des reproches initiaux concernant la conformité des clauses au RGPD et à la LIL ' la mise en demeure originaire faisant référence à la violation de données à caractère personnel -, ont par conséquent un lien suffisant avec les prétentions originaires, et sont recevables. Les documents incriminés, en lien avec tous les produits et services proposés par la société ADI, s'appliquent également au service Apple Music et ne doivent donc pas être exclus de l'objet du litige.
Le jugement sera donc confirmé en ce qu'il a déclaré l'association UFC-Que Choisir recevable à agir à l'encontre de l'Engagement de Confidentialité.
C) Sur la recevabilité fondée sur l'article L. 211-1 du code de la consommation
48. La société ADI soutient que les demandes de l'association UFC-Que Choisir visant à ce que soit reconnu le caractère illicite ou abusif de clauses fondées sur l'article L. 211-1 du code de la consommation ne sont pas recevables car premièrement, ce texte, comme le prévoit l'article 5 de la directive 93/13/CE du 5 avril 1993, est, selon la société ADI, une règle d'interprétation insusceptible de caractériser un agissement illicite au sens des articles L. 621-7 et L. 621-8 du code de la consommation.
49. Deuxièmement, la société ADI fait valoir que l'article L. 211-1 du code de la consommation est expressément inapplicable aux procédures engagées sur le fondement de l'article L. 621-8 du code de la consommation.
50. Troisièmement, la société ADI soutient, dans l'hypothèse où l'article 211-1 du code de la consommation était applicable, que la méconnaissance du principe de clarté dans une clause ne peut justifier d'invalider la clause en question alors que les dispositions dudit article prescrivent expressément, en pareil cas, d'interpréter celle-ci dans le sens le plus favorable au consommateur.'
'
51. L'association UFC-Que Choisir réplique en premier lieu que l'article L. 211-1 du code de la consommation, transposant l'article 5 de la directive 93/13/CEE, pose en son premier alinéa une obligation de clarté et de compréhension de la clause qui fonde son action à en demander la nullité pour défaut de clarté. Elle ajoute que le second alinéa fixe les modalités de preuve de l'agissement illicite, incombant à une association de défense des droits de consommateurs qui devra démontrer l'absence de clarté lorsqu'elle initie une action en justice, de sorte que la notion d'interprétation n'a pas de lien avec le caractère illicite de l'agissement.
52. L'association soutient en second lieu qu'un agissement illicite est un agissement listé dans l'Annexe 1 de la directive 2009/22/CE dont figure l'article 5 de la directive 93/13/CE transposé par l'article L. 211-1 du code de la consommation. L'association UFC-Que Choisir soutient que ce dernier article peut donc être utilisé comme un fondement autonome pour caractériser un agissement illicite pouvant faire l'objet d'une action en cessation d'agissements illicites.
53. Aux termes de l'article L. 211-1 du code de la consommation':
«'Les clauses des contrats proposés par les professionnels aux consommateurs doivent être présentées et rédigées de façon claire et compréhensible.
Elles s'interprètent en cas de doute dans le sens le plus favorable au consommateur. Les dispositions du présent alinéa ne sont toutefois pas applicables aux procédures engagées sur le fondement de l'article L. 621-8.
Un décret en Conseil d'État précise, en vue d'assurer l'information du consommateur, les modalités de présentation des contrats mentionnés au premier alinéa.'»
54. Les premiers juges ont justement relevé que l'obligation de clarté et de compréhensibilité était une obligation transverse imprégnant l'ensemble du droit de la consommation.
55. L'article L. 211-1 du code de la consommation ' figurant dans le chapitre consacré à la présentation des contrats ' est issu de la transposition par la loi n° 95-96 du 1er février 1995 de l'article 5 de la directive 93/13/CE du 5 avril 1993 dans l'ancien article L. 133-2 devenu l'article L. 211-1.
56. L'exigence de clarté et de compréhensibilité transposée dans l'article incriminé en son alinéa 1er n'est pas une simple règle d'interprétation ne permettant pas de qualifier un agissement comme étant illicite mais constitue au contraire un fondement autonome recevable.
57. Le jugement sera confirmé en ce qu'il a rejeté la demande d'irrecevabilité formée par la société ADI sur le fondement de l'article L. 211-1 du code de la consommation.
D) Sur la recevabilité fondée sur des clauses qui ne sont plus en cours d'exécution ou qui ne sont pas qualifiées de «'contrats'»
Sur le principe
58. La société ADI soutient en premier lieu que les demandes de l'association UFC-Que Choisir visant les Conditions Générales (V1, V2, V3, V4 et V5), l'Engagement de Confidentialité (V1 et V2) ainsi que le Document Apple Music et confidentialité V1 et maintenues en cause d'appel sont irrecevables dans la mesure où ces versions ne sont plus en cours d'exécution au sens de l'article L. 621-8 du code de la consommation.
59. En second lieu, la société ADI fait valoir que les demandes en suppression et en réputé non-écrit de l'association UFC-Que Choisir sont en tout état de cause irrecevables à l'égard de l'Engagement de Confidentialité et du Document Apple Music et Confidentialité, qui ne sont pas des «'contrats'» au sens de l'article L. 621-8 du code de la consommation.
60. L'association UFC-Que Choisir ne répond pas à ces moyens.
61. La société ADI ne saurait soutenir que les documents tels que l'Engagement de Confidentialité et Apple Music et Confidentialité ne sont pas des «'contrats'» au sens de l'article L. 621-8 du code de la consommation alors qu'ils obligent l'utilisateur du service Apple Music et s'imposent à lui. Ils font partie de l'ensemble contractuel auquel le consommateur est soumis lorsqu'il souscrit au service Apple Music. L'action de l'association UFC-Que Choisir à leur égard est donc recevable.
62. L'association UFC-Que Choisir sollicite toujours dans ses dernières conclusions la suppression de clauses dans des versions anciennes des documents incriminés ou le fait de les réputer non-écrites.
63. Aux termes de l'article L. 621-8 du code de la consommation':
64. «'Lorsqu'il est saisi en application de l'article L. 621-7, le juge peut ordonner, le cas échéant sous astreinte, la suppression d'une clause illicite ou abusive dans tout contrat ou type de contrat proposé ou destiné au consommateur ou dans tout contrat en cours d'exécution.
65. Les associations et les organismes mentionnés à l'article L. 621-7 peuvent également demander au juge de déclarer que cette clause est réputée non écrite dans tous les contrats identiques conclus par le même professionnel avec des consommateurs, et de lui ordonner d'en informer à ses frais les consommateurs concernés par tous moyens appropriés.'»
66. Il n'est dès lors plus possible d'apprécier le caractère abusif des clauses figurant dans les anciens contrats proposés dans la mesure où ceux-ci ont été modifiés par le professionnel qui y a substitué de nouvelles clauses notifiées à l'ensemble des clients concernés, de sorte qu'aucune des clauses litigieuses ne figure plus dans les contrats en cours d'exécution.
67. Une association peut désormais critiquer le caractère illicite ou abusif d'une clause stipulée dans un contrat qui n'est plus proposé aux consommateurs mais à la condition que cette clause soit encore appliquée dans des contrats en cours d'exécution. Les contrats conclus avant l'exercice d'une action en cessation mais qui sont désormais soumis aux nouvelles conditions générales de vente parce qu'elles ont été substituées aux anciennes sont de nouveaux contrats et non de contrats en cours d'exécution.
68. La société ADI démontre par les pièces qu'elle produit que les Conditions Générales V1 (du 30 juin 2015) ont été annulées et remplacées par les Conditions Générales V2 (de mars 2016) et que ces dernières ont été annulées et remplacées par les Conditions Générales V3 (du 13 septembre 2016). Il en est de même des Conditions Générales V4 (du 17 septembre 2018), V5 (du 13 mai 2019) et V6 (du 16 septembre 2020). Les versions V1 à V5 ne sont donc plus en cours d'exécution.
69. Quant à l'Engagement de Confidentialité, sa version V1 du 22 mai 2018 a été remplacée par une version V2 du 9 mai 2019 elle-même remplacée par une version V3 du 1er juin 2021.
70. Enfin le document Apple Music et Confidentialité du 17 septembre 2018 a été remplacé par sa version 2 au 20 mai 2021.
71. Ne peut donc être ordonnée la suppression à l'égard des consommateurs ou le caractère non écrit de clauses qui, au moment où le juge statue, ne figurent plus dans aucun contrat en vigueur.
72. La société ADI a substitué aux clauses contenues dans les contrats soumis aux conditions générales V1, V2, V3, V4 et V5, à l'Engagement de Confidentialité V1 etV2 et au document Apple Music et Confidentialité V1 de nouvelles clauses notifiées à l'ensemble des clients concernés ' en ce qui concerne les Conditions Générales faisant l'objet d'un acte positif d'acceptation de l'utilisateur -, de sorte que ne subsiste aucun contrat en cours susceptible de contenir les anciennes clauses litigieuses. Il en résulte que la demande de suppression portant sur ces clauses est irrecevable, l'UFC-Que Choisir n'ayant plus d'intérêt à agir pour ce faire.
73. Le jugement sera par conséquent infirmé en ce qu'il a déclaré les demandes de l'association UFC-Que Choisir recevables.
Sur les conséquences
74. En sus de son action en suppression des clauses abusives ou illicites, l'association UFC-Que Choisir réclame la somme de 200.000 euros au titre du préjudice porté à l'intérêt collectif des consommateurs.
75. En effet, une association agissant en suppression de clauses illicites ou abusives peut solliciter la réparation du préjudice direct ou indirect porté à l'intérêt collectif des consommateurs, la stipulation de clauses abusives constituant en elle-même une faute de nature à porter atteinte à un tel intérêt collectif.
76. La réparation du préjudice porté à l'intérêt collectif des consommateurs est subordonnée à l'existence d'une clause éligible à l'action en suppression.
77. L'association UFC-Que Choisir soutient que les modifications des conditions contractuelles auxquelles a procédé ADI depuis l'assignation délivrée par l'UFC-Que Choisir sont marginales.
78. Si l'action en suppression d'une clause illicite ou abusive n'est pas applicable aux contrats qui ne sont pas en cours d'exécution ou qui sont soumis aux versions des conditions générales et/ou de l'Engagement de Confidentialité et du document Apple Music et Confidentialité qui ne sont plus proposées, l'appréciation du préjudice porté à l'intérêt collectif des consommateurs requiert l'examen de chacune des clauses anciennes, issues des versions obsolètes. En effet, la détermination du nombre de clauses revêtant un caractère abusif ou illicite, les multiples versions concernées par cette possible atteinte, et leur persistance dans le temps susceptibles d'avoir un effet sur une masse importante d'utilisateurs sur le territoire français sont autant de critères permettant d'apprécier l'éventuel préjudice porté à l'intérêt collectif des consommateurs.
79. Il convient par conséquent, nonobstant l'irrecevabilité de l'action en suppression des clauses ne subsistant dans aucun contrat en cours, d'analyser chacune des clauses soumises à la cour par l'association UFC-Que Choisir afin de déterminer si celles-ci revêtaient, lorsqu'elles figuraient dans des contrats proposés ou destinés aux consommateurs, un caractère abusif ou illicite. L'examen ainsi opéré sera cependant plus succinct qu'en première instance, l'irrecevabilité prononcée ne requérant donc pas une réponse exhaustive aux moyens soulevés.
Sur la sanction du réputé non-écrit concernant les clauses de l' «'Engagement de Confidentialité'» et du document «'Apple Music et Confidentialité'»
80. La société ADI soutient que la sanction du réputé non-écrit est inadéquate concernant les documents «'Engagement de Confidentialité'» et «'Apple Music et Confidentialité'» qui sont des documents informatifs en dehors du champ contractuel.
81. L'UFC rappelle d'abord que si les Conditions d'Utilisation constituent le c'ur du contrat souscrit par les utilisateurs des services iTunes et Apple Music, l'Engagement de Confidentialité est doté d'une valeur contractuelle en tant qu'élément du contrat d'adhésion proposé aux souscripteurs des services proposés par ADI. L'UFC expose qu'en utilisant les services et en acceptant les Conditions d'Utilisation, les utilisateurs sont automatiquement liés par l'Engagement de Confidentialité qu'ils ne peuvent qu'accepter sans réserve. Elle rappelle en effet que les Conditions d'Utilisation renvoient à l'Engagement de Confidentialité. Elle indique également que les documents «'Apple Music et confidentialité'» et «'A propos du lecteur Web Apple Music et de la confidentialité'» sont expressément visés par l'Engagement de Confidentialité.
82. La nature contractuelle des documents «'Engagement de Confidentialité'» et «'Apple Music et Confidentialité'» a été caractérisée supra, ces deux derniers documents, en sus des Conditions Générales, constituant le socle contractuel auquel le consommateur est soumis lorsqu'il souscrit aux services Apple Music.
83. Il en résulte que l'UFC est fondée à solliciter l'application de la sanction du «'réputé non écrit'» aux clauses figurant dans les documents «'Engagement de Confidentialité'» et «'Apple Music et Confidentialité'».
Sur le fond
La clause n° 1 des conditions générales
84. La société ADI soutient en premier lieu que la clause n° 1 n'est pas contraire à l'article L. 221-15 du code de la consommation qui énonce une responsabilité de plein droit. Elle souligne d'une part que le point b) de la clause 1 prévoit que les limitations de responsabilité ne s'appliquent que dans la mesure où elles ne sont pas contraires à la loi et d'autre part que les exclusions de garantie prévues au paragraphe b) ne remettent pas en cause le principe ni les exceptions prévus par l'article L. 221-15. La société ADI indique en deuxième lieu que la clause ne contrevient pas à l'article L. 221-5 du code de la consommation dans sa version applicable au litige, étant rédigée de façon claire et compréhensible et ajoute que l'article L. 211-1, qui n'est qu'une règle d'interprétation, n'est pas applicable dans le cadre d'une action menée sur le fondement de l'article L. 621-8 du code de la consommation. La société ADI fait encore valoir que la clause ne viole pas l'article L. 212-1 du code de la consommation puisque les cas de fraude, faute lourde, faute volontaire, mort de l'utilisateur ou dommage corporel ne sont pas des restrictions de responsabilité au bénéfice d'ADI mais précisément des cas où sa responsabilité ne peut être écartée. La société ADI soutient enfin que la clause n° 1 n'est pas contraire aux articles L.212-1 et R. 212-1-6° du code de la consommation puisqu'elle n' a pas pour effet de supprimer ou réduire le droit à réparation de l'utilisateur du service, qu'il peut en tout état de cause exercer pourvu qu'un tel droit lui soit conféré par la loi.
85. L'UFC soutient que la clause n° 1 des conditions d'utilisation doit être sanctionnée sur le fondement des articles L. 221-15, L. 221-5, L. 211-1, L. 212-1 du code de la consommation. Elle relève en premier lieu qu'en application des articles L. 211-1 et L.221-5, la clause manque à son obligation de clarté dans la mesure où le consommateur n'est pas informé des cas dans lesquels il peut engager la responsabilité de la société d'ADI. Selon l'UFC, l'énumération des cas d'exclusion associée à l'absence de reconnaissance d'une responsabilité de plein droit conduit nécessairement le consommateur à comprendre que la responsabilité de la société ADI ne sera pas ou peu engagée. L'UFC expose en deuxième lieu que la clause n° 1 contrevient au principe de la responsabilité de plein droit énoncée par l'article L. 221-15 en procédant par voie d'exclusions et d'exceptions sans affirmer ce principe. Enfin l'UFC fait valoir en troisième lieu que la clause n° 1 est abusive en ce qu'elle contrevient à l'article L. 212-1 du code de la consommation qui dresse une liste de certaines clauses réputées abusives de manière irréfragable. Elle relève que la rédaction adoptée par la société ADI lui permet en effet de réduire le droit à réparation du préjudice du consommateur en le limitant à certains cas et en s'exonérant par voie de conséquence de toute responsabilité pour des causes plus étendues que la force majeure ou le fait d'un tiers.
86. Le tribunal a déclaré la clause n° 1 des Conditions Générales dans ses versions V2, V3, V4, V5 illicite au regard des articles L. 211-1, L. 221-5, L. 221-15 du code de la consommation et abusive au sens de l'article L. 212-1 du code de la consommation et l'a réputée non écrite.
87. Aux termes de l'article L. 221-15 du code de la consommation':
«'Le professionnel est responsable de plein droit à l'égard du consommateur de la bonne exécution des obligations résultant du contrat conclu à distance, que ces obligations soient exécutées par le professionnel qui a conclu ce contrat ou par d'autres prestataires de services, sans préjudice de son droit de recours contre ceux-ci. Toutefois, il peut s'exonérer de tout ou partie de sa responsabilité en apportant la preuve que l'inexécution ou la mauvaise exécution du contrat est imputable soit au consommateur, soit au fait, imprévisible et insurmontable, d'un tiers au contrat, soit à un cas de force majeure.'»
88. En vertu de l'article L. 221-5 1° dans sa version applicable jusqu'au 28 mai 2022':
«'Préalablement à la conclusion d'un contrat de vente ou de fourniture de services, le professionnel communique au consommateur, de manière lisible et compréhensible, les informations suivantes :
1° Les informations prévues aux articles L. 111-1 et L. 111-2 ;'»
89. Aux termes de l'article L. 212-1 du même code':
«'Dans les contrats conclus entre professionnels et consommateurs, sont abusives les clauses qui ont pour objet ou pour effet de créer, au détriment du consommateur, un déséquilibre significatif entre les droits et obligations des parties au contrat.
Sans préjudice des règles d'interprétation prévues aux articles 1188, 1189, 1191 et 1192 du code civil, le caractère abusif d'une clause s'apprécie en se référant, au moment de la conclusion du contrat, à toutes les circonstances qui entourent sa conclusion, de même qu'à toutes les autres clauses du contrat. Il s'apprécie également au regard de celles contenues dans un autre contrat lorsque les deux contrats sont juridiquement liés dans leur conclusion ou leur exécution.
L'appréciation du caractère abusif des clauses au sens du premier alinéa ne porte ni sur la définition de l'objet principal du contrat ni sur l'adéquation du prix ou de la rémunération au bien vendu ou au service offert pour autant que les clauses soient rédigées de façon claire et compréhensible.
Un décret en Conseil d'État, pris après avis de la commission des clauses abusives, détermine des types de clauses qui, eu égard à la gravité des atteintes qu'elles portent à l'équilibre du contrat, doivent être regardées, de manière irréfragable, comme abusives au sens du premier alinéa.
Un décret pris dans les mêmes conditions, détermine une liste de clauses présumées abusives ; en cas de litige concernant un contrat comportant une telle clause, le professionnel doit apporter la preuve du caractère non abusif de la clause litigieuse.
Ces dispositions sont applicables quels que soient la forme ou le support du contrat. Il en est ainsi notamment des bons de commande, factures, bons de garantie, bordereaux ou bons de livraison, billets ou tickets, contenant des stipulations négociées librement ou non ou des références à des conditions générales préétablies.'»
90. Force est de constater que la formulation ' identique dans toutes les versions - «'Apple fournira le Service avec diligence et dans le respect des règles de l'art. Apple ne donne aucun autre engagement ni aucune autre garantie concernant le Service'» plonge le consommateur dans une sorte de flou sur les engagements réels de la société ADI à son égard notamment au regard des paragraphes suivants qui énumèrent des exclusions ou limitations de garantie avant d'indiquer in fine en d) les cas dans lesquels la responsabilité d'ADI peut être engagée.
91. La rédaction de la clause est peu claire et compréhensible pour l'utilisateur et contrevient ainsi aux dispositions tant des articles L. 211-1 et L. 221-5 du code de la consommation que de l'article L. 221-15 car elle induit le consommateur en erreur en ne précisant pas la responsabilité de plein droit de la société ADI. Elle crée aussi un déséquilibre significatif entre les droits et obligations des parties ' au sens de l'article L.212-2 du code de la consommation ' en, par une clause opaque, donnant au consommateur l'impression que le principe de responsabilité de plein droit de la société ADI est éludé.
92. Le jugement sera confirmé en ce qu'il a déclaré la clause n° 1 illicite et abusive et l'a réputée non écrite.
La clause n° 2 des conditions générales
93. La société ADI soutient que la clause n° 2 des conditions générales ne fait qu'exprimer les prescriptions de la loi et n'est pas contraire aux dispositions de l'article L. 221-15 du code de la consommation. Elle fait valoir que l'expression «'faits échappant à son contrôle'» vise précisément des situations dans lesquelles les faits ne sont pas imputables à Apple et rappelle l'alinéa 1er de l'article 1218 du code civil. Elle indique également que la clause n'exclut pas sa responsabilité de plein droit en cas de défaillance technique ou faille de sécurité qui lui serait imputable. Elle soutient que l'article L. 221-15 du code de la consommation n'impose pas que soit précisé dans le contrat conclu avec le consommateur que le professionnel est responsable à son égard des prestations dont le professionnel aurait confié l'exécution à un tiers. Elle conclut enfin que la clause n° 2 n'est pas contraire aux articles L. 212-1 et R. 212-1-6° du code de la consommation.
94. L'UFC considère que la clause n° 2 est illicite sur le fondement de l'article L. 221-15 du code de la consommation et abusive sur le fondement des articles L. 212-1 et R. 212-1 6° du code de la consommation. Elle soutient que la rédaction de la clause permet à la société ADI d'échapper à sa responsabilité de plein droit en cas de faille de sécurité de données résultant de l'intervention d'un de ses sous-traitants.
95. Le tribunal a retenu l'illicéité de la clause au sens de l'article L. 221-15 du code de la consommation et l'a réputée non écrite mais n'a pas retenu le grief initial de l'UFC sur l'absence de clarté et de compréhensibilité de la clause ' critique non reprise par l'UFC en appel.
96. L'expression «'faits indépendants de sa volonté'» puis «'faits échappant à son contrôle'» est suffisamment imprécise pour élargir les cas d'irresponsabilité de la société ADI à des hypothèses excédant les restrictions de l'article L. 221-15 qui ne vise que «'l'inexécution ou la mauvaise exécution du contrat'» «'imputable au consommateur'» ou le «'fait, imprévisible et insurmontable, d'un tiers au contrat'» ou «'un cas de force majeure'». La faille technique ou l'intervention d'un sous-traitant pourraient ainsi être invoquées par la société ADI pour s'exonérer de sa responsabilité, en contravention avec les dispositions issues de l'article L.221-15 précité.
97. Le jugement sera par conséquent confirmé en ce qu'il a déclaré la clause n° 2 dans ses différentes versions illicite au sens de l'article L. 211-15 du code de la consommation et l'a réputée non écrite.
98. L'UFC ne reprend pas en appel le fondement de l'article L. 211-1 dont elle avait été déboutée en première instance. La clause est en effet courte et compréhensible pour le consommateur et le jugement sera confirmé sur ce point.
99. Le nouveau fondement dont se prévaut l'UFC tiré des articles L. 212-1 et R. 212-1 6° du code de la consommation n'est pas explicité dans les conclusions, l'intimée ne développant pas en quoi cette clause créerait un déséquilibre significatif entre les droits et obligations des parties. La demande sera rejetée sur ce fondement.
La clause n° 3 des conditions générales
100. La société ADI souligne que le tribunal, après avoir considéré la clause n° 3 comme étant licite, l'a mentionnée par erreur dans son dispositif. Elle rappelle que l'article L. 241-1 du code de la consommation prévoit que le contrat reste applicable dans toutes ses dispositions autres que les clauses abusives réputées non écrites lorsque ce contrat peut subsister sans ces clauses.
101. L'UFC n'analyse pas cette clause et donc ne formule aucune demande dans ses conclusions.
102. Le tribunal l'a déclarée licite dans sa motivation en rappelant les dispositions de l'article L. 241-1 du code de la consommation aux termes duquel': «'Les clauses abusives sont réputées non écrites. Le contrat reste applicable dans toutes ses dispositions autres que celles jugées abusives s'il peut subsister sans ces clauses. Les dispositions du présent article sont d'ordre public.'».
103. Le jugement sera confirmé en ce qu'il a déclaré cette clause licite et a débouté l'association UFC-Que Choisir de sa demande à ce titre.
La clause 4 des conditions générales
104. La société ADI soutient en premier lieu que la clause n° 4 ne viole pas l'article L. 211-1 du code de la consommation et n'est donc pas illicite. Elle rappelle que l'article L. 211-1 du code de la consommation n'est qu'une règle d'interprétation et que la clause est claire et compréhensible, l'utilisateur étant parfaitement en mesure de comprendre les termes usuels utilisés qui n'ont rien de vague. Elle fait valoir en second lieu que la clause n° 4 ne viole pas l'article R. 212-1-4° du code de la consommation et n'est donc pas abusive. La société ADI indique que la faculté d'interprétation, que le tribunal a sanctionnée, résulte précisément du régime instauré par la loi n° 2004-575 du 21 juin 2004, qui confère à l'hébergeur, dans le cadre de son obligation de prompt retrait, le devoir d'apprécier l'existence d'un contenu manifestement illicite, et qui est expressément visé dans les conditions générales d'utilisation de Deezer, prises en exemples par l'UFC. Elle explique qu'elle doit pouvoir mettre à jour les listes des contenus interdits, pour tenir notamment compte des évolutions législatives et réglementaires, qui impliquent des évolutions dans les catégories de contenus illicites et dans les régimes qui leur sont applicables.
105. L'UFC reproche à la clause n° 4 d'établir une liste des agissements contraires aux dispositions contractuelles qui manque de clarté, les termes trop vagues utilisés ne permettant pas aux utilisateurs d'avoir une information précise des modalités d'utilisation du service et rendant la clause illicite en application de l'article L. 211-1 du code de la consommation. Elle soutient que la clause est également abusive au sens de l'article R. 212-1 4° du code de la consommation en ce que la vacuité des termes employés permet à la société ADI d'interpréter discrétionnairement en dehors de tout contrôle judiciaire l'existence d'un agissement contraire aux dispositions contractuelles et d'imposer les sanctions prévues au contrat alors que ce texte prohibe la possibilité pour le professionnel de s'accorder un «'droit exclusif d'interpréter une quelconque clause du contrat.'»
106. Le tribunal a déclaré la clause n° 5 illicite au sens de l'article L. 211-1 du code de la consommation et abusive au regard de l'article R. 212-1 4° du même code et l'a réputée non écrite.
107. Si l'entièreté de la clause, en ses différentes versions, a été jugée illicite par le tribunal, conformément à la demande de l'UFC, force est de constater cependant que cette clause régit l'envoi par l'utilisateur de contenu sur les services et apporte les restrictions d'usage en des termes compréhensibles («'contenu répréhensible, injurieux, illicite ...'») en donnant des instructions d'envoi. Elle ne revêt pas un caractère illicite et le jugement sera infirmé sur ce point, à l'exception d'une partie de cette clause qui sera examinée infra.
108. La seule partie critiquable de ladite clause est en effet la suivante': «'Vous concédez par les présentes à Apple une licence mondiale, gratuite, perpétuelle et non-exclusive pour utiliser les éléments que vous soumettez dans les services et à des fins marketing.'».
109. Il sera renvoyé à la partie intitulée, selon la numérotation employée par la société ADI dans ses conclusions, «'clause n° 7 des Conditions Générales'» pour l'examen de cette phrase de la clause.
Les clauses 5 et 6 des conditions générales
Clause 5
Clause 6
110. La société ADI soutient que la clause n°5 n'est pas une clause de résiliation et n'est pas abusive. Elle fait valoir que la clause 5 prévoit un droit de suspension du service et ne porte aucunement sur une quelconque appréciation qui pourrait être faite par ADI de la conformité du service par rapport aux stipulations du contrat. Elle souligne qu'une limitation dans l'utilisation ou l'accès au service ne correspond pas à une interdiction d'accès ou à une résiliation.
111. La société ADI soutient que la clause n° 6 n'est ni illicite ni abusive en ce qu'elle permet, en sa version 5, simplement à ADI de résilier le contrat si l'utilisateur ne respecte pas les dispositions du contrat ou en cas de manquement de l'utilisateur aux conditions générales, tout en précisant que dans le cadre de services de streaming musical par abonnement, tel que «'Apple Music'», peu d'obligations pèsent sur les consommateurs. La société ADI précise aussi que dans la mesure où la clause prévoit que la résiliation peut intervenir sans préavis, l'utilisateur ne devra aucune somme à ADI au titre d'une période pendant laquelle il n'aurait pas eu accès au service.
112. L'UFC soutient que le tribunal a justement procédé à une lecture croisée des clauses pour considérer que les mécanismes de résiliation étaient abusifs et illicites. Pour l'UFC, le seul fait que la société ADI soutienne que la clause 6 V 3 ne soit pas une clause de résiliation atteste de son absence de clarté alors que la clause est intitulée «'résiliation et suspension de service'». L'UFC relève en outre que par leur absence de mise en demeure préalable et/ou de délai de préavis, ces clauses sont abusives dès lors qu'elles privent le consommateur de son droit de contestation. Elles sont donc abusives en application de l'article R. 212-2 4° du code de la consommation qui présume abusives de manière irréfragable les clauses qui reconnaissent au professionnel la faculté de résilier les contrats sans préavis d'une durée raisonnable. L'UFC fait valoir également que l'utilisateur n'est pas informé de la procédure à suivre en cas de suspension pour accéder de nouveau au service.
113. Le tribunal a retenu le caractère illicite de ces clauses sur le fondement des articles L. 111-1, L. 111-2, L. 221-5 et le caractère abusif de ces clauses sur le fondement des articles L. 212-1 (et non L. 221-1) et R. 212-1 4° et 6° du code de la consommation. Elles ont été réputées non écrites.
114. La clause n° 5 en ses versions V1 et V3 permet à la société ADI de suspendre ou interrompre les services fournis sans pour autant prévoir une éventuelle procédure de rétablissement. Il s'agit donc bien, contrairement à ce que soutient l'appelante, d'une clause de résiliation puisque l'interruption peut devenir définitive, à la seule discrétion de la société ADI.
115. La clause n° 6 décrit plus précisément les cas de résiliation à l'initiative de la société ADI en cas de manquement de l'utilisateur.
116. Ces deux clauses prévoient une suspension, une interruption ou une résiliation des services par la société ADI sans prévoir de droit de réponse ou de possibilité de justification par l'utilisateur ce qui crée un déséquilibre significatif au sens de l'article L. 212-1 au détriment du consommateur et rend ces clauses abusives en application de l'article R. 212-1 4°) du code de la consommation.
117. Elles ne prévoient pas davantage de préavis raisonnable, l'éventualité d'un préavis étant seulement évoquée dans la clause n° 5 en sa version 3 et laissée à la libre appréciation de la société ADI, aucune prévenance ne figurant dans la clause n° 6 dans ses différentes versions. L'utilisateur est ainsi privé de préavis ce qui crée un déséquilibre significatif au profit du professionnel au sens de l'article L. 212-1 du code de la consommation.
118. Comme l'ont souligné les premiers juges, les clauses n° 5 et 6 en leur dernière version excluent toute responsabilité d'Apple et les paiements restent acquis à la société ADI en tout état de cause ce qui rend ces clauses abusives au sens de l'article R. 212-1 6° du code de la consommation car elles ont pour effet ou pour objet de supprimer le droit à réparation du préjudice que l'utilisateur peut subir à la suite d'un manquement par la société à l'une quelconque de ses obligations. Il ne peut en effet être exclu qu'une suspension, interruption ou résiliation des services sans préavis par la société ADI résulte d'une erreur d'appréciation de sa part et le consommateur serait ainsi privé des services sans aucune contrepartie.
La clause 7 des conditions générales
119. La société ADI souligne d'abord que le tribunal n'a pas formellement visé la clause 7 au dispositif de son jugement alors qu'il a considéré dans les motifs que ladite clause dans ses versions V3, V4 et V5 était illicite au regard des dispositions de l'article L. 131-1, L. 131-2, L. 131-3 du code de la propriété intellectuelle, de l'article L. 211-1 du code de la consommation et abusive au regard de l'article L. 212-1 du code de la consommation. La société ADI soutient que le tribunal a violé le principe du contradictoire en visant les articles L. 131-1 et L. 131-2 du code de la propriété intellectuelle qui n'avaient pas été soulevé ni débattu par les parties. Elle rappelle que les conditions générales ne sont ni un contrat de représentation ni un contrat d'édition ni un contrat de production audiovisuelle et que les conditions générales étant un document écrit il n'y a pas de violation de l'article l. 131-2 précité. La société ADI rappelle encore d'une part que seul l'article L. 131-3 du code de la propriété intellectuelle impose un formalisme devant être respecté dans les contrats de cession de droits d'auteur et d'autre part que l'article L. 131-1 énonce le principe de la prohibition de la cession globale des 'uvres futures. La société ADI affirme que les termes précis de la clause ne prévoient pas une cession de droits d'auteur ni même une licence exclusive mais une licence non-exclusive. Selon ADI, l'utilisateur ne se dépossède pas de l'éventuel droit d'auteur sur le contenu, dont il reste à tout moment titulaire et qu'il reste libre d'exploiter lui-même, ou de céder et de donner en licence à tout tiers désireux d'exploiter ses droits. Elle conclut que la clause ne porte aucune atteinte au principe de prohibition de la cession globale des 'uvres futures. Elle ajoute que la licence a une portée matérielle très limitée (images illustrant le profil de l'utilisateur et/ou les playlists partagées qu'il a créées) et est limitée à des fins de marketing et à des fins internes. Sur l'article L. 211-1 du code de la consommation, la société ADI affirme qu'il ne contient qu'une règle d'interprétation et que l'utilisateur est parfaitement informé des finalités de la licence et en mesure d'en apprécier la portée. Enfin s'agissant de la prétendue violation de l'article L. 212-1 du code de la consommation, la société ADI ne relève aucun déséquilibre significatif dans la mesure où l'utilisateur dispose à tout moment du droit de supprimer les contenus qu'il a soumis à ADI afin qu'ils ne soient plus accessibles aux autres utilisateurs du service «'Apple Music'».
120. L'UFC soutient que la clause n° 7 des conditions générales opère une cession de droits d'auteur et non une licence de droits d'auteur de sorte que l'article L. 131-1 lui est applicable. Elle fait valoir que cette clause constitue une cession globale des 'uvres futures, prohibée par l'article L. 131-1, et non une licence, le code de la propriété intellectuelle n'opérant aucune distinction entre cession et licence en matière de droit d'auteur. Elle affirme que le périmètre des 'uvres concernées par la cession n'est en rien limité. L'UFC soutient aussi que la clause n° 7 ne respecte pas le formalisme imposé par l'article L. 131-3. Enfin l'UFC déduit de la violation des articles L. 131-1 et L. 131-3 du code de la propriété intellectuelle un non respect de l'objectif de clarté et de compréhension prévu par l'article L. 211-1 du code de la consommation. L'UFC cite également l'article L. 212-1 du code de la consommation retenu par le tribunal.
121. Aux termes de l'article L. 131-1 du code de la propriété intellectuelle':
122. «'La cession globale des 'uvres futures est nulle.'»
123. En vertu de l'article L. 131-3 du même code':
«'La transmission des droits de l'auteur est subordonnée à la condition que chacun des droits cédés fasse l'objet d'une mention distincte dans l'acte de cession et que le domaine d'exploitation des droits cédés soit délimité quant à son étendue et à sa destination, quant au lieu et quant à la durée.
Lorsque des circonstances spéciales l'exigent, le contrat peut être valablement conclu par échange de télégrammes, à condition que le domaine d'exploitation des droits cédés soit délimité conformément aux termes du premier alinéa du présent article.
Les cessions portant sur les droits d'adaptation audiovisuelle doivent faire l'objet d'un contrat écrit sur un document distinct du contrat relatif à l'édition proprement dite de l''uvre imprimée.
Le bénéficiaire de la cession s'engage par ce contrat à rechercher une exploitation du droit cédé conformément aux usages de la profession et à verser à l'auteur, en cas d'adaptation, une rémunération proportionnelle aux recettes perçues.'»
124. Comme le souligne la société ADI, l'utilisateur n'est pas dépossédé de son contenu puisqu'il peut continuer à l'exploiter. Il s'agit en pratique de photographies illustrant son profil et/ou ses playlists, textes, constitution de playlists personnelles notamment. Les contenus dont s'agit sont, comme l'indique très justement l'appelante, des contenus basiques très limités compte tenu de la nature et de l'objet du service fourni par Apple Music.
125. L'UFC-Que Choisir ne démontre ainsi pas en quoi la clause contiendrait une cession prohibée des 'uvres futures de l'utilisateur des services Apple Music, utilisateur qui demeure libre de partager ses publications. Dès lors, l'article L. 131-3 relatif au formalisme à respecter quant à l'acte de cession n'a pas vocation à s'appliquer en l'espèce.
126. La société ADI s'arroge cependant le droit d'exploiter ou de modifier le contenu publié par l'utilisateur sans aucune restriction de façon «'perpétuelle'» et «'non-exclusive'». Cette phrase contenue dans la clause querellée n'est pas intelligible pour le consommateur qui donne ainsi un blanc-seing à ADI d'utiliser ses publications, les expressions «'licence mondiale'» et «'non-exclusive'» paraissant renvoyer à une utilisation possible par des tiers. Elle crée également un déséquilibre significatif entre les droits et obligations des parties au détriment du consommateur. La clause sera donc jugée illicite au visa de l'article L. 211-1 du code de la consommation et de l'article L. 212-1 du même code. Le jugement sera en revanche infirmé en ce qu'il a retenu l'illicéité de la clause sur le fondement des dispositions issues du code de la propriété intellectuelle.
Les clauses figurant dans les conditions d'utilisation du service Apple Music au regard de la réglementation relative à la protection des données personnelles
127. Les textes importants invoqués dans le présent litige seront ci-dessous rappelés.
128. La loi Informatique et Libertés':
129. Aux termes de l'article 48 alinéa 1er de la Loi Informatique et Libertés (LIL)':
130. «'Le droit à l'information s'exerce dans les conditions prévues aux articles 12 à 14 du règlement (UE) 2016/679 du 27 avril 2016.'»
131. Le Règlement Général sur la Protection des Données (RGPD)':
Article 4 -'Définitions
Aux fins du présent règlement, on entend par :
1. «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»)'; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
Article 12 -'Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée
1. Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles'13 et 14 ainsi que pour procéder à toute communication au titre des articles'15 à 22 et de l'article'34 en ce qui concerne le traitement à la personne concernée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d'autres moyens y compris, lorsque c'est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l'identité de la personne concernée soit démontrée par d'autres moyens.
Article 13 -'Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :
a)'l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement
b)'le cas échéant, les coordonnées du délégué à la protection des données;
c)'les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;
d)'lorsque le traitement est fondé sur l'article'6, paragraphe'1, point'f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;
e)'les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent; et
f)'le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un
à caractère personnel vers un pays tiers ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article'46 ou 47, ou à l'article'49, paragraphe'1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition;
2. En plus des informations visées au paragraphe'1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent :
a)'la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;
b)'l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données;
c)'lorsque le traitement est fondé sur l'article'6, paragraphe'1, point'a), ou sur l'article'9, paragraphe'2, point'a), l'existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;
d)'le droit d'introduire une réclamation auprès d'une autorité de contrôle;
e)'des informations sur la question de savoir si l'exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données;
f)'l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article'22, paragraphes'1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.
3. Lorsqu'il a l'intention d'effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe'2.
4. Les paragraphes'1, 2 et 3 ne s'appliquent pas lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations.
Article 14 -'Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée
1. Lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :
a)'l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement;
b)'le cas échéant, les coordonnées du délégué à la protection des données;
c)'les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement;
d)'les catégories de données à caractère personnel concernées;
e)'le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel;
f)'le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel à un
dans un pays tiers ou une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article'46 ou 47, ou à l'article'49, paragraphe'1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition;
2. En plus des informations visées au paragraphe'1, le responsable du traitement fournit à la personne concernée les informations suivantes nécessaires pour garantir un traitement équitable et transparent à l'égard de la personne concernée:
a)'la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;
b)'lorsque le traitement est fondé sur l'article'6, paragraphe'1, point'f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers;
c)'l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s'opposer au traitement et du droit à la portabilité des données;
d)'lorsque le traitement est fondé sur l'article'6, paragraphe'1, point'a), ou sur l'article'9, paragraphe'2, point'a), l'existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci;
e)'le droit d'introduire une réclamation auprès d'une autorité de contrôle;
f)'la source d'où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu'elles sont issues ou non de sources accessibles au public;
g)'l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article'22, paragraphes'1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.
3. Le responsable du traitement fournit les informations visées aux paragraphes'1 et 2 :
a)'dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées;
b)'si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne; ou
c)'s'il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois.
4. Lorsqu'il a l'intention d'effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été obtenues, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe'2.
5. Les paragraphes'1 à 4 ne s'appliquent pas lorsque et dans la mesure où:
a)'la personne concernée dispose déjà de ces informations;
b)'la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sous réserve des conditions et garanties visées à l'article'89, paragraphe'1, ou dans la mesure où l'obligation visée au paragraphe'1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles;
c)'l'obtention ou la communication des informations sont expressément prévues par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée; ou
d)'les données à caractère personnel doivent rester confidentielles en vertu d'une obligation de secret professionnel réglementée par le droit de l'Union ou le droit des États membre, y compris une obligation légale de secret professionnel.
La clause n° 8 des conditions générales
Conditions d'utilisation
«'Vous acceptez que le concédant puisse collecter et utiliser des données techniques et toute information associée, y compris, notamment, les informations techniques concernant votre dispositif, votre système et votre logiciel d'application, ainsi que les périphériques, et qui sont recueillies périodiquement afin de faciliter la fourniture de mises à jour de logiciels, de services d'assistance technique relative au produit, ainsi que d'autres services (le cas échéant) se rapportant à l'application sous licence. Le concédant peut utiliser ces informations aussi longtemps qu'elles sont sous une forme ne permettant pas de vous identifier personnellement, afin d'améliorer ses produits ou de vous fournir des services ou des technologies. »
132. La clause n°8 autorise Apple à procéder à une collecte périodique de données techniques relatives au dispositif de l'utilisateur, notamment le système, les logiciels et les périphériques utilisés. Ces données sont utilisées dans le cadre de la fourniture de mises à jour logicielles, de services d'assistance technique, ainsi que, le cas échéant, d'autres services liés à l'application sous licence. La clause précise que ces informations peuvent également être exploitées pour améliorer les produits, fournir de nouveaux services ou développer des technologies, à condition qu'elles soient conservées sous une forme ne permettant pas d'identifier personnellement l'utilisateur.
133. Les modifications apportées à la clause dans ses versions V4, V5 et V6 sont totalement marginales (terme dispositif remplacé par appareil essentiellement).
134. Cette clause a été jugée illicite par le tribunal sur le fondement des articles L. 211-1 du code de la consommation, 4, 12, 13 et 14 du RGPD et abusive sur le fondement des articles L. 212-1 et R. 212-1-4° du code de la consommation.
Sur le fondement du droit des données personnelles
135. Selon la société ADI, les données techniques collectées ne permettent pas d'identifier personnellement l'utilisateur. Elle soutient que le tribunal a ainsi omis de relever cette précision pourtant explicite dans la clause, ce qui conduirait selon elle à une erreur de qualification. La société ADI rappelle que les données techniques (concernant le système, les logiciels ou les périphériques) ne deviennent des données personnelles que si elles permettent une identification directe ou indirecte, ce que la clause exclut expressément. L'appelante en déduit que les garanties prévues par le RGPD n'ont pas lieu de s'appliquer à cette clause. En effet, sur l'objet même de la clause, la société ADI soutient que celle-ci ne traite pas de données personnelles, de sorte que les articles 12 à 14 du RGPD sont inapplicables et sur la conformité subsidiaire, même à supposer que les articles 12 à 14 soient applicables, la société ADI affirme que la clause respecte les exigences du RGPD, notamment en matière de transparence. L'appelante fait valoir qu'elle précise clairement la nature des données collectées (techniques) et leurs finalités (mise à jour logicielle, assistance technique), ce qui répondrait aux exigences de l'article 12. Enfin la société ADI rejette les fondements additionnels invoqués par l'UFC tels que l'article R.625-10 du code pénal, rappelant que le tribunal a écarté ce fondement, et soutenant que cette disposition ne s'applique qu'aux traitements de données personnelles, ce qui n'est pas le cas ici, ainsi que l'article 48 de la LIL, ADI considérant qu'il s'agit d'une allégation nouvelle, irrecevable en appel. Elle soutient en outre que l'article 48 ne constitue pas une base juridique autonome mais renvoie aux articles 12 à 14 du RGPD, déjà jugés inapplicables.
136. L'UFC soutient que la clause n°8 est illicite car elle utilise un langage délibérément vague et technique pour dissimuler l'étendue réelle des traitements de données personnelles, violant ainsi les principes fondamentaux de transparence et d'information prévus par le RGPD. Sur la violation du principe de transparence (article 12 RGPD), l'UFC fait valoir que la clause enfreint gravement l'obligation de fournir une information « concise, transparente, compréhensible et aisément accessible ». L'utilisation d'expressions imprécises telles que « données associées », « périphériques », « peut collecter » ou « le cas échéant » rend l'information inintelligible pour un utilisateur moyen. Cette opacité est contraire à l'exigence d'un langage simple et sans ambiguïté, tel que rappelé par les lignes directrices des autorités de protection. Sur le manquement aux obligations d'information (articles 13 et 14 RGPD), l'UFC relève plusieurs omissions majeures dans la clause. Celle-ci ne mentionne pas la durée de conservation des données, en violation de l'article 13.2.a. Elle omet d'informer l'utilisateur sur l'exercice de ses droits (accès, rectification, etc.), contrevenant à l'article 13.2.b. Enfin, les termes flous employés pour décrire une éventuelle collecte indirecte (« informations associées ») ne satisfont pas aux exigences de l'article 14 du RGPD. Sur la qualification erronée des données, l'UFC conteste la qualification de « données techniques » suggérant un caractère non-personnel. Elle soutient que les éléments mentionnés (numéro de série, configuration système, identifiants) constituent des données personnelles au sens de l'article 4 du RGPD, car ils permettent une identification indirecte de l'utilisateur. Cette position s'appuie sur une jurisprudence constante (CJUE, Breyer ; Conseil d'État, Croque Futur et JC Decaux) qui reconnaît le caractère personnel de ce type d'informations techniques. Enfin, s'agissant de la violation de l'article 48 de la LIL, elle soutient que les manquements constatés au titre des articles 12 à 14 du RGPD valent également violation de l'article 48 de la Loi Informatique et Libertés, qui y renvoie explicitement.
137. Les modifications apportées entre les versions V4, V5 et V6 sont légères.
138. Le moyen soulevé par la société ADI, selon lequel les « données techniques » ne seraient pas personnelles, est inopérant dans la mesure où il repose sur une auto-qualification contraire à l'approche objective définie par l'article 4.1 du RGPD. La jurisprudence, notamment l'arrêt Breyer de la CJUE concernant les adresses IP, établit clairement que des identifiants techniques permettent une identification indirecte et doivent être considérés comme des données personnelles. Dès lors que la nature personnelle des données est établie (article 4), les obligations d'information (Art. 12, 13, 14) deviennent automatiquement applicables. En outre, l'article 4 définit le champ d'application matériel du règlement.
139. Force est de constater que le langage vague de la clause (« données associées », « le cas échéant ») constitue une violation du principe de transparence (article 12 RGPD). Cette imprécision rend l'information incompréhensible pour l'utilisateur moyen, ce qui constitue une violation directe de l'exigence de clarté. D'autre part, l'absence d'information sur la durée de conservation des données (article 13.2.a) et sur les droits des personnes (article 13.2.b) sont des manquements graves qui privent l'utilisateur de la maîtrise de ses données.
140. Enfin, l'emploi de la formulation impérative « Vous acceptez que' » viole directement l'article 7 du RGDP. Une telle rédaction, dans une clause confuse, ne peut constituer un consentement « libre, spécifique, éclairé et univoque » comme l'exige le RGPD. La CJUE a rappelé dans l'affaire Orange România que le consentement ne pouvait être déduit du silence ou d'une acceptation passive.
141. Il en résulte que la clause n° 8 des conditions d'utilisations est illicite en ce qu'elle contrevient à l'article 4 du RGPD (qualification erronée des données personnelles), aux articles 12 et 13 du RGPD (défaut de transparence et d'information) et à l'article 7 du RGPD (absence de consentement libre, spécifique et univoque, le silence ou l'ambiguïté ne pouvant valoir consentement).
142. Le jugement sera par conséquent confirmé en ce qu'il a retenu le caractère illicite de la clause n°8 en raison de sa qualification erronée des données personnelles et de son manque de transparence, privant l'utilisateur d'une information essentielle sur le traitement de ses données.
Sur le fondement du code de la consommation
143. La société ADI soutient également que la clause n° 8 n'est ni illicite sur le fondement de l'article L. 211-1 du code de la consommation, ni abusive sur le fondement des articles L. 212-1 et R. 212-1-4° du code de la consommation comme le soutient l'UFC.
144. Elle fait valoir en premier lieu que l'article L. 211-1 du code de la consommation n'est qu'une simple règle d'interprétation en faveur du consommateur insusceptible de caractériser un agissement illicite dont les dispositions sont d'interprétation stricte.
145. La société ADI expose en second lieu qu'il n'est nullement prouvé un manquement à l'obligation d'information (R. 212-1-4°) ou l'existence d'un déséquilibre significatif entre les droits et obligations des parties au contrat au détriment du consommateur (L. 212-1). Enfin, en troisième lieu, la société ADI rappelle que le tribunal a rejeté le fondement de l'article L. 121-2 du code de la consommation soutenu par l'UFC, au regard des pratiques commerciales trompeuses.
146. L'UFC soutient que la clause n° 8 des conditions d'utilisation est illicite au regard du droit de la consommation. Elle reproche à la clause n° 8 de n'être ni présentée, ni rédigée de façon claire et compréhensible au sens de l'article L. 211-1 du code de la consommation. Elle soutient également que la clause est illicite en ce qu'elle est trompeuse au regard de l'article L. 121-2 du code de la consommation. Elle considère que la clause n° 8 est présumée abusive de manière irréfragable au sens de l'article R. 212-1 4° du code de la consommation en ce qu'elle confère à la société ADI le droit exclusif d'interpréter une clause ambiguë dans le sens qui lui serait plus favorable. Elle ajoute que les modifications apportées à la clause sont essentiellement cosmétiques.
147. Les termes vagues et imprécis relevés au titre de la réglementation du droit des données personnelles le sont également au regard du droit de la consommation et entravent ainsi la clarté et la compréhension de la clause par l'utilisateur, en violation de l'article L. 211-1 du code de la consommation. L'absence de précision sur la durée de conservation des données, associée à une formulation impérative «'Vous acceptez'» crée un déséquilibre significatif au détriment du consommateur et rend la clause abusive au sens des articles L. 212-1 et R. 212-1 4° du code de la consommation.
148. En revanche aucun élément ne vient asseoir l'hypothèse soulevée par l'UFC de l'existence d'une pratique commerciale trompeuse sur le fondement de l'article L. 121-2 du code de la consommation, non développé au demeurant par l'UFC dans ses écritures.
149. Le jugement sera confirmé en ce qu'il jugé la clause n° 8 illicite sur le fondement des articles L. 211-1 du code de la consommation, et abusive sur le fondement des articles L. 212-1 et R. 212-1-4° du code de la consommation.
La clause n° 9 des conditions générales
« Vous reconnaissez qu'Apple est en droit de divulguer des données et/ou des informations aux forces de l'ordre, aux autorités publiques et/ou à des tiers, si Apple l'estime raisonnablement nécessaire ou approprié pour faire appliquer et/ou vérifier le respect de toute disposition du présent contrat (y compris notamment le droit d'Apple de coopérer dans le cadre de toute procédure judiciaire relative à votre utilisation des services et/ou du contenu et/ou sur réclamation de tiers relative à votre utilisation illicite des services et/ou du contenu et/ou en violation des droits de ces tiers). »
150. La clause n°9 autorise Apple à divulguer des données et/ou informations de la personne concernée aux forces de l'ordre, aux autorités publiques et à des tiers (sans définition précise de ces derniers), lorsque la société l'estime « raisonnablement nécessaire ou approprié ».
151. Le tribunal a jugé la clause n° 9 illicite sur le fondement des articles 13-1 (e) et 14-1 (e) du RGPD, L. 211-1 du code de la consommation et abusive au sens de l'article R. 212-1-4° du code de la consommation.
Sur le fondement du droit des données personnelles
152. La société ADI soutient que le tribunal a commis une erreur de droit en qualifiant la clause n°9 d'illicite pour des motifs linguistiques artificiels liés à l'usage du terme « et/ou ». Elle estime que cette conjonction permet une formulation claire et concise, parfaitement conforme aux exigences de transparence des articles 13-1.e) et 14-1.e) du RGPD. La société ADI affirme en effet que l'usage du « et/ou » est un outil rédactionnel licite et précis, qui exprime efficacement trois options possibles sans recourir à des tournures longues et potentiellement confuses. Elle considère que cette concision favorise la clarté exigée par l'article 12.1 du RGPD, en évitant une « surcharge informationnelle » qui nuirait à la compréhension et estime que les articles 13-1.e et 14-1.e du RGPD imposent une information sur le fond (l'identité des destinataires) et non sur la forme stylistique employée. La société ADI dénonce, de la part de l'UFC, une multiplication artificielle des griefs, avec l'invocation en appel d'articles du RGPD (art. 12, art. 5.1.a) et de la LIL (article 48) non retenus en première instance, sans apporter d'éléments nouveaux. Elle reproche à l'UFC un défaut de motivation substantielle, celle-ci ne démontrant pas concrètement en quoi le « et/ou » violerait les articles invoqués. Enfin elle soulève l'irrecevabilité de l'invocation de l'article R.625-10 du code pénal, fondement nouveau en appel, et de l'article 48 de la LIL, considéré comme une simple redondance des articles 12 à 14 du RGPD.
153. L'UFC soutient que la clause n°9 est illicite car elle viole radicalement les principes de licéité et de transparence du RGPD. Elle fait valoir que l'utilisation d'une terminologie vague et l'absence de garde-fous juridiques confèrent à Apple un pouvoir discrétionnaire excessif pour transférer les données personnelles des utilisateurs, sans cadre défini ou prévisible. L'UFC invoque ainsi la violation du principe de transparence (articles 5.1.a et 12 RGPD)'; elle soutient que les termes non définis tels que « tiers » et le critère subjectif « si Apple l'estime raisonnablement nécessaire ou approprié » rendent la clause incompréhensible pour l'utilisateur dans la mesure où ce dernier ne peut pas savoir quels destinataires précis peuvent avoir accès à ses données ni dans quelles circonstances exactes, ce qui contrevient à l'exigence d'une information « concise, transparente, compréhensible et aisément accessible » en « termes clairs et simples ». l'UFC invoque ensuite un manquement à l'obligation d'information sur les destinataires (article 13.1.e RGPD)'; en effet, l'article 13 du RGPD exige que le responsable du traitement informe la personne concernée des "destinataires ou catégories de destinataires des données à caractère personnel". L'UFC estime que le terme générique « tiers » est trop vague pour constituer une "catégorie de destinataires" valable, car il ne permet pas à l'utilisateur d'appréhender l'identité ou la nature des entités concernées. L'UFC souligne également l'absence de toute démarche proactive pour limiter les transferts aux strictes nécessités légales ou pour documenter les garanties encadrant ces partages de données, en particulier dans le contexte des transferts internationaux (méconnaissance du principe de « privacy by design » article 25 RGPD). Enfin elle soutient que les manquements constatés au titre des articles 5, 12 et 13 du RGPD valent également violation de l'article 48 de la LIL, qui renvoie aux obligations d'information prévues par le règlement européen.
154. La cour relève que la répétition de la tournure « et/ou » crée une ambiguïté préjudiciable à la compréhension immédiate, contrevenant à l'exigence de langage « clair et simple » de l'article 12.1 du RGPD, l'objectif de concision ne pouvant primer sur l'impératif de transparence. Cette forme rédactionnelle affecte directement la substance de l'information. Un style imprécis vide en effet de sa portée l'obligation de transparence substantielle imposée par les articles 13 et 14 du RGPD. L'accumulation de termes vagues (« tiers » non définis, « et/ou ») prive l'utilisateur de toute prévisibilité quant aux destinataires de ses données et aux circonstances des transferts, en violation manifeste de la transparence exigée par les articles 5.1.a et 12 RGPD. En outre, contrairement aux exigences de l'article articles 13.1.e du RGPD, le terme générique « tiers » utilisé dans la première partie de la clause pour la divulgation des données de l'utilisateur à la discrétion de ADI ne constitue pas une « catégorie de destinataires » valable au sens du RGPD, empêchant toute compréhension utile par l'utilisateur. Enfin, l'absence de base légale claire (article 6 RGPD) et le défaut de finalité spécifique (article 5.1.b RGPD) doivent être relevés, la clause s'appuyant sur l'appréciation discrétionnaire d'Apple (« estime raisonnablement ») pour un objet trop large (« toute disposition du contrat »).
155. Il en résulte que la clause n° 9 contrevient aux articles 12, 13.1.e et 14.1.e du RGPD ainsi que 6 du RGPD.
156. Le jugement sera par conséquent confirmé en ce qu'il a retenu le caractère illicite de la clause n°9 et l'a réputée non écrite en raison de l'usage excessif de termes vagues et de formulations conditionnelles, qui privent l'utilisateur de toute prévisibilité quant aux destinataires de ses données et aux circonstances de leur transfert, violant ainsi le principe de transparence.
Sur le fondement du code de la consommation
157. La société ADI soutient que la clause n° 9 des conditions générales n'est pas illicite au regard de l'article L. 211-1 du code de la consommation. Elle fait valoir également que ladite clause n'est pas abusive au regard des articles L. 212-1 et R. 212-1-4° du code de la consommation. Elle expose que le tribunal n'explique pas ce qui dans cette clause conférerait à ADI un droit exclusif d'interpréter la clause dans un sens qui lui serait plus favorable. Elle soutient qu'il est clair à la lecture de ladite clause que les «'tiers'» en question sont nécessairement des personnes qui présenteraient une réclamation à ADI du fait d'une utilisation illicite des services/contenus Apple Music ou dont les droits auraient été violés. Elle objecte en outre être parfaitement claire quant aux traitements visés par la clause puisqu'elle n'a en aucun cas laissé croire aux utilisateurs qu'elle était dispensée de toute obligation liée aux traitements de données personnelles. Quant à l'article L. 121-2 du code de la consommation, la société ADI souligne que l'UFC se fonde sur ces dispositions pour la première fois en cause d'appel, sans prouver qu'une pratique commerciale trompeuse et donc déloyale serait caractérisée.
158. L'UFC invoque le caractère illicite de la clause au regard de l'article L. 211-1 du code de la consommation dans la mesure où elle n'est ni présentée ni rédigée de façon claire et compréhensible. L'UFC fait également valoir que la clause est trompeuse au regard de l'article L. 121-2 du code de la consommation et présumée abusive de manière irréfragable sur le fondement de l'article R. 212-1-4° du code de la consommation dans la mesure où la généralité du terme «'tiers'» lié à un transfert de données conduit nécessairement la société ADI à disposer d'un pouvoir d'interprétation exclusif. Elle ajoute que si depuis le jugement la société ADI a de nouveau mis à jour ses Conditions d'Utilisation en date du 16 septembre 2020 les modifications opérées sont très mineures, la société ADI n'ayant pas tenu compte des observations de l'UFC.
159. L'emploi de l'alternative «'et/ou'» accentue l'illisibilité de la clause et altère donc sa compréhension et sa clarté pour l'utilisateur, ce qui constitue une violation de l'article L. 211-1 du code de la consommation. De plus le terme «'tiers'» utilisé pour la divulgation des données de l'utilisateur par ADI lorsqu'elle l' «'estime raisonnablement nécessaire'», en sus des catégories identifiées comme étant les forces de l'ordre et autorités publiques, confère un droit d'interprétation exclusif à ADI. La clause est donc abusive au sens de l'article R. 212-1 4° du code de la consommation.
160. En revanche aucune pratique commerciale trompeuse n'est mise en évidence par l'association UFC.
La clause n° 10 des conditions générales
161. « Sauf dans les cas indiqués au paragraphe (d) ci-dessous ou dans le cas où vous exercez un droit à remboursement ou à compensation qui vous est conféré par la loi, Apple, ses dirigeants, cadres, salariés, membres affiliés, agents, contractants ou concédants de licence ne pourront en aucun cas être tenus pour responsables de perte ou dommage causé par Apple, ses salariés ou agents lorsque : (v) cette perte ou ce dommage résulte d'une perte de revenu, d'activité ou de bénéfice ou d'une perte ou une corruption de données en relation avec votre utilisation du Service ».
162. La clause n°10 des Conditions Générales vise à limiter la responsabilité d'Apple et de son écosystème (dirigeants, salariés, affiliés, agents, contractants) en cas de préjudice subi par l'utilisateur du service.
163. Le tribunal a jugé la clause n° 10 des Conditions Générales illicite sur le fondement des articles 32 et 82 du RGPD et sur le fondement des articles L. 211-1, L.221-5, L. 221-15 du code de la consommation et l'a jugée abusive sur le fondement de l'article L. 212-1 du code de la consommation.
Sur le fondement du droit des données personnelles
164. La société ADI soutient que la clause n°10 est parfaitement conforme au RGPD car elle opère une limitation ciblée de responsabilité, alignée sur le régime d'exonération prévu à l'article 82.3 du RGPD, et ne couvrant que les préjudices résultant directement de la négligence de l'utilisateur. Elle fait valoir que le RGPD n'instaure pas une responsabilité automatique et absolue, l'article 82.3 prévoyant expressément que le responsable du traitement n'est pas responsable si «'le fait ayant causé le dommage ne lui est pas imputable'». Elle affirme que la clause n°10 se contente de traduire cette disposition en limitant la responsabilité d'Apple aux seuls cas où la perte de données est imputable à une utilisation négligente du service par l'utilisateur. La société précise que la clause ne remet pas en cause son obligation de mettre en 'uvre des mesures de sécurité techniques et organisationnelles conformément à l'article 32 RGPD. La responsabilité d'Apple demeurerait entière en cas de manquement à ses propres obligations. La société ADI conteste en outre toute ambiguïté, affirmant que la formulation « en relation avec votre utilisation » vise uniquement les fautes imputables à l'utilisateur. Elle exclurait explicitement les fautes directes d'Apple ou de ses préposés. Enfin la société ADI estime que l'accusation d'ambiguïté est infondée et que l'UFC procède à une «'lecture incorrecte'» en extrapolant une portée large à la clause, alors que son champ d'application serait clairement circonscrit.
165. L'UFC soutient que la clause n°10 est illicite et abusive car elle remet en cause le principe de responsabilité de plein droit du responsable de traitement prévu par l'article 82 du RGPD. Elle fait valoir que son ambiguïté rédactionnelle permet à Apple d'étendre abusivement les cas d'exonération au-delà du cadre strict défini par le règlement. L'UFC fait ainsi valoir que le RGPD établit une responsabilité automatique du responsable de traitement en cas de violation, sauf à prouver que le dommage n'est en aucun cas imputable à sa propre négligence. Selon l'UFC, la clause, par son flou, tenterait de renverser cette charge de la preuve et d'élargir indûment les causes d'exonération. L'UFC soutient que l'expression « en lien avec votre utilisation » est trop large et imprécise et pourrait être interprétée pour couvrir des situations où un préjudice survient pendant l'utilisation du service sans pour autant résulter d'une faute de l'utilisateur, comme un défaut de sécurité imputable à un sous-traitant d'Apple. L'UFC considère donc, la clause comme illicite au regard des articles 82 du RGPD et 15 de la LCEN (responsabilité des fournisseurs de services) en raison de cette ambiguïté. Elle souligne que malgré la condamnation en première instance, Apple n'a pas modifié la clause dans les versions ultérieures de ses Conditions Générales, ce qui démontrerait la persistance de son caractère problématique.
166. Si la société ADI présente la clause comme une simple traduction contractuelle de l'exonération prévue à l'article 82.3 du RGPD, force est de constater que la clause va bien au-delà en créant une présomption d'exonération large et floue (« en relation avec votre utilisation ») qui contredit le principe de responsabilité objective de plein droit. L'exonération de l'article 82.3 est une exception étroite qui doit être prouvée par le responsable de traitement, et non une limitation générale pouvant être invoquée par contrat. En outre, la tentative de séparer l'obligation de sécurité (article 32) du régime de responsabilité (article 82) apparaît artificielle. Un manquement à l'obligation de sécurité est précisément l'un des principaux cas où la responsabilité de plein droit d'Apple pourrait être engagée. La clause vise indirectement à écarter cette conséquence.
167. Le RGPD établit une responsabilité de plein droit (principe de responsabilité objective issu de l'article 82 RGPD) pour faciliter l'indemnisation des personnes concernées. La clause, par son champ d'application large et imprécis, neutralise donc ce principe fondamental en créant une insécurité juridique pour l'utilisateur. En outre, étendre la limitation de responsabilité aux « agents, contractants et concédants » d'Apple, sans distinction, est excessif et vise à créer un bouclier juridique disproportionné, au détriment des droits des utilisateurs. L'objectif du RGPD étant de protéger les personnes concernées, tout accord qui tend à limiter la responsabilité pour violation des dispositions du règlement est contraire à son esprit, comme le suggère l'article 83.5. Il sera ajouté que le Considérant 146 du RGPD souligne explicitement que « le responsable du traitement devrait être tenu pour responsable du dommage causé par un traitement » et que ce régime vise à assurer « une réparation effective ».
168. Le régime de responsabilité de l'article 82 du RGPD est d'ordre public et ne peut être aménagé par des clauses contractuelles au détriment de la personne concernée. Or la clause méconnaît le principe de responsabilité de plein droit en créant une exemption trop large et imprécise, bien au-delà de la stricte exception prévue à l'article 82.3. En outre, l'étendue des bénéficiaires de la clause (sous-traitants, concédants) est disproportionnée et abusive.
169. Le jugement sera par conséquent confirmé en ce qu'il a déclaré illicite et réputé non écrite pour violation des articles 32 et 82 du RGPD la clause n°10 des « Conditions Générales ».
Sur le fondement du code de la consommation
170. La société ADI soutient que la clause n° 10 des conditions générales n'est ni illicite sur le fondement des articles L. 211-1, L. 221-5, L. 221-15 du code de la consommation ni abusive sur le fondement de l'article L. 212-1 du code de la consommation. Elle fait valoir en premier lieu que le tribunal n'a pas suffisamment motivé sa décision en se référant à son analyse de la clause n° 1 pour invalider la clause n° 10 alors que les critiques formulées ne sont pas transposables. La société ADI expose que l'article L. 221-5 ne lui impose pas de donner des informations précontractuelles sur la responsabilité ou la limitation de responsabilité du consommateur. Elle soutient en outre que la limitation de responsabilité prévue ne contrevient pas aux dispositions de l'article L. 221-15 du code de la consommation dans la mesure où elle ne peut être responsable d'une inexécution ou une mauvaise exécution du contrat imputable au consommateur lui-même. Elle souligne également qu'elle est en droit de limiter sa responsabilité vis-à-vis des professionnels. Enfin, au regard des dispositions de l'article L. 211-1 précité, nul reproche ne peut être formulé face à une clause dont il n'est selon la société ADI pas prouvé qu'elle manquerait aux exigences de clarté et de compréhensibilité de cet article. S'agissant de l'article L. 212-1 du code de la consommation, la société ADI soutient que la clause n° 10, qui ne vise pas à réduire le droit à réparation et ne saurait être réputée irréfragablement abusive, ne crée aucun déséquilibre significatif.
171. L'UFC rappelle que l'article L. 221-15, à l'instar de l'article 82 du RGPD, pose un principe de responsabilité de plein droit et d'indemnisation totale en cas de faute. Elle souligne que l'ambiguïté des termes employés rendent la clause illicite au regard des articles L. 221-15 et L. 211-1 du code de la consommation. Elle relève en effet que les termes «'en lien avec votre utilisation'» et «'faute imputable à l'utilisateur'» ne sont pas synonymes': un défaut de sécurité imputable à un sous-traitant peut survenir lors de l'utilisation du service. Elle soutient que cette rédaction permet en outre à la société ADI de limiter son droit à réparation lors de l'utilisation du service en étendant les cas d'exonération de responsabilité, du fait de l'utilisation par l'abonné, et non pour un fait imputable à l'abonné dans le cadre de son utilisation. Elle en déduit que la clause est abusive au regard de l'article R. 212-1-6° du code de la consommation en ce qu'elle a pour objet de supprimer ou réduire le droit à réparation du préjudice subi par l'utilisateur en cas de manquement. Elle note que la société ADI n'a pas modifié cette clause dans sa version 6 en date du 16 septembre 2020.
172. Comme le souligne l'association UFC-Que Choisir, le principe de responsabilité de plein droit posé par l'article L. 221-15 est éludé par la clause telle qu'elle est rédigée et les expressions employées sont vagues comme «'en relation avec votre utilisation du service'» qui n'est pas synonyme d'une faute de l'utilisateur. La clause est donc également illicite au sens de l'article L. 211-1. L'exonération résultant de la clause est large puisqu'elle inclut une perte ou une corruption de données. Elle contrevient en cela aux dispositions de l'article R212-1 6° du code de la consommation en ce qu'elle a pour objet de supprimer ou réduire le droit à réparation du préjudice subi par l'utilisateur.
Les clauses du document «'Apple Music et Confidentialité'»
La clause n° 1 du document «'Apple Music et Confidentialité'»
«'Pour identifier et empêcher la fraude, les données d'utilisation de votre appareil, notamment le nombre approximatif d'appels passés et reçus ou d'e-mails envoyés et reçus, sont utilisées pour calculer un indice de confiance de l'appareil lors d'une tentative d'achat.'»
173. La clause n°1 pose le mécanisme de prévention de la fraude via un « indice de confiance» de l'appareil.
Sur le fondement du droit des données personnelles
174. La société ADI soutient que le tribunal a commis une erreur de droit en qualifiant la clause n°1 d'illicite, en appliquant incorrectement les articles relatifs au profilage et à la décision automatisée à un simple mécanisme d'information. La société ADI relève l'inapplicabilité des articles 13-2.f et 14-2.g RGPD en affirmant que l'article 14-2.g n'est applicable qu'en cas de collecte indirecte de données, ce qui n'est pas le cas en l'espèce. La société ADI considère que le tribunal a fondé sa décision sur une «'lecture combinée'» de clauses issues de documents différents, sans apporter la preuve que le traitement décrit dans la clause n°1 répondait concrètement à la définition légale du profilage. Selon la société ADI, c'est à l'association de démontrer que les conditions d'application des articles 13-2.f et 14-2.g sont réunies, et non à Apple de prouver qu'elles ne le sont pas. Enfin la société ADI affirme que la clause n°1 ne décrit ni ne permet de déduire l'existence d'une prise de décision automatisée au sens de l'article 22 du RGPD, qui est pourtant le champ d'application visé par les articles invoqués par le tribunal.
175. L'UFC soutient à l'inverse que la clause n°1 est illicite car elle met en 'uvre un profilage sans en informer clairement l'utilisateur, violant ainsi les obligations renforcées de transparence prévues par le RGPD. L'association estime que la création d'un «'indice de confiance'» basé sur les données d'utilisation constitue une forme de profilage qui doit être explicitement portée à la connaissance de la personne concernée. L'UFC relève en premier lieu l'existence d'un profilage non divulgué (article 4.4 RGPD). Elle soutient que le calcul d'un «'indice de confiance'» à partir des données d'utilisation de l'appareil (nombre d'appels, e-mails, etc.) pour anticiper les comportements frauduleux répond à la définition légale du profilage. Il s'agit d'une évaluation automatisée d'aspects personnels relatifs à la fiabilité de l'utilisateur. L'UFC note en deuxième lieu un manquement aux obligations d'information (article 12, 13.2.f et 14.2.g RGPD). L'UFC reproche à la clause son manque de transparence. L'information sur l'existence de ce profilage est implicite et insuffisante. La clause ne précise pas la logique sous-jacente, les conséquences pour l'utilisateur, ni les droits dont il dispose pour s'y opposer, contrevenant ainsi aux exigences des articles 13.2.f) et 14.2.g) du RGPD. L'UFC relève en troisième lieu une contradiction majeure en ce sens que l'« Engagement de confidentialité » principal d'Apple affirme que l'entreprise ne recourt pas au profilage, alors que la clause n°1 du document spécifique « Apple Music et Confidentialité » décrit bel et bien un mécanisme de profilage. Cette incohérence viole le principe de loyauté et constitue une tromperie. Le manquement aux articles 12 à 14 du RGPD vaut également violation de l'article 48 de la LIL. Enfin l'UFC souligne qu'Apple n'a pas modifié la clause litigieuse dans les versions mises à jour de sa documentation après le jugement de première instance, démontrant selon elle la persistance du caractère illicite.
176. La clause utilise des termes (« données d'utilisation ») qui masquent la réalité du traitement et empêchent l'utilisateur de comprendre qu'un profilage est effectué. Cette opacité constitue une violation fondamentale du principe de transparence (violation manifeste des obligations d'information : articles 12, 13 et 14 RGPD). En outre, dès lors qu'Apple collecte et analyse des données d'utilisation, elle met en 'uvre un profilage (article 4.4 RGPD).
177. Le profilage au sens du RGPD couvre toute forme de traitement automatisé visant à analyser ou prédire des aspects personnels, et ne se limite pas aux décisions à impact juridique. L'obligation d'information est une condition sine qua non pour que la personne concernée puisse exercer ses droits. Il appartient à Apple, en sa qualité de responsable de traitement, de démontrer qu'il a fourni une information conforme.
178. Le jugement sera par conséquent confirmé en ce qu'il déclaré la clause n° 1 illicite et l'a réputée non écrite sur le fondement des articles 13-2 f (et non g) et 14-2 g, 13 et 14 du RGPD.
Sur le fondement du droit de la consommation
179. La société ADI rappelle que l'article L. 211-1 du code de la consommation constitue une simple règle d'interprétation en faveur du consommateur et que cette règle est donc insusceptible de caractériser un agissement illicite dont les dispositions sont d'interprétation stricte. Elle relève que l'UFC ne peut à la fois affirmer qu'une information n'est pas claire et compréhensible et qu'elle est totalement absente. La société ADI note que le tribunal n'a pas retenu l'illicéité de la clause sur le fondement de l'article L. 121-2 du code de la consommation (pratiques commerciales trompeuses) comme le souhaitait l'UFC. Elle fait valoir que l'UFC se réfère pour la première fois au stade de l'appel au caractère abusif de la clause sur le fondement des articles L. 212-1 du code de la consommation et R. 212-1 4° du même code.
180. L'UFC soutient que la clause n° 1 ne respecte pas l'article L. 211-1, alinéa 1er du code de la consommation dans la mesure où elle n'est ni présentée ni rédigée de façon claire et compréhensible. Elle fait également valoir que cette clause est illicite en ce qu'elle est trompeuse au regard de l'article L. 121-2 du code de la consommation. Elle indique que ses demandes restent d'actualité car malgré la mise à jour du document «'Apple Music et Confidentialité'» le 20 mai 2021, cette clause n'a pas été mise à jour. Enfin la clause conférant à la société ADI le droit exclusif de l'interpréter à son avantage, la clause n° 1 du document «'Apple Music et Confidentialité'» est présumée abusive de manière irréfragable sur le fondement des articles L. 212-1 et R. 212-1-4° du code de la consommation.
181. La clause est cependant intelligible au sens de l'article L. 211-1 du code de la consommation. En outre, si la mise en place d'un profilage déguisé viole les dispositions issues du RGPD, elle n'en constitue pas pour autant en miroir une violation du droit de la consommation. Le jugement sera confirmé en ce qu'il n'a pas retenu de violation du code de la consommation.
La clause n° 2 du document «'Apple Music et Confidentialité'»
182. « Lorsque vous créez un profil sur Apple Music, nous vous recommandons d'autres abonnés à Apple Music avec lesquels vous pourriez devenir ami. Apple ne collecte et ne stocke aucune information concernant vos contacts lors de la recherche d'amis à recommander. Seuls des hachages abrégés et chiffrés des numéros de téléphone et adresses e-mail de vos contacts sont envoyés à Apple ; les abonnés à Apple Music correspondants à recommander sont ensuite recherchés localement sur votre appareil. »
183. La clause n°2 décrit la fonctionnalité de recommandation d'amis au sein du service Apple Music.
Sur le fondement du droit des données personnelles
184. La société ADI soutient que le tribunal a commis une erreur en qualifiant la clause n°2 d'illicite, car sa décision repose sur des suppositions non étayées concernant des pratiques de traitement inexistantes. La société ADI affirme que le procédé technique de hachage, couplé au caractère optionnel de la fonctionnalité, garantit une conformité parfaite avec les principes de protection des données. La société ADI considère que ni le tribunal ni l'UFC n'ont apporté la preuve technique que le hachage permettrait une réidentification des contacts ou des inférences, leurs griefs relevant de la pure spéculation. La société ADI souligne que le traitement a été conçu pour être protecteur. L'accès est limité à des données hachées et chiffrées, ce qui empêche activement Apple de connaître les contacts bruts de l'utilisateur. Cette approche est présentée comme une mise en 'uvre du principe de « privacy by design » (article 25 RGPD). La société ADI souligne que la fonctionnalité « Apple Music Friends » est inactive par défaut (opt-in). Son activation nécessite une action positive de l'utilisateur, après information sur son fonctionnement, ce qui est conforme à l'exigence d'un consentement éclairé. Enfin la société ADI affirme que la clause, bien que rédigée de manière négative (« Apple ne reçoit pas [...] »), est claire et transparente. Elle informe précisément l'utilisateur que seules des données hachées sont utilisées pour générer des recommandations, sans collecte des contacts bruts. Elle en déduit que l'information donnée est suffisante.
185. L'UFC soutient en revanche que la clause n°2 est illicite car elle utilise une rédaction trompeuse pour dissimuler l'étendue réelle d'un traitement de données personnelles, violant ainsi les principes fondamentaux de transparence et de loyauté du RGPD. L'UFC fait valoir que la clause entretient une contradiction en affirmant qu'Apple «'ne collecte pas'» les contacts de l'utilisateur, tout en reconnaissant que des hachages de ces contacts sont transmis à ses serveurs. Elle souligne que le hachage constitue une pseudonymisation et non une anonymisation, et que ces données hachées restent des données personnelles permettant une identification indirecte. Elle affirme donc qu'il existe une collecte dissimulée de données personnelles. L'UFC estime ensuite que la formulation négative et ambiguë de la clause («'Apple ne collecte pas...'») est trompeuse et ne permet pas à l'utilisateur de comprendre que ses données de contact sont bel et bien traitées par Apple, même sous forme hachée. Cette opacité est contraire à l'exigence d'une information «'claire et simple'» (manquement grave à l'obligation de transparence articles 12, 13 et 14 RGPD. Enfin selon l'UFC, les manquements constatés au titre des articles 12 à 14 du RGPD valent également violation de l'article 48 de la LIL, qui y renvoie explicitement.
186. La cour relève que l'utilisation d'une formulation négative (« Apple ne collecte pas ») minimise la réalité du traitement (envoi de données hachées aux serveurs d'Apple) et crée une ambiguïté contraire à l'exigence de clarté de l'article 12 RGPD. En outre, le simple fait de ne pas avoir l'intention de réidentifier n'est pas une garantie suffisante. Une conformité robuste exige des garanties techniques et contractuelles documentées.
187. Le hachage utilisé constitue une pseudonymisation, et non une anonymisation. Les données pseudonymisées restent des données personnelles au sens de l'article 4 du RGPD, car la réidentification reste possible. Le vice principal de la clause réside dans son manque de transparence (articles 12, 13 et 14 RGPD). La formulation choisie est en effet susceptible d'induire l'utilisateur en erreur sur la nature et l'étendue du traitement.
188. Il en résulte que si la violation des articles 4 (qualification des données) et 7 (consentement) n'est pas avérée, en revanche les articles 12 et 13 du RGPD (principe de transparence) n'ont pas été respectés. La rédaction trompeuse et non claire de la clause prive l'utilisateur d'une information loyale sur le sort de ses données.
189. Le jugement sera par conséquent confirmé en ce qu'il a déclaré cette clause illicite et l'a réputée non écrite.
Sur le fondement du droit de la consommation
190. La société ADI soutient que la clause n° 2 n'est ni illicite sur le fondement de l'article L. 211-1 du code de la consommation ni abusive sur le fondement des articles L. 212-1 et R. 212-1 4° du code de la consommation comme l'a jugé le tribunal. Elle fait d'abord valoir que les termes prétendument imprécis cités par le tribunal se rapportent à d'autres clauses et non à celle-ci précisément. Elle rappelle que l'article L. 211-1 constitue une simple règle d'interprétation en faveur du consommateur. La société ADI souligne en outre que le tribunal ne motive pas la condamnation de la présente clause au regard des articles L. 212-1 et R. 212-1 4° du code de la consommation. Elle fait valoir les données des contacts de l'utilisateur, si l'utilisateur choisit de le faire, sont transmises à ADI sous un format pseudonymisé de telle sorte que la société ADI n'a accès qu'à une donnée hachée/chiffrée. Selon ADI, aucun déséquilibre significatif n'est en outre caractérisé, seules des données hachées, abrégées et cryptées étant accessibles par ADI. Quant à l'article L. 121-2 du code de la consommation (pratiques commerciales trompeuses), la société ADI relève que le tribunal n'a pas retenu ce fondement et qu'il appartient à l'UFC de démontrer que ladite clause est susceptible d'altérer de manière substantielle le comportement économique du consommateur normalement informé et raisonnablement attentif et avisé, à l'égard des services proposés.
191. L'UFC soutient que la clause n° 2 est illicite au regard de l'article L. 211-1 alinéa 1er du code de la consommation dans la mesure où elle n'est ni présentée ni rédigée de façon claire et compréhensible et trompeuse au regard de l'article L. 121-2 du code de la consommation. Elle considère également que la clause est abusive sur le fondement de l'article L. 212-1 du code de la consommation en ce qu'elle crée un déséquilibre significatif au détriment du consommateur en l'empêchant de prendre valablement connaissance de ses propres droits et des obligations de la société ADI vis-à-vis de ces traitements et présumée abusive de manière irréfragable sur le fondement de l'article R. 212-1-4° en ce qu'elle confère à la société ADI le droit exclusif d'interpréter une clause ambiguë dans le sens qui lui serait plus favorable. Elle relève que la clause n'a pas été modifiée malgré la mise jour du document «'Apple Music et Confidentialité'» en date du 20 mai 2021.
192. Force est de constater que l'utilisateur n'est pas clairement informé du sort de ses données et que la clause qui insiste sur le hachage n'est pas claire et compréhensible pour l'utilisateur. Elle révèle également une contradiction qui accentue son manque de clarté pour le consommateur en ce qu'elle emploie une formulation négative. Elle contrevient ainsi aux dispositions de l'article L. 211-1 du code de la consommation. En revanche le caractère abusif de la clause n'est pas étayé.
193. L'existence d'une pratique commerciale trompeuse au sens de l'article L. 1212 du code de la consommation n'est pas davantage démontrée.
La clause n° 3 du document «'Apple Music et Confidentialité'»
194. « Il est possible que nous recueillions, utilisions, transférions ou divulguions des informations non personnelles, quel que soit le motif. Par exemple, nous sommes susceptibles d'agréger vos données non personnelles et celles d'autres utilisateurs d'Apple Music dans le but d'améliorer le service. »
195. La clause n°3 établit le régime applicable aux données dites «'non personnelles'». Elle accorde à Apple un droit extrêmement large de collecter, d'utiliser, de transférer et de divulguer ce type de données, sans restriction de finalité (« quel que soit le motif »). L'exemple fourni, bien que concret, n'est pas limitatif et illustre une finalité légitime (l'amélioration du service) qui contraste avec l'étendue potentiellement illimitée du droit concédé.
Sur le fondement du droit des données personnelles
196. La société ADI soutient que la clause n°3 est purement informative et ne crée aucune obligation. Selon la société ADI, elle concerne exclusivement le traitement de «'données non personnelles'», ce qui la place en dehors du champ d'application du RGPD. La qualification d'illicéité par le tribunal est donc une erreur de droit, fondée sur une application erronée des articles du RGPD et une analyse non individualisée de la clause. La société ADI soutient en effet que la clause ne concerne que des données non personnelles. Or, conformément à l'article 4 RGPD, seules les données à caractère personnel sont soumises aux obligations de transparence, d'information et de consentement. Donc, les articles 12, 13 et 14 RGPD ne sauraient être invoqués, car ces dispositions imposent une information détaillée uniquement pour les données personnelles. Exiger que chaque clause contienne l'intégralité des informations prévues par ces articles reviendrait à une application absurde et disproportionnée. Elle souligne que l'argument de l'UFC selon lequel les clauses n°2 et n°3 doivent être lues ensemble est infondé. Aucun élément textuel ou contextuel ne permet d'affirmer que les « informations non personnelles » de la clause n°3 sont les « données » visées dans d'autres clauses. Enfin l'argument de l'UFC selon lequel l'usage du verbe « agréger » impliquerait nécessairement un traitement de données personnelles est qualifié de « ridicule » et de « supputation ». Ce terme existe dans le langage courant en dehors du champ sémantique du RGPD.
197. L'UFC en revanche soutient que la clause n°3 est illicite et abusive car son libellé dissimule, sous une apparence de transparence concernant des données prétendument « non personnelles », un traitement de données à caractère personnel. Cette formulation volontairement ambiguë viole les principes fondamentaux de transparence et de loyauté, et s'analyse comme une pratique trompeuse à l'égard du consommateur. L'UFC relève le caractère ambigu et suspect de la clause et souligne qu' annoncer l'agrégation de « données non personnelles » suscite la suspicion. Si les données sont personnelles, ADI devait être totalement transparente sur leur anonymisation et leur agrégation. Si elles sont non personnelles, l'information est inutile et trompeuse. En tout état de cause, l'ambiguïté profite à ADI et pénalise la personne concernée, qui ne comprend pas la véritable nature des données concernées. Elle soutient que l'agrégation implique nécessairement des données personnelles': 'l'agrégation est une technique qui n'a de pertinence que lorsqu'il s'agit de regrouper des données à caractère personnel afin de les anonymiser ou pseudonymiser. En ce sens, la mention d'agrégation dans la clause renvoie indirectement à un traitement de données personnelles, malgré la présentation contraire par la société ADI. En outre, sur la lecture combinée avec la clause n°2, l'UFC relève que la clause n°2 informe déjà les utilisateurs que leurs adresses e-mail et numéros de téléphone sont collectés puis hachés. Or, l'articulation des clauses 2 et 3 démontre que les « informations non personnelles agrégées » visées par la clause n°3 incluent, au moins partiellement, des données personnelles pseudonymisées. Dès lors, la clause n°3 doit être sanctionnée sur les mêmes fondements que la clause n°2. Enfin l'UFC souligne la gravité du manquement en invoquant la sanction pénale prévue pour le défaut de respect des obligations d'information issues des articles 13 et 14 du RGPD, renforçant ainsi le caractère illicite de la clause (article R. 625-10 du Code pénal).
198. L'argument central d'ADI, selon lequel le RGPD serait inapplicable car la clause ne concerne que des « données non personnelles », est inopérant. La qualification d'une donnée comme « non personnelle » n'appartient pas au seul responsable de traitement mais est une question de fait objective, appréciée au regard de la définition de l'article 4.1 du RGPD et de la jurisprudence (notamment l'arrêt Breyer de la CJUE, C-582/14). Une clause qui permet à Apple de qualifier unilatéralement des données comme « non personnelles » ' notamment des données techniques ou d'usage qui, une fois agrégées ou croisées, peuvent conduire à la ré-identification ' constitue en soi un manquement à la loyauté et à la transparence. Si le terme « agréger »existe en dehors du champ sémantique du RGPD, son usage dans un contexte de politique de confidentialité n'est pas anodin. L'agrégation est une opération de traitement complexe qui, dans le domaine des données, vise souvent à créer de la valeur à partir de jeux de données massifs. Le fait qu'Apple informe sur cette pratique, même pour des données qu'elle estime non personnelles, est pertinent. Cependant, le faire dans des termes aussi vagues et sans cadre (finalité, destinataires) est insuffisant et peut effectivement « faire planer la suspicion », comme le relève l'UFC. Une information transparente aurait précisé les types de données agrégées et les garanties mises en 'uvre pour empêcher toute ré-identification. Le moyen de la société ADI selon lequel toute lecture combinée avec d'autres clauses est également inopérant. Le droit des données impose une appréciation globale et contextuelle des documents contractuels pour en évaluer la loyauté et la transparence. La CNIL elle-même procède ainsi, comme en témoigne la Délibération SAN-2023-008 du 8 juin 2023 qui a combiné l'analyse de plusieurs pratiques pour constater un manquement. Il est donc parfaitement légitime de lire la clause n°3 à la lumière de la clause n°2, qui traite de données personnelles hachées, pour en saisir toute la portée et les risques.
199. La clause litigieuse crée une ambiguïté': en effet, en utilisant un terme technique (« agréger ») dans un cadre flou (« quel que soit le motif »), Apple s'octroie une liberté totale tout en brouillant les pistes sur la nature réelle des traitements. Il y a donc un risque de contournement du RGPD, la clause pouvant servir de « passe-droit » pour traiter des données personnelles en les qualifiant abusivement de non personnelles. Les premiers juges ont légitimement relevé l'imprécision des termes (« peuvent », « il est possible ») et son effet sur la compréhension de l'utilisateur, analyse qui s'inscrit parfaitement dans le sillage de la jurisprudence Planet49 (CJUE, C-673/17) qui exige une information « immédiatement compréhensible ».
200. Il en résulte que la clause n°3 contrevient à l'obligation de transparence (article 12 RGPD) : la clause utilise des termes vides de sens juridique contraignant (« il est possible », « quel que soit le motif ») et technique (« agréger ») sans fournir les explications nécessaires à la compréhension de l'utilisateur moyen. D'autre part, en s'arrogeant le droit de définir unilatéralement le périmètre des « données non personnelles » sans aucun critère objectif, Apple crée une situation de défiance et d'insécurité juridique pour le consommateur, contraire à l'exigence de loyauté de l'article 5.1.a du RGPD. Enfin le libellé ouvre la porte à un traitement non encadré de données qui pourraient s'avérer personnelles, notamment par croisement avec « les données d'autres utilisateurs ».
201. Le jugement sera par conséquent confirmé en ce qu'il a retenu le caractère illicite de la clause n°3 en raison de son imprécision terminologique constitutive d'un manquement grave à l'obligation de transparence prévue par les articles 5.1.a et 12 du RGPD.
Sur le fondement du droit de la consommation
202. La société ADI soutient que la clause n°3 n'est pas illicite sur le fondement de l'article L. 211-1 du code de la consommation et n'est pas abusive sur le fondement des articles L. 212-1 et R. 212-1 4° du code de la consommation. Après avoir rappelé que l'article L. 211-1 ne constitue qu'une simple règle d'interprétation en faveur du consommateur, la société ADI relève que le tribunal ne développe aucune motivation et se contente d'affirmer que la clause serait imprécise. Elle souligne que l'UFC ne consacre pas davantage de développement tendant à prouver l'illicéité de la clause n° 3. La société ADI fait valoir que l'UFC ne prouve pas le prétendu déséquilibre entre les droits et obligations des parties au contrat au détriment du consommateur prohibé par l'article L. 212-1 du code de la consommation ni le droit exclusif d'interpréter une clause ambiguë dans un sens défavorable au consommateur prohibé par l'article R. 212-1 4° du code de la consommation. Elle souligne que l'UFC se contente de lier les clauses n° 2 et n° 3. Enfin la société ADI relève que le tribunal a justement rejeté l'illicéité de la clause n° 3 sur le fondement de l'article L.121-2 du code de la consommation (pratiques commerciales trompeuses).
203. L'UFC valide la méthodologie du tribunal d'adopter une lecture combinée des clauses pour les déclarer illicites et abusives. Elle soutient que l'enchaînement dans la lecture des clauses 2 et 3 permet de comprendre que les informations personnelles et agrégées visées par la clause n° 3 incluent a minima les données à caractère personnel visées à la clause n° 2 et en déduit que la clause n°3 doit être sanctionnée sur les mêmes fondements que la clause n° 2 à laquelle elle se rattache nécessairement.
204. L'utilisation de l'expression «'informations non personnelles'» est suffisamment imprécise pour permettre toute liberté à la société ADI de qualifier toutes informations données de «'non personnelles'». Aucun exemple relatif à de telles informations n'est donné et la clause est ainsi rendue opaque pour l'utilisateur, contrairement aux dispositions de l'article L. 211-1 du code de la consommation. Elle crée ainsi un déséquilibre significatif dans les droits et obligations des parties au détriment du consommateur, la société ADI détenant le pouvoir exclusif d'interpréter cette clause. Elle viole donc les articles L. 212-1 et R. 212-1 4° du code de la consommation.
205. En revanche aucune pratique commerciale trompeuse au sens de l'article L. 121-2 du code de la consommation n'est mise en évidence au sein de cette clause.
La clause n° 4 du document «'Apple Music et Confidentialité'»
« Nous sommes tenus de communiquer certaines informations non personnelles relatives à votre emploi d'Apple Music à des partenaires du service, tels que des maisons de disque, de sorte qu'ils puissent évaluer leurs performances, satisfaire aux normes comptables et régler les droits d'auteurs dus, de même qu'améliorer leurs produits et services. Nous communiquons également aux artistes des statistiques d'écoute et démographiques (comme l'âge et le sexe des utilisateurs) non personnelles agrégées pour leur permettre de mieux cerner leur public. »
206. La clause n°4 du document « Apple Music et Confidentialité » légitime la communication par Apple d'informations dites «'non personnelles'» relatives à l'usage du service à des partenaires (maisons de disques, artistes) pour des finalités d'évaluation de performance, de comptabilité, de versement de droits d'auteur et d'amélioration des produits et services.
207. La dernière version de la clause (20 mai 2021) utilise l'expression «'informations agrégées non personnelles'» plutôt que celle de «'informations non personnelles'» ce qui ne modifie pas le sens et la compréhension ou la lisibilité de la clause.
Sur le fondement du droit des données personnelles
208. La société ADI soutient que la clause n°4 est licite car elle ne concerne que des données non personnelles, ce qui la place en dehors du champ d'application du RGPD. La société estime que la qualification d'illicéité par le tribunal repose sur une application erronée des articles du RGPD et une interprétation abusive des termes de la clause par l'UFC. Elle fait valoir que que les articles 4, 12, 13 et 14 du RGPD ne s'appliquent pas aux données non personnelles. Qualifier la clause d'illicite sur ces fondements constituerait donc une erreur de droit, le règlement n'étant pas applicable en l'espèce. La société ADI conteste ensuite vigoureusement l'assimilation des « partenaires » à des sous-traitants. Elle estime qu'aucun élément dans la clause ne permet de présumer que ces entités agissent sous les instructions d'Apple, critère essentiel de la définition de l'article 4.8 du RGPD. Les obligations des articles 28 et 30 RGPD ne seraient donc pas déclenchées. La société ADI affirme également qu'aucun élément textuel ou contextuel ne permet de lier la clause n°4 aux clauses n°2 et n°3. L'UFC procéderait par de pures affirmations sans apporter la preuve d'un tel lien, rendant son argumentation irrecevable. Enfin la société ADI soulève l'irrecevabilité de l'invocation de l'article R. 625-10 du code pénal et de l'article 48 de la LIL, considérés comme inopérants ou redondants.
209. L'UFC soutient que la clause n°4 est illicite car elle constitue une man'uvre délibérée d'Apple pour contourner ses obligations légales en qualifiant abusivement des données personnelles de « non personnelles », en s'affranchissant ainsi des règles applicables aux communications de données à des sous-traitants. L'UFC fait valoir en effet que les « partenaires » (maisons de disques, artistes) agissent en réalité en qualité de sous-traitants au sens de l'article 4.8 du RGPD. En utilisant un terme vague et en qualifiant les données de « non personnelles », Apple cherche selon elle à éviter les obligations liées au recours aux sous-traitants (garanties suffisantes, documentation, transparence). L'association estime en outre que la clause entretient une confusion volontaire. Le partage de « statistiques démographiques (âge, sexe) agrégées » révèle la nature personnelle des données en amont. Cette présentation est considérée comme une pratique commerciale trompeuse. L'UFC sollicite une lecture combinée des clauses n°2, n°3 et n°4, qui formeraient un processus cohérent : collecte de données personnelles, puis agrégation et communication à des tiers. Qualifier le résultat final de « non personnel » permettrait à Apple de s'affranchir de ses obligations sur l'ensemble de la chaîne. L'UFC relève enfin que les modifications apportées à la clause (comme le remplacement de « informations non personnelles » par « informations agrégées non personnelles ») ne corrigent pas son illicéité, laissant persister le même défaut de transparence.
210. La cour relève que les maisons de disques et artistes, utilisant les données pour leurs propres finalités (droits d'auteur, performances), agissent en tant que destinataires finaux ou responsables de traitement distincts, et non en sous-traitants d'Apple. Le grief de l'UFC sur la violation des articles 28 et 30 RGPD est donc inopérant. En revanche l'auto-qualification par Apple des données comme étant « non personnelles » ne peut être retenue. La qualification de donnée personnelle est objective (article 4.1 RGPD) et ne dépend pas de la déclaration unilatérale d'Apple. La communication de données démographiques (âge, sexe), même agrégées, présente un risque avéré de réidentification, notamment par recoupement. Ces données doivent donc être considérées comme personnelles en l'absence de preuve d'une anonymisation irréversible. En outre, contrairement à ce que soutient la société ADI, le processus global de traitement (collecte, puis agrégation et partage) doit être apprécié de manière cohérente pour évaluer les risques, ce qui justifie une analyse contextuelle.
211. Même en les qualifiant de simples « destinataires » et non de sous-traitants, Apple manque à son obligation de transparence. Le terme vague de « partenaires » est insuffisant pour informer l'utilisateur de l'identité ou au moins de la catégorie précise des entités qui recevront ses données (article 13.1.e RGPD). L'utilisateur ignore s'il s'agit des trois majors, de labels indépendants, ou de tous les artistes écoutés. Cette imprécision est constitutive d'un manquement. La clause énumère des finalités hétéroclites (« performances », « comptabilité », « droits d'auteur », « amélioration des produits ») sans les détailler, ni les lier à une base légale précise (articles 5.1.b et 6 RGPD).
212. Le jugement sera par conséquent confirmé en ce qu'il a retenu le caractère illicite de la clause n°4 en raison de son manquement grave à l'obligation de détermination et de transparence prévue par les articles 5.1.a, 12, 13 et 14 du RGPD.
Sur le fondement du droit de la consommation
213. La société ADI soutient que la clause n° 4 n'est ni illicite sur le fondement de l'article L. 211-1 du code de la consommation ni abusive sur le fondement des articles L. 212-1 et R. 212-1 4° du code de la consommation comme l'a décidé le tribunal. Elle fait valoir que rien n'indique que les clauses n° 2, 3 et 4 devraient être lues ensemble, aucune desdites clauses ne faisant référence à l'autre. En outre, l'UFC ne démontre pas que la clause n° 4 conférerait à ADI un droit exclusif d'interprétation et qu'elle devrait être réputée irréfragablement abusive. La société ADI souligne encore que l'UFC ne prouve aucunement que la clause litigieuse crée un déséquilibre significatif au sens de l'article L. 212-1 du code de la consommation. La société ADI rappelle que la clause n° 4 ne traite aucune donnée personnelle. Enfin la société ADI indique qu'au stade de l'appel l'UFC se fonde à nouveau sur les dispositions de l'article L. 121-2 du code de la consommation (pratiques commerciales trompeuses) alors que ce fondement n'a pas été retenu en première instance.
214. L'UFC soutient que cette clause doit être déclarée illicite et abusive sur des fondements identiques aux clauses n° 2 et n° 3 et ajoute que le caractère trompeur de la clause doit être sanctionné sur le fondement de l'article L. 121-2 du code de la consommation qui considère comme trompeuse la pratique commerciale qui consiste à fournir des indications ou présentations fausses ou de nature à induire en erreur. Elle ajoute que la société ADI a modifié la clause n° 4 mais sans tenir compte des griefs formulés par l'UFC.
215. La rédaction de la clause apparaît confuse pour l'utilisateur en prévoyant l'envoi de données qualifiées unilatéralement de non personnelles à «'des partenaires du service'» dont un seul exemple est donné («'maisons de disque'»). L'ambiguïté de la clause et le droit d'interprétation exclusif donné à ADI lui confèrent un caractère illicite abusif en application des articles L. 211-1, L. 212-1 et R 212-1 4° du code de la consommation.
216. La clause n° 5 du document «'Apple Music et Confidentialité'»
« Cet indice est stocké pendant une durée déterminée sur nos serveurs. »
« Les informations relatives à votre bibliothèque musicale iCloud vous sont associées pendant toute la durée de votre abonnement et pendant une courte période après sa résiliation. »
« Nous conservons les données concernant les morceaux que vous écoutez pendant les durées spécifiées par les lois en vigueur relatives aux états financiers. »
217. La clause n°5 de l'Engagement de Confidentialité décrit les durées de conservation des données relatives à l'utilisation d'Apple Music. Elle précise que certaines données (ex. indice de bibliothèque musicale, données d'écoute) sont conservées :
- Pendant une durée déterminée sur les serveurs d'Apple,
- Pendant toute la durée de l'abonnement et une courte période après résiliation
- Pendant les durées légales nécessaires en matière de comptabilité et droits financiers.
Sur le fondement du droit des données personnelles
218. La société ADI soutient que la clause n°5 est licite car elle respecte les exigences du RGPD en matière d'information sur la durée de conservation. La société estime que le tribunal a commis une erreur de droit en exigeant une durée chiffrée précise, alors que le règlement autorise l'indication des critères utilisés pour déterminer cette durée. La société ADI fait valoir que la clause respecte le principe de limitation de conservation (article 5.1.e RGPD) en indiquant les critères objectifs utilisés pour déterminer la durée de conservation des données, tels que la durée de l'abonnement, une période postérieure à la résiliation et les obligations légales comptables. Elle estime que cela satisfait aux exigences des articles 13.2.a) et 14.2.a) du RGPD, qui n'imposent pas une durée chiffrée mais autorisent la communication des «'critères utilisés'» pour la déterminer. La société ADI conteste la méthode d'analyse du tribunal, qu'elle juge confuse et basée sur un amalgame de clauses issues de documents différents sans une analyse individuelle et propre à la clause n°5. Elle relève que ni le tribunal ni l'UFC n'ont apporté la preuve technique que les durées de conservation appliquées par Apple en pratique violaient le RGPD. Enfin la société ADI minimise la portée du guide de la CNIL invoqué par l'UFC, en soulignant qu'il s'agit d'un document d'orientation sans valeur normative contraignante qui ne saurait fonder une décision de justice.
219. Selon l'UFC, la clause n°5 est illicite au regard du RGPD et de la LIL, car elle ne respecte pas les exigences de transparence, de précision et d'information sur les durées de conservation. Elle fait valoir que les formulations utilisées par Apple (« durée déterminée », « courte période », « durées spécifiées par les lois ») sont trop vagues et génériques, et ne permettent pas aux utilisateurs de connaître ni la durée réelle de conservation ni les critères appliqués. L'UFC rappelle que la CNIL, dans son Guide pratique de juillet 2020, précise que les responsables de traitement doivent indiquer les différentes phases de conservation des données (base active, archivage intermédiaire, suppression) et que lorsque la durée ne peut être communiquée de façon chiffrée, il faut exposer les modalités de calcul (exemple : « conservées pendant la durée de la relation contractuelle »). Or selon l'UFC Apple ne fournit ni durée chiffrée, ni modalités de calcul, ni phases distinctes de conservation. Elle relève aussi que l'article 12 RGPD impose une information claire, intelligible et accessible et que les expressions vagues employées dans la clause ne satisfont pas cette obligation, car elles laissent une incertitude totale à l'utilisateur sur la durée réelle de conservation de ses données. L'UFC rappelle que les articles 13.2.a et 14.2.a RGPD imposent de communiquer la durée de conservation des données personnelles, ou à défaut, les critères précis utilisés pour la déterminer et que la clause d'Apple ne respecte ni l'un ni l'autre, se contentant d'énoncés génériques. Enfin l'UFC indique que l'article 48 de la LIL renvoie explicitement aux obligations d'information prévues par les articles 12 à 14 RGPD et que le manquement d'Apple au RGPD entraîne également une violation de la LIL.
220. La cour relève que le Guide CNIL de 2020 sur les durées de conservation n'a pas, en lui-même, de force contraignante': il s'agit d'un document de doctrine administrative, destiné à orienter les responsables de traitement, mais qui ne crée pas d'obligations supplémentaires. Il constitue cependant une référence utile pour évaluer la qualité de l'information donnée. Il illustre les exigences du RGPD en matière de transparence et lisibilité. L'article 5-1.e RGPD impose une limitation stricte de la conservation à ce qui est nécessaire et que les articles 13.2.a et 14.2.a RGPD imposent de communiquer soit une durée précise, soit des critères objectifs et vérifiables. Or, les expressions retenues par Apple (« durée déterminée », « courte période », « durées spécifiées par les lois en vigueur ») sont trop vagues et laissent une marge d'appréciation discrétionnaire à l'entreprise, ce qui contrevient au principe de transparence (article 12 RGPD). Le moyen selon lequel il appartiendrait à l'UFC de prouver concrètement une conservation illimitée est mal fondé, s'agissant d'une action en suppression de clauses illicites, et non d'un contrôle technique des serveurs. En outre, la charge de la clarté repose sur le professionnel (article 5-1. a RGPD).
221. Le RGPD impose une granularité minimale : soit une durée ferme (« 10 ans après la fin du contrat »), soit des critères de calcul précis (« durée légale prévue par la comptabilité, soit 10 ans »). La clause litigieuse, en se contentant de formules génériques, ne permet pas à l'utilisateur de comprendre combien de temps ses données seront effectivement conservées, ce qui vide de sens son droit à l'information.
222. Le jugement sera confirmé en ce qu'il a retenu le caractère illicite de la clause n°5 en raison de son manquement grave aux exigences de précision et de transparence concernant la durée de conservation des données, violant ainsi les principes fondamentaux du RGPD': la clause est floue, imprécise et donc contraire aux articles 5, 12, 13 et 14 du RGPD.
Sur le fondement du droit de la consommation
223. La société ADI souligne que le tribunal n'a pas retenu le caractère illicite de la clause sur le fondement du droit de la consommation, à savoir l'article L. 211-1 du code de la consommation invoqué par l'UFC pour soutenir que la clause ne serait pas claire et compréhensible. Les premiers juges n'ont pas non plus reconnu le caractère abusif de la clause sur le fondement des articles L. 212-1 et R. 212-1 4° du code de la consommation que l'UFC invoque à nouveau au stade de l'appel en affirmant de façon péremptoire que la clause n° 5 conférerait à ADI le droit exclusif de l'interpréter à son avantage. La société ADI s'inscrit en faux contre cette affirmation et souligne que l'UFC ne démontre pas davantage que la clause créerait un déséquilibre significatif ' termes au demeurant non utilisés par l'UFC - au sens de l'article L. 212-1 du code de la consommation.
224. L'UFC soutient que la clause n° 5 est illicite en ce qu'elle n'est ni présentée ni rédigée de façon claire et compréhensible, contrairement aux exigences de l'article L. 211-1 du code de la consommation. Elle fait valoir ensuite qu'en ne déterminant pas précisément les durées de conservation ou, en tout état de cause, en manquant à son obligation de transparence concernant les méthodes de calcul de ces durées, la société ADI s'octroie le droit exclusif d'interpréter une quelconque clause du contrat, ce qui confère à la clause un caractère abusif en application des articles L. 212-1 et R. 212-1 4° du code de la consommation. Enfin elle relève que les modifications apportées à la clause dans la version du 20 mai 2021 du document «'Apple Music et Confidentialité'» sont mineures.
225. Force est de constater que le contenu de la clause est compréhensible pour l'utilisateur même si, au regard du RGPD, les précisions données (sur les durées en jeu) sont insuffisantes. A REVOIR / Twitter.
226. Le jugement sera confirmé en ce qu'il n'a retenu ni le caractère illicite ni le caractère abusif de cette clause sur le fondement des dispositions issues du code de la consommation.
La clause n° 6 du document «'Apple Music et Confidentialité'»
« Prenez garde lorsque vous choisissez de partager des informations en ligne ; certaines pourraient être rendues publiques. Les données partagées depuis Apple Music vers d'autres sites web ou réseaux sociaux sont régies par les engagements de confidentialité de ces services »
227. La clause n°6 vise à alerter les utilisateurs sur les risques liés au partage volontaire de leurs données en dehors de la plateforme Apple. Elle précise que les données partagées depuis Apple Music vers d'autres sites web ou réseaux sociaux sont régies par les politiques de confidentialité de ces services tiers.
Sur le fondement du droit des données personnelles
228. La société ADI soutient que la clause n°6 est purement informative et ne crée aucune obligation de sa part. Elle alerte légitimement l'utilisateur sur les risques d'un partage volontaire de données vers des services tiers, ce qui relève de la responsabilité individuelle et non d'un traitement contrôlé par Apple. Selon la société ADI, la clause concerne des divulgations initiées volontairement par l'utilisateur, non par Apple. Ainsi, Apple ne peut être tenu responsable des destinataires finaux ou des finalités, qui dépendent des choix de l'utilisateur et des politiques des plateformes tierces. Elle soutient que les articles 13-1.e et 14-1.e du RGPD ne s'appliquent pas ici, car Apple n'est pas le destinataire des données partagées. La clause remplit son rôle d'information en avertissant l'utilisateur que les données partagées hors d'Apple Music sont régies par les politiques de confidentialité des services tiers. Elle fait valoir que les termes employés («'pourraient être rendues publiques'») ne sont pas vagues mais reflètent l'incertitude inhérente au partage volontaire et que la forme passive de la phrase n'altère pas sa compréhension. Enfin elle souligne que l'invocation de l'article R.625-10 du code pénal et de l'article 48 de la LIL est tardive et artificielle, ces fondements n'ayant pas été retenus en première instance.
229. L'UFC estime que la clause n°6 est illicite car elle manque de transparence sur les destinataires et les finalités des données partagées, violant ainsi les articles 5.1.a, 12, 13-1.e et 14-1.e du RGPD. Elle entretient un flou sur les risques réels et ne permet pas à l'utilisateur de prendre une décision éclairée. L'UFC relève que la clause utilise des termes vagues («'pourraient être rendues publiques'») sans préciser les catégories de destinataires ni les finalités, ce qui empêche l'utilisateur de comprendre l'étendue des risques et constitue un manquement à l'obligation de transparence. S'agissant du défaut d'information sur les destinataires, l'UFC soutient que bien que le partage soit initié par l'utilisateur, Apple devrait fournir des guidelines claires sur les types de services tiers concernés (ex : réseaux sociaux, forums) et leurs implications. L'UFC relève ensuite que l'emploi d'expressions passives («'pourraient être'») et l'absence de précision créent une incertitude contraire à l'exigence de clarté du RGPD. Enfin elle considère qu'il est de la responsabilité d'Apple de guider l'utilisateur vers des pratiques sûres, y compris pour les partages volontaires, conformément au principe de privacy by design.
230. La cour relève que si le tribunal a débouté l'UFC de son grief concernant la clause n°6, estimant que l'association ne démontrait pas en quoi cette clause contrevenait spécifiquement aux articles 13-1.e et 14-1.e du RGPD relatifs à l'information sur les destinataires des données, il a mentionné la clause n°6 dans le dispositif du jugement comme étant « réputée non écrite ».
231. Force est de constater que la clause n'organise pas un transfert de données par Apple mais alerte l'utilisateur sur les conséquences d'un partage volontaire qu'il initie lui-même. Dans ce contexte, l'obligation d'information sur les destinataires précis (article 13-1.e RGPD) pèse prioritairement sur le tiers récepteur, Apple ayant surtout un devoir de mise en garde. Le même régime de transparence ne peut être appliqué à la fois à un traitement initié et contrôlé par Apple et à un partage volontaire et choisi par l'utilisateur, comme le soutient l'UFC. Le RGPD n'impose pas à Apple de connaître et de lister à l'avance tous les sites web ou réseaux sociaux sur lesquels un utilisateur pourrait décider de partager du contenu. Le moyen tiré du caractère vague des termes («'pourraient être rendues publiques'») est mal fondé, cette formulation reflétant l'incertitude inhérente à l'action de l'utilisateur et le fait que la publicité des données dépendra de la plateforme tierce et de ses paramètres de confidentialité.
232. Il convient par conséquent d'infirmer le jugement en ce qu'il a réputée non écrite la clause n° 6 du document «'Apple Music et Confidentialité'».
Sur le fondement du droit de la consommation
233. La société ADI soutient que la clause n° 6 n'est pas illicite au regard de l'article L. 211-1 du code de la consommation dans la mesure où elle est parfaitement claire et compréhensible quant au fait que l'utilisateur partage, de lui-même, des données personnelles avec des services tiers. Elle ajoute que la clause n° 6 du document n'est pas abusive au regard des articles L. 212-1 et R. 212-1. 4° du code de la consommation dans la mesure où elle n'envisage absolument pas le cas dans lequel ADI partagerait une donnée personnelle mais celui dans lequel l'utilisateur partagerait, de sa propre volonté, une donnée sur les réseaux sociaux ou vers d'autres sites web. Elle relève qu'indépendamment de cette clause, les utilisateurs restent libres de partager leurs données comme ils l'entendent avec d'autres services. Enfin elle sollicite le rejet de la nouvelle demande, en cause d'appel, de l'UFC sur le fondement de l'article L. 121-2 du code de la consommation (pratiques commerciales trompeuses) et sur laquelle cette dernière n'apporte aucun élément démontrant que la clause litigieuse serait susceptible d'altérer de manière substantielle le comportement économique du consommateur normalement informé et raisonnablement attentif et avisé, à l'égard des services proposés par ADI.
234. L'UFC soutient que la clause n° 6 n'est ni présentée ni rédigée de façon claire et compréhensible au sens de l'article L. 211-1 du code de la consommation et est donc illicite. Elle estime aussi que la clause doit être présumée abusive de manière irréfragable sur le fondement des articles L. 212-1 et R. 212-1 4° du code de la consommation en ce qu'elle confère à la société ADI le pouvoir exclusif d'interpréter cette clause et en particulier les circonstances dans lesquelles elle pourrait partager les données des utilisateurs. Elle souligne enfin que cette clause n'a pas été modifiée dans la version du document «'Apple Music et Confidentialité'» du 20 mai 2021.
235. La clause n° 6 contient un avertissement sur l'utilisation du service par le consommateur et donc le partage qui peut en être fait. Elle est parfaitement claire et compréhensible pour l'utilisateur. Elle ne contient aucune disposition contraire aux dispositions du code de la consommation invoquées par la l'UFC.
Les clauses du document «'Engagement de Confidentialité'»
La clause n° 1 de l'Engagement de Confidentialité
« Collecte et utilisation des données non personnelles
Nous collectons également des données dont la forme ne nous permet pas de faire un rapprochement direct avec une personne en particulier. Nous pouvons recueillir, utiliser, transférer et divulguer 'des données non personnelles à quelque fin que ce soit. Vous trouverez ci-après des exemples de données non personnelles que nous collectons et la façon dont nous pouvons les utiliser :
Nous pouvons collecter des informations telles que le métier, la langue, le code postal, l'indicatif régional, l'identifiant unique de l'appareil, l'URL de référence, le lieu et le fuseau horaire dans lesquels un produit Apple est utilisé afin de nous permettre de mieux comprendre le comportement du client et d'améliorer nos produits, services et publicité.
Nous pouvons recueillir des données concernant les activités du client sur notre site web, les services iCloud, l'iTunes Store, l'App Store, le Mac App Store, l'App Store de l'Apple TV, les iBooks Stores et à partir de nos autres produits et services. Ces données sont rassemblées et utilisées pour nous permettre de fournir des informations plus utiles à nos clients et pour savoir quels aspects de notre site web, de nos produits et de nos services sont les plus populaires. Les informations rassemblées sont considérées comme des données non personnelles aux fins du présent Engagement de confidentialité.
Nous pouvons collecter et stocker des informations sur votre utilisation de nos services, notamment les recherches que vous effectuez. Ces informations peuvent être utilisées pour améliorer la pertinence des résultats fournis par nos services. Elles ne sont pas associées à votre adresse IP, excepté dans de rares cas afin d'assurer la qualité de nos services sur Internet.
Avec votre consentement explicite, nous pouvons collecter des données sur la façon dont vous utilisez votre appareil et vos applications afin d'aider les développeurs à améliorer leurs apps.
Si nous associons des données non personnelles à des données personnelles, les données ainsi combinées sont traitées comme des données à caractère personnel tant qu'elles restent associées. »
236. La clause n°1 définit le régime applicable aux données qualifiées par Apple de « non personnelles ». Elle énonce les finalités et modalités de collecte de ces données, tout en prévoyant explicitement que toute association avec des données personnelles entraîne l'application du régime protecteur du RGPD.
237. Le tribunal a retenu le caractère illicite de la clause sur le fondement des articles L. 211-1 du code de la consommation et des articles 4, 12, 13 et 14 du RGPD et abusif sur le fondement des articles L. 212-1 et R. 212-1-4°du code de la consommation.
Sur le fondement du droit des données personnelles
238. La société ADI considère que le tribunal a à tort qualifié la clause d'illicite, en affirmant que les données listées (ex. identifiant unique, code postal, fuseau horaire) étaient nécessairement des données personnelles au sens du RGPD. La société ADI soutient que la clause respecte les exigences de transparence et distingue correctement entre données personnelles et non personnelles. La société ADI conteste en effet la requalification par le tribunal de ces données en données personnelles. Elle estime que des données comme le métier, la langue ou le code postal, collectées de manière isolée et dans un format spécifique, ne permettent pas à elles seules une identification directe. Leur qualification comme « non personnelles » est donc justifiée. La société ADI soutient que le tribunal ne peut fonder sa décision, sur l'article 4 du RGPD (définitions), car il n'édicte aucune obligation et les articles 12, 13 et 14 du RGPD de manière générique, sans préciser quelle obligation spécifique n'est pas respectée. Elle fait valoir qu'une clause informative sur les données non personnelles n'a pas à contenir toutes les informations prévues pour les données personnelles. La société ADI met en exergue la transparence et la clarté de la clause en soulignant son intitulé clair « Collecte et utilisation des données non personnelles », la présence d'exemples concrets pour illustrer le type de données concernées, et la mention explicite de la règle de requalification en cas de combinaison avec des données personnelles, démontrant une volonté de conformité. La société ADI affirme en outre que l'ensemble du document (« Engagement de Confidentialité ») est structuré pour distinguer sans ambiguïté le traitement des données personnelles de celui des données non personnelles, la clause n°1 ne portant que sur ces dernières.
239. L'UFC soutient en revanche que la clause n°1 est illicite car elle qualifie abusivement de « non personnelles » des données qui, par nature, sont des données à caractère personnel au sens strict du RGPD. Cette qualification erronée permet à Apple de contourner l'ensemble des obligations légales et de s'octroyer un droit de traitement illimité (« à quelque fin que ce soit ») pour des données qui devraient être protégées. L'UFC relève que l'utilisation de termes vagues (« mieux comprendre », « informations utiles », « rares cas ») viole l'article 12 du RGPD qui impose une information claire, intelligible et précise. Elle invoque une violation des principes de licéité et de transparence (article 5.1.a RGPD) : en utilisant une qualification fallacieuse, Apple viole le principe de loyauté. La clause induit l'utilisateur en erreur sur la nature réelle des traitements subis par ses données et sur le niveau de protection qui leur est appliqué. L'UFC met en évidence un manquement aux obligations d'information (articles 12, 13, 14 RGPD) : puisque les données sont en réalité personnelles, Apple manque à toutes ses obligations d'information : finalités précises, base juridique, durée de conservation, destinataires, etc. La clause se contente d'un droit d'usage illimité (« à quelque fin que ce soit ») et de termes vagues (« mieux comprendre », « de rares cas »). L'UFC affirme qu'existe un risque de réidentification : la clause admet que ces données peuvent être associées à une adresse IP dans « de rares cas ». Ce simple recoupement confirme que ces informations sont potentiellement identifiantes et donc des données personnelles. L'UFC relève ensuite une violation de la limitation des finalités (article 5.1.b RGPD) : la mention « à quelque fin que ce soit » est en elle-même illicite, car contraire au principe de finalité déterminée, explicite et légitime. Enfin l'UFC considère que l'article 48 de la LIL renvoyant aux articles 12 à 14 du RGPD, les manquements constatés valent également au titre du droit national.
240. Force est de constater que la volonté d'Apple de créer sa propre catégorie de données (« non personnelles au sens de notre Engagement ») est contraire à l'esprit et à la lettre du RGPD. La qualification d'une donnée comme personnelle, conformément à l'article 4.1 du RGPD, ne peut être laissée à l'appréciation discrétionnaire du responsable de traitement. C'est à bon droit que le tribunal a requalifié des données comme l'identifiant unique de l'appareil, la localisation ou les historiques de navigation, qui sont expressément visées par le considérant 30 du RGPD comme permettant une identification indirecte. Les articles 12, 13 et 14 du RGPD sont donc pleinement applicables. Le défaut d'information sur les finalités précises, la base légale et les durées de conservation constitue donc une violation manifeste. En effet, la mention « à quelque fin que ce soit » est antinomique avec le principe de limitation des finalités (Art. 5.1.b RGPD). De plus, les finalités avancées (« mieux comprendre le comportement du client », « améliorer la publicité ») relèvent du profilage, une activité soumise à un encadrement strict (articles 21 et 22 RGPD) qui nécessite une information renforcée, absente ici. En outre, la clause est opaque et ne permet pas à l'utilisateur de comprendre quelles données précises sont collectées, pour quelles finalités exactes, et sur quelle base légale.
241. Il convient par conséquent de confirmer le jugement en ce qu'il a déclaré la clause n°1 illicite et l'a réputée non écrite pour violation des articles 5.1.a, 5.1.b, 12, 13 et 14 du RGPD.
Sur le fondement du droit de la consommation
242. La société ADI soutient que la clause n° 1 de l'Engagement de Confidentialité n'est pas illicite au regard de l'article L. 211-1 du code de la consommation qui constitue une simple règle d'interprétation. Elle relève qu'elle ne s'est pas abstenue, contrairement à ce que soutient l'UFC, d'informer l'utilisateur de l'existence d'une collecte de données à caractère personnel. Elle fait valoir en outre que la clause n'est pas illicite et abusive au regard des articles L. 212-1 et R. 212-1 4°) du code de la consommation en ce qu'elle ne crée aucun déséquilibre significatif entre les droits et obligations des parties au contrat au détriment du consommateur.
243. L'UFC soutient que la clause n° 1 est illicite sur le fondement de l'article L. 211-1 en ce qu'elle n'est ni présentée ni rédigée de façon claire et compréhensible. Elle fait valoir qu'elle est aussi trompeuse au sens de l'article L. 121-2 du code de la consommation. L'UFC estime en outre que la clause n° 1 contrevient directement aux dispositions de l'article L. 212-1 et de l'article R. 212-1 4°. Elle indique que l'absence de mention de l'existence d'un traitement de données à caractère personnel crée un déséquilibre significatif et que la clause est présumée abusive de manière irréfragable en ce qu'elle confère à la société ADI le droit exclusif d'interpréter une clause ambiguë dans le sens qui lui serait plus favorable. L'UFC relève que depuis le jugement la société ADI a de nouveau mis à jour son Engagement de Confidentialité en date du 1er juin 2021 et a supprimé une partie de la clause mais en créant une confusion par le déplacement de passages copiés-collés de l'ancienne clause n° 1. Elle souligne qu'elle est en toute hypothèse fondée à agir en réparation des préjudices causés par la simple existence passée ou présente de la clause n° 1 de l'Engagement de Confidentialité à l'égard de la collectivité des consommateurs et de l'intérêt associatif de l'UFC-Que Choisir elle-même.
244. La société ADI s'arroge le droit d'interpréter exclusivement ce que contient exactement l'expression «'données non personnelles'» ce qui crée un déséquilibre significatif au détriment du consommateur. En outre, aucune indication n'est donnée sur la possibilité d'un «'consentement explicite'» de l'utilisateur à la collecte de données, prévue à la fin de la clause sans que les modalités du recueil de ce consentement ne soient explicitées. Si la clause n'apparaît pas inintelligible pour le consommateur, elle ne respecte en revanche pas les articles L. 212-1 et R. 212-1 4° du code de la consommation.
La clause n° 2 de l'Engagement de Confidentialité
« Nous traitons les données collectées par les cookies et autres technologies comme des données non personnelles. Toutefois, si les adresses IP (Internet Protocol) ou des identifiants similaires sont considérés comme des données personnelles par la loi locale, nous traitons également ces identifiants comme des données personnelles. De la même manière, si des données non personnelles sont associées à des données personnelles, nous traitons les informations ainsi associées comme des données personnelles aux fins du présent Engagement de confidentialité. »
245. La clause n°2 traite du statut des données collectées via les cookies et technologies similaires. Elle établit une distinction entre données personnelles et non personnelles, mais prévoit que des identifiants comme l'adresse IP seront traités comme des données personnelles si la loi locale le requiert, ou si elles sont associées à des données personnelles.
Sur le fondement du droit des données personnelles
246. La société ADI soutient que la clause n°2 est licite et transparente et qu'elle reflète une approche prudente et extensive de la notion de donnée personnelle, alignée sur le RGPD. Elle estime que le tribunal a commis une erreur en considérant que le document était destiné uniquement aux utilisateurs français et en qualifiant la clause d'illicite sans motivation suffisante. La société ADI fait valoir que l'Engagement de confidentialité est un document global, rédigé pour tous les utilisateurs, et non un document contractuel spécifique à la France. La société ADI argue que la clause démontre sa volonté de protéger les utilisateurs en adoptant une définition large des données personnelles. En pratique, Apple traite les adresses IP comme des données personnelles, comme en témoigne leur communication systématique via le portail « Données et Confidentialité ». L'appelante relève que le tribunal n'a pas motivé sa décision au regard des articles spécifiques du RGPD (articles 4, 12, 13, 14). Selon elle, l'article 4 est un article de définitions sans obligation propre, et les articles 12 à 14 imposent des obligations générales qui ne sont pas violées par cette clause informative. La société ADI reproche ensuite à l'UFC et au tribunal une confusion entre le support (le cookie) et les données qu'il collecte. La clause ne qualifie pas les cookies de données personnelles en soi, mais précise que leur statut dépend des informations qu'ils contiennent et du contexte juridique. Enfin la société ADI soutient que l'invocation de l'article R. 625-10 du code pénal et de l'article 48 de la LIL par l'UFC en appel est tardive et irrecevable, ces fondements n'ayant pas été retenus en première instance.
247. L'UFC soutient à l'inverse que la clause n°2 est illicite car elle véhicule une qualification juridiquement erronée des cookies et des adresses IP, en les présentant comme « non personnelles par nature », contrairement à la jurisprudence constante et aux textes applicables. Cette approche viole délibérément les principes de transparence et de loyauté du RGPD et de la LIL. L'UFC conteste fermement l'affirmation d'Apple selon laquelle les cookies et adresses IP seraient « par nature » non personnels. Elle s'appuie sur une jurisprudence abondante et constante : l'adresse IP a été reconnue comme donnée personnelle par le Conseil d'État (CE, 12 mars 2014, n°353193), la CJUE (C-582/14, Breyer), la Cour de cassation (Civ. 1ère, 3 nov. 2016 ; Soc., 25 nov. 2020). Quant aux cookies/traceurs, ils ont été qualifiés de données personnelles par le Conseil d'État (CE, 6 juin 2018, n°412589, Sté Croque Futur) et soumis au régime strict de l'article 82 de la LIL, impliquant le consentement préalable de l'utilisateur. L'UFC relève ensuite une violation des obligations d'information (articles 12, 13, 14 RGPD) et de la directive ePrivacy (article 5) : en propageant une information fausse (« données non personnelles par nature »), la société ADI manque à son obligation de fournir une information claire, précise et loyalement sur la nature des traitements. La personne concernée est induite en erreur sur le niveau de protection applicable à ses données. L'UFC souligne un contournement du RGPD via la référence à la « loi locale ». L'UFC indique que l'entité responsable du traitement, la société ADI, est une société irlandaise soumise directement au RGPD. En ciblant le marché européen, elle ne peut invoquer des législations tierces pour diluer les protections garanties par le droit européen. L'UFC relève aussi un manquement à l'obligation de transparence (article 12 RGPD) : la clause entretient un flou artificiel en laissant croire que la qualification des données dépendrait d'une appréciation variable (« si la loi locale le requiert »). Or, le RGPD s'applique de plein droit et uniformément dans l'UE. Cette formulation vague et conditionnelle prive l'utilisateur d'une information immédiatement compréhensible. Enfin l'UFC soutient que l'article 48 de la LIL renvoie aux articles 12 à 14 du RGPD et que les manquements constatés au RGPD valent donc également au titre du droit national français.
248. La cour relève que la possibilité pour un responsable de traitement de définir unilatéralement ce qu'est une donnée personnelle est contraire à la lettre et à l'esprit du RGPD, qui pose une définition légale objective, et que la référence à la « loi locale » crée un flou juridique pour tenter de soustraire certains traitements au RGPD. Or ce service cible l'UE. La distinction entre l'outil (cookie) et la donnée est hors de propos, le RGPD protégeant les personnes et non les données in abstracto. Dès qu'un cookie permet d'identifier un individu, même indirectement, il devient une donnée personnelle et l'ensemble du régime s'applique.
249. Le jugement sera confirmé en ce qu'il a retenu le caractère illicite de la clause n°2 en raison de la qualification erronée et unilatérale par Apple des cookies et adresses IP comme «'données non personnelles par nature'», en méconnaissance de la définition légale du RGPD et de la jurisprudence constante. Il a également condamné le recours à la notion vague de «'loi locale'» pour contourner l'application du RGPD sur le territoire européen.
Sur le fondement du droit de la consommation
250. La société ADI soutient que la clause n° 2 n'est ni illicite au regard de l'article L. 211-1 du code de la consommation ni abusive au regard des articles L. 212-1 et R. 212-1-4° du code de la consommation. Elle rappelle que l'article L. 211-1 constitue une simple règle d'interprétation et que la clause est en tout état de cause claire et compréhensible. Elle relève en outre qu'elle ne s'est pas abstenue d'informer l'utilisateur de l'existence d'un traitement de données personnelles et que la clause ne lui confère pas un pouvoir d'interprétation exclusif. Dès lors, elle affirme que l'UFC ne prouve pas l'existence d'un déséquilibre significatif au sens de l'article L. 212-1 du code de la consommation. Enfin elle souligne que l'illicéité de la clause sur le fondement de l'article L. 121-2 du code de la consommation (pratiques commerciales trompeuses) n'avait pas été retenue par le tribunal.
251. L'UFC soutient que la clause n° 2 est illicite sur le fondement de l'article L. 211-1 alinéa 1er du code de la consommation en ce qu'elle ni présentée ni rédigée de façon claire et compréhensible. Elle considère ensuite que la clause confère à la société ADI un droit exclusif d'interprétation du contrat et crée un déséquilibre significatif. Elle conclut que la clause n° 2 est présumée abusive de manière irréfragable au sens de l'article R. 212-1-4°. Elle ajoute que la mise à jour de l'Engagement de Confidentialité le 1er juin 2021 n'a emporté que des modifications mineures de la clause litigieuse.
252. La cour relève que la rédaction de la clause est confuse et peu intelligible pour le consommateur en ce qu'elle ne lui permet pas de savoir in fine quelles seront les données qualifiées unilatéralement par ADI de personnelles ou non personnelles. La répétition à l'envi de l'expression «'données personnelles'» ou «'données non personnelles'» accentue le caractère obscur de la clause.
253. Le jugement sera par conséquent confirmé en ce qu'il a jugé la clause n° 2 illicite au regard de l'article L. 211-1 du code de la consommation et abusive au regard des articles L. 212-1 et R. 212-1-4° du code de la consommation.
La clause n° 3 de l'Engagement de Confidentialité
« Pour fournir des services de géolocalisation sur les produits Apple, Apple et ses partenaires et licenciés [VERSION DU 09 mai 2019 : « tels que les fournisseurs de données de cartographique »] peuvent recueillir, utiliser et partager des données de localisation précises, notamment la localisation géographique en temps réel de votre ordinateur ou appareil Apple. Le cas échéant, les services de géolocalisation peuvent utiliser le GPS, le Bluetooth et votre adresse IP, ainsi que les emplacements des bornes Wi-Fi communautaires et des antennes relais, ou encore d'autres technologies afin de déterminer la localisation approximative de vos appareils. Sauf consentement de votre part, ces données de localisation sont collectées anonymement dans un format ne permettant pas de vous identifier.»
254. La clause n°3 de l'«'Engagement de Confidentialité'» traite de la collecte et de l'utilisation des données de localisation pour fournir des services de géolocalisation sur les produits Apple. Elle précise les technologies utilisées (GPS, Bluetooth, adresse IP, bornes Wi-Fi, antennes relais) et les conditions de collecte (anonymisation en l'absence de consentement).
Sur le fondement du droit des données personnelles
255. La société ADI soutient que le tribunal a commis une erreur de droit en qualifiant d'illicite la clause n°3 sans motivation suffisante et en extrapolant à partir de pratiques non établies. La clause est claire, informative et conforme au RGPD, et le service Apple Music ne collecte pas les données de localisation visées. La société relève en effet que le tribunal n'a pas motivé sa décision au regard des articles spécifiques du RGPD (articles 4, 12, 13, 14). Il a condamné la clause sans démontrer en quoi elle violerait ces dispositions, ce qui constitue une violation de l'article 455 du code de procédure civile. La société ADI fait valoir que l'«'Engagement de Confidentialité'» est un document général qui ne concerne pas spécifiquement Apple Music. Le service Apple Music n'utilisant pas les données de localisation, la clause n'aurait pas dû être prise en compte dans ce contentieux. La société ADI considère que la clause indique explicitement que les données sont collectées pour « fournir des services de géolocalisation sur les produits Apple » et que cette finalité est suffisamment précise et légitime au regard de l'article 5.1.b du RGPD. En outre, selon la société ADI, la clause prévoit que les données sont anonymisées en l'absence de consentement, ce qui respecte le principe de minimisation (art. 5.1.c RGPD) et limite les risques pour la vie privée. Enfin la société ADI soutient que l'invocation par l'UFC de l'article R. 625-10 du code pénal et de l'article 48 de la LIL par l'UFC en appel est tardive et irrecevable, ces fondements n'ayant pas été retenus en première instance.
256. L'UFC soutient que la clause n°3 est illicite car elle manque gravement de transparence sur les finalités exactes du traitement des données de localisation et sur les modalités d'anonymisation. Elle informe l'utilisateur d'une collecte de données sensibles sans expliquer pourquoi un service de streaming musical nécessite une géolocalisation précise, ni comment l'anonymisation est garantie techniquement. L'UFC souligne que la finalité annoncée (« fournir des services de géolocalisation sur les produits Apple ») est trop vague. Elle n'explique pas en quoi la géolocalisation est nécessaire pour un service de streaming musical (ex: restriction géographique des contenus due aux droits d'auteur). L'utilisateur ne peut donc pas comprendre la raison d'être du traitement. En outre, l'UFC reproche à la clause un défaut d'information sur l'anonymisation : la clause mentionne une anonymisation des données « dans un format ne permettant pas de vous identifier » sans aucune précision technique sur les méthodes utilisées (chiffrement, agrégation, etc.). Cette absence de détails empêche l'utilisateur d'évaluer la réelle protection de ses données et viole l'obligation de transparence. L'UFC relève ensuite une violation des articles 12, 13 et 14 du RGPD : le manque de clarté sur la finalité et les garanties techniques constitue une violation directe des obligations d'information du RGPD. L'information doit être « concise, transparente, compréhensible et aisément accessible », ce qui n'est pas le cas ici. Enfin l'UFC soutient que l'article 48 de la LIL renvoyant aux articles 12 à 14 du RGPD, les manquements constatés valent également au titre du droit national.
257. La cour relève que le moyen soutenu par la société ADI selon lequel la finalité (« fournir des services de géolocalisation sur les produits Apple ») est clairement énoncée est bien fondé dans la mesure où la clause remplit formellement l'obligation de définir une finalité, ce qui est un premier pas vers la conformité avec l'article 5.1.b du RGPD. La finalité « services de géolocalisation » est suffisamment large pour couvrir plusieurs usages légitimes tout en restant compréhensible. L'exigence de détailler chaque sous-finalité (restriction géographique des contenus) dans la clause elle-même n'est pas une obligation absolue du RGPD. En outre, le recours à l'anonymisation en l'absence de consentement est une mesure positive qui va dans le sens de la protection des données par défaut (Privacy by Default, Art. 25.2 RGPD). En revanche, contrairement à ce que soutient la société ADI, l'Engagement de Confidentialité est un document unique qui s'applique à l'ensemble des services. Si une pratique de collecte existe potentiellement, l'information doit être claire et conforme, peu importe le service. Il y a également lieu de relever que l'anonymisation effective n'est pas démontrée, la simple mention « collectées anonymement » étant insuffisante. La société ADI ne fournit aucune précision sur les techniques utilisées (agrégation, pseudonymisation irréversible, etc.) pour garantir que le risque de ré-identification est nul, comme l'exige la doctrine du CEPD (Comité européen de la protection des données) et de la CNIL. L'énumération d'une multitude de technologies de tracking (GPS, Bluetooth, IP, Wi-Fi, antennes relais) sans explication sur leur nécessité respective et sans que l'utilisateur puisse les contrôler individuellement, suggère une collecte excessive, contraire au principe de minimisation (article 5.1.c RGPD). Cette collecte systématique et simultanée via tous les canaux techniques listés, sans justification de leur nécessité spécifique, est en effet disproportionnée. L'absence de détails sur les modalités techniques de l'anonymisation rend l'information incomplète et prive la personne concernée d'une compréhension réelle du niveau de protection de ses données (violation de l'article 12.1 RGPD). L'utilisateur ne peut ainsi comprendre les garanties dont il bénéficie.
258. Le jugement sera confirmé en ce qu'il a déclaré la clause n°3 de l'« Engagement de Confidentialité » illicite et l'a réputée non écrite pour violation des articles 12, 13 et 14 du RGPD mais infirmé sur le fondement de 5.1.b.
Sur le fondement du droit de la consommation
259. La société ADI soutient que la clause n° 3 n'est ni illicite sur le fondement de l'article L. 211-1 du code de la consommation ni abusive sur le fondement des articles L. 212-1 et R. 212-1-4° du même code, ni illicite sur le fondement de l'article L. 211-1 qui ne constitue qu'une simple règle d'interprétation. Elle fait valoir que la clause est parfaitement claire quant à la finalité du traitement et ne confère à ADI aucun pouvoir d'interprétation exclusif et ne saurait dès lors être réputée irréfragablement abusive en application de l'article R. 212-1 du code de la consommation. Elle rappelle enfin que le tribunal n'a pas retenu l'article L. 121-2 du code de la consommation (pratiques commerciales trompeuses) pour juger la clause n'° 3 illicite.
260. L'UFC fait valoir que la clause n° 3 n'est ni présentée ni rédigée de façon claire et compréhensible de sorte qu'elle est illicite sur le fondement de l'article L. 211-1 du code de la consommation et affirme qu'elle est également trompeuse au regard de l'article L. 121-2 du même code. Elle soutient aussi que cette clause est abusive de manière irréfragable car elle contrevient directement aux dispositions de l'article L. 212-1 et de l'article R. 212-1 4° du code de la consommation. Elle note enfin que depuis le jugement, la société ADI a intégralement supprimé cette clause en mettant à jour son Engagement de Confidentialité le 1er juin 2021, seule demeurant une clause indiquant «'Informations d'emplacement. Emplacement précis uniquement pour la prise en charge de la fonctionnalité Localiser mon, et emplacement approximatif'» sans information complémentaire, qui méconnaît également les fondements précités.
261. Le tribunal a déclaré la clause n° 3 illicite sur le fondement de l'article L. 211-1 du code de la consommation et abusive sur le fondement des articles L. 212-1 et R. 212-1-4° du même code.
262. La cour relève que la clause dans sa version soumise au tribunal est intelligible pour le consommateur. Il y a lieu de rappeler qu'une illicéité relevée au regard du RGPD n'est pas ipso facto une illicéité au regard des dispositions issues du droit de la consommation. La clause informe l'utilisateur qu'un traitement de données à caractère personnel sera utilisé pour le géolocaliser.
263. Le jugement sera par conséquent infirmé en ce qu'il a retenu le caractère illicite et abusif de cette clause au regard de l'article L. 211-1 et des articles L. 212-1 et R. 212-1-4° du code de la consommation.
La clause n° 4 de l'Engagement de Confidentialité
« Si vous activez l'option Suivi publicitaire limité sur votre appareil mobile, les apps tierces ne peuvent pas utiliser l'identifiant publicitaire (un identifiant d'appareil non personnel) pour diffuser des annonces ciblées. »
264. La clause n°4 traite du « Suivi publicitaire limité » sur les appareils mobiles. Elle informe les utilisateurs que l'activation de cette option empêche les applications tierces d'utiliser l'identifiant publicitaire (présenté comme un « identifiant d'appareil non personnel ») pour diffuser des publicités ciblées.
Sur le fondement du droit des données personnelles
265. La société ADI soutient que la clause n°4 est purement informative et licite. Selon la société ADI, elle ne fait que décrire une fonctionnalité technique permettant à l'utilisateur de contrôler l'utilisation de l'identifiant publicitaire par des tiers, sans qu'Apple elle-même n'effectue aucun traitement de données personnelles via ce mécanisme. La société ADI relève en effet que le tribunal a incorrectement attribué cette clause au document « Apple Music et Confidentialité », alors qu'elle figure dans l'« Engagement de Confidentialité », document général et que cette erreur affecte la qualification juridique de la clause. La société ADI estime qu'elle n'est pas responsable du traitement des données via l'identifiant publicitaire, car celui-ci est utilisé par les développeurs d'applications tierces, Apple se contentant de fournir un outil de contrôle aux utilisateurs, sans accéder ni utiliser elle-même cet identifiant. La société ADI considère ensuite que le tribunal n'a pas motivé sa décision au regard des articles spécifiques du RGPD (articles 4, 12, 13, 14). L'article 4 est un article de définitions sans obligation propre, et les articles 12 à 14 imposent des obligations générales non violées par cette clause informative. La société ADI soutient que la clause permet au contraire de respecter les recommandations de la CNIL en informant l'utilisateur de la possibilité de s'opposer au suivi publicitaire, garantissant ainsi sa liberté de choix. Enfin elle fait valoir que le tribunal s'est basé sur des suppositions de pratiques non établies (ex : rapprochement avec la géolocalisation) sans preuve, ce qui dépasse le cadre de l'examen d'une clause contractuelle.
266. L'UFC soutient en revanche que la clause n°4 est illicite car elle nie le caractère de donnée personnelle de l'identifiant publicitaire, contrairement à la position constante de la CNIL et de la jurisprudence. Cette qualification erronée viole les obligations de transparence et d'information du RGPD. L'UFC s'appuie sur la doctrine de la CNIL, qui a rappelé que l'identifiant publicitaire est une donnée personnelle puisqu'il permet d'identifier un appareil unique et de suivre le comportement de l'utilisateur. En le qualifiant de « non personnel », Apple induit l'utilisateur en erreur. L'UFC relève aussi une violation des articles 12, 13 et 14 du RGPD : la clause ne remplit pas l'obligation d'informer clairement l'utilisateur sur la nature des données traitées, les finalités (publicité ciblée) et les droits dont il dispose. Cette opacité viole le principe de transparence. L'UFC rappelle ensuite que la CNIL exige que le consentement soit recueilli pour l'utilisation de l'identifiant publicitaire, via une action positive et une information préalable. La clause n'évoque pas cette exigence, laissant croire que le seul contrôle via l'option « Suivi publicitaire limité » suffit. Enfin l'UFC indique que l'article 48 de la LIL renvoie aux articles 12 à 14 du RGPD et que les manquements constatés valent donc également au titre du droit national.
267. La cour relève qu'en mettant à disposition un écosystème (iOS) et un identifiant technique (IDFA) utilisé par les tiers, Apple agit en tant que responsable conjoint du traitement (article 26 RGPD) ou, à tout le moins, a une obligation de garantir que les outils qu'elle fournit sont conformes au RGPD. Elle ne peut se soustraire à sa responsabilité en rejetant la faute sur les seuls développeurs d'applications. C'est à bon droit que le tribunal a requalifié l'identifiant comme donnée personnelle et a constaté le défaut de consentement préalable, ce qui constitue le c'ur du vice de la clause. Le mécanisme de consentement prévu d'opt-out (suivi activé par défaut) est illicite': en effet, le RGPD et l'article 82 de la LIL imposent un consentement préalable et exprès (opt-in) pour ce type de traceur. Le fardeau ne doit pas incomber à l'utilisateur de désactiver un traitement qu'il n'a jamais autorisé.
268. De manière synthétique, la clause est illicite dans son principe et sa formulation. Apple ne peut ni nier le caractère personnel de l'identifiant, ni imposer un mécanisme de consentement par défaut contraire aux textes.
269. Il en résulte que la clause n°4 donne une qualification erronée d'une donnée personnelle (violation des articles 4.1 et 5.1.a RGPD ' loyauté), prévoit un mécanisme de consentement non conforme reposant sur l'opt-out (violation de l'article 82 de la LIL et des principes du RGPD).
270. Le jugement sera par conséquent confirmé en ce qu'il a déclaré la clause n° 4 illicite et l'a réputée non écrite en raison de la qualification erronée de l'identifiant publicitaire comme «'non personnel'» et du mécanisme de consentement a posteriori mis en place, qui contrevient aux exigences du RGPD et de la Loi Informatique et Libertés.
Sur le fondement du droit de la consommation
271. La société ADI rappelle que le tribunal a jugé cette clause illicite au regard de l'article L. 211-1 du code de la consommation et abusive sur le fondement des articles L. 212-1 et R. 212-1-4° du code de la consommation. Elle soutient que tel n'est pas le cas dans la mesure où l'article L. 211-1 constitue une simple règle d'interprétation en faveur du consommateur et ajoute que l'option «'Suivi publicitaire limité'» n'interdit pas la publicité mais seulement la publicité ciblée. Elle explique que l'activation de l'option ne réduit pas le nombre de publicités que l'utilisateur recevra mais celles-ci ne seront pas le résultat d'un ciblage. Quant aux articles L. 212-1 et R. 212-1-4° du code de la consommation, la société ADI souligne que le tribunal se contente de considérer que la violation du droit des données personnelles par un lot de clauses entraîne ipso facto une violation du droit de la consommation. La société ADI reprend par ailleurs son argumentation précédente selon laquelle l'UFC ne prouve ni que la clause conférerait à ADI un droit exclusif d'interprétation ni que celle-ci créerait un déséquilibre significatif au sens de l'article L. 212-1 précité. Enfin la société ADI relève que l'UFC se fonde à nouveau sur les dispositions de l'article L. 121-2 du code de la consommation, fondement non retenu par les premiers juges.
272. L'UFC soutient que la clause n° 4 n'est ni présentée ni rédigée de façon claire et compréhensible au sens de l'article L. 211-1 du code de la consommation de sorte qu'elle est illicite, en plus d'être trompeuse au regard de l'article L. 121-2 du code de la consommation. L'UFC fait valoir en outre que la clause n° 4 est abusive car elle donne à la société ADI le droit exclusif de l'interpréter, ce qui est contraire aux articles L. 212-1 et R. 212-1 4° du code de la consommation. Elle ajoute que malgré la modification de la clause le 1er juin 2021, ses demandes restent d'actualité.
273. Le tribunal a jugé la clause n° 4 illicite au regard des articles L. 211-1 et L. 212-1 et R. 212-1-4° du code de la consommation.
274. Cependant, force est de constater que la rédaction de la clause est claire et compréhensible pour le consommateur et l'UFC ne démontre en aucune manière qu'elle donnerait à ADI un droit exclusif de l'interpréter. Aucun élément n'est davantage mis en exergue sur le prétendu caractère trompeur de cette clause au regard de l'article L. 121-2 du code de la consommation.
275. Le jugement sera par conséquent infirmé en ce qu'il a jugé cette clause illicite et abusive sur le fondement du code de la consommation.
La clause n° 5 de l'Engagement de Confidentialité
« Les données personnelles, relatives aux services Apple, concernant les personnes résidant dans un État membre de l'Espace économique européen et en Suisse, sont contrôlées par Apple Distribution International en Irlande, et traitées pour son compte par Apple Inc. Apple utilise des clauses contractuelles types approuvées pour le transfert international des données personnelles collectées dans l'Espace économique européen et en Suisse. En tant qu'entreprise internationale, Apple possède de nombreuses entités juridiques situées au sein de différentes juridictions qui sont responsables des données personnelles qu'elles collectent et qui sont traitées en leur nom par Apple Inc. Par exemple, les informations sur le point de vente au sein de nos entités commerciales situées en dehors des États-Unis sont contrôlées par les entités commerciales individuelles dans chaque pays. Les données personnelles associées à Apple, au magasin [VERSION DU 9 mai 2019 : « à l'Apple Store »] en ligne et à iTunes peuvent également être contrôlées par des entités juridiques en dehors des États-Unis, tel que cela est spécifié dans les Conditions d'Utilisation de chaque service »
276. La clause n°5 a pour objet de définir le cadre des transferts internationaux de données des résidents de l'EEE et de la Suisse. Elle précise le rôle d'ADI (Irlande) en tant que responsable du traitement et décrit l'utilisation des clauses contractuelles types pour encadrer les transferts vers Apple Inc. et d'autres entités situées hors de l'EEE.
Sur le fondement du droit des données personnelles
277. La société ADI soutient que le tribunal a violé le principe du contradictoire en fondant sa décision sur un grief non soulevé par l'UFC en première instance (l'absence de coordonnées du responsable de traitement dans cette clause spécifique), ce qui porte atteinte à ses droits de la défense et viole le principe du contradictoire. Elle argue que la clause n°5, lue dans le contexte complet de l'Engagement de Confidentialité, est parfaitement conforme au RGPD. La société ADI soutient en effet que l'obligation d'information du RGPD doit s'apprécier en considérant l'ensemble du document fourni à l'utilisateur. Les coordonnées du responsable de traitement et du DPO sont clairement disponibles dans d'autres sections de l'Engagement de Confidentialité et via un formulaire de contact dédié. Exiger que chaque clause contienne toutes les informations est absurde et contraire à une lecture logique. Enfin elle souligne que l'invocation par l'UFC de l'article 12 du RGPD et de l'article R. 625-10 du code pénal par l'UFC en appel est tardive, ces fondements n'ayant pas été retenus par le tribunal. Ils sont de toute façon inapplicables.
278. L'UFC soutient que la clause n°5 est illicite car elle ne fournit pas, directement dans son libellé, les coordonnées précises du responsable de traitement et de son représentant, violant ainsi les exigences de transparence et d'accessibilité immédiate des articles 12, 13 et 14 du RGPD. Cette absence est critique dans un contexte de transferts internationaux complexes et de risques juridiques post-Schrems II. L'UFC relève un manquement aux articles 13-1.a et 14-1.a du RGPD : le RGPD exige que l'identité et les coordonnées du responsable du traitement soient communiquées de manière directe et accessible. Renvoyer l'utilisateur à une recherche dans d'autres clauses ou via un formulaire générique complexifie inutilement l'exercice des droits et ne satisfait pas à l'obligation de clarté. L'UFC évoque ensuite le contexte post-Schrems II et l'importance cruciale des coordonnées : la clause évoque des transferts vers des entités hors UE (Apple Inc.) via des clauses contractuelles types. A la suite de l'invalidation du Privacy Shield, il est essentiel que l'utilisateur sache précisément qui contacter pour toute question sur ces transferts à risque. L'absence de coordonnées dans la clause traitant explicitement des transferts est donc particulièrement grave. L'UFC relève une violation du principe de transparence (article 12 RGPD) : l'obligation d'information «'concise, transparente, compréhensible et aisément accessible'» impose que les informations cruciales soient disponibles à l'endroit même où le traitement est décrit. Éparpiller l'information dans un long document ou derrière un formulaire contrevient à cet impératif. L'UFC note que même la version mise à jour de la clause (juin 2021) ne corrige pas le vice, puisqu'elle n'intègre toujours pas les coordonnées requises, malgré l'ajout de liens hypertextes. Enfin l'UFC souligne que l'article 48 de la LIL renvoie aux articles 12 à 14 du RGPD. Le manquement constaté vaut donc également au titre du droit national. L'article R. 625-10 du code pénal sanctionne pénalement le défaut d'information. L'UFC rappelle que le défaut de coordonnées est un aspect intrinsèque et incontournable de l'obligation d'information des articles 13 et 14 du RGPD. Dès lors que l'identification du RT était en débat, ses coordonnées l'étaient implicitement. L'UFC relève l'existence d'une information éparpillée suffisante : l'idée que l'utilisateur doive naviguer dans un document complexe ou utiliser un formulaire pour trouver des informations aussi fondamentales que les coordonnées du RT est antinomique avec l'esprit du RGPD. L'article 12 exige une information « aisément accessible », ce qui implique une disponibilité immédiate et contextuelle.
279. La cour rappelle que les articles 13 et 14 (articles 13-1.a et 14-1.a du RGPD) créent une obligation cumulative : identifier le RT et fournir ses coordonnées. Omettre la seconde, revient à rendre la première inutile et prive l'utilisateur de la possibilité d'exercer ses droits. L'importance de cette information est accrue dans un contexte de transferts internationaux complexes. La désignation d'un point de contact clair est cruciale pour que l'utilisateur puisse poser des questions sur les garanties entourant ces transferts. En outre, une information n'est « aisément accessible » que si elle est disponible à l'endroit où l'utilisateur en a besoin.
280. Le tribunal a retenu le caractère illicite de la clause n°5 non pas pour un défaut d'identification du responsable de traitement, mais pour l'absence d'indication des coordonnées permettant à l'utilisateur de le contacter directement. Il a estimé que cette omission portait atteinte au droit fondamental de l'utilisateur d'exercer effectivement ses droits RGPD.
281. Le RGPD impose une transparence active et efficace, qui place l'utilisateur moyen au centre des préoccupations. Les coordonnées du RT ne sont pas un détail accessoire mais une information fondamentale pour rendre les droits effectifs, surtout dans un cadre international complexe.
282. Le jugement sera par conséquent confirmé en ce qu'il a déclaré la clause n°5 illicite et l'a réputée non écrite pour violation des articles 13-1.a et 14-1.a du RGPD.
Sur le fondement du droit de la consommation
283. La société ADI rappelle que l'UFC a abandonné ses prétentions au regard de l'illicéité de la clause n° 5 sur le fondement du droit de la consommation et plus particulièrement de l'article L. 211-1 dudit code.
284. L'UFC n'argue en effet dans ses dernières conclusions d'aucune illicéité ni caractère abusif de la clause n° 5 sur le fondement du droit de la consommation.
La clause n° 6 de l'Engagement de Confidentialité
« Si vous avez des questions ou des inquiétudes concernant l'Engagement de confidentialité Apple ou le traitement des données, vous pouvez contacter notre délégué européen à la protection des données »
«'Si vous voulez signaler une possible violation des lois locales relatives à la confidentialité, veuillez nous contacter [lien hypertexte]. Vous pouvez toujours nous contacter par téléphone au numéro de l'assistance d'Apple [lien hypertexte] correspondant à votre pays ou région.'»
285. La clause n°6 de l'Engagement de Confidentialité d'Apple a pour objet d'informer les utilisateurs de la possibilité de contacter le délégué européen à la protection des données (DPO Data Protection Officer) pour toute question relative à la confidentialité. Elle constitue le point d'entrée déclaré pour exercer ses droits RGPD.
Sur le fondement du droit des données personnelles
286. La société ADI soutient que le tribunal a violé le principe du contradictoire en fondant sa décision sur un grief non soulevé par l'UFC (les modalités d'accès aux coordonnées du DPO). Elle argue que la clause n°6, combinée aux mécanismes de contact mis en place (formulaire, téléphone), est parfaitement conforme au RGPD et aux lignes directrices du CEPD. La société ADI argue que les lignes directrices du CEPD autorisent expressément l'utilisation d'un formulaire de contact ou d'un numéro de téléphone dédié comme moyen de joindre le DPO. La méthode choisie est donc licite et conforme aux standards européens. La société ADI considère que la clause n°6 remplit son rôle en informant clairement de l'existence du DPO et de la possibilité de le contacter. Exiger qu'elle contienne elle-même les coordonnées serait contraire à une lecture logique et pratique du document. La société ADI conteste l'argument de l'UFC selon lequel il y aurait confusion entre le responsable de traitement et le DPO. Les mécanismes de contact mis en place (formulaire, téléphone) sont spécifiquement dédiés aux questions de protection des données et permettent de joindre le service approprié. Enfin la société ADI estime que l'invocation de l'article 12 du RGPD et de l'article R. 625-10 du code pénal par l'UFC en appel est tardive et irrecevable, ces fondements n'ayant pas été retenus par le tribunal.
287. L'UFC soutient en revanche que la clause n°6 est illicite car elle ne permet pas à l'utilisateur de contacter directement et facilement le DPO, créant une confusion entre le rôle du DPO et celui du responsable de traitement. Cette absence de canal dédié et accessible viole les obligations de transparence et d'information précise du RGPD. Elle relève que la clause se contente de mentionner l'existence du DPO sans fournir ses coordonnées spécifiques (adresse e-mail dédiée, numéro de téléphone direct). Elle renvoie vers des liens génériques («'nous contacter'», «'assistance Apple'») qui orientent vers le service client du responsable de traitement, et non vers le DPO. L'UFC souligne la confusion des rôles RT/DPO : en mélangeant les canaux de contact du responsable de traitement (ADI) et ceux du DPO, la clause entretient une ambiguïté sur l'indépendance et la fonction spécifique du DPO, pourtant essentielle à la protection des droits des utilisateurs (Art. 38 RGPD). Elle relève l'existence d'une violation des articles 13-1.b et 14-1.b du RGPD : ces articles exigent que les coordonnées du DPO soient «'fournies'», c'est-à-dire mises à disposition de manière proactive et accessible. Imposer à l'utilisateur de devoir chercher et cliquer sur des liens non explicites pour espérer les trouver ne satisfait pas à cette obligation. L'UFC note qu'en violation du transparence (article 12 RGPD), l'information n'est pas «'aisément accessible'» si l'utilisateur doit naviguer dans une arborescence complexe ou passer par des services généraux pour atteindre le DPO. Cela complique inutilement l'exercice des droits. Enfin l'UFC estime que l'article 48 de la LIL renvoie aux articles 12 à 14 du RGPD. Les manquements constatés valent donc également au titre du droit national.
288. Contrairement à ce que soutient la société ADI, la question des modalités d'accès (liens hypertextes complexes) étant une déclinaison naturelle et incontournable du grief principal de l'UFC portant sur l'impossibilité d'identifier et de contacter le DPO, elle était donc implicitement dans le débat et il n'y a pas eu de violation du principe du contradictoire. Si les lignes directrices du CEPD autorisent des formules de contact variées, elles n'autorisent pas pour autant un parcours du combattant. L'esprit de la recommandation est de faciliter le contact, non de le rendre optionnel ou dissimulé derrière des liens génériques comme "nous contacter". La clause est claire sur l'existence du DPO, ce qui est un premier pas. Cependant, sa clarté s'arrête là et ne remplit pas l'intégralité de l'obligation. En outre, le verbe «'fournir'» implique une délivrance active et immédiate de l'information. Des liens hypertextes non explicites constituent une invitation à la chercher, ce qui est contraire à la lettre et à l'esprit du RGPD (articles 13-1.b et 14-1.b du RGPD). Le parcours décrit (cliquer sur des liens génériques) est trop complexe pour l'utilisateur moyen, qui est le standard de référence du RGPD. L'information doit être «'aisément accessible'», ce qui n'est pas le cas ici, ce qui constitue une violation du principe de transparence et de simplicité. Ensuite, en renvoyant vers des services généraux («'assistance Apple'»), la clause entretient un flou sur la fonction spécifique et indépendante du DPO. Un canal dédié et direct est nécessaire pour garantir son rôle distinct de celui du responsable de traitement.
289. Le tribunal a retenu le caractère illicite de la clause n°6 en raison de l'absence de fourniture proactive des coordonnées du DPO. Il a estimé que le renvoi à des liens hypertextes non explicites imposait à l'utilisateur une démarche active de recherche, contraire à l'obligation de «'fourniture'» de l'information imposée par les articles 13 et 14 du RGPD.
290. Le jugement sera par conséquent confirmé en ce qu'il a déclaré la clause n°6 illicite et l'a réputée non écrite pour violation des articles 13-1.b et 14-1.b du RGPD. L'obligation de «'fournir'» ne peut être satisfaite par un renvoi à des liens non explicites. En outre le RGPD a été conçu pour protéger l'utilisateur moyen, non averti. L'obligation de transparence impose une simplicité et une accessibilité immédiate de l'information, sans effort de recherche. La complexité de la structure d'Apple ne doit pas se répercuter sur la complexité d'accès aux droits fondamentaux des utilisateurs.
Sur le fondement du droit de la consommation
291. La société ADI rappelle que le tribunal a jugé la clause n° 6 de l'Engagement de Confidentialité illicite sur le fondement de l'article L. 211-1 du code de la consommation imposant au professionnel une rédaction claire et compréhensible des clauses des contrats qu'il propose au consommateur. La société ADI rappelle que l'article L. 211-1 constitue une simple règle d'interprétation et relève que le tribunal se contredit en affirmant d'une part que les coordonnées du délégué à la protection des données personnelles ne sont pas communiquées ne permettant pas ainsi aux utilisateurs de signaler une violation de leurs données personnelles et d'autre part que lesdites coordonnées ne sont communiquées que pour procéder à ce type de signalement. L'UFC allègue, sans le démontrer, que la clause serait abusive sur le fondement des articles L. 212-1 et R. 212-1 4° sans toutefois démontrer le moindre déséquilibre significatif créé par cette clause. Enfin l'UFC soulève pour la première fois en cause d'appel l'illicéité de la clause sur le fondement de l'article L. 121-2 du code de la consommation (pratiques commerciales trompeuses) sans prouver que ses conditions d'application en sont réunies.
292. L'UFC soutient que la clause n° 6 de l'Engagement de Confidentialité n'est ni présentée ni rédigée de façon claire et compréhensible et est donc illicite sur le fondement de l'article L. 211-1 du code de la consommation et en outre trompeuse au regard de l'article L. 121-2 du code de la consommation. L'UFC fait valoir en outre que la clause n° 6 contrevient directement aux articles L. 212-1 et R. 212-1 4° du code de la consommation et crée un déséquilibre significatif en s'abstenant de mentionner l'existence d'un traitement de données à caractère personnel. Elle estime que la clause est présumée abusive de manière irréfragable. Elle ajoute que malgré la mise à jour de l'Engagement de Confidentialité le 1er juin 2021, la société ADI ne permet toujours pas à l'utilisateur de différencier le délégué à la protection des données et le responsable du traitement.
293. Le tribunal a déclaré cette clause illicite sur le fondement de l'article L. 212-1 du code de la consommation.
294. Cependant, force est de constater que la rédaction de la clause est intelligible pour le consommateur et la violation des dispositions issues du RGPD n'entraîne pas systématiquement une violation du code de la consommation. En l'occurrence, l'existence d'un déséquilibre significatif dans les droits et obligations des parties n'est pas mise en évidence.
295. Le jugement sera infirmé en ce qu'il a déclaré cette clause illicite sur le fondement du droit de la consommation.
La clause n° 7 de l'Engagement de Confidentialité
« Nous pouvons également utiliser les données personnelles à des fins internes, par exemple pour des audits, analyses de données et recherches dans le but d'améliorer les produits, services et communications clients d'Apple. »
296. La clause n°7 de l'Engagement de Confidentialité d'Apple vise à légitimer l'utilisation des données personnelles pour un ensemble de finalités internes. Elle utilise une formulation ouverte et non exhaustive pour décrire ces utilisations.
Sur le fondement du droit des données personnelles
297. La société ADI soutient que la clause n°7 est parfaitement licite et conforme au RGPD. Elle informe de manière claire et concise des finalités de traitement en utilisant une formulation ouverte mais compréhensible, ce que permet la réglementation. Elle soutient que le tribunal n'a pas motivé sa décision en expliquant en quoi la clause violerait spécifiquement les articles 4, 5, 13 et 14 du RGPD et qu'une condamnation sur la base d'articles aussi généraux sans précision est juridiquement infondée. La société ADI fait valoir que l'utilisation du terme « par exemple » et du verbe « pouvons » est courante et licite dans les politiques de confidentialité. Elle permet d'éviter une liste excessive tout en donnant une idée claire des types de traitement envisagés. Cette pratique n'est pas interdite par le RGPD ou les lignes directrices. La société ADI argue que l'obligation d'information doit s'apprécier en considérant l'ensemble de la documentation fournie à l'utilisateur, et non clause par clause de manière isolée. Les finalités précises sont détaillées dans d'autres sections des documents contractuels. Elle souligne que le tribunal a partiellement fondé sa décision sur l'article 5 du RGPD, un grief qui n'avait pas été soulevé par l'UFC en première instance, privant ainsi ADI de la possibilité de présenter sa défense sur ce point. Enfin la société ADI fait valoir que l'invocation de l'article 12 du RGPD, de l'article R. 625-10 du code pénal et de l'article 48 de la LIL par l'UFC en appel est tardive et irrecevable, ces fondements n'ayant pas été retenus par le tribunal.
298. L'UFC soutien que la clause n°7 est illicite car elle utilise des formulations vagues et non déterminées pour décrire les finalités du traitement, violant ainsi le principe de finalité explicite et légitime (article 5.1.b RGPD)': les termes « à des fins internes », « par exemple », et « amélioration des produits, services et communications clients » sont trop vagues et généraux. Ils ne permettent pas à l'utilisateur de comprendre concrètement comment ses données seront utilisées, ni de prévoir les traitements futurs. Elle viole aussi l'obligation de transparence (articles 12, 13 et 14 RGPD). Elle laisse à Apple une liberté excessive dans l'utilisation des données personnelles. La clause ne fournit pas une information « concise, transparente, compréhensible et aisément accessible ». L'utilisation d'une formulation hypothétique (« pouvons ») et d'exemples non exhaustifs crée un flou contraire à l'exigence de clarté. Les finalités avancées (« audits », « analyses de données », « recherches ») ne sont pas précisées en violation des articles 13.1.c et 14.1.c RGPD. L'utilisateur ignore quels types d'audits, d'analyses ou de recherches seront effectués, et dans quel cadre. L'UFC souligne que la clause constitue un condensé de «'mauvaises pratiques'» : la clause reprend les écueils dénoncés par les Lignes directrices du G29 sur la transparence : utilisation de termes généraux (« amélioration », « recherches ») et de formulations conditionnelles (« pouvons ») qui nuisent à la compréhension. Enfin l'UFC fait valoir que l'article 48 de la LIL renvoie aux articles 12 à 14 du RGPD. Les manquements constatés valent donc également au titre du droit national.
299. La cour relève que l'argument selon lequel que les finalités précises seraient détaillées ailleurs dans la documentation est inopérant. L'article 12 du RGPD exige une information « concise, transparente, compréhensible et aisément accessible ». Renvoyer l'utilisateur à une chasse aux informations dans un document complexe va à l'encontre de cet impératif. La clause elle-même doit être suffisamment claire. Les termes « à des fins internes », « par exemple », ou « amélioration des produits » sont des formulations fourre-tout qui ne permettent pas à l'utilisateur de comprendre concrètement comment ses données seront utilisées. Elles laissent à Apple une latitude excessive, contraire à l'exigence de finalité déterminée prévue par l'article 5.1.b RGPD. En outre, l'utilisation du conditionnel (« pouvons ») et d'exemples non exhaustifs crée un flou qui n'a pas sa place dans une information destinée à l'utilisateur moyen. Le RGPD exige une information en « termes clairs et simples », ce qui n'est pas le cas ici, contrairement à l'obligation de transparence (article 12 RGPD). Au surplus, les lignes directrices du G29/CEPD sur la transparence condamnent ce type de formulations vagues et hypothétiques, les qualifiant de « mauvaises pratiques ».
300. Il en résulte que le caractère intrinsèquement vague et non déterminé des finalités énoncées prive l'utilisateur de sa capacité à comprendre et à contrôler l'usage de ses données. L'exigence de transparence et de finalité déterminée est une pierre angulaire du RGPD. Elle ne peut être satisfaite par des formulations générales qui confèrent au responsable de traitement un pouvoir discrétionnaire illimité sur l'usage des données. La clause doit permettre à l'utilisateur moyen de se faire une représentation exacte et concrète des traitements.
301. Le jugement sera confirmé en ce qu'il a déclaré la clause n°7 illicite et l'a réputée non écrite pour violation des articles 5.1.b, 12, 13.1.c et 14.1.c du RGPD.
Sur le fondement du droit de la consommation
302. La société ADI rappelle que le tribunal a jugé la clause n° 7 illicite sur le fondement de l'article L. 211-1 du code de la consommation et abusive sur le fondement de l'article R. 212-1 4° du code de la consommation. La société ADI relève que l'article L. 211-1 n'avait pas été soulevé par l'UFC en première instance et que le tribunal a violé le principe du contradictoire. Elle note que cet article constitue une simple règle d'interprétation et que les termes employés sont très clairs et compréhensibles. En outre, au regard de l'article R. 212-1-4° du code de la consommation, la société ADI souligne que la clause litigieuse ne lui confère en rien un pouvoir d'interprétation exclusif et ne saurait dès lors être réputée irréfragablement abusive. Elle note enfin que l'UFC ne démontre pas qu'elle crée un déséquilibre significatif au sens de l'article L. 212-1 du code de la consommation.
303. L'UFC soutient que la clause n° 7 n'est ni présentée ni rédigée de façon claire et compréhensible au sens de l'article L. 211-1 du code de la consommation. Elle indique que les formulations utilisées par la société ADI sont trop générales et peu explicites et totalement contraires à l'impératif de bonne information de l'utilisateur. Elle soutient également que la clause doit être présumée abusive de manière irréfragable sur le fondement des articles L. 212-1 et R. 212-1 4° du code de la consommation en ce qu'elle confère à la société ADI le pouvoir exclusif d'interpréter cette clause et en particulier les finalités du traitement. Enfin elle note que les modifications apportées à la clause par la mise à jour de l'Engagement de Confidentialité en date du 1er juin 2021 sont mineures.
304. Le tribunal a jugé cette clause illicite au regard de l'article L. 211-1 du code de la consommation et abusive au regard de l'article R. 212-1-4° du même code.
305. La structure de la clause et sa rédaction ne sont pas obscures, contrairement à ce que soutient l'association UFC-Que Choisir. Si elle est contraire aux dispositions relatives au droit des données personnelles, elle n'en est pas pour autant contraire au droit de la consommation. Le contenu de la clause n'entre pas dans les prévisions de l'article R. 212-1 4° lui conférant un caractère abusif de manière irréfragable.
306. Le jugement sera infirmé en ce qu'il a retenu la violation du code de la consommation.
La clause n° 8 de l'Engagement de Confidentialité
« Dans certaines juridictions, nous pouvons vous demander une pièce d'identité officielle, mais uniquement dans certains cas, par exemple, lors de l'ouverture d'un compte mobile et de l'activation de votre appareil, lors de la décision d'étendre un crédit commercial, pour gérer des réservations, ou encore si la loi l'exige. »
307. La clause n°8 de l'Engagement de Confidentialité d'Apple traite des conditions dans lesquelles l'entreprise peut être amenée à collecter une pièce d'identité officielle. Elle utilise une formulation conditionnelle et non exhaustive pour circonscrire ces situations.
Sur le fondement du droit des données personnelles
308. La société ADI soutient que la clause n°8 est licite car elle informe de manière pédagogique et préventive des situations, souvent imposées par la loi locale, où une pièce d'identité pourrait être demandée. Elle argue que cette clause n'est de toute façon pas applicable au service Apple Music en France, et que le tribunal l'a condamnée sans motivation valable. La société ADI affirme que la collecte d'une pièce d'identité n'est pas une pratique liée au service Apple Music en France, seul objet du litige. La clause, bien que générale, relève d'une information transparente sur d'autres services ou territoires. La société ADI soutient que tribunal n'a pas expliqué en quoi la clause violerait spécifiquement les articles 4, 5, 13 et 14 du RGPD. Une condamnation sur la base d'articles généraux sans précision est juridiquement infondée. L'article 4 (définitions) ne crée aucune obligation. La société ADI fait valoir que l'utilisation d'exemples (« par exemple ») et de restrictions (« dans certains cas ») est nécessaire et licite pour couvrir la diversité des obligations légales. Elle soutient que l'obligation d'information doit s'apprécier en considérant l'ensemble de la documentation. Les finalités précises et les bases légales sont détaillées dans les conditions spécifiques à chaque service. La société ADI considère que le tribunal a partiellement fondé sa décision sur l'article 5 du RGPD, un grief non soulevé par l'UFC en première instance, privant ADI de son droit à la défense. Enfin la société ADI souligne que l'invocation de l'article 12 du RGPD, de l'article R. 625-10 du Code pénal et de l'article 48 de la Loi Informatique et Libertés par l'UFC en appel est tardive et irrecevable.
309. L'UFC soutient que la clause n°8 est illicite car elle utilise des formulations vagues, conditionnelles et non déterminées pour décrire les finalités de collecte de pièces d'identité, violant ainsi le principe de finalité explicite et légitime (article 5.1.b RGPD)': les termes « dans certaines juridictions », « uniquement dans certains cas », et « si la loi l'exige » sont trop vagues et ne permettent pas à l'utilisateur de comprendre dans quelles circonstances précises et dans quels pays Apple exigera sa pièce d'identité. Cette absence de précision est contraire à l'exigence de finalité déterminée. L'UFC invoque également une violation de l'obligation de transparence (articles 12, 13 et 14 RGPD). Elle laisse à Apple une liberté excessive et imprévisible dans le traitement de données sensibles. En effet, selon l'UFC, la clause ne fournit pas une information « concise, transparente, compréhensible et aisément accessible ». L'énumération d'exemples hétéroclites et sans lien évident (ouverture de compte mobile, crédit commercial, réservations) crée une confusion et ne permet pas à l'utilisateur de se faire une idée claire de l'usage de ses données. L'UFC soutient également que les finalités ne sont pas explicites (articles 13.1.c et 14.1.c RGPD) : la clause se contente de décrire des situations potentielles sans jamais préciser la finalité spécifique du traitement de la pièce d'identité dans chaque cas (vérification de l'âge, lutte contre la fraude, respect d'une réglementation financière, etc.). L'utilisateur ignore pourquoi ses données sont traitées. L'UFC fait valoir en outre que la mention « si la loi l'exige » est insuffisante. Apple doit identifier et communiquer la base juridique précise (obligation légale, exécution contractuelle) pour chaque finalité de traitement, conformément aux articles 13.1.c et 14.1.c du RGPD. Enfin l'UFC indique que l'article 48 de la LIL renvoie aux articles 12 à 14 du RGPD et que les manquements constatés valent donc également au titre du droit national.
310. La cour relève que l'Engagement de Confidentialité est un document unitaire qui s'applique à l'ensemble des services. Une clause illicite dans ce document affecte la confiance de l'utilisateur dans l'ensemble de l'écosystème Apple, indépendamment du service spécifique litigieux. Le moyen de la société ADI selon lequel les formulations vagues (« certaines juridictions », « certains cas ») sont nécessaires pour couvrir la diversité des obligations légales est contraire à l'esprit du RGPD. La complexité de l'organisation internationale d'Apple ne doit pas se traduire par une opacité pour l'utilisateur. Au contraire, elle impose un effort de clarification et de territorialisation de l'information. Force est de constater que les données traitées sont sensibles (pièce d'identité) ce qui impose une exigence de transparence et de précision accrue et rend les formulations vagues d'autant plus inappropriées. Les premiers juges ont à bon droit retenu une violation du principe de finalité déterminée (article 5.1.b RGPD). En effet, pour des données aussi sensibles qu'une pièce d'identité, les formulations « certaines juridictions » et « certains cas » sont beaucoup trop imprécises. L'utilisateur doit pouvoir savoir, de manière prévisible, dans quels pays et dans quelles circonstances précises Apple sera susceptible de lui demander ce document. En outre, le recours à une liste d'exemples hétéroclites et sans lien (« compte mobile », « crédit commercial », « réservations ») sans explication sur la finalité spécifique dans chaque cas (vérification d'identité, scoring crédit, etc.) rend la clause incompréhensible pour l'utilisateur moyen et caractérise un manquement à l'obligation de transparence (article 12 RGPD). Lla mention générique « si la loi l'exige » est insuffisante. Conformément aux articles 13.1.c et 14.1.c, Apple doit, pour chaque finalité, identifier la base juridique précise (ex: « obligation légale en matière de lutte contre la fraude dans le pays X », « exécution du contrat pour la souscription au service Y »). Si la clause a le mérite d'informer l'utilisateur du fait que cette collecte n'est pas systématique (« uniquement dans certains cas »), ce qui respecte le principe de minimisation, ce point positif est néanmoins noyé dans le flou général de la clause.
311. Il en résulte que le caractère sensible des données traitées (pièce d'identité) impose un niveau de transparence et de précision maximal. Les imprécisions qui pourraient être tolérées pour des données moins sensibles deviennent illicites lorsqu'elles concernent un document officiel d'identification. La complexité internationale d'Apple doit se traduire par un effort de clarification, non par une opacité généralisée.
312. Le tribunal a retenu le caractère illicite de la clause n°8 en raison de l'absence de finalités déterminées et explicites et du défaut de transparence. Il a estimé que les formulations conditionnelles et les exemples hétéroclites ne permettaient pas à l'utilisateur de comprendre l'étendue et la raison des traitements.
313. Il convient par conséquent de confirmer le jugement en ce qu'il a déclaré la clause n°8 de l'« Engagement de Confidentialité » illicite et l'a réputée non écrite pour violation des articles 5.1.b, 12, 13.1.c et 14.1.c du RGPD.
Sur le fondement du droit de la consommation
314. La société ADI sollicite l'infirmation du jugement en ce qu'il a dit la clause n° 8 de l'Engagement de Confidentialité illicite sur le fondement de l'article L. 211-1 du code de la consommation et abusive sur le fondement de l'article R. 212-1 4° dudit code. Comme pour la clause n° 7, la société ADI relève que le tribunal a violé le principe du contradictoire car l'article L. 211-1 n'avait pas été soulevé par l'UFC en première instance. Elle rappelle ensuite que ce texte constitue une simple règle d'interprétation et que les termes employés sont clairs et compréhensibles. La société ADI fait valoir également que la clause n° 8, contrairement à ce qu'a jugé le tribunal, ne lui confère aucun droit exclusif d'interprétation et ajoute que l'information complète et précise sur les finalités de traitement figure dans des documents d'information spécifiques au service Apple Music. Il n'y a dès lors aucune violation de l'article R. 212-1 et l'UFC ne démontre par ailleurs aucun déséquilibre significatif au sens de l'article L. 212-1 du code de la consommation.
315. L'UFC soutient que la clause n° 8 de l'Engagement de Confidentialité n'est ni présentée ni rédigée de façon claire et compréhensible au sens de l'article L. 211-1 du code de la consommation avec des formulations trop générales et peu explicites. Elle fait également valoir que la clause n° 8 est abusive car elle contrevient directement aux dispositions de l'article L. 212-1 du code de la consommation et à l'article R. 212-1 4°. L'UFC considère qu'en indiquant que ses données peuvent être utilisées «'dans certaines juridictions'» «'mais uniquement dans certains cas'» «'ou encore si la loi l'exige'», cette clause ne permet pas à l'utilisateur de connaître clairement et concrètement l'étendue de l'utilisation de ses données et confère ainsi à la société ADI le droit exclusif d'interpréter la clause. Elle soutient aussi que l'absence de mention des finalités de traitement de données à caractère personnel crée un déséquilibre significatif. Elle ajoute que malgré la mise à jour de son Engagement de Confidentialité le 1er juin 2021, la société ADI n'a pas modifié cette clause de sorte que les demandes de l'UFC restent d'actualité.
316. Le tribunal a jugé la clause n° 8 illicite sur le fondement de l'article L. 211-1 du code de la consommation et abusive sur le fondement de l'article R. 212-1-4° du même code.
317. Comme le relève la société ADI, les termes de la clause n° 8 sont clairs et compréhensibles pour l'utilisateur. Elle ne confère pas au professionnel le droit d'interpréter exclusivement la clause.
318. Le jugement sera donc infirmé en ce qu'il a retenu une violation du code de la consommation.
La clause n° 9 de l'Engagement de Confidentialité
« À des fins de recherche et développement, nous pouvons utiliser des ensembles de données tels que ceux contenant [VERSION DU 09 mai 2019 : « telles que celles qui contiennent »] des images, voix ou autres données pouvant être associées à une personne identifiable. »
319. La clause n°9 de l'Engagement de Confidentialité d'Apple traite de l'utilisation de données pour la recherche et le développement (R&D). Elle spécifie le type de données concernées et les garanties associées à leur traitement.
Sur le fondement du droit des données personnelles
320. La société ADI soutient que la clause n°9 est licite car elle informe de manière transparente une pratique de R&D courante et encadrée (pseudonymisation), sans que cela ne concerne le service Apple Music spécifiquement. Le tribunal l'a condamnée sans motivation valable et sur la base d'une analyse globale et non individualisée. La société ADI affirme en effet qu'aucun « ensemble de données » comme décrit dans la clause n'est obtenu pour Apple Music. La clause informe d'une pratique générale (acquisition de jeux de données pour la R&D) qui dépasse le cadre du service litigieux. La société ADI souligne que le tribunal n'a pas expliqué en quoi la clause violerait spécifiquement les articles 4, 5, 13 et 14 du RGPD. Une condamnation sur la base d'articles généraux sans précision est juridiquement infondée. L'article 4 (définitions) ne crée aucune obligation. Elle fait valoir que l'utilisation de « tels que » est licite pour un document général comme l'Engagement de Confidentialité, qui ne peut être exhaustif sur tous les produits Apple. La mention de la pseudonymisation comme garantie est une mesure positive de protection des données. La société ADI reproche au tribunal d'avoir violé le principe du contradictoire en fondant partiellement sa décision sur l'article 5 du RGPD, un grief non soulevé par l'UFC en première instance, privant ADI de son droit à la défense. La société ADI argue que le débat sur la distinction entre anonymisation et pseudonymisation, soulevé par l'UFC, n'est pas tenable. La clause ne prétend pas à l'anonymisation mais décrit correctement un traitement pseudonymisé, ce qui est conforme au RGPD. Enfin elle soutient que l'invocation de l'article 12 du RGPD, de l'article R. 625-10 du code pénal et de l'article 48 de la LIL par l'UFC en appel est tardive et irrecevable.
321. Selon l'UFC, la clause n°9 de l'Engagement de Confidentialité est illicite car elle utilise des formulations excessivement vastes et imprécises pour décrire les finalités du traitement des données, violant ainsi le principe de finalité déterminée et explicite (article 5.1.b RGPD) et l'obligation de transparence (articles 12, 13 et 14 RGPD). Elle laisse à Apple une liberté disproportionnée et illimitée dans l'utilisation des données à caractère personnel. En effet, l'UFC soutient que la mention « à des fins de recherche et développement » est trop vague et imprécise. Elle ne permet pas à l'utilisateur de comprendre la finalité exacte et spécifique du traitement de ses données, laissant à ADI une liberté excessive dans leur utilisation (articles 5.1.b, 13.1.c et 14.1.c RGPD). Sur l'obligation de transparence (article 12 RGPD), l'UFC relève que les termes « recherche et développement » et « ensemble des données » ne satisfont pas à l'exigence d'une information « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». L'utilisateur ne peut ni appréhender l'étendue des traitements, ni exercer ses droits de manière éclairée. L'UFC fait valoir ensuite que la pseudonymisation ne s'assimile pas à l'anonymisation et permet toujours une réidentification indirecte. Elle ne saurait donc excuser le défaut de détermination et de transparence sur la finalité du traitement. Enfin l'UFC indique que l'article 48 de la LIL renvoie aux articles 12 à 14 du RGPD et que les manquements constatés au titre du RGPD valent donc également violation de la loi nationale.
322. La cour relève que la pseudonymisation est une mesure de sécurité utile mais ne transforme pas les données en données anonymes. Les données pseudonymisées restent des données personnelles au sens de l'article 4 du RGPD, car une réidentification reste possible. Par conséquent, toutes les obligations du RGPD, notamment celles concernant la détermination de la finalité et la transparence, s'appliquent pleinement. Le procédé technique ne saurait exonérer du respect des principes fondamentaux. Le principe de finalité (article 5.1.b du RGPD) n'est pas respecté': la notion de « recherche et développement » est, en l'état, un concept fourre-tout qui ne permet en aucun cas à la personne concernée de comprendre à quoi serviront concrètement ses données. Le RGPD exige une finalité spécifique et explicite, ce qui implique de décrire le type de recherche (ex: amélioration des algorithmes de reconnaissance vocale, développement de nouvelles fonctionnalités d'accessibilité) et son objectif concret. Les termes « ensemble de données » et « autres données » sont trop vagues, ce qui caractérise un manquement à l'obligation de transparence (article 12 RGPD) . L'utilisateur ne peut pas appréhender l'étendue et la nature des données traitées, ce qui est pourtant une information cruciale. De plus, l'absence de précision sur la base juridique (intérêt légitime ' consentement ') est un manquement aux articles 13 et 14. La clause elle-même reconnaît traiter des données « pouvant être associées à une personne identifiable ». Cela confirme sans ambiguïté l'application du RGPD et renforce l'exigence de garanties strictes. Force est de constater que le traitement de catégories particulières de données (la voix et les images pouvant révéler des données biométriques) aurait nécessité une attention accrue et des garanties supplémentaires, potentiellement visées à l'article 9 du RGPD.
323. La recherche scientifique bénéficie certes de certaines flexibilités (article 89 RGPD), mais celles-ci ne dispensent pas du respect des principes de base, en particulier la détermination de finalités spécifiques et la transparence. La complexité technique des activités d'ADI ne doit pas se traduire par une opacité pour l'utilisateur, mais par un effort renforcé de pédagogie et de clarté.
324. Le tribunal a retenu le caractère illicite de la clause n°9 en raison de l'absence de finalité déterminée et explicite, et du défaut de transparence.
325. Il convient de confirmer le jugement en ce qu'il a déclaré la clause n°9 illicite et l'a réputée non écrite pour violation des articles 5.1.b, 12, 13 et 14 du RGPD. Le caractère excessivement large et imprécis de la finalité "recherche et développement" est incompatible avec les principes fondateurs du RGPD.
Sur le fondement du droit de la consommation
326. La société ADI rappelle que le tribunal a jugé la clause n° 9 de l'Engagement de Confidentialité illicite sur le fondement de l'article L. 211-1 du code de la consommation et abusive sur le fondement de l'article R. 212-1-4° dudit code. Elle rappelle que l'article L. 211-1, qui constitue'» une simple règle d'interprétation, n'avait pas été soulevé en première instance par l'UFC et que les termes de la clause litigieuse sont clairs et compréhensibles. En out état de cause, la clause n° 9 ne confère pas à ADI un pouvoir d'interprétation exclusif de sorte qu'elle ne saurait être réputée irréfragablement abusive en application. Elle ajoute que l'UFC ne démontre pas que cette clause créerait un déséquilibre significatif au sens de l'article L. 212-1 du code de la consommation.
327. L'UFC soutient que la clause n° 9 n'est ni présentée ni rédigée de façon claire et compréhensible au sens de l'article L. 211-1 du code de la consommation. Elle estime également que cette est abusive sur le fondement des articles L. 212-1 et R.212-1 4° du code de la consommation en ce qu'elle ne permet pas à l'utilisateur de connaître véritablement la finalité du traitement de ses données à caractère personnel c'est-à-dire la raison pour laquelle ses données sont collectées et traitées. Elle ajoute que la société ADI n'a pas modifié cette clause lors de la mise à jour de son Engagement de Confidentialité le 1er juin 2021.
328. Le tribunal a jugé la clause n° 9 illicite sur le fondement de l'article L. 211-1 du code de la consommation et abusive sur le fondement de l'article R. 212-1-4° du même code.
329. La rédaction de la clause est claire et intelligible pour le consommateur. Même si elle ne respecte pas les exigences du RGPD comme vu supra, elle ne recèle pas de violation du droit de la consommation en ce qu'elle n'octroie pas à ADI un droit d'interprétation exclusif.
330. Le jugement sera infirmé en ce qu'il a jugé cette clause illicite et abusive au regard du droit de la consommation.
La clause n° 10 de l'Engagement de Confidentialité
« Nous utilisons également vos données personnelles pour créer, développer, utiliser, livrer et améliorer nos produits, services, contenus et publicités, et à des fins de prévention des pertes et de lutte contre la fraude. Nous pouvons aussi utiliser vos données personnelles dans des objectifs de sécurité des comptes et réseaux, notamment afin de protéger nos services pour le bénéfice de tous nos utilisateurs [VERSION DU 09 mai 2019 : « ainsi que filtrer et analyser tout contenu chargé pour nous assurer qu'il ne contient pas de contenus illégaux, tels que des abus sexuels sur mineurs »]. Lorsque nous utilisons vos données à des fins de lutte contre la fraude, c'est suite à une transaction en ligne auprès de nous. Nous limitons notre utilisation des données à des fins de lutte contre la fraude aux données strictement nécessaires et dans le cadre de nos intérêts légitimes estimés afin de protéger nos clients et nos services. Pour certaines transactions en ligne, nous pouvons également vérifier les informations que vous nous avez fournies auprès de sources publiquement disponibles. »
331. La clause n°10 de l'Engagement de Confidentialité d'Apple (version du 9 mai 2019) définit un cadre général d'utilisation des données personnelles pour un ensemble de finalités connexes. Elle se distingue par son champ d'application large et composite.
Sur le fondement du droit des données personnelles
332. La société ADI soutient que la décision du tribunal est infondée et insuffisamment motivée. Elle argue que le tribunal a commis une erreur de droit en analysant la clause n°10 de manière isolée, sans la replacer dans le contexte de l'« information par niveau » mise en place par Apple, et s'est livré à des considérations sur des pratiques non établies. Elle fait valoir en effet que le tribunal a violé l'article 455 du code de procédure civile en ne justifiant pas sa décision au regard de chaque texte invoqué. Sa référence à l'article 4 du RGPD (définitions) est particulièrement inexplicable, cet article ne créant aucune obligation. Les motivations concernant les articles 5, 13 et 14 sont trop générales et ne permettent pas à ADI de comprendre les griefs précis retenus contre la clause. Elle soutient ensuite que le tribunal a ignoré la structure d'information choisie par ADI, qui est conforme aux lignes directrices sur la transparence. L'Engagement de Confidentialité est un document général ; les finalités spécifiques au service Apple Music sont détaillées, listées et mises en avant dans le document dédié « Apple Music et Confidentialité ». Sanctionner une clause du document général pour un manque de spécificité revient à méconnaître cette architecture. Selon la société ADI, le tribunal a fondé sa décision sur des hypothèses non vérifiées (« les données pourraient être collectées sans consentement », finalités « incompatibles ») qui relèvent du contrôle de la pratique effective du traitement, ce qui n'était pas l'objet de l'action en clause abusive et dépasse les compétences du juge dans ce cadre. Le tribunal a analysé la clause de manière isolée. Une lecture conjointe des autres clauses de l''«'Engagement de Confidentialité'» et du document spécifique Apple Music montre que l'information sur les finalités est, en réalité, claire et complète. Enfin la société ADI souligne que l'UFC invoque en appel de nouveaux fondements juridiques (article 12 RGPD, article R. 625-10 du code pénal) qui n'avaient pas été retenus en première instance, ce qui est irrecevable.
333. L'UFC soutient que la clause n°10 de l'«'Engagement de Confidentialité'» est illicite car elle contrevient directement aux dispositions du RGPD et de la LIL en raison de la nature vague, indéterminée et non explicite des finalités de traitement qu'elle énonce, privant l'utilisateur d'une information claire et transparente. L'UFC relève en effet une violation du principe de finalité déterminée et explicite (article 5.1.b RGPD) : la clause énumère une multitude de finalités potentielles (« amélioration des produits, services, contenus et publicités », « prévention des pertes », « lutte contre la fraude », « sécurité des comptes et réseaux ») sans aucune précision. Des termes comme « pertes » ou « intérêts légitimes estimés » ne sont pas définis, laissant une marge de man'uvre excessive à ADI et rendant la finalité du traitement imprévisible pour l'utilisateur. L'UFC relève également un manquement à l'obligation de transparence (articles 12, 13.1.c et 14.1.c RGPD) : l'accumulation de finalités hétéroclites et formulées en des termes généraux noie l'utilisateur sous une information confuse et inutile. L'absence de vision d'ensemble et de lien logique entre ces finalités empêche l'utilisateur de comprendre concrètement pourquoi et comment ses données seront utilisées, le privant de la capacité d'exercer ses droits de manière éclairée. En outre, L'UFC souligne que la clause se contente de décrire des domaines d'activité plutôt que des finalités précises de traitement. Elle n'explique pas, par exemple, en quoi consiste l'« amélioration » ou ce que recouvre la « prévention des pertes », ce qui est contraire à l'exigence de finalité explicite. Enfin, selon l'UFC, la mention des « intérêts légitimes estimés » est trop générique. Le RGPD impose de permettre à la personne concernée de comprendre la raison spécifique invoquée pour fonder ce traitement et de pouvoir s'y opposer.
334. La cour relève que la clause n°10 énumère plusieurs finalités précises : fonctionnement et amélioration des produits et services, sécurité des comptes et réseaux, prévention de la fraude, détection de contenus illicites. Cela répond en partie à l'exigence de finalité explicite de l'article 5 RGPD et de la LIL. La lutte contre la fraude, la protection contre les abus et la sécurité des utilisateurs relèvent bien de l'intérêt légitime (article 6.1 f RGPD) et, dans certains cas, d'une obligation légale (article 6.1 c RGPD), notamment pour le filtrage de contenus pédopornographiques. L'indication selon laquelle les données utilisées pour la lutte contre la fraude sont limitées aux « données strictement nécessaires » va dans le sens du principe de minimisation (article 5.1 c RGPD). La société ADI reste toutefois trop vague sur la base légale précise applicable à chaque finalité. Une simple mention d'« intérêt légitime estimé » ne permet pas à l'utilisateur de comprendre quel fondement juridique s'applique selon les cas (exécution du contrat, intérêt légitime, obligation légale). En outre, l'utilisateur est confronté à une énumération disparate (« amélioration des services », « prévention des pertes », « intérêts légitimes estimés »), qui peut donner une impression de confusion et d'opacité. L'absence de précision sur ce que recouvrent des notions comme « pertes » ou « intérêts légitimes » ne permet pas une transparence suffisante au sens de l'article 12 RGPD. L'obligation d'information des articles 13 et 14 RGPD implique que l'utilisateur soit clairement informé de la finalité et de la base légale de chaque traitement, ce qui n'est pas totalement assuré. Cependant, contrairement à ce que soutient l'UFC, la clause n'est pas « totalement illicite »': certaines finalités énoncées (sécurité, fraude, lutte contre les contenus illicites) sont objectivement légitimes et conformes au RGPD, sous réserve d'un encadrement clair. L'idée que l'utilisateur n'aurait « aucune information utile » ne paraît pas exacte, car plusieurs finalités sont malgré tout identifiables.
335. Le RGPD autorise des traitements liés à la sécurité et à la fraude, mais exige que l'utilisateur soit en mesure de comprendre la portée exacte de ces traitements. La transparence et la précision ne sont pas des contraintes accessoires mais des conditions essentielles de licéité.
336. Le tribunal a retenu le caractère illicite de la clause n°10 en raison de la violation du principe de finalité déterminée et explicite et du défaut de transparence, confirmant que les formulations imprécises et les énumérations non exhaustives créent une incertitude incompatible avec le RGPD.
337. Le jugement sera confirmé en ce qu'il a déclaré illicite et a réputée non écrite la clause n°10 de l'« Engagement de Confidentialité » pour violation des articles 5.1.b, 12, 13 et 14 du RGPD.
Sur le fondement du droit de la consommation
338. La société ADI rappelle que le tribunal a, à tort, jugé la clause n° 10 de l'Engagement de Confidentialité illicite sur le fondement de l'article L. 211-1 du code de la consommation et abusive sur le fondement de l'article R. 212-1 4° du même code. La société ADI rappelle encore que l'UFC ne s'était pas fondée sur l'article L. 211-1 en première instance et que le tribunal a violé le principe du contradictoire en retenant ce texte qui au surplus ne constitue qu'une simple règle d'interprétation en faveur du consommateur. Elle ajoute que les termes employés dans le cadre de cette clause sont clairs et compréhensibles et ne confèrent pas au seul professionnel ' ADI ' le droit exclusif d'interpréter une quelconque clause du contrat de sorte qu'elle n'est pas abusive au sens de l'article R. 212-1-4°. L'UFC ne prouve pas davantage l'existence d'un déséquilibre significatif.
339. L'UFC soutient que la clause n° 10 n'est ni présentée ni rédigée de façon claire et compréhensible au sens de l'article L. 211-1 du code de la consommation. Elle considère en outre que cette clause est abusive car elle contrevient directement aux dispositions de l'article L. 212-1 et à l'article R. 212-1 4°. L'UFC expose en effet que la clause ne permet pas à l'utilisateur de connaître véritablement la finalité du traitement ni les durées de conservation qui y sont associées et laisse donc à la société ADI un fort pouvoir d'interprétation. Elle fait valoir que l'absence de mention des finalités de traitement de données à caractère personnel crée un déséquilibre significatif. Elle ajoute que si depuis la mise à jour de son Engagement de Confidentialité le 1er juin 2021 la société ADI a tenté de clarifier la clause en y adjoignant le titre «'Sécurité et prévention de la fraude'», elle mentionne toujours que les données de l'utilisateur peuvent être utilisées «'à des fins de prévention des pertes'» sans expliciter cette notion.
340. Les termes employés dans le cadre de cette clause sont compréhensibles pour le consommateur. La clause illustre les cas d'utilisation des données personnelles. La clause ne donne pas à ADI de pouvoir d'interprétation exclusif comme le soutient l'UFC dans la mesure où les intérêts légitimes «'estimés'» renvoient à la lutte contre la fraude.
341. Le jugement sera donc infirmé en ce qu'il a retenu le caractère illicite et abusif de la clause n° 10 sur le fondement du code de la consommation.
La clause n° 11 de l'Engagement de Confidentialité
« Nous pouvons également divulguer vos données [VERSION DU 09 mai 2019 : « des informations vous concernant »] si nous pensons qu'à des fins de sécurité nationale, d'application de la loi ou autre sujet d'intérêt public, la divulgation est nécessaire ou appropriée. »
342. La clause n°11 de l'«'Engagement de Confidentialité'» d'Apple traite des conditions dans lesquelles l'entreprise peut être amenée à divulguer des données personnelles à des tiers dans un cadre légal spécifique.
Sur le fondement du droit des données personnelles
343. La société ADI soutient que la motivation du tribunal est inexistante et juridiquement infondée. Elle argue que la clause n°11 est parfaitement licite car elle informe de manière transparente les utilisateurs d'une éventualité de divulgation légale de leurs données, ce qui relève de la loyauté et de la transparence exigées par le RGPD. La société ADI affirme en effet que le tribunal ne justifie pas suffisamment sa décision au regard de chaque texte invoqué (art. 4, 5, 13, 14 RGPD). Sa référence à l'article 4 (définitions) est particulièrement inexplicable. Les motivations concernant les autres articles sont absentes ou trop générales, empêchant ADI de comprendre les griefs précis. La société ADI estime ensuite que le tribunal a violé le principe du contradictoire en fondant partiellement sa décision sur l'article 5 du RGPD, un grief non soulevé par l'UFC en première instance, privant ADI de son droit à la défense sur ce point. La société ADI explique que la clause a pour seul objet d'informer l'utilisateur d'une hypothèse de traitement (réponse à une demande légale des autorités) qui est par nature licite. Le fait d'en informer l'utilisateur est une marque de transparence, respectant ainsi l'article 5.1.a du RGPD. La société ADI souligne qu'il est impossible et non requis par le RGPD de lister exhaustivement toutes les situations hypothétiques où une divulgation pourrait être exigée par la loi. Elle en déduit que la formulation générale est donc nécessaire et appropriée. Elle soutient en outre que les habitudes d'écoute musicale ne sont pas concernées par ce type de divulgation, qui vise des situations exceptionnelles liées à la criminalité grave ou la sécurité nationale. Enfin la société ADI indique que l'UFC invoque en appel de nouveaux fondements juridiques (article 12 RGPD, article R. 625-10 du code pénal, article 48 LIL) qui n'avaient pas été retenus en première instance, ce qui est irrecevable.
344. L'UFC soutient que la clause n°11 de l'«'Engagement de Confidentialité'» est illicite car elle contrevient directement aux dispositions du RGPD et de la LIL en raison de son caractère excessivement large, vague et subjectif, qui confère à Apple un pouvoir discrétionnaire disproportionné pour divulguer des données personnelles sans que l'utilisateur ne puisse en comprendre l'étendue ou les limites. L'UFC relève en premier lieu une violation du principe de finalité déterminée (article 5.1.b RGPD) : les motifs de divulgation (« sécurité nationale », « application de la loi », « autre sujet d'intérêt public ») sont des concepts juridiques vastes et non définis. Leur association à un critère purement subjectif (« si nous pensons que (') la divulgation est nécessaire ou appropriée ») rend la finalité du traitement totalement imprévisible et indéterminée pour l'utilisateur. Elle relève en deuxième lieu un manquement à l'obligation de transparence (articles 12, 13.1.e et 14.1.e RGPD) : la clause ne permet pas à l'utilisateur d'identifier les destinataires ou les catégories de destinataires de ses données. Les « autorités » ou entités concernées par « l'intérêt public » ne sont pas précisées, ce qui empêche toute compréhension claire du devenir des données. L'UFC souligne en troisième lieu que la clause n'identifie pas la base légale qui régit un tel traitement (obligation légale ' intérêt légitime '). Elle ne renseigne pas non plus l'utilisateur sur l'existence de garanties procédurales (ex : recours juridictionnel) ou sur les critères qui encadrent l'appréciation d'Apple, pourtant requis par la CNIL pour ce type de demandes. Elle relève en quatrième lieu que dans un contexte post-Schrems II, où les transferts de données vers des pays tiers (notamment les États-Unis) sont strictement encadrés, une clause aussi floue est d'autant plus problématique puisqu'elle ne permet pas à l'utilisateur de savoir si ses données pourraient être transférées à des autorités étrangères sur la base de législations permissives comme le FISA. Enfin l'UFC considère que l'utilisation du terme « appropriée » (et non simplement « nécessaire ») associée au verbe « penser » confère à Apple un pouvoir discrétionnaire exorbitant, bien au-delà de ce que le droit autorise, qui doit être strictement encadré par la loi.
345. Contrairement à ce que soutient la société ADI, la cour relève une violation du principe de transparence et de loyauté (articles 5.1.a et 12 RGPD) :'le critère subjectif (« si nous pensons ») et les termes non définis (« appropriée », « autre sujet d'intérêt public ») confèrent effectivement à Apple un pouvoir discrétionnaire excessif. L'utilisateur ne peut prévoir dans quelles circonstances concrètes ses données seraient divulguées. La référence à l'arrêt Schrems II par l'UFC est pertinente pour souligner l'importance d'une information claire sur les transferts aux autorités. En outre, l'omission de préciser les catégories de destinataires (quelles autorités ' quels pays ') est un manquement avéré aux obligations d'information (articles 13.1.e et 14.1.e RGPD). La clause pèche par son absence de base juridique claire pour le traitement, comme le prévoit l'article 6 RGPD. La clause ne précise pas si la divulgation repose sur une obligation légale, l'intérêt public ou les intérêts légitimes d'Apple, ce qui est un vice substantiel.
346. Il en résulte que si l'information sur les divulgations légales est nécessaire, elle doit être rédigée de manière à limiter l'angoisse de l'utilisateur en lui montrant que le pouvoir de l'entreprise est encadré par le droit, et non à l'alimenter en lui laissant croire que ce pouvoir est discrétionnaire. La sécurité juridique prime sur la flexibilité de l'entreprise.
347. Le tribunal a retenu le caractère illicite de la clause n°11 en raison de son opacité et de la liberté excessive qu'elle confère à Apple, privant l'utilisateur de sa capacité à comprendre et à contrôler l'utilisation future de ses données.
348. Le jugement sera par conséquent confirmé en ce qu'il déclaré illicite et a réputé non écrite la clause n°11 de l'« Engagement de Confidentialité » pour violation des articles'5.1.a'(manque de loyauté et de transparence),'12'(manque de clarté), et'13.1.e/14.1.e'(destinataires non identifiés) du RGPD.
Sur le fondement du droit de la consommation
349. La société ADI rappelle que le tribunal a jugé la clause n° 11 illicite sur le fondement de l'article L. 211-1 du code de la consommation et abusive sur le fondement de l'article R. 212-1-4° du même code. Elle souligne que l'article L. 211- qui constitue une simple règle d'interprétation n'avait pas été soulevé par l'UFC en première instance de sorte que le tribunal, en retenant ce fondement pour déclarer la clause illicite, a manqué à son obligation de respecter le principe du contradictoire. Elle affirme que les termes employés sont clairs et compréhensibles et ne confèrent pas à ADI le droit exclusif d'interpréter une quelconque clause du contrat. Elle en déduit que la clause n° 11 n'est pas abusive au regard de l'article R. 212-1-4° du code de la consommation. La société ADI soutient que les allégations de l'UFC sont infondées dans la mesure où l'information complète et précise sur les finalités de traitement figure dans des documents d'information spécifiques au service Apple Music.
350. L'UFC soutient que la clause n° 11 n'est ni présentée ni rédigée de façon claire et compréhensible au sens de l'article L. 211-1 du code de la consommation, en usant de formulations trop générales et peu explicites contraires à l'impératif de bonne information de l'utilisateur. Elle fait valoir également que la clause est abusive car elle ne permet pas à l'utilisateur de connaître véritablement la finalité du traitement de ses données à caractère personnel et est donc contraire aux articles L. 212-1 et R. 212-1 4° du code de la consommation. Elle estime aussi que l'absence de mention des finalités de traitement de données à caractère personnel crée un déséquilibre significatif. L'UFC ajoute que malgré la modification de la clause le 1er juin 2021, la société ADI n'utilise toujours pas les termes appropriés tels que «'données à caractère personnel'».
351. Le tribunal a jugé la clause n° 11 illicite sur le fondement de l'article L. 211-1 et abusive sur le fondement de l'article R212-1-4° du code de la consommation.
352. Si la rédaction de la clause est claire, les termes employés étant aisément compréhensibles pour le consommateur, elle laisse en revanche une grande marge de man'uvre à la société ADI en lui permettant d'interpréter largement les cas dans lesquels elle a la possibilité de divulguer les données personnelles de l'utilisateur. En cela elle ne respecte pas l'article R212-1 4° du code de la consommation car elle confère un droit d'interprétation exclusif à ADI.
353. Le jugement sera confirmé en ce qu'il a retenu son caractère abusif mais infirmé en ce qu'il a retenu son caractère illicite sur le fondement du droit de la consommation.
La clause n° 12 de l'Engagement de Confidentialité
« Apple peut parfois mettre certaines données personnelles à la disposition de partenaires stratégiques travaillant avec Apple pour la fourniture de produits et services, ou aidant Apple à commercialiser ses produits auprès des clients. Par
exemple, lorsque vous achetez et activez votre iPhone, vous autorisez Apple et votre opérateur à échanger les informations que vous divulguez pendant la procédure d'activation afin d'exécuter le service. »
354. La clause n°12 de l'«'Engagement de Confidentialité'» d'Apple régit les conditions dans lesquelles l'entreprise peut partager des données personnelles avec des tiers identifiés comme des « partenaires stratégiques ».
Sur le fondement du droit des données personnelles
355. La société ADI soutient que le tribunal a violé l'article 455 du code de procédure civile en ne justifiant pas sa décision au regard de chaque texte invoqué (articles 4, 5, 13, 14 RGPD). Sa référence à l'article 4 (définitions) est inexplicable. Les motivations concernant les autres articles sont absentes ou trop générales, ne permettant pas à ADI de comprendre les griefs précis. Elle considère que le tribunal a analysé la clause de manière isolée. Une lecture conjointe de l'Engagement de Confidentialité (document général) et du document spécifique « Apple Music et Confidentialité » montre que l'information sur les destinataires et finalités est complète. Les documents spécifiques listent les partenaires par service. La société ADI estime ensuite que l'utilisation d'expressions comme « peut parfois » ou « par exemple » est nécessaire et licite pour un document général devant couvrir une multitude de services et de situations sans être exhaustif et que cela correspond à une information pédagogique. La société ADI précise, s'agissant de la nature des partenaires, qu'il s'agit de sous-traitants qui traitent les données pour le compte et selon les instructions d'Apple, et non de tiers responsables de traitement utilisant les données pour leurs propres finalités. Cette précision est cruciale et rend le partage moins critique. Enfin la société ADI souligne que l'UFC invoque en appel de nouveaux fondements juridiques (article 12 RGPD, article R. 625-10 du code pénal, article 48 LIL) qui n'avaient pas été retenus en première instance, ce qui est irrecevable.
356. L'UFC soutient que la clause n°12 est illicite car elle contrevient directement aux dispositions du RGPD et de la LIL en raison de son imprécision concernant l'identité des destinataires des données et la nature des traitements opérés par ces derniers, privant l'utilisateur d'une information essentielle sur le devenir de ses données. L'UFC relève en effet que la notion de « partenaires stratégiques » est excessivement vague et ne permet pas à l'utilisateur de connaître l'identité ou au moins la catégorie des destinataires de ses données (ex : sociétés de marketing, opérateurs télécoms, éditeurs de logiciels). L'exemple de l'opérateur, sans plus de précision, est insuffisant pour combler ce manque. Elle en déduit une violation des article 13.1.e et 14.1.e RGPD. Elle expose que la clause se contente d'énoncer des domaines d'activité (« fourniture de produits et services », « commercialiser ») sans préciser les traitements concrets que ces partenaires vont réaliser (ex : profilage, publicité ciblée, analyse comportementale). L'utilisateur ignore si les données sont transmises pour l'exécution stricte du service ou pour du marketing direct. L'UFC relève également un manquement au principe de transparence (article 12 RGPD) :'l'accumulation de termes imprécis (« peut parfois », « certaines données », « partenaires stratégiques ») et le recours à un exemple non représentatif de l'ensemble des scénarios rendent la clause incompréhensible pour l'utilisateur moyen, qui ne peut ni appréhender l'étendue des partages, ni exercer ses droits de manière éclairée. Enfin l'UFC estime que la clause ne précise pas sur quelle base légale (exécution du contrat, consentement, intérêt légitime) repose le partage de données avec ces partenaires, notamment lorsque la finalité est le marketing.
357. La cour relève que le moyen de la société ADI selon lequel l'Engagement de confidentialité est un document général et que les détails figurent ailleurs (dans Apple Music et Confidentialité) ne suffit pas. Le RGPD exige que l'information essentielle (destinataires, finalités, base légale) soit claire et intelligible dans tout document qui fonde un traitement. Dire simplement « partenaires stratégiques » sans préciser qui, ni à quelles conditions, n'est pas conforme au principe de transparence. Force est de constater, à la lecture de la clause litigieuse, l'imprécision des termes « partenaires stratégiques » et « certaines données personnelles », qui ne permettent pas à l'utilisateur de savoir qui reçoit quoi et pourquoi, l'ambiguïté de l'exemple donné (« opérateur » lors de l'activation), qui reste insuffisant pour comprendre l'étendue des destinataires et des données et l'absence d'informations sur les droits (opposition, consentement) et sur les bases légales. Ces griefs démontrent une violation claire des articles 5.1.b, 12, 13 et 14 du RGPD, ainsi que de l'article 48 LIL.
358. Il en résulte que le droit à l'information sur l'identité des destinataires, peu importe qu'ils soient sous-traitants ou non, est un pilier de la transparence. Un utilisateur ne peut exercer ses droits que s'il sait'à qui'ses données sont communiquées. La notion de « partenaire stratégique » est une notion interne à l'entreprise qui ne signifie rien pour l'utilisateur et ne satisfait pas aux exigences du RGPD. La clause ne distingue pas le partage pour l'exécution du contrat (base : article 6.1.b) du partage pour du marketing (base : consentement ou intérêt légitime, article 6.1.a ou f), ce qui est un vice substantiel.
359. Le tribunal a retenu le caractère illicite de la clause n°12 en raison de son manque de détermination et de transparence, qui empêche l'utilisateur de distinguer les finalités légitimes du service des finalités commerciales et marketing, et qui confisque au profit d'Apple le pouvoir d'interpréter arbitrairement l'étendue des partages.
360. Le jugement sera confirmé en ce qu'il a déclaré illicite et réputé non écrite la clause n°12 de l'« Engagement de Confidentialité », pour violation des articles 12, 13.1.e et 14.1.e du RGPD.
Sur le fondement du droit de la consommation
361. La société ADI sollicite l'infirmation du jugement en ce qu'il a déclaré la clause n° 12 de l'Engagement de Confidentialité illicite sur le fondement de l'article L. 211-1 du code de la consommation et abusive sur le fondement de l'article R. 212-1 4° du même code. Elle soutient que le tribunal a une fois de plus manqué à son obligation de respecter le principe du contradictoire puisque l'article L. 211-1, qui au surplus ne constitue qu'une règle d'interprétation en faveur du consommateur, n'avait pas été soulevé par l'UFC en première instance. Elle ajoute que le tribunal ne démontre pas en quoi la rédaction de cette clause ne serait pas claire et ne caractérise pas l'existence d'un droit exclusif d'interprétation d'ADI. Elle fait valoir en outre que l'utilisateur est parfaitement informé de ses différents droits. La société ADI relève que le tribunal se contente de considérer que la violation du droit des données personnelles par un lot de clauses ' sans analyse individuelle ' entraîne ipso facto une violation du droit de la consommation.
362. L'UFC soutient que la clause n° 12 de l'Engagement de Confidentialité n'est ni présentée ni rédigée de façon claire et compréhensible au sens de l'article L. 211-1 du code de la consommation, en utilisant des formulations trop générales et peu explicites. Elle considère également que cette clause est abusive, sur le fondement des articles L. 212-1 et R. 212-1 4° du code de la consommation en ne permettant pas à l'utilisateur de connaître concrètement l'étendue de l'utilisation de ses données et en conférant ainsi à la société ADI le droit exclusif d'interpréter la clause. Elle soutient aussi que l'absence de mention des finalités de traitement de données à caractère personnel crée un déséquilibre significatif. L'UFC ajoute que la mise à jour de la clause le 1er juin 2021 n'a pas permis à la société ADI de la rendre plus claire au regard des finalités du traitement de données à caractère personnel. Elle souligne que la société ADI indique ainsi de manière évasive qu' «'Apple peut parfois collaborer avec des tiers pour fournir des services ou d'autres solutions.'»
363. Le tribunal a jugé la clause n° 12 illicite sur le fondement de l'article L. 211-1 du code de la consommation et abusive sur le fondement de l'article R. 212-1 4° du même code.
364. Force est de constater que si la lecture de la clause est compréhensible, en revanche un certain flou entoure les expressions «'certaines données personnelles'» et «'partenaires stratégiques'» de sorte que cette imprécision laisse à ADI le pouvoir d'interpréter exclusivement ce que contiennent ces formules.
365. La violation de l'article L. 211-1 ne sera pas retenue mais le jugement sera confirmé en ce qu'il a jugé la clause abusive sur le fondement de l'article R. 212-1-4° du code de la consommation.
La clause n° 13 de l'Engagement de Confidentialité
« À des fins de recherche et développement, nous pouvons utiliser des ensembles de données tels que ceux contenant [VERSION DU 09 mai 2019 : « telles que celles qui contiennent »] des images, voix ou autres données pouvant être associées à une personne identifiable. Lorsque nous acquérons ce type d'ensemble de données, nous le faisons conformément à la loi applicable dans la juridiction dans laquelle se trouve l'ensemble de données. »
366. La clause n°13 de l'Engagement de Confidentialité d'Apple traite de l'utilisation de données pour la recherche et le développement, en précisant les types de données concernées et le cadre juridique de leur acquisition.
Sur le fondement du droit des données personnelles
367. La société ADI soutient que la motivation du tribunal est infondée, procéduralement irrégulière et résulte d'une interprétation erronée de la clause. Elle argue que le tribunal a sanctionné une pratique hypothétique non établie et a violé le principe du contradictoire en se fondant sur un grief non soulevé par l'UFC. La société ADI considère en effet que le tribunal a fondé sa décision sur un grief non soulevé par l'UFC en première instance, à savoir l'« achat » présumé de données personnelles par ADI. En privant ADI de la possibilité de discuter ce point, le tribunal a méconnu son droit à la défense. La société ADI estime également que le tribunal s'est livré à des « extrapolations et supputations » en supposant qu'Apple achetait des données non anonymisées, une pratique qu'ADI affirme ne pas exister. Un contrôle de telles pratiques dépasse le cadre d'une action en clauses abusives. La société ADI expose ensuite que la condamnation est basée sur des articles inappropriés (articles 2-1 et 4 du RGPD, qui sont définitionnels) et une application générique et non motivée des articles 5, 12 et 14 du RGPD. Le tribunal n'explique pas en quoi la clause elle-même violerait ces articles. La société ADI relève également une méconnaissance de l'article 14.3 du RGPD :'le tribunal a ignoré la disposition de l'article 14.3 du RGPD, qui prévoit que l'obligation d'informer en cas de collecte indirecte (identité de la source, catégories de données) ne s'applique que'lorsque les données ont effectivement été collectées, et non de manière préventive et hypothétique dans une clause générale. La société ADI réitère que cette clause générale ne décrit pas une pratique applicable au service Apple Music, seul objet du litige. Enfin elle souligne que l'UFC invoque en appel de nouveaux fondements juridiques (article 48 LIL) qui n'avaient pas été retenus en première instance, ce qui est irrecevable.
368. L'UFC soutient que la clause n°13 de l'«'Engagement de Confidentialité'» est illicite car elle contrevient directement aux dispositions du RGPD et de la LIL en omettant de préciser les catégories de données collectées indirectement et l'identité des sources tierces, privant l'utilisateur d'une information essentielle sur l'origine et la nature des traitements. L'UFC relève ainsi une violation de l'obligation d'information sur les catégories de données (article 14.1.d RGPD) :'la mention « données pouvant être associées à une personne identifiable » est trop vague et générale. Elle ne permet pas à l'utilisateur de connaître les types précis de données concernées (ex : données biométriques vocales, images faciales, données de localisation), violant ainsi l'exigence de spécificité de l'article 14.1.d. L'UFC relève également une violation de l'obligation d'information sur la source des données (article 14.2.f RGPD) :'la clause évoque une acquisition potentielle auprès de tiers sans jamais identifier ces sources (« lorsque nous acquérons ce type d'ensemble de données »). L'utilisateur ignore totalement quelles entités pourraient lui collecter ses données et les revendre à Apple. L'UFC note enfin un manquement au principe de transparence (article 12 RGPD) :'L'accumulation de ces imprécisions rend la clause incompréhensible pour l'utilisateur moyen, qui ne peut ni appréhender l'étendue des données concernées, ni identifier leur provenance, ni exercer ses droits de manière éclairée.
369. La cour relève que l'article 14.3 prévoit que l'information en cas de collecte indirecte peut être fournie dans un « délai raisonnable » après l'obtention des données. Cependant, cet aménagement procédural ne dispense pas du principe de transparence (articles 5.1.a et 12 RGPD). La clause actuelle, avec des termes vagues (« acquérir », « données pouvant être associées... »), ne permet pas à l'utilisateur de se faire une représentation minimale des traitements, ce qui viole l'esprit du RGPD indépendamment du délai d'information. La mention « conformément à la loi applicable » suffit à garantir la licéité est faible. Le RGPD impose une information active et spécifique, non un renvoi vague à la loi. Cette formulation constitue une clause de style qui ne satisfait pas à l'exigence de transparence. S'agissant de l'anonymisation des données, l'UFC indique que la clause vise explicitement des données « pouvant être associées à une personne identifiable » (données personnelles), ce qui est l'exact opposé d'une donnée anonymisée. Invoquer l'anonymisation pour justifier une clause sur les données personnelles est contradictoire. En outre le terme « données pouvant être associées à une personne identifiable » est effectivement une formule fourre-tout qui ne satisfait pas à l'obligation de préciser les catégories de données concernées (violation des articles 14.1.d et 14.2.f RGPD). De même, l'omission de toute information sur l'identité des sources tierces (« lorsque nous acquérons ») est un manquement avéré aux articles 13 et 14 du RGPD. La clause est également rédigée de manière à créer un flou anxiogène, ce qui constitue un manquement au principe de transparence (article 12 RGPD). L'utilisateur ne peut comprendre quelles données précises sont visées, ni qui les vend à Apple, ni dans quel but spécifique.
370. Le terme « acquérir » implique un niveau de responsabilité accru et une transparence absolue sur la provenance et la nature des données. Une entreprise ne peut pas s'engager unilatéralement à respecter la loi sans en préciser les modalités concrètes pour l'utilisateur. Le RGPD impose une information loyale, et non des promesses vagues.
371. Le tribunal a retenu le caractère illicite de la clause n°13 pour deux griefs distincts et cumulatifs, la sanctionnant ainsi « par deux fois » pour son manque de transparence concernant les catégories de données collectées indirectement et l'identité de leurs sources, privant l'utilisateur de toute information utile sur l'origine et l'étendue des traitements.
372. La clause n°13 a été déclarée illicite, au regard des articles 2-1, 4, 12 et 14 RGPD pour le premier grief (catégories de données), et au regard des articles 5-1.a, 12 et 14 RGPD pour le second grief (identité des sources tierces).
373. Les fondements retenus par le tribunal soit les articles 2-1 et 4 du RGPD ne seront pas retenus pour fonder l'illicéité de la clause. En revanche le jugement sera confirmé en ce qu'il a déclaré la clause illicite pour violation des'articles 12, 13, 14.1.d et 14.2.f du RGPD. Le défaut d'information sur les catégories de données et les sources tierces est une illicéité substantielle.
Sur le fondement du droit de la consommation
374. La société ADI rappelle que le tribunal a dit la clause n° 13 de l'Engagement de Confidentialité illicite sur le fondement de l'article L. 211-1 du code de la consommation. Elle affirme qu'aucune analyse de cette clause n'est réalisée dans le jugement. Elle fait valoir que l'utilisateur n'est pas, contrairement à ce qu'a jugé le tribunal, dans l'impossibilité de connaître auprès de qui transitent ses données. La société ADI relève en outre que pour la première fois au stade de l'appel l'UFC se réfère aux dispositions de l'article L. 212-1 du code de la consommation et ce alors que l'ensemble des informations devant être fourni aux utilisateurs l'est conformément à la réglementation applicable, que la clause ne confère pas à ADI un pouvoir exclusif d'interprétation et qu'elle ne crée aucun déséquilibre significatif.
375. L'UFC soutient que la clause n° 13 n'est ni présentée ni rédigée de façon claire et compréhensible au sens de l'article L. 211-1 du code de la consommation. Elle estime aussi que cette clause est abusive en application des articles L. 212-1 et R. 212-1 4° car elle ne permet pas à l'utilisateur de connaître les catégories de ses données à caractère personnel collectées auprès de sources tierces, ni l'identité de ces sources tierces, la rendant totalement obscure. Selon l'UFC, l'absence des informations relatives aux catégories de données à caractère personnel et leurs sources crée un déséquilibre significatif. Elle ajoute que la société ADI n'a procédé qu'à une modification très mineure de la clause le 1er juin 2021 en insérant «'y compris'» avant la formule «'dans la juridiction dans laquelle se trouve l'ensemble de données.'»
376. Le début de la clause est identique à la clause n° 9 et ne sera donc pas ré-examiné. Seule la dernière phrase «'Lorsque nous acquérons ce type d'ensemble de données, nous le faisons conformément à la loi applicable dans la juridiction dans laquelle se trouve l'ensemble de données.'» requiert une analyse au regard des dispositions issues du droit de la consommation. A cet égard, si la compréhension de la clause par un utilisateur n'est pas atteinte, en revanche l'emploi de formules «'ensemble de données'» «'nous acquérons'» sans précision est de nature à conférer un pouvoir exclusif d'interprétation à la société ADI.
377. Le jugement sera par conséquent confirmé en ce qu'il a retenu le caractère abusif de la clause au regard de l'article R. 212-1-4° mais infirmé sur le fondement de l'article L. 211-1 du code de la consommation.
La clause n° 14 de l'Engagement de Confidentialité
« Il peut nous arriver de recevoir des données personnelles vous concernant par le biais de tiers, si ces personnes partagent leur contenu avec vous à l'aide de produits Apple, vous envoient des chèques cadeaux et des produits, ou vous invitent à participer à des services ou forums Apple. Nous pouvons également vérifier les informations que vous nous fournissez lorsque vous créez un identifiant Apple avec un tiers, dans un objectif [VERSION DU 09 mai 2019 : « à des fins »] de sécurité et de prévention de la fraude. »
378. La clause n°14 de l'«'Engagement de Confidentialité'» traite des hypothèses de collecte indirecte de données personnelles, c'est-à-dire lorsque Apple reçoit des données concernant l'utilisateur non pas directement de celui-ci, mais par l'intermédiaire de tiers.
Sur le fondement du droit des données personnelles
379. La société ADI soutient que la motivation du tribunal est incohérente, juridiquement infondée et procède d'une analyse erronée de la clause. Elle argue que le tribunal a partiellement condamné la clause sur la base de textes inappropriés et pour un grief non établi, tout en reconnaissant lui-même la licéité d'une partie de son contenu. La société ADI considère en effet que le tribunal a jugé la clause à la fois illicite (sur le grief des catégories de données) et licite (sur le grief de l'identité des sources), fondant sa condamnation sur des articles définitionnels (2-1 et 4 RGPD) qui ne créent aucune obligation. La société ADI fait valoir que la clause décrit des situations potentielles de collecte indirecte. L'obligation d'information détaillée de l'article 14 RGPD (catégories de données, source précise) ne s'applique pleinement que lorsque la collecte a effectivement lieu, comme le prévoit l'article 14.3. Exiger un niveau de détail exhaustif dans une clause générale est contraire à la logique du Règlement. La société ADI considère que les tiers sources sont suffisamment identifiés par leur relation avec l'utilisateur (« personnes qui partagent leur contenu avec vous », « vous envoient des chèques cadeaux »). L'utilisateur est, par définition, déjà en contact avec ces tiers et peut donc comprendre le contexte de la transmission de ses données. La société ADI réitère ensuite son argument selon lequel aucune donnée personnelle concernant les utilisateurs d'Apple Music n'est obtenue auprès de tiers, rendant le débat sur cette clause inopérant pour le service concerné par le litige. Enfin la société ADI soutient que l'UFC invoque en appel de nouveaux fondements juridiques (article 5.1.a RGPD, article R. 625-10 du code pénal, article 48 LIL) qui n'avaient pas été retenus en première instance, ce qui est irrecevable.
380. L'UFC soutient que la clause n°14 de l'«'Engagement de Confidentialité'» est illicite car elle contrevient directement aux dispositions du RGPD et de la LIL en omettant de préciser les catégories de données personnelles collectées indirectement auprès de tiers, privant l'utilisateur d'une information essentielle sur la nature et l'origine de ces traitements. L'UFC relève une violation de l'obligation d'information sur les catégories de données (article 14.1.d RGPD) : L'utilisation de termes généraux et vagues (« des données personnelles », « les informations ») sans aucune précision sur leur nature exacte (ex : données de contact, contenu partagé, historique des invitations) empêche l'utilisateur de comprendre quelles données le concernant sont susceptibles d'être transmises à Apple par des tiers. L'UFC relève ensuite un manquement au principe de transparence (articles 5.1.a et 12 RGPD) : Les formulations conditionnelles et imprécises (« Il peut nous arriver », « par le biais de tiers ») rendent la clause incompréhensible pour l'utilisateur moyen, qui ne peut ni anticiper les scénarios concernés, ni appréhender l'étendue des données collectées. L'UFC relève qu'ADI, qui invoque l'article 14.3 du RGPD pour justifier une information différée, ne rapporte aucune preuve démontrant qu'elle fournit effectivement aux utilisateurs les informations requises (catégories de données, source) dans le délai d'un mois prévu par le règlement après une collecte indirecte. Enfin l'UFC considère que la clause méconnaît le principe de protection des données dès la conception (article 25 RGPD) : Apple, en tant que responsable de traitement, devrait être en mesure de déterminer à l'avance les catégories de données susceptibles d'être collectées indirectement et leurs sources, et d'en informer les utilisateurs de manière proactive.
381. Le moyen selon lequel les tiers sont suffisamment identifiés par leur relation avec l'utilisateur (« personnes qui partagent leur contenu avec vous ») est contraire au RGPD qui impose une information précise et proactive, non déductive. Laisser à l'utilisateur le soin de deviner quelles données exactes sont transmises et par quels canaux spécifiques contrevient au principe de transparence. Le fait que les scénarios décrits soient conditionnels ne dispense pas Apple de son obligation de décrire avec précision ce qui pourrait être collecté, pourquoi (base légale), et comment l'utilisateur peut exercer ses droits si cela se produit. Le RGPD s'applique avec la même rigueur aux traitements potentiels. Bien que l'article 14.3 permette une information différée, il ne supprime pas l'obligation de détermination préalable. Apple, en tant que responsable de traitement, doit anticiper et documenter en interne les catégories de données et les sources concernées par ces scénarios, même hypothétiques, conformément au principe de « privacy by design » (article 25 RGPD). La clause actuelle ne reflète pas cette anticipation. L'omission de préciser les catégories de données (« données personnelles » est trop vague) ce qui constitue une violation des articles 13 et 14 RGPD (information incomplète)et la base juridique pour la vérification à des fins de sécurité est un manquement avéré. La finalité de sécurité, bien que légitime, doit être explicitement fondée sur l'intérêt légitime (Art. 6.1.f) et faire l'objet d'une analyse d'impact. En outre, les formulations conditionnelles (« Il peut nous arriver ») et imprécises (« par le biais de tiers ») créent une insécurité juridique pour l'utilisateur, qui ne peut comprendre l'étendue des traitements et caractérisent un manquement au principe de transparence (article 12 RGPD).
382. Le caractère conditionnel d'un traitement ne réduit pas les obligations d'information et de transparence. Au contraire, il les rend d'autant plus nécessaires pour éviter tout arbitraire et permettre à l'utilisateur de conserver la maîtrise de ses données dans tous les scénarios. L'information ne peut reposer sur des déductions que l'utilisateur est censé faire.
383. Le tribunal a retenu le caractère illicite de la clause n°14 en raison de la généralité excessive de ses termes, qui privent l'utilisateur de toute information utile sur la nature des données collectées auprès de tiers.
384. Le jugement sera confirmé en ce qu'il a déclaré la clause n° 14 illicite et l'a réputée non écrite pour violation des articles 12, 13.1.c, 13.2, 14.1.c et 14.1.d du RGPD. Le défaut d'information sur les catégories de données et la base juridique est une illicéité substantielle. En revanche l'illicéité ne sera pas retenue sur le fondement des articles 2-1 et 4 du RGPD.
Sur le fondement du droit de la consommation
385. La société ADI sollicite l'infirmation du jugement en ce qu'il a jugé la clause n° 14 de l'Engagement de Confidentialité illicite sur le fondement de l'article L. 211-1 du code de la consommation. Elle soutient en effet que la clause ne prévoit qu'une possibilité et donc une information éventuelle uniquement dans les cas où une collecte indirecte de données serait effectivement réalisées auprès de sources tierces et que la clause critiquée est présentée de façon claire et compréhensible contrairement à ce que soutient l'UFC. La société ADI reproche ensuite à l'UFC de soulever pour la première fois en cause d'appel les dispositions de l'article L. 212-1 du code de la consommation afin que la cour juge abusive la clause n° 4 sur le fondement de cet article et de l'article R. 212-1-4° dudit code et ce alors que le tribunal n'avait pas jugé cette clause abusive. La société ADI relève que la clause n° 14 ne confère en rien à ADI un pouvoir exclusif d'interprétation et ne crée aucun déséquilibre significatif.
386. L'UFC soutient que la clause n'est ni présentée ni rédigée de façon claire et compréhensible au sens de l'article L. 211-1 du code de la consommation et est également abusive sur le fondement des articles L. 212-1 et R. 212-1 4°du code de la consommation. Elle fait valoir que la clause n° 14 est totalement obscure pour l'utilisateur en ce qu'elle n'indique pas les catégories de données à caractère personnel le concernant collectées auprès de sources tierces. Elle estime aussi que l'absence des informations relatives aux catégories de données à caractère personnel et leurs sources créent un déséquilibre significatif. Elle ajoute que la modification de la clause opérée le 1er juin 2021 ne la rend pas plus précise.
387. Le tribunal a jugé cette clause illicite au regard de l'article L. 211-1 du code de la consommation.
388. Elle est pourtant claire en sa rédaction, les termes employés étant intelligibles. L'UFC ajoute le caractère abusif de la clause mais ne démontre pas en quoi elle conférerait un pouvoir exclusif d'interprétation à ADI.
389. Le jugement sera infirmé en ce qu'il a retenu l'illicéité de la clause sur le fondement de l'article L. 211-1 du code de la consommation et l'UFC sera déboutée de sa demande de voir juger la clause abusive sur fondement des articles L. 212-1 et R. 212-1-4° du code de la consommation.
La clause n° 15 de l'Engagement de Confidentialité
« Pour certaines transactions en ligne, nous pouvons également vérifier les informations que vous nous avez fournies auprès de sources publiquement disponibles.»
La clause n°15 de l'«'Engagement de Confidentialité'» décrit une pratique spécifique de vérification d'informations dans le cadre de transactions en ligne.
Sur le fondement du droit des données personnelles
390. La société ADI soutient que la clause n°15 est parfaitement licite. Elle argue que le tribunal de première instance l'a implicitement reconnu en déboutant l'UFC sur ce point, et que la clause ne décrit pas une collecte indirecte de données au sens de l'article 14 du RGPD, mais une simple vérification auprès de sources ouvertes, une pratique courante et légitime. La société ADI souligne que la lecture du dispositif du jugement de première instance montre que le tribunal a entendu débouter l'UFC concernant la clause n°15, qui n'a pas été expressément visée dans la condamnation relative au défaut de communication de l'identité des sources, contrairement à la clause n°13. La société ADI fait valoir que la clause ne décrit pas une « collecte indirecte » de données nouvelles auprès de tiers, mais une « vérification » d'informations déjà en possession d'Apple auprès de « sources publiquement disponibles ». Cette opération relève d'un traitement interne de validation et non d'un transfert de données. La société ADI souligne également le caractère licite et nécessaire de la vérification : cette pratique est standard dans le secteur pour la sécurisation des transactions en ligne (lutte contre la fraude) et repose sur la base juridique de l'intérêt légitime d'Apple (article 6.1.f RGPD). Le recours à des sources publiques est par nature transparent. Enfin la société ADI soutient que l'UFC invoque en appel de nouveaux fondements juridiques (article 5.1.a RGPD, article R. 625-10 du code pénal, article 48 LIL) qui n'avaient pas été retenus en première instance, ce qui est irrecevable.
391. L'UFC soutient que la clause n°15 de l'«'Engagement de Confidentialité'» est illicite car elle contrevient directement aux dispositions du RGPD et de la LIL en omettant de communiquer l'identité des sources tierces et la nature des données collectées indirectement, privant l'utilisateur d'une information essentielle sur l'origine des vérifications opérées. L'UFC relève en effet une violation de l'obligation d'information sur la source des données (article 14.2.f RGPD) : la mention générique « sources publiquement disponibles » est insuffisante. L'utilisateur a le droit de connaître l'identité précise des sources consultées (ex : registres commerciaux, réseaux sociaux professionnels, bases de données publiques spécifiques) pour vérifier ses informations. L'UFC relève également un manquement au principe de transparence (article 5.1.a et 12 RGPD) : L'imprécision de la clause ne permet pas à l'utilisateur de comprendre quelles données personnelles sont concernées par cette vérification et selon quelles modalités. Les termes « certaines transactions » et « informations que vous nous avez fournies » sont trop vagues pour constituer une information claire et compréhensible. Enfin l'UFC relève un défaut d'information sur les droits et les garanties : la clause n'informe pas l'utilisateur de son droit d'obtenir les détails de cette vérification (identité de la source, données concernées) dans le délai d'un mois prévu par l'article 14.3 du RGPD, ni des modalités pour exercer ses droits d'accès et de rectification.
392. La cour constate que le tribunal a inclus cette clause dans son dispositif en la déclarant illicite alors qu'il a, dans ses motifs, débouté l'UFC de sa demande visant à faire déclarer la clause n°15 illicite en ne retenant pas la violation des articles 5.1.a, 12 et 14 du RGPD pour cette clause. Il a en effet estimé que celle-ci décrivait une opération de vérification légitime à des fins de sécurité, et non une collecte déloyale de données personnelles.
393. Si la mention de «'sources publiquement disponibles'» n'est certes pas détaillée, la simple «'vérification'» d'informations déjà détenues se distingue d'une «'collecte'» de nouvelles données. La finalité de sécurité et de prévention de la fraude pour des transactions en ligne constitue un intérêt légitime valable (article 6.1.f RGPD)
394. Il convient par conséquent d'infirmer le jugement en ce qu'il a déclaré la clause n° 15 illicite dans son dispositif.
Sur le fondement du droit de la consommation
395. La société ADI relève que la clause n° 15 de l'Engagement de Confidentialité figure dans le dispositif du jugement alors que le tribunal a rejeté l'argumentation de l'UFC sur le fondement de l'article L. 211-1 du code de la consommation. La société ADI soutient que la clause est claire et compréhensible et qu'elle n'est pas abusive au regard de l'article L. 212-1 du code de la consommation, fondement au demeurant soulevé en cause d'appel par l'UFC. Elle n'est pas davantage présumée abusive de manière irréfragable sur le fondement de l'article R. 212-1-4° dans la mesure où elle ne confère pas à ADI le pouvoir exclusif d'interpréter cette clause et en particulier les finalités du traitement. Enfin l'UFC ne démontre pas en quoi la clause n° 15 créerait un déséquilibre significatif au sens de l'article L. 212-1 du code de la consommation.
396. L'UFC soutient que la clause n° 15 de l'Engagement de Confidentialité n'est ni présentée ni rédigée de façon claire et compréhensible au sens de l'article L. 211-1 du code de la consommation. Elle fait valoir aussi qu'en ne précisant pas à l'utilisateur auprès de quelles «'sources publiques'» la société ADI collecte les données de l'utilisateur concernant «'certaines transactions en ligne'», la société ADI ne fournit pas une information claire, transparente et compréhensible pour l'utilisateur concernant l'identité des sources tierces auprès desquelles ses données à caractère personnel sont collectées. Elle estime que l'absence des informations relatives aux catégories de données à caractère personnel et leurs sources crée un déséquilibre significatif. Elle soutient donc que la clause est présumée abusive de manière irréfragable sur le fondement des articles L. 212-1 et R. 212-1-4° du code de la consommation. Elle ajoute qu'à la suite de la mise à jour de son Engagement de Confidentialité le 1er juin 2021, la société ADI semble avoir substitué à cette clause une clause encore plus générique.
397. Force est de constater que cette clause, courte, est claire et qu'aucune violation du code de la consommation ne peut être relevée.
398. Il convient par conséquent d'infirmer le jugement en ce qu'il a déclaré la clause n° 15 illicite dans son dispositif et l'UFC sera déboutée de ses demandes tendant à voir déclarer la clause n° 15 illicite et abusive sur le fondement du code de la consommation.
La clause n° 16 de l'Engagement de Confidentialité
« Nous conservons vos données personnelles pendant la durée nécessaire aux finalités décrites dans le présent Engagement de confidentialité et nos récapitulatifs spécifiques aux services. Pour estimer ces durées, nous déterminons avec soin si nous avons besoin de collecter des données personnelles et, si nous établissons un tel besoin, nous les conservons uniquement pendant la durée la plus courte possible nécessaire à la réalisation de l'objectif de la collecte, sauf si une durée de conservation plus longue est requise par la loi. »
399. La clause n°16 de l'«'Engagement de Confidentialité'» traite des principes généraux régissant la durée de conservation des données personnelles.
Sur le fondement du droit des données personnelles
400. La société ADI soutient que la clause n°16 est parfaitement conforme au RGPD. Elle argue que le tribunal a commis une erreur de droit en exigeant une durée déterminée, alors que le règlement autorise, lorsque cela n'est pas possible, à communiquer les critères utilisés pour déterminer cette durée, ce que fait précisément la clause. Selon la société ADI la clause est conforme aux articles 13.2.a et 14.2.a du RGPD : le RGPD n'exige pas une durée précise de conservation lorsque cela n'est pas possible. Il permet expressément de fournir « les critères utilisés pour déterminer cette durée ». La clause énonce clairement ces critères : la « durée nécessaire » à la finalité, la recherche de la « durée la plus courte possible », et le respect des obligations légales. La société ADI relève que le tribunal a visé l'article 5 du RGPD dans son ensemble sans préciser quel principe était violé (ex : limitation de la conservation, loyauté), ce qui constitue un défaut de motivation. Le principe de limitation de la conservation (article 5.1.e) est respecté par l'énoncé des critères. La société ADI considère également que le tribunal a violé le principe du contradictoire en fondant partiellement sa décision sur les articles 5.1.a et 5.1.b du RGPD, des griefs non soulevés par l'UFC en première instance, privant ADI de son droit à la défense sur ces points. Elle estime que la clause fournit une information « concise, transparente et compréhensible » sur la politique de conservation, satisfaisant à l'article 12. L'utilisateur comprend que les durées sont limitées et déterminées par la finalité. La société fait valoir ensuite que la clause générale renvoie légitimement aux « récapitulatifs spécifiques aux services » (comme le document Apple Music) pour les durées précises, ce qui correspond à une logique d'information par niveau recommandée pour éviter la surcharge. Enfin la société ADI souligne que l'UFC invoque en appel de nouveaux fondements juridiques (article R. 625-10 du code pénal, article 48 LIL) qui n'avaient pas été retenus en première instance.
401. L'UFC soutient que la clause n°16 de l'Engagement de Confidentialité est illicite car elle contrevient directement aux dispositions du RGPD et de la LIL en raison de son imprécision concernant la durée de conservation des données. Elle se contente d'énoncer des principes généraux et vagues sans fournir à l'utilisateur une information concrète, claire et compréhensible lui permettant d'estimer la durée réelle de conservation de ses données personnelles. L'UFC relève en effet une violation des articles 13.2.a et 14.2.a du RGPD (Information sur la durée de conservation) : la clause n'indique pas la durée précise de conservation des données, ni des critères de détermination suffisamment précis. Les expressions « durée nécessaire aux finalités » et « durée la plus courte possible nécessaire » sont des reformulations des principes généraux du RGPD (Art. 5.1.e) et non des critères utilisables par l'utilisateur pour comprendre le sort de ses données. La référence à des « récapitulatifs spécifiques aux services » externalise l'effort d'information et contrevient à l'obligation de fournir une information « concise, transparente, compréhensible et aisément accessible » (Art. 12 RGPD). L'UFC relève également un manquement au principe de transparence (article 12 RGPD) : l'accumulation de termes vagues et génériques rend la clause incompréhensible pour l'utilisateur moyen. L'UFC souligne que la complexité de l'exercice pour une entreprise de la taille d'Apple ne saurait justifier un défaut de conformité. Le « Guide Pratique relatif aux Durées de conservation » de la CNIL, cité par l'UFC, recommande précisément d'indiquer les différentes phases de conservation ou, à défaut de durée chiffrée, les modalités de calcul concrètes (ex : « pendant la durée de la relation contractuelle »), ce que la clause ne fait pas. Enfin l'UFC estime que les critères invoqués par ADI (« existence d'une nécessité de la conservation », « durée la plus courte possible ») ne sont pas des critères opérationnels mais de simples redites des obligations légales. Ils ne permettent en rien à l'utilisateur d'estimer concrètement la durée de conservation de ses données.
402. Le tribunal a retenu le caractère illicite de la clause n°16 en considérant que ses formulations vagues et générales ne satisfaisaient pas aux exigences de transparence et de détermination de la durée de conservation prévues par le RGPD, laissant l'utilisateur dans l'incapacité de connaître le sort de ses données.
403. La cour constate que le RGPD (articles 13.2.a et 14.2.a) n'exige pas une durée de conservation chiffrée unique et fixe. Il autorise explicitement, lorsque cela n'est pas possible, à fournir « les critères utilisés pour déterminer cette durée ».
404. L'article 5-1.e RGPD impose cependant une limitation stricte de la conservation à ce qui est nécessaire et les articles 13.2.a et 14.2.a RGPD imposent de communiquer soit une durée précise, soit des critères objectifs et vérifiables. Or, face à la partie de phrase «'pendant la durée la plus courte possible nécessaire à la réalisation de l'objectif de la collecte, sauf si une durée de conservation plus longue est requise par la loi.» l'utilisateur n'est pas en mesure d'évaluer la durée, même approximative, de conservation de ses données par ADI.
405. Le RGPD impose une granularité minimale : soit une durée ferme (« 10 ans après la fin du contrat »), soit des critères de calcul précis (« durée légale prévue par la comptabilité, soit 10 ans »). La clause litigieuse, en se contentant de formules génériques, ne permet pas à l'utilisateur de comprendre combien de temps ses données seront effectivement conservées, ce qui vide de sens son droit à l'information.
406. Le jugement sera confirmé en ce qu'il a déclaré illicite et a réputé non écrite la clause n°16 de l'« Engagement de Confidentialité » pour violation des articles 5.1.a, 5.1.e, 12, 13.2.a et 14.2.a du RGPD.
Sur le fondement du droit de la consommation
407. La société ADI note que le tribunal n'a pas retenu, pour déclarer la clause n° 16 illicite, le droit de la consommation et que l'UFC invoque pour la première fois au stade de l'appel les articles L. 211-1, L. 212-1 et R. 212-1-4° du code de la consommation. Elle soutient que l'UFC invoque à tort un supposé manque de transparence sur les durées de conservation des données et ne démontre pas en quoi celui-ci permettrait à ADI d'interpréter exclusivement cette clause. Elle rappelle que l'article R. 212-1 du code de la consommation doit être interprété de manière restrictive et que l'UFC ne démontre pas que la clause n° 16 créerait un déséquilibre significatif.
408. L'UFC soutient que la clause n° 16 de l'Engagement de Confidentialité n'est ni présentée ni rédigée de façon claire et compréhensible au sens de l'article L. 211-1 du code de la consommation. Elle estime aussi que cette clause est abusive en application des articles L. 212-1 et R. 212-1 4° du code de la consommation car en ne déterminant pas précisément les durées de conservation ou en manquant à son obligation de transparence concernant les méthodes de calcul de ces durées, la société ADI s'octroie le droit exclusif d'interpréter une quelconque clause du contrat. Elle ajoute que la société ADI n'a procédé qu'à des modifications cosmétiques de la clause lors de la mise à jour de son Engagement de Confidentialité le 1er juin 2021.
409. La société ADI précise qu'elle communique aux personnes concernées les critères qu'elle utilise pour déterminer la durée de conservation de leurs données personnelles dans l'Engagement de Confidentialité pour conclure «'nous les conservons uniquement pendant la durée la plus courte possible nécessaire à la réalisation de l'objectif de la collecte, sauf si une durée de conservation plus longue est requise par la loi'».
410. La rédaction de la clause n'apparaît pas obscure de sorte que l'objectif de clarté issu de l'article L. 211-1 est respecté. L'UFC ne démontre pas davantage de déséquilibre significatif ni un droit exclusif d'interprétation octroyé à ADI dans la clause querellée. Le jugement sera confirmé en ce qu'il n'a pas retenu l'illicéité de la clause sur le fondement du droit de la consommation et l'UFC déboutée de ses demandes à ce titre.
La clause n° 17 de l'Engagement de Confidentialité
« Nous pouvons traiter vos données personnelles dans les objectifs décrits dans cet Engagement de confidentialité avec votre consentement, pour nous conformer à une obligation légale à laquelle Apple est soumise ou lorsque nous estimons que cela est nécessaire pour atteindre les objectifs légitimes poursuivis par Apple ou un tiers à qui nous pouvons être amenés à divulguer ces données. »
411. La clause n°17 de l'«'Engagement de Confidentialité'» a pour objet d'énoncer de manière générale les bases juridiques sur lesquelles l'entreprise s'appuie pour traiter les données personnelles des utilisateurs.
Sur le fondement du droit des données personnelles
412. La société ADI soutient que la clause n°17 est parfaitement licite car elle informe les utilisateurs des bases juridiques possibles de manière claire et conforme au RGPD. Elle argue que le tribunal a commis une erreur de droit en exigeant un niveau de détail impossible dans un document général et en fondant sa décision sur des moyens non soulevés par la partie adverse. La société ADI considère en effet que la clause n° 17 est conforme au principe de transparence (article 12 RGPD) : la société ADI estime que la clause, en énumérant les bases juridiques (consentement, obligation légale, intérêt légitime), fournit une information claire et compréhensible. Le concept de « base juridique » étant une notion de droit, il est normal et suffisant de le communiquer en tant que tel. Une description détaillée de chaque traitement spécifique relève des documents spécifiques à chaque service (comme « Apple Music et Confidentialité »), conformément au principe d'information par niveau. La société ADI considère ensuite que le tribunal a condamné la clause sur le fondement de l'article 6 (licéité du traitement) sans expliquer en quoi l'énoncé des bases juridiques lui-même violerait cet article. L'article 6 liste les bases légales possibles, ce que fait justement la clause. La société ADI relève aussi une violation du principe du contradictoire en soulignant que le tribunal a partiellement fondé sa décision sur l'article 6.1.f RGPD (intérêt légitime), un grief qui n'avait pas été soulevé par l'UFC en première instance, privant ainsi ADI de son droit à la défense sur ce point précis. La société ADI soutient que la clause ne crée aucune confusion entre les « objectifs poursuivis » (la finalité) et les « intérêts légitimes » (la base juridique). Elle considère que ces concepts sont bien distincts et correctement présentés. Enfin la société ADI souligne que l'UFC invoque en appel de nouveaux fondements juridiques (article R. 625-10 du code pénal, article 48 de la LIL) qui n'avaient pas été retenus en première instance, ce qui est irrecevable.
413. L'UFC soutient que la clause n°17 est illicite car elle présente les bases juridiques de traitement de manière générique et déconnectée des finalités spécifiques violant ainsi les principes de licéité (articles 5 et 6 RGPD), de transparence (article 12 RGPD) et les obligations d'information précises (articles 13 et 14 RGPD). Cette approche empêche la personne concernée de comprendre sur quel fondement légal repose chaque traitement concret de ses données. L'UFC relève en effet en premier lieu une violation des articles 13.1.c et 14.1.c RGPD (précision de la base juridique) : l'UFC argue que la clause se contente de lister de façon abstraite les bases légales de l'article 6 RGPD (consentement, obligation légale, intérêt légitime) sans les rattacher aux finalités précises de traitement. Cette généralité empêche l'utilisateur de savoir, pour chaque traitement (ex : utilisation d'Apple Music, lutte contre la fraude), quelle base juridique spécifique est invoquée, rendant l'information non conforme. L'UFC relève en deuxième lieu un manquement à l'obligation de transparence (article 12 RGPD) : la formulation générique est assimilable à un « copié-collé » du RGPD. Elle n'est ni concise, ni compréhensible pour l'utilisateur moyen, qui ne peut pas discerner l'application concrète de ces bases juridiques à sa situation. L'obligation de fournir une information en « termes clairs et simples » n'est pas respectée. L'UFC relève en troisième lieu un usage illicite de la base « intérêt légitime » (article. 6.1.f) et un défaut d'information sur les intérêts poursuivis : l'UFC souligne que la clause permet à Apple d'invoquer indistinctement plusieurs bases légales pour un même traitement, créant une insécurité juridique. Surtout, lorsqu'Apple invoque ses « intérêts légitimes », la clause ne décrit pas quels sont ces intérêts précis (ex : sécurité du réseau, marketing direct), comme l'exigent pourtant les articles 13.1.d et 14.2.b du RGPD. Enfin l'UFC considère que les manquements constatés au titre des articles 12 à 14 du RGPD valent également violation de l'article 48 de la LIL, qui y renvoie explicitement.
414. La cour relève que le moyen selon lequel la précision doit être trouvée dans les documents spécifiques à chaque service est inopérant. Une clause intitulée « Engagement de Confidentialité », qui est le document principal en la matière, se doit de poser un cadre clair et transparent. Le renvoi à d'autres documents, sans indication claire, crée une opacité contraire à l'esprit du RGPD, qui exige une information « aisément accessible » à un utilisateur non averti. En outre, si les concepts sont distincts en droit, leur présentation dans un même paragraphe, sans structuration, peut effectivement induire une confusion pour l'utilisateur non averti. La clarté exige de distinguer explicitement la « finalité » (le « pourquoi ») de la « base légale » (le « sur quel fondement »). Le RGPD (articles 5 et 6 RGPD) exige que la base juridique soit déterminée pour une ou plusieurs finalités spécifiques. Une liste générique, bien que reprenant les termes de l'article 6, est insuffisante. Chaque finalité doit être associée à une base légale unique et explicite. La clause actuelle laisse à Apple une latitude excessive quant au fondement invoqué pour un traitement donné. La clause ne permet pas à l'utilisateur de comprendre concrètement quels traitements sont fondés sur son consentement (qu'il pourrait alors retirer) ou sur l'intérêt légitime d'Apple (auquel il pourrait s'opposer). L'absence d'information sur la nature des « intérêts légitimes » poursuivis est une violation patente des articles 13.1.d et 14.2.b RGPD.
415. La cour relève que le caractère générique de la clause empêche concrètement de satisfaire aux exigences de l'article 6, dans la mesure où sans rattachement à une finalité, il est impossible pour l'utilisateur de vérifier la licéité du traitement qui le concerne ou d'exercer un droit pertinent (comme l'opposition pour intérêt légitime).
416. La clause est illicite car elle ne satisfait pas à l'obligation de transparence (article 12 RGPD) et aux obligations d'information (articles 13 et 14).En outre, la formulation trop générale de la clause, empêche l'exercice des droits. Sans savoir quel fondement s'applique à quel traitement, l'utilisateur ne peut pas exercer son droit d'opposition (article 21) de manière ciblée et efficace. L'exigence de transparence et de spécificité est d'autant plus cruciale qu'elle conditionne l'exercice effectif des droits par la personne concernée. La complexité d'un écosystème comme celui d'Apple ne saurait justifier une opacité dans l'information de base relative à la licéité des traitements.
417. La clause a néanmoins in fine le mérite d'informer la personne concernée que ses données ne sont pas traitées de manière arbitraire mais sur des bases légales définies par le RGPD. Cependant, ce point positif est totalement annihilé par le manque de précision qui la rend illisible et inopérante.
418. Le tribunal a retenu le caractère illicite de la clause n°17, considérant que son manque de spécificité et son caractère générique violaient les principes fondamentaux du RGPD relatifs à la licéité et à la transparence de l'information.
419. Il convient de confirmer le jugement en ce qu'il a déclaré la clause n°17 de l'«Engagement de Confidentialité » illicite et l'a réputée non écrite pour violation des articles 6, 12, 13 et 14 du RGPD. Le caractère générique et non spécifique de l'information, qui prive l'utilisateur de sa capacité à comprendre et à contrôler l'usage de ses données.
Sur le fondement du droit de la consommation
420. La société ADI sollicite l'infirmation du jugement en ce qu'il a déclaré la clause n° 17 de l'Engagement de Confidentialité illicite sur le fondement de l'article L. 211-1 du code de la consommation et abusive au sens de l'article R. 212-1-4° du code de la consommation. Elle rappelle que l'article L. 211 n'est qu'une simple règle d'interprétation et explique qu'une lecture complète et non tronquée de l'Engagement de Confidentialité permet à la personne concernée de comprendre d'une manière pratique quels sont les traitements de données auxquels il peut ou non s'opposer. Elle affirme que l'Engagement de Confidentialité est un document purement informatif qui ne revêt en aucune manière la nature d'un contrat et que dès lors les dispositions de l'article R. 212-1 du code de la consommation ne lui sont pas applicables. La société ADI conteste la lecture de la clause faite par le tribunal et l'UFC selon lesquels la généralité des termes, déjà sanctionnée sur le fondement de l'article L. 211-1, ferait également de cette clause une clause irréfragablement abusive au sens de l'article R. 212-1-4° du code de la consommation. La société ADI souligne que les deux textes, L. 211-1 et R. 212-1-4° prévoient des conditions d'application différentes qui nécessitent des motivations distinctes.
421. L'UFC soutient que la clause n° 17 de l'Engagement de Confidentialité est illicite sur le fondement de l'article L. 211-1 du code de la consommation en ce qu'elle n'est ni présentée ni rédigée de façon claire et compréhensible. Elle ajoute que la clause est présumée abusive de manière irréfragable sur le fondement des articles L. 212-1 et R. 212-1 4° du code de la consommation en ce qu'elle confère à la société ADI le pouvoir exclusif d'interpréter cette base juridique pour chaque traitement, dans le cas notamment où elle recevrait une demande d'exercice de droit. L'UFC relève que lors de la mise à jour de l'Engagement de Confidentialité le 1er juin 2021, la société ADI a modifié et déplacé cette clause dans une rubrique «'Utilisation des données personnelles par Apple'» et emploie désormais le terme «'intérêt légitime'» plutôt que celui d' «'objectif légitime'». L'UFC en conclut que ses demandes restent toujours d'actualité.
422. Le tribunal a jugé la clause n° 17 illicite sur le fondement de l'article L. 211-1 du code de la consommation et abusive sur le fondement de l'article R. 212-1 4° du même code.
423. Force est de constater que l'ensemble de la clause est imprécis en ce que des expressions comme «'objectifs légitimes poursuivis par Apple ou un tiers'» (ou désormais intérêts légitimes) sont vagues et sujettes à interprétation et que les modalités de recueil du consentement de l'utilisateur ne sont pas précisées. La clause n'est donc pas conforme à l'objectif de clarté issu de l'article L. 211-1 du code de la consommation et est donc illicite. Elle est également abusive en ce qu'elle confère à ADI le pouvoir exclusif de déterminer ce que recouvrent les expressions imprécises employées.
424. Le jugement sera confirmé sur ce point.
La clause n° 18 de l'Engagement de Confidentialité
« Vous pouvez nous aider à faire en sorte que vos coordonnées et préférences soient exactes, complètes et à jour en vous connectant à la page de votre compte Apple. Nous vous fournissons un accès aux autres données personnelles que nous détenons, et une copie de celles-ci, pour que vous puissiez éventuellement nous demander de les corriger si elles sont inexactes ou de les supprimer, à condition qu'Apple ne soit pas obligée de les conserver du fait de la loi ou à des fins commerciales légitimes. Nous pouvons refuser de traiter les demandes futiles/vexatoires, les demandes mettant en péril la confidentialité des données de tiers, les demandes qui sont extrêmement difficiles à mettre en place ou celles pour lesquelles un accès n'est pas imposé autrement par la loi applicable. Nous pouvons également refuser certains aspects de demandes de suppression ou d'accès si nous pensons que, ce faisant, nous nuirions à notre utilisation légitime des données à des fins de lutte contre la fraude ou de sécurité, comme nous l'avons vu précédemment. »
425. La clause n°18 de l'«'Engagement de Confidentialité'» a pour objet de définir les modalités d'exercice des droits des utilisateurs sur leurs données personnelles, notamment les droits d'accès, de rectification et d'effacement.
Sur le fondement du droit des données personnelles
426. La société ADI soutient que la clause n°18 est parfaitement licite et conforme au RGPD. Elle argue que le tribunal a commis une erreur de droit en condamnant la clause sur la base d'articles généraux du RGPD sans motivation spécifique, et que les limitations apportées à l'exercice des droits sont expressément prévues par le RGPD. La société ADI conteste la qualification de « nouvelles exceptions » par le tribunal. Elle argue que les motifs de refus énoncés dans la clause (« demandes futiles/vexatoires », « extrêmement difficiles à mettre en place ») sont une déclinaison légitime et concrète des notions de demandes « manifestement infondées ou excessives » que l'article 12.5 du RGPD autorise expressément le responsable de traitement à refuser de traiter ou à facturer. La société ADI met ensuite en avant les outils concrets et accessibles (liens cliquables vers « page Apple de votre compte » et « privacy.apple.com ») qu'elle fournit pour permettre aux utilisateurs d'exercer leurs droits simplement. Elle estime que cela satisfait pleinement à l'obligation de faciliter l'exercice des droits imposée par l'article 12 du RGPD. Le grief principal d'ADI porte sur l'absence de motivation substantielle du tribunal. Celui-ci a visé de manière générique les articles 12, 13 et 14 du RGPD sans expliquer en quoi la formulation de la clause violerait précisément ces articles, ce qui constitue un vice de motivation. La société ADI reproche également au tribunal de s'être fondé sur de simples « supputations » concernant une prétendue pratique dissuasive d'Apple, sans que cette pratique ne soit établie par des preuves dans le cadre de cette action qui porte sur l'analyse des clauses abstraitement. Enfin la société ADI estime que l'UFC invoque en appel de nouveaux fondements juridiques (article R. 625-10 du code pénal, article 48 de la LIL) qui n'avaient pas été retenus en première instance, ce qui est irrecevable.
427. L'UFC soutient que la clause n°18 de l'«'Engagement de Confidentialité'» est illicite car elle contrevient directement aux dispositions du RGPD et de la LIL en introduisant des restrictions abusives et des conditions non prévues par la loi à l'exercice des droits des personnes concernées, créant un déséquilibre significatif au détriment de l'utilisateur. L'UFC soutient que la clause crée des exceptions non prévues par le RGPD (violation de l'article 12 RGPD) : la clause énumère des motifs de refus des demandes (« futile/vexatoire », « extrêmement difficile à mettre en place », « non imposé par la loi applicable ») qui dépassent largement le seul cas des demandes « manifestement infondées ou excessives » strictement encadré par l'article 12.5 du RGPD. Ces notions vagues confèrent à Apple un pouvoir discrétionnaire excessif pour rejeter des demandes légitimes. L'UFC relève que la soumission du droit à l'effacement au fait qu'Apple ne soit pas obligé de conserver les données pour des « fins commerciales légitimes » introduit une condition restrictive non autorisée par l'article 17 du RGPD, qui ne prévoit cette exception que pour des motifs bien précis (obligation légale, raison d'intérêt public, etc.). L'UFC relève enfin un manquement au principe de transparence et de clarté (article 12.1 RGPD) : l'utilisation de termes non définis et subjectifs (« futile », « vexatoire », « utilisation légitime ») rend la clause obscure et incompréhensible pour l'utilisateur moyen, ce qui est de nature à le décourager d'exercer ses droits.
428. Le tribunal a retenu le caractère illicite de la clause n°18 en raison de son opacité et des restrictions injustifiées qu'elle apporte à l'exercice des droits des utilisateurs, créant un déséquilibre significatif au profit d'Apple. La clause n°18 de l'«Engagement de Confidentialité » a été déclarée illicite au regard des articles 12, 13 et 14 du RGPD. Elle a été réputée non écrite.
429. Il sera relevé que si l'article 12.5 du RGPD autorise le refus des demandes «'manifestement infondées ou excessives'», et que les notions de «'futile/vexatoire'» ou «'difficile à mettre en 'uvre'» peuvent en constituer une interprétation raisonnable, avec la finalité de sécurité et de lutte contre la fraude, ces termes(«'futile'», «'vexatoire'») demeurent subjectifs et non juridiques et la clause confère effectivement à Apple un pouvoir discrétionnaire excessif, contraire à l'exigence de prévisibilité et de clarté, en violation du principe de transparence (article 12 RGPD). Un utilisateur ne peut raisonnablement anticiper si sa demande sera jugée «'futile'». En outre, la condition des «'fins commerciales légitimes'» pour refuser un effacement est une violation de l'article 17 du RGPD, qui énumère de manière limitative les exceptions autorisées. C'est une restriction illicite d'un droit fondamental.
430. Il convient de confirmer le jugement en ce qu'il a retenu la qualification d'illicéité au regard des articles 12 et 17 du RGPD et de clause abusive au sens du code de la consommation de la clause n° 18 de l'Engagement de Confidentialité.
Sur le fondement du droit de la consommation
431. La société ADI rappelle que le tribunal a dit la clause n° 18 de l'Engagement de Confidentialité illicite sur le fondement de l'article L. 211-1 du code de la consommation et abusive au sens de l'article R. 212-1 4° du même code. Elle fait valoir que le langage choisi, contrairement à ce qu'a jugé le tribunal, est parfaitement clair et intelligible et que l'article L. 211-1 n'est qu'une simple règle d'interprétation insusceptible de caractériser un agissement illicite et dont les dispositions sont d'interprétation stricte. La société ADI conteste l'analyse du tribunal selon lequel la clause confère à ADI un droit exclusif d'interprétation et crée un déséquilibre significatif entre les droits et obligations des parties au contrat, soulignant au surplus que l'Engagement de Confidentialité est un document purement informatif qui ne revêt pas la nature d'un contrat. La société ADI expose en outre que le fait même d'expliciter dans l'information aux personnes concernées les raisons qui pourraient justifier un refus d'ADI permet nécessairement plus de transparence pour les personnes concernées. Enfin la société ADI note que l'UFC a abandonné en appel le fondement de l'article L. 121-2 du code de la consommation relatif aux pratiques commerciales trompeuses qui n'avait pas été retenu par le tribunal.
432. L'UFC soutient que la clause n° 18 de l'Engagement de Confidentialité est illicite sur le fondement de l'article L. 211-1 du code de la consommation en ce qu'elle n'est ni présentée ni rédigée de façon claire et compréhensible. Elle fait également valoir qu'elle est abusive en ce que la société ADI s'octroie le droit exclusif d'interpréter une quelconque clause du contrat et est donc présumée abusive de manière irréfragable sur le fondement des articles L. 212-1 et R. 212-1 4° du code de la consommation. Elle ajoute que la société ADI a mis à jours son Engagement de Confidentialité en date du 1er juin 2021 et a modifié et déplacé cette clause dans une rubrique «'Vos droits en matière de confidentialité chez Apple.'» mais n'a procédé qu'à des changements mineurs.
433. Si la clause comporte une partie relative à la correction de ses données personnelles par l'utilisateur, elle intègre aussi une faculté de refus que s'octroie ADI sur des critères imprécis. En effet, à l'instar de ce qui a été relevé quant aux obligations découlant du RGPD, les expressions «'demandes futiles/vexatoires'» ou «'demandes qui sont extrêmement difficiles à mettre en place'» ou «'pour lesquelles un accès n'est pas imposé autrement par la loi applicable'» sont confuses pour l'utilisateur qui n'a pas une vision claire des hypothèses dans lesquelles sa demande de rectification ou de suppression. En cela, la clause ne respecte pas l'exigence de clarté et d'intelligibilité imposée par l'article L. 211-1 du code de la consommation. Elle confère également à ADI un droit exclusif d'interprétation de ces notions et donc des cas dans lesquels elle peut discrétionnairement s'opposer à la demande formulée par le consommateur, violant en cela l'article R. 212-1 4° du code de la consommation.
434. Le jugement sera confirmé en ce qu'il a retenu l'illicéité de la clause n° 18 sur le fondement de l'article L. 211-1 du code de la consommation et son caractère abusif sur le fondement de l'article R. 212-1 4° du même code.
La clause n° 19 de l'Engagement de Confidentialité
435. « De temps en temps, nous pouvons utiliser vos données personnelles pour envoyer des notifications importantes, telles que des communications sur les achats, et les modifications apportées à nos Conditions d'Utilisation et politiques. Ces informations étant importantes pour vos relations avec Apple, vous ne pouvez pas vous opposer à la réception de ces communications. »
436. La clause n°19 de l'«'Engagement de Confidentialité'» traite des communications importantes que l'entreprise peut adresser aux utilisateurs, pour lesquelles le droit d'opposition est exclu.
Sur le fondement du droit des données personnelles
437. La société ADI soutient que la clause n°19 est parfaitement licite. Elle argue que les notifications concernées, vitales pour la relation contractuelle, relèvent de motifs légitimes et impérieux justifiant une restriction au droit d'opposition, conformément au RGPD. La formulation générale est nécessaire pour couvrir des cas imprévisibles mais légitimes. La société ADI fonde en effet la licéité de la clause sur l'article 21.1 du RGPD, qui prévoit que le droit d'opposition peut être écarté lorsque le responsable du traitement démontre des « motifs légitimes et impérieux » pour le traitement. Les notifications importantes relatives à la relation contractuelle (modifications des CGU, informations sur un achat) constituent de tels motifs. La société ADI fait valoir qu'il est impossible et contre-productif de lister exhaustivement toutes les situations pouvant justifier une notification importante. La formulation générale utilisée (« telles que ») est donc nécessaire et conforme à l'obligation de fournir une information claire. La société ADI précise que ces notifications n'ont pas un caractère de prospection commerciale. Elles échappent donc au champ de l'article L.34-5 du code des postes et communications électroniques invoqué par l'UFC, qui vise spécifiquement la promotion des ventes. La société Adi reproche au tribunal de s'être contenté de reprocher à la clause son manque de précision sans expliquer en quoi les exemples fournis (« communications sur les achats », « modifications des CGU ») n'étaient pas suffisamment clairs ou légitimes. Enfin la société ADI relève que l'UFC invoque en appel de nouveaux fondements juridiques (article L.34-5 du CPCE, article R. 625-10 du code pénal, article 48 LIL) qui n'avaient pas été retenus en première instance.
438. L'UFC soutient que la clause n°19 de l'Engagement de Confidentialité est illicite car elle supprime arbitrairement le droit d'opposition de l'utilisateur pour certaines communications, en violation des obligations d'information et de facilitation des droits imposées par le RGPD et du droit spécifique régissant la prospection électronique. L'UFC relève en premier lieu une suppression illicite du droit d'opposition (violation des articles 13.2.b et 14.2.c RGPD) : la clause stipule que l'utilisateur « ne peut pas s'opposer à la réception de ces communications » au motif qu'elles sont « importantes ». Cette exclusion unilatérale et générale est contraire aux articles 13.2.b et 14.2.c du RGPD, qui imposent d'informer la personne concernée de l'existence du droit d'opposition, sans prévoir qu'il puisse être supprimé par le responsable de traitement pour des motifs aussi vagues. L'UFC relève également un manquement au principe de transparence et de facilitation des droits (article 12 RGPD) : en énonçant une interdiction générale et imprécise d'exercer le droit d'opposition, Apple ne respecte pas son obligation de « faciliter l'exercice des droits » de la personne concernée. La formulation utilisée (« notifications importantes », « telles que ») est trop vague pour constituer une information claire et compréhensible, violant ainsi l'article 12 du RGPD. Enfin l'UFC relève une violation du code des postes et des communications électroniques (article L. 34-5 CPCE) : les « communications sur les achats » mentionnées dans la clause peuvent relever de la prospection commerciale. L'article L. 34-5 du CPCE impose, même dans le cadre d'une relation contractuelle existante, d'offrir au destinataire une possibilité de s'opposer « de manière expresse et dénuée d'ambiguïté ». La clause, qui interdit purement et simplement toute opposition, méconnaît cette disposition.
439. Le tribunal a retenu le caractère illicite de la clause n°19 en raison de son manque de clarté et de précision, qui crée un flou injustifié autour des communications pour lesquelles le droit d'opposition est supprimé et confère à Apple un pouvoir d'appréciation excessif. La clause n°19 de l'«Engagement de Confidentialité » a donc été déclarée illicite et réputée non écrite pour violation des articles 12, 13 et 14 du RGPD.
440. Si les communications essentielles à l'exécution du contrat (confirmations d'achat) ou à une obligation légale (modifications des CGU) peuvent effectivement justifier une restriction au droit d'opposition, car elles relèvent des bases légales de l'article 6.1.b ou c du RGPD, la référence de la société ADI à l'article 21.1 du RGPD (qui traite de l'opposition aux traitements fondés sur l'intérêt légitime) est inadaptée pour justifier la clause. Les communications véritablement indispensables relèvent en effet de l'exécution du contrat et non de l'intérêt légitime. Cet argument crée une confusion sur la base juridique réelle.
441. L'analyse de la clause querellée révèle ainsi une violation manifeste du principe de transparence (article 12 RGPD) : les termes « notifications importantes » et l'utilisation du « telles que » sont effectivement trop vagues. Ils ne permettent pas à l'utilisateur de distinguer clairement les communications indispensables (non opposables) des communications commerciales ou accessoires (opposables). Cette imprécision est contraire à l'exigence d'information claire. En outre, la formulation actuelle de la clause crée une interdiction générale et indifférenciée. Elle ne précise pas que la restriction ne vise que les communications strictement nécessaires à la relation contractuelle ou légale, laissant croire à une suppression totale du droit, y compris pour de la prospection déguisée. Le défaut de transparence et la suppression imprécise d'un droit fondamental confèrent un caractère illicite à la clause n° 19.
442. Il convient par conséquent de confirmer le jugement en ce qu'il a retenu l'illicéité de la clause n° 19 pour violation des articles 12, 13.2.b et 14.2.c du RGPD.
443. S'agissant de l'article L. 34-5 du CPCE, l'UFC souligne à juste titre que le droit d'opposition est prévu pour l'envoi de courriers électroniques «'destinés à promouvoir, directement ou indirectement, des biens, des services ou l'image d'une personne vendant des biens ou fournissant des services'». Or l'expression «'communications sur les achats'» est susceptible d'entrer dans cette catégorie. La clause litigieuse ne respecte donc pas les prescriptions de l'article précité.
Sur le fondement du droit de la consommation
444. La société ADI rappelle que le tribunal a jugé la clause n° 19 de l'Engagement de Confidentialité illicite sur le fondement de l'article L. 211-1 du code de la consommation et abusive au sens de l'article R.212-1 4° dudit code. Elle soutient que l'article L. 211-1 constitue une simple règle d'interprétation et que les termes employés sont très clairs et compréhensibles pour l'utilisateur. Elle relève que le tribunal ne motive pas sa décision de juger la clause n° 19 irréfragablement abusive au sens de l'article R. 212-1 4° du code de la consommation. La société ADI soutient que la motivation de la clause n° 18 est inapplicable à la clause n° 19 dont la rédaction et le sujet sont totalement différents. Elle explique qu'il lui est impossible de préciser de manière exhaustive l'ensemble des raisons pour lesquelles, en application d'un contrat entre ADI et l'utilisateur, elle pourrait être amenée à envoyer des notifications mais qu'elle a cependant donné des exemples très concrets et parlants pour l'utilisateur. Elle ajoute que le terme «'notification'» est parfaitement compréhensible. La société ADI conteste l'argument selon lequel ADI supprimerait arbitrairement le droit d'opposition des personnes concernées. Elle ajoute que la clause ne lui confère en rien un pouvoir d'interprétation exclusif et qu'il n'est pas démontré qu'elle créerait un déséquilibre significatif. Enfin elle note que l'UFC a abandonné en appel le fondement de l'article L. 121-2 du code de la consommation, non retenu par les premiers juges.
445. L'UFC soutient que la clause n° 19 de l'Engagement de Confidentialité est illicite sur le fondement de l'article L. 211-1 du code de la consommation en ce qu'elle n'est ni présentée ni rédigée de façon claire et compréhensible. Elle invoque également l'article L. 34-5 du code des postes et des communications électroniques. L'UFC fait également valoir que la clause est présumée abusive de manière irréfragable sur le fondement des articles L. 212-1 et R. 212-1 4° du code de la consommation car elle confère à la société ADI le pouvoir exclusif d'interpréter cette clause en lui donnant les moyens de refuser de faire droit à une demande d'opposition d'un utilisateur. Elle ajoute que lors de la mise à jour son Engagement de Confidentialité le 1er juin 2021 la société ADI a déplacé cette clause dans une rubrique «'Utilisation des données personnelles par Apple Communiquer avec vous'».
446. Le tribunal a dit la clause n° 19 illicite sur le fondement de l'article L. 211-1 du code de la consommation et abusive au sens de l'article R. 212-1 4° du même code.
447. Comme il a été rappelé supra lors de l'examen de la conformité de la clause n° 20 au regard du droit des données personnelles, si l'existence de notifications obligatoires relatives à l'exécution du contrat, notamment la modification des conditions générales, est légitime, en revanche l'expression «'notifications importantes'» et les exemples qui suivent ne permettent pas à l'utilisateur d'appréhender l'ensemble des cas dans lesquels il ne pourra pas s'opposer auxdites notifications de la part de la société ADI puisque seule cette dernière peut déterminer les hypothèses visées. Ce faisant, la société ADI s'arroge un droit exclusif d'interpréter la clause en violation de l'article R. 2121 4° du code de la consommation. Le jugement sera confirmé en ce qu'il a retenu le caractère abusif de la clause. En revanche, la clause est intelligible pour le consommateur et ne contrevient pas à l'article L. 211-1 du code de la consommation. Le jugement sera infirmé sur ce point.
La clause n° 20 de l'Engagement de Confidentialité
« Toutes les informations que vous fournissez peuvent être transférées à des entités à travers le monde, ou être accessibles à celles-ci, tel que décrit dans le présent Engagement de confidentialité.»
448. La clause n°20 de l'«'Engagement de Confidentialité'» traite de la portée internationale des transferts de données personnelles.
Sur le fondement du droit des données personnelles
449. La société ADI soutient que la clause n°20 est parfaitement licite et conforme au RGPD. Elle argue que le tribunal a commis une erreur en analysant la clause de manière isolée, sans tenir compte de son contexte immédiat qui fournit les précisions nécessaires sur la nature des destinataires et les garanties encadrant ces transferts. La société ADI fait valoir en effet que la clause n°20 est la première phrase de la sous-partie « Utilisateurs internationaux ». La lecture de l'intégralité de cette section révèle que les « entités » concernées sont clairement identifiées comme étant les filiales du groupe Apple (« Apple Distribution International », « Apple Inc. », « entités juridiques situées au sein de différentes juridictions »). Elle souligne la licéité du terme «'peuvent'», son utilisation étant appropriée et nécessaire. Elle traduit le fait que les transferts ne sont pas systématiques mais dépendent du service utilisé et de la localisation de l'utilisateur, ce qui correspond à la réalité opérationnelle d'une entreprise internationale. Une affirmation catégorique (« sont transférées ») serait inexacte. La société ADI rappelle que le contexte de la clause précise immédiatement qu'Apple utilise des « clauses contractuelles types approuvées » pour les transferts en dehors de l'Espace économique européen, répondant ainsi à l'obligation d'informer sur les garanties appropriées. La société ADI fait grief au tribunal de s'être borné à reprocher l'utilisation du verbe « pouvoir » sans démontrer en quoi, lu dans son contexte, l'ensemble des informations fournies était insuffisant pour satisfaire aux articles 13-1.e et 14-1.e du RGPD. Enfin la société ADI rappelle que l'UFC invoque en appel de nouveaux fondements (articles 12, 5.1.a RGPD) et des considérations externes (arrêt Schrems II, pratiques Google Analytics) qui n'étaient pas retenus en première instance ou qui ne sont pas pertinents pour l'analyse abstraite de la clause.
450. L'UFC soutient que la clause n°20 est illicite car elle utilise des formulations vagues et conditionnelles pour décrire les transferts internationaux de données, violant ainsi les principes fondamentaux de licéité, loyauté et transparence (article 5.1.a RGPD), de finalité déterminée (article 5.1.b RGPD) et les obligations spécifiques d'information sur les destinataires des données (articles 13 et 14 RGPD). L'utilisateur ne peut savoir avec précision à qui, où et dans quelles conditions ses données sont transférées. L'UFC relève en premier lieu une violation des articles 13.1.e et 14.1.e RGPD (information sur les destinataires) : la clause se contente d'indiquer que les données « peuvent être transférées à des entités à travers le monde » sans préciser les destinataires ou catégories de destinataires concernés. Cette absence de spécificité empêche l'utilisateur de connaître l'identité des acteurs ayant accès à ses données. L'UFC relève en deuxième lieu un manquement au principe de transparence (articles 12 et 5.1.a RGPD) : l'utilisation de termes imprécis comme « peuvent », « entités » et « à travers le monde » rend l'information incompréhensible et non conforme à l'exigence d'information « concise, transparente, compréhensible et aisément accessible » en « termes clairs et simples ». Cette opacité est d'autant plus critiquable dans le contexte post-arrêt Schrems II de la CJUE, qui renforce l'exigence de vigilance concernant les transferts hors de l'UE. L'UFC relève en troisième lieu une méconnaissance du principe de privacy by design (article 25 RGPD) : l'UFC argue que l'usage du conditionnel (« peuvent ») suggère une simple possibilité, ce qui est contraire aux principes de protection des données dès la conception et par défaut. Ces principes imposent une détermination rigoureuse des modalités de traitement dès l'origine, excluant toute approche potentielle ou hypothétique. Enfin l'UFC estime que les manquements constatés au titre des articles 12 à 14 du RGPD valent également violation de l'article 48 de la LIL, qui y renvoie explicitement.
451. Le tribunal a retenu le caractère illicite de la clause n°20 en raison de l'utilisation de termes vagues et non spécifiques pour décrire les destinataires des données, ce qui prive l'utilisateur d'une information essentielle sur le sort de ses données et viole le principe de transparence. La clause n°20 de l'«Engagement de Confidentialité » (versions du 22 mai 2018 et du 9 mai 2019) a en effet été déclarée illicite et réputée non écrite pour violation des articles 13-1.e et 14-1.e du RGPD.
452. La cour relève que l'utilisation du terme «'peuvent'» justifié selon la société ADI par la nécessité de flexibilité est contraire aux principes de privacy by design et de limitation des finalités (articles 25 et 5.1.b RGPD) qui imposent une détermination des flux de données dès la conception. Le caractère potentiel ou hypothétique d'un transfert ne dispense pas de l'obligation d'en informer précisément l'utilisateur si cette éventualité est prévue dans le traitement. En outre, l'utilisation du terme vague « entités » ne peut être justifiée par la complexité de l'écosystème Apple car son usage est ici contraire au principe de transparence. Le RGPD exige que l'utilisateur puisse identifier concrètement les acteurs. Les « règles d'entreprise contraignantes » (ou BCR Binding Corporate Rules), si elles existent, devraient justement permettre de fournir une liste ou une catégorisation claire des destinataires. Ce vice a pour conséquence substantielle majeure de priver l'utilisateur de la possibilité d'évaluer les risques associés aux transferts et d'exercer ses droits en conséquence (comme s'opposer à un transfert spécifique).
453. L'analyse de la clause permet de relever une violation manifeste des articles 13.1.e) et 14.1.e) RGPD, la mention « à des entités à travers le monde » étant l'archétype de l'information non conforme. Elle ne permet ni d'identifier les destinataires, ni même de les catégoriser de manière utile, ce qui est le strict minimum exigé par le RGPD. En outre la clause manque à l'obligation de clarté, l'exigence d'information en «'termes clairs et simples'» n'étant pas respectée, ce qui constitue un manquement à la transparence (articles 12 et 5.1.a RGPD). Au surplus, dans le paysage juridique post-Schrems II, l'obligation de transparence sur les transferts internationaux est renforcée. L'utilisateur doit pouvoir savoir si ses données sont transférées vers des pays à risque et quelles garanties sont mises en 'uvre. La clause actuelle rend cette évaluation impossible. Enfin la clause ne distingue pas entre transfert (changement de localisation) et accès à distance.
454. L'obligation de transparence sur les destinataires et les transferts internationaux est une condition sine qua non pour permettre à la personne concernée d'exercer ses droits de manière éclairée dans un contexte global où la protection des données n'est pas uniforme. La complexité des opérations internationales d'une multinationale comme Apple ne saurait justifier une opacité préjudiciable aux droits fondamentaux des utilisateurs.
455. Il convient par conséquent de confirmer le jugement en ce qu'il a déclaré la clause n°20 illicite et réputée non écrite pour violation des articles 13-1.e et 14-1.e du RGPD, en raison du caractère excessivement vague de l'information sur les destinataires, qui constitue une information essentielle.
Sur le fondement du droit de la consommation
456. La société ADI rappelle que le tribunal a jugé la clause n° 20 de l'Engagement de Confidentialité illicite sur le fondement de l'article L. 211-1 du code de la consommation et abusive au sens de l'article R. 212-1 4° dudit code. Elle rappelle que l'article L. 211-1 contient une simple règle d'interprétation, soutient que la clause n° 20 ne lui confère pas un droit exclusif d'interprétation comme l'a décidé le tribunal et qu'en tout état de cause l'Engagement de Confidentialité n'est qu'un document informatif et non un contrat de sorte que l'article R. 212-1-4° est inapplicable. La société ADI fait valoir que la clause n° 20 est claire et compréhensible et ne crée aucun déséquilibre significatif, expression au demeurant non employée par l'UFC.
457. L'UFC soutient que la clause n° 20 n'est ni présentée ni rédigée de façon claire et compréhensible au sens de l'article L. 211-1 du code de la consommation. Elle souligne en outre qu'en ne déterminant pas précisément les destinataires des données à caractère personnel collectées, la société ADI s'octroie le droit exclusif d'interpréter une quelconque clause du contrat. Elle en déduit que la clause n° 20 est présumée abusive de manière irréfragable sur le fondement des articles L. 212-1 et R. 212-1 4° du code de la consommation. Elle ajoute que depuis le 1er juin 2021 la société ADI a légèrement modifié et déplacé cette clause dans une rubrique «'Transfert des données personnelles entre plusieurs pays'» mais que les modifications apportées sont mineures et sans emport sur le présent litige.
458. Force est de constater que l'expression «'entités à travers le monde'» est particulièrement imprécise pour le consommateur et ne lui permet pas de savoir à qui ses données sont susceptibles d'être transmises. La clause n° 20 ne répond en cela pas à l'exigence de clarté de l'article L. 211-1 du code de la consommation et confère à ADI un pouvoir exclusif d'interprétation contraire à l'article R. 212-1 4° du même code.
459. Le jugement sera confirmé en ce qu'il a déclaré la clause n° 20 de l'Engagement de Confidentialité illicite sur le fondement de l'article L. 211-1 du code de la consommation et abusive au sens de l'article R. 212-1 4° dudit code.
La clause n° 21 de l'Engagement de Confidentialité
460. « Ces sociétés sont dans l'obligation de protéger vos données et peuvent se trouver dans tout pays dans lequel Apple exerce des activités. »
461. La clause n°21 de l' «'Engagement de Confidentialité'» complète les dispositions relatives aux transferts de données en précisant les obligations des destinataires et leur localisation potentielle.
Sur le fondement du droit des données personnelles
462. La société ADI soutient que la clause n°21 est licite car elle s'inscrit dans un système d'information par niveau permettant à l'utilisateur de disposer d'informations claires sur les destinataires des données. Elle considère que la critique du tribunal fondée sur l'utilisation du verbe "pouvoir" est injustifiée et insuffisamment motivée. La société ADI argue que le verbe «'pouvoir'» caractérise simplement l'existence d'une possibilité et ne saurait en lui-même rendre une clause illicite. Supprimer ce conditionnel reviendrait à affirmer à tort que le partage des données est systématique avec toutes les entités Apple dans le monde. La société ADI soutient que l'Engagement de Confidentialité identifie clairement les catégories de destinataires («'Divulgation aux tiers'», «'Fournisseurs de services'», «'Autres'») et que l'information complète est accessible via le document spécifique «'Apple Music et Confidentialité'». La société ADI conteste la recevabilité des arguments de l'UFC fondés sur les articles 12 et 5.1.a du RGPD, ainsi que sur l'article R.625-10 du code pénal et l'article 48 de la LIL, estimant que ces griefs sont nouveaux en appel ou n'avaient pas été retenus en première instance. Enfin la société ADI estime que l'information fournie sur les catégories de destinataires est suffisamment détaillée et claire, rendant la critique du tribunal infondée.
463. L'UFC soutient que la clause n°21 est illicite pour les mêmes motifs que la clause n°20, en raison de son manque de précision sur l'identité et la localisation des destinataires des données. L'utilisation du verbe « pouvoir » et l'absence de détermination spécifique des pays violent les principes de transparence et de protection des données dès la conception, empêchant l'utilisateur de comprendre le sort de ses données. L'UFC relève en premier lieu une violation des articles 13.1.e et 14.1.e RGPD (information sur les destinataires) : L'UFC argue que l'expression « peuvent se trouver dans tout pays dans lequel Apple exerce des activités » ne satisfait pas à l'obligation d'indiquer les destinataires ou les catégories de destinataires. Cette formulation vague ne permet pas à l'utilisateur de connaître précisément les structures concernées et les circonstances du transfert. L'UFC relève en deuxième lieu un manquement au principe de transparence (articles 12 et 5.1.a RGPD) : le flou entretenu par la clause la rend incompréhensible pour l'utilisateur moyen, ce qui est contraire à l'exigence d'une information « concise, transparente, compréhensible et aisément accessible » en « termes clairs et simples ». L'UFC relève en troisième lieu une méconnaissance du principe de « privacy by design » (article 25 RGPD) : l'UFC estime que le recours au verbe pouvoir (« peuvent ») pour décrire des flux de données est contraire à l'obligation de déterminer les modalités de traitement dès la conception. Les principes du RGPD exigent une rigueur qui exclut les approches potentielles ou hypothétiques. Enfin l'UFC soutient que les manquements constatés au titre des articles 12 à 14 du RGPD valent également violation de l'article 48 de la Loi Informatique et Libertés, qui y renvoie explicitement.
464. Le tribunal a déclaré la clause n°21 illicite et l'a réputée non écrite.
465. La cour relève que de la même façon que pour la clause n° 20, l'utilisation du terme «'peuvent'» justifiée par la société ADI comme une simple expression de possibilité est irrecevable et contraire au RGPD qui exige une détermination précise des flux de données dès la conception (privacy by design). La société ADI ne peut éluder l'obligation d'informer sur des traitements prévus dans le cadre contractuel. Par ailleurs, l'argument selon lequel l'information complète serait disponible ailleurs («'Apple Music et Confidentialité'») est inopérant. La clause 21, dans le document principal, doit fournir une information autonome et compréhensible. Le renvoi à d'autres documents, sans lien hypertexte clair, viole l'exigence d'accessibilité (article 12 RGPD).
466. L'analyse de la clause révèle ainsi une violation manifeste des articles 13.1.e et 14.1.e RGPD, caractérisée par la formule « peuvent se trouver dans tout pays dans lequel Apple exerce des activités » qui ne permet ni d'identifier des catégories de destinataires, ni des zones géographiques, ni les bases juridiques des transferts (décisions d'adéquation, clauses types, etc.). En outre, la clause est incompréhensible pour l'utilisateur ce qui constitue un manquement grave à la transparence (articles 12 et 5.1.a RGPD) Elle ne lui permet pas d'évaluer les risques associés aux transferts internationaux, notamment depuis l'arrêt Schrems II, et d'exercer ses droits en conséquence (opposition, demande de garanties).
467. Ainsi l'obligation de transparence sur les transferts internationaux est un pilier du RGPD, surtout pour une entreprise opérant à l'échelle mondiale. L'utilisateur doit pouvoir savoir, avant d'utiliser le service, si ses données sont susceptibles d'être transférées vers des pays dont la législation offre une protection moindre et quelles sont les garanties qui encadrent ces flux. La complexité de l'organisation d'Apple ne peut justifier une opacité préjudiciable aux droits fondamentaux des utilisateurs.
468. Il convient par conséquent de confirmer le jugement en ce qu'il a déclaré la clause n°21 illicite et l'a réputée non écrite. La formulation vague et non spécifique empêche toute compréhension concrète par l'utilisateur des destinataires finaux et des garanties encadrant les transferts, ce qui constitue une violation fondamentale des obligations d'information.
Sur le fondement du droit de la consommation
469. La société ADI rappelle que le tribunal a jugé que la clause n° 21 de l'Engagement de Confidentialité était illicite au regard de l'article L. 211-1 du code de la consommation et abusive au sens de l'article R. 212-1-4° dudit code. Elle soutient que le tribunal adopté une motivation lapidaire qui ne se distingue pas de celle retenue au titre de la clause n° 20. Elle indique que l'article L. 211-1 prévoit une simple règle d'interprétation, que le tribunal se contente de citer l'un des douze cas prévus par l'article R. 212-1 du code de la consommation sans expliquer pourquoi ladite clause conférerait au professionnel un droit exclusif d'interprétation et que la clause n° 21 ne crée aucun déséquilibre significatif au sens de l'article L. 212-1 du code de la consommation.
470. L'UFC soutient que la clause n'est ni présentée ni rédigée de façon claire et compréhensible au sens de l'article L. 211-1 du code de la consommation. Elle ajoute qu'elle confère à ADI le droit exclusif de l'interpréter dans la mesure où elle ne détermine pas précisément les destinataires des données à caractère personnel collectées, ce contrairement aux dispositions issues de l'article R. 212-1 4° du code de la consommation.
471. La formulation de la clause n° 21 est, de la même façon que la clause n° 20 qui visait les «'entités'», imprécise concernant les «'sociétés'» susceptibles de recevoir les données de l'utilisateur.
472. La clause a été mise à jour le 1er juin 2021 et l'expression «'dans tout pays dans lequel Apple exerce des activités'» a disparu au profit de l'expression «'L'entité Apple qui contrôle vos données personnelles peut différer selon l'endroit où vous vivez'». Cette nouvelle formulation ne clarifie pas pour l'utilisateur l'identification du destinataire de ses données. L'exigence de clarté issue de l'article L. 211-1 n'est donc pas respectée et le caractère abusif de la clause issu de l'article R. 212-1 4° du même code, qui prohibe le droit exclusif accordé au professionnel d'interpréter une quelconque clause du contrat, est manifeste.
473. Le jugement sera confirmé en ce qu'il a jugé la clause n° 21 de l'Engagement de Confidentialité illicite au regard de l'article L. 211-1 du code de la consommation et abusive au sens de l'article R. 212-1 4° du même code.
La clause n° 22 de l'Engagement de Confidentialité
« Pour fournir des services de géolocalisation sur les produits Apple, Apple et ses partenaires et licenciés [VERSION DU 09 mai 2019 : « tels que les fournisseurs de données de cartographique »] peuvent recueillir, utiliser et partager des données de localisation précises, notamment la localisation géographique en temps réel de votre ordinateur ou appareil Apple. Le cas échéant, les services de géolocalisation peuvent utiliser le GPS, le Bluetooth et votre adresse IP, ainsi que les emplacements des bornes Wi-Fi communautaires et des antennes relais, ou encore d'autres technologies afin de déterminer la localisation approximative de vos appareils. Sauf consentement de votre part, ces données de localisation sont collectées anonymement dans un format ne permettant pas de vous identifier. Elles sont utilisées par Apple et ses partenaires et licenciés pour fournir et améliorer les produits et services de géolocalisation. Par exemple, nous pouvons partager la localisation géographique avec des fournisseurs d'applications si vous acceptez leurs services de localisation.
Certains services de géolocalisation proposés par Apple, tels que la fonctionnalité « Localiser mon iPhone », ont besoin de vos données personnelles pour fonctionner. »
474. La clause n°22 de l'Engagement de Confidentialité d'Apple décrit la collecte et l'utilisation des données de localisation précises pour fournir des services de géolocalisation sur les produits Apple.
475. Il sera relevé à titre liminaire qu'une partie de cette clause a déjà été examinée (clause n° 3 de l'Engagement de Confidentialité), seule la partie «'Elles sont utilisées par Apple et ses partenaires et licenciés pour fournir et améliorer les produits et services de géolocalisation. Par exemple, nous pouvons partager la localisation géographique avec des fournisseurs d'applications si vous acceptez leurs services de localisation.
Certains services de géolocalisation proposés par Apple, tels que la fonctionnalité « Localiser mon iPhone », ont besoin de vos données personnelles pour fonctionner. » étant ajoutée par rapport à la clause n° 3 précitée.
Sur le fondement du droit des données personnelles
476. La société ADI soutient que le tribunal a commis une erreur de droit en déclarant la clause n°22 illicite, notamment en raison d'un défaut de motivation spécifique, d'une analyse erronée fondée sur un «'profilage'» non établi, et de l'irrecevabilité de plusieurs griefs soulevés par l'UFC en appel. La société argue que le service Apple Music, seul objet du litige, ne collecte aucune donnée de géolocalisation. La société ADI relève en effet que le tribunal n'a pas expliqué en quoi la clause n°22 violerait spécifiquement les articles 13-2.f et 14-2.g du RGPD (décision automatisée/profilage). Sa motivation, basée sur une «'lecture combinée'» de clauses issues de documents différents, est insuffisante et inopérante. La société ADI conteste radicalement l'existence d'un profilage. Elle rappelle que selon les lignes directrices du G29/CEPD, le profilage nécessite un traitement automatisé destiné à évaluer les aspects personnels d'un individu (ex : analyse des préférences, prédictions). La simple collecte d'une donnée de géolocalisation ne constitue pas en soi un profilage. La société ADI affirme ne pas pratiquer un tel traitement et que l'UFC n'en apporte aucune preuve. La société ADI soutient ensuite que les articles 13-2.f et 14-2.g du RGPD, qui exigent d'informer sur l'existence d'une prise de décision automatisée, sont inapplicables car la clause n°22 ne traite ni de décision automatisée, ni de profilage. De plus, l'article 14 (collecte indirecte) serait inopérant ici. Elle rappelle aussi que la clause, comme la clause n°3, est contenue dans un document général. Le service Apple Music spécifiquement visé par la procédure ne collectant pas de données de géolocalisation, la condamnation de cette clause serait injustifiée. La société ADI conteste enfin la recevabilité des arguments de l'UFC fondés sur l'article 12 du RGPD, l'article R. 625-10 du code pénal et l'article 48 de la Loi Informatique et Libertés, estimant que ces griefs sont nouveaux en appel ou n'avaient pas été retenus en première instance.
477. L'UFC soutient que la clause n°22 est illicite car elle met en 'uvre des pratiques de profilage sans en informer clairement l'utilisateur, violant ainsi les obligations renforcées de transparence prévues par le RGPD. L'UFC souligne que Apple nie explicitement toute pratique de profilage dans son Engagement de Confidentialité, alors que la collecte et l'analyse des données de localisation pour comprendre le comportement des utilisateurs constituent précisément un profilage au sens de l'article 4.4 du RGPD. L'UFC relève ainsi l'existence d'un profilage non divulgué'; elle fait valoir que la définition légale du profilage inclut l'analyse de la localisation et des déplacements. La «'lecture combinée'» de plusieurs clauses démontre qu'Apple collecte des données (localisation, appareil, comportement d'utilisation) pour «'mieux comprendre le comportement du client'», ce qui relève d'une évaluation d'aspects personnels et donc d'un profilage. L'UFC relève également un manquement aux articles 13.2.f et 14.2.g du RGPD : en niant l'existence du profilage, Apple omet de fournir l'information spécifique requise par ces articles, qui imposent d'informer la personne concernée de l'existence d'une prise de décision automatisée, y compris le profilage. L'UFC relève un violation du principe de transparence (article 12 RGPD) : la clause, en cachant la réalité du traitement, n'est ni claire ni compréhensible. Elle est même trompeuse, puisqu'elle affirme le contraire de ce que suggère l'analyse globale des pratiques décrites. L'UFC souligne que la géolocalisation permanente constitue une atteinte significative à la vie privée, renforçant l'obligation de transparence. Enfin l'UFC relève une violation de l'article 48 de la LIL : les manquements constatés au titre des articles 12 à 14 du RGPD valent également violation de l'article 48 de la LIL.
478. Le tribunal a retenu le caractère illicite de la clause n°22 en considérant, sur la base d'une «'lecture combinée'» de plusieurs clauses, qu'Apple mettait en 'uvre un profilage sans en informer l'utilisateur comme l'exige le RGPD. La clause n°22 de l'«Engagement de Confidentialité » a donc été déclarée illicite et réputée non écrite pour violation des articles 13 et 14 du RGPD, en raison du défaut d'information sur l'existence d'un profilage.
479. Si l'argument de la société ADI selon lequel la collecte d'une donnée (la localisation) ne constitue pas ipso facto un profilage est techniquement exacte, le profilage requérant une phase d'analyse et d'évaluation automatisée, la négation par ADI de tout profilage n'est pas réaliste au regard de l'écosystème d'Apple. En effet, affirmer qu'aucune analyse des données de localisation et de comportement (même pour améliorer les services) n'a lieu paraît irréaliste et contredit l'esprit même des finalités d'amélioration mentionnées dans d'autres clauses. En outre le moyen selon lequel cette clause serait hors du champ du litige (Apple Music) est inopérant. En effet, l'Engagement de Confidentialité est le document de référence pour l'ensemble des services. Une clause illicite dans ce document affecte le cadre général de confiance, indépendamment de son application immédiate à un service spécifique.
480. La « lecture combinée » critiquée par la société ADI et adoptée par le tribunal est pertinente': le RGPD exige en effet une appréciation globale de la transparence. Une clause qui, prise isolément, semble anodine peut devenir illicite si son articulation avec d'autres clauses crée une opacité ou révèle un traitement non divulgué. La mention «'mieux comprendre le comportement du client'» dans d'autres clauses est un indice fort d'une activité de profilage.
481. Ainsi l'analyse combinée des données collectées (localisation précise, historique d'utilisation, données techniques) et de la finalité avouée d'analyse du comportement correspond parfaitement à la définition de l'article 4.4 du RGPD. Il s'agit bien d'utiliser des données personnelles pour évaluer des aspects personnels via un traitement automatisé, ce qui caractérise un profilage systémique. De plus, en niant explicitement le profilage dans une clause tout en le permettant implicitement par l'assemblage d'autres clauses, Apple crée une information trompeuse ce qui constitue une violation grave du principe de loyauté et de transparence (articles 5.1.a et 12 RGPD). L'utilisateur n'est pas informé de manière claire d'une pratique qui peut l'affecter significativement, ce qui constitue un manquement à l'obligation de transparence renforcée (articles 12, 13.2.f, 14.2.g RGPD).
482. Au surplus, il sera relevé que le Considérant 60 du RGPD prévient contre les «'déclarations fallacieuses'» et insiste sur la nécessité d'une information «'aisément accessible et compréhensible'», ce qui n'est pas le cas lorsque la vérité d'un traitement complexe doit être reconstituée par une lecture croisée de plusieurs documents.
483. Il convient par conséquent de confirmer le jugement en ce qu'il déclaré la clause n°22 de l'«Engagement de Confidentialité » illicite et l'a réputée non écrite pour violation des articles 13 et 14 du RGPD.
Sur le fondement du droit de la consommation
484. La société ADI rappelle que le tribunal a jugé la clause n° 22 de l'Engagement de Confidentialité illicite sur le fondement de l'article L. 211-1 du code de la consommation, simple règle d'interprétation insusceptible de caractériser un agissement illicite. Elle conteste l'affirmation de l'UFC selon laquelle la clause n° 22 ne serait pas présentée ni rédigée de façon claire et compréhensible. La société ADI reproche ensuite à l'UFC de se référer pour la première fois en cause d'appel à l'article L. 212-1 du code de la consommation et à l'article R. 212-1-4° dudit code afin que la clause n° 22 soit jugée abusive. La société ADI fait valoir que l'UFC ne démontre pas en quoi le profilage, à le supposer constitué, permettrait à ADI d'interpréter exclusivement cette clause ni en quoi la clause créerait un déséquilibre significatif. La société ADI reproche enfin à l'UFC de soutenir de nouveau en appel, alors que ce fondement a été rejeté par le tribunal, que la clause n° 22 devrait être jugée illicite sur le fondement de l'article L. 121-2 du code de la consommation relatif aux pratiques commerciales trompeuses. La société ADI souligne que l'UFC n'apporte aucun élément démontrant que la clause est susceptible d'altérer de manière substantielle le comportement économique du consommateur normalement informé et raisonnablement attentif et avisé, à l'égard des services proposés par ADI.
485. L'UFC soutient que la clause n° 22 de l'Engagement de Confidentialité n'est ni présentée ni rédigée de façon claire et compréhensible au sens de l'article L. 211-1 du code de la consommation et est même trompeuse selon l'article L. 121-2 du code de la consommation. Elle fait également valoir que la clause n° 22 est abusive car elle contrevient aux dispositions de l'article L. 212-1 et de l'article R. 212-1 4° du code de la consommation en ce qu'elle confère à la société ADI le pouvoir exclusif d'interpréter cette clause. Elle ajoute que l'absence de mention de l'inexistence d'un traitement, et surtout d'un profilage, de données à caractère personnel crée un déséquilibre significatif, le consommateur n'étant ainsi pas incité à user des droits d'accès et de retrait qui sont siens lors d'un traitement de données à caractère personnel. L'UFC précise que si l'Engagement de Confidentialité a été mis à jour le 1er juin 2021, la société ADI semble avoir substitué à cette clause une clause encore plus lacunaire se contentant d'indiquer dans une rubrique «'Données personnes qu'Apple collecte auprès de vous ' Informations d'emplacement'»': «'Emplacement précis uniquement pour la prise en charge de la fonctionnalité Localiser mon, et emplacement approximatif'». L'UFC en déduit qu'il est dès lors impossible pour l'utilisateur de savoir pourquoi son emplacement approximatif sera utilisé. Elle conclut que ses demandes restent d'actualité.
486. La cour rappelle avoir infirmé le jugement en ce qu'il avait déclaré la clause n° 3 illicite sur le fondement de l'article L. 211-1 du code de la consommation et abusive sur le fondement des articles L. 212-1 et R. 212-1-4° du même code.
487. Dans la partie supplémentaire contenue dans la clause n° 22, ADI poursuit son information du consommateur sur l'utilisation de ses données de géolocalisation. La rédaction utlisée est intelligible pour le consommateur. Il y a lieu de rappeler qu'une illicéité relevée au regard du RGPD n'est pas ipso facto une illicéité au regard des dispositions issues du droit de la consommation.
488. Le jugement sera par conséquent infirmé en ce qu'il a retenu le caractère illicite et abusif de cette clause au regard de l'article L. 211-1 et des articles L. 212-1 et R. 212-1-4° du code de la consommation.
La clause n° 23 de l'Engagement de Confidentialité
« Nous pouvons également vérifier les informations que vous nous fournissez lorsque vous créez un identifiant Apple avec un tiers, dans un objectif [VERSION DU 09 mai 2019 : « à des fins »] de sécurité et de prévention de la fraude »
489. La clause n°23 de l'Engagement de Confidentialité d'Apple traite spécifiquement de la vérification des informations fournies par l'utilisateur lors de la création d'un identifiant Apple via un tiers.
Sur le fondement du droit des données personnelles
490. La société ADI soutient que le tribunal a rendu une décision incohérente et contradictoire en jugeant illicite cette clause, qui n'est qu'un extrait de la clause n°14 partiellement validée. Elle argue que la motivation est absente et que le fondement invoqué (profilage) est totalement étranger au contenu de la clause. La société ADI souligne l'incohérence de la décision de première instance : selon ADI, le tribunal a jugé la même disposition (intégrée à la clause n°14) licite concernant l'identité des sources tierces, mais illicite sous le n°23 sur un autre fondement. Cette approche, qui consiste à fractionner et rejuger une même clause sous différents angles, révèle l'inadaptation de la procédure en clauses abusives pour appliquer le RGPD et crée une insécurité juridique. La société ADI conteste fermement que la vérification à des fins de sécurité constitue un profilage au sens de l'article 4.4 du RGPD. Elle argue que cette mesure de contrôle technique ne vise pas à «'évaluer des aspects personnels'» ou à établir des prédictions sur l'utilisateur, mais simplement à authentifier des informations et prévenir les fraudes. La société ADI fait ensuite valoir que les articles 13-2.f et 14-2.g du RGPD, relatifs à la prise de décision automatisée et au profilage, sont inopérants puisque la clause n'évoque ni l'un ni l'autre. L'UFC n'apporterait aucune démonstration concrète de l'existence d'un tel traitement. Enfin la société ADI soulève l'irrecevabilité des arguments fondés sur l'article 12 du RGPD et l'article R. 625-10 du code pénal, invoqués pour la première fois en appel.
491. L'UFC soutient à l'inverse que la clause n°23 est illicite car elle occulte l'existence d'un profilage des utilisateurs mis en 'uvre à des fins de sécurité et de prévention de la fraude, privant ceux-ci d'une information essentielle sur la logique et les conséquences de ce traitement automatisé, en violation des obligations renforcées de transparence du RGPD. L'association UFC relève ainsi l'existence d'un profilage non divulgué (violation des articles 13.2.f et 14.2.g RGPD) : la vérification automatisée des informations lors de la création d'un compte via un tiers, à des fins de lutte contre la fraude, constitue un « profilage » au sens de l'article 4.4 du RGPD. Ce traitement vise à analyser ou prédire des aspects relatifs à la fiabilité ou au comportement de l'utilisateur. La clause, en se contentant de mentionner une « vérification », en dissimule l'existence et les modalités. L'association UFC souligne également l'existence d'un manquement au principe de transparence renforcée (article 12 RGPD) : le profilage, en raison de ses impacts potentiels significatifs (ex : refus de service), impose une information particulièrement claire et accessible. En niant l'existence de cette pratique, Apple ne fournit pas une information « loyale, transparente et compréhensible » sur un traitement susceptible d'affecter substantiellement l'utilisateur. Enfin l'UFC note qu'une lecture combinée des clauses révèle un traitement global : l'analyse de la clause n°23 doit être faite en conjonction avec d'autres clauses de l'Engagement de Confidentialité et du document « Apple Music et Confidentialité » qui décrivent la collecte de données techniques, de localisation et de comportement. Cet ensemble permet l'établissement d'un profil individualisé de l'utilisateur, confirmant la nature du profilage.
492. Le tribunal a retenu le caractère illicite de la clause n°23 en considérant que la vérification automatisée à des fins de fraude, lorsqu'elle est lue en combinaison avec l'ensemble des pratiques de collecte et de traitement d'Apple, constituait un profilage dont l'utilisateur n'était pas informé, en violation des obligations spécifiques d'information prévues par le RGPD. La clause n°23 de l'« Engagement de Confidentialité » a été déclarée illicite et réputée non écrite pour violation des articles 13.2.f et 14.2.g du RGPD, pour défaut d'information sur l'existence d'un profilage.
493. Il sera relevé que comme pour la clause n°3, le RGPD exige une appréciation globale de la transparence. Une clause peut présenter différents vices pouvant être soulevés légitimement, et son analyse dans un contexte combiné avec d'autres clauses est essentielle pour évaluer la conformité d'ensemble. La clause n°23 ne doit pas être lue de manière isolée. Lorsqu'elle est combinée avec les clauses décrivant la collecte de données de géolocalisation, de comportement et la création d'un «'indice de confiance'», il apparaît qu'Apple met en place un système d'analyse automatisée visant à évaluer des aspects personnels des utilisateurs (fiabilité, comportement, habitudes). Cette combinaison correspond parfaitement à la définition de l'article 4.4 du RGPD.
494. Si la société ADI réduit l'opération décrite à une simple "vérification" technique, cette position est excessivement restrictive. En effet, dès lors que cette vérification implique une analyse automatisée de données pour évaluer un risque (la fraude), elle s'apparente à une forme de profilage, ne serait-ce que pour classer les comptes selon un niveau de risque.
495. Il en résulte que la clause n° 23 ne respecte l'obligation d'information sur le profilage issue des articles 13.2.f et 14.2.g du RGPD. La documentation d'Apple évoque ces traitements sans jamais les qualifier clairement de «'profilage'» ni en informer l'utilisateur comme l'exige le RGPD, privant ce dernier de son droit d'opposition (article 21). La lecture combinée des clauses relatives à la collecte de données (géolocalisation, comportement) et à leur utilisation (sécurité, prévention de la fraude via un «'indice de confiance'») révèle un traitement qui répond à la définition légale du profilage. La clause est illicite pour manquement à l'obligation de transparence (articles 12 et 13 RGPD) et pour défaut d'information sur l'existence d'un profilage (article 13.2.f RGPD).
496. Le jugement sera confirmé en ce qu'il a déclaré la clause n° 23 illicite et l'a réputée non écrite pour violation des articles 13.2.f et 14.2.g du RGPD.
Sur le fondement du droit de la consommation
497. La société ADI rappelle que le tribunal a jugé la clause n° 23 de l'Engagement de Confidentialité illicite sur le fondement de l'article L. 211-1 du code de la consommation. Elle relève que cette clause n° 23 correspond à une partie de la clause n° 14 de l'Engagement de Confidentialité. La société ADI souligne encore que l'article L. 211-1 constitue une simple règle d'interprétation et que l'UFC ne démontre pas l'absence de clarté de la clause litigieuse. Sur les articles L. 212-1 et R. 212-1-4° du code de la consommation, la société ADI note que le tribunal n'a pas jugé la clause n° 23 abusive te que l'UFC ne motive aucunement sa demande sur ces fondements, se contentant d'indiquer qu'en n'informant pas la personne concernée du profilage opéré, ADI s'octroierait le droit exclusif d'interpréter une quelconque clause du contrat. Or, la société ADI soutient que les personnes concernées sont parfaitement informées des différents droits dont elles disposent et que la clause ne lui confère aucun pouvoir d'interprétation exclusif. Elle ne crée pas davantage de déséquilibre significatif au sens de l'article L. 212-1 du code de la consommation. Enfin la société ADI relève que l'UFC a abandonné en cause d'appel le fondement issu des dispositions de l'article L. 121-2 du code de la consommation qui n'avait pas été retenu par le tribunal.
498. L'UFC soutient que la clause n° 23 de l'Engagement de Confidentialité n'est ni rédigée ni présentée de façon claire et compréhensible au sens de l'article L. 211-1 du code de la consommation. Elle fait également valoir qu'en n'informant pas la personne concernée du profilage opéré, la société ADI s'octroie le droit exclusif d'interpréter une quelconque clause du contrat, ADI pouvant ainsi déterminer le procédé qu'elle emploie pour profiler sur les utilisateurs. Elle ajoute que l'absence de mention de l'inexistence d'un traitement et surtout d'un profilage de données à caractère personnel crée un déséquilibre significatif. L'UFC en déduit que la clause n° 23 est présumée abusive de manière irréfragable sur le fondement des articles L. 212-1 et R. 212-1 4° du code de la consommation. Elle ajoute que la société ADI, lors de la mise à jour de son Engagement de Confidentialité le 1er juin 2021, a déplacé cette clause sans la modifier dans sa substance de sorte que les demandes de l'UFC restent d'actualité.
499. Le tribunal a jugé cette clause illicite au regard de l'article L. 211-1 du code de la consommation.
500. De la même façon que la clause similaire n° 14 de l'Engagement de Confidentialité, elle est pourtant claire en sa rédaction, les termes employés étant intelligibles. L'UFC ajoute le caractère abusif de la clause mais ne démontre pas en quoi elle conférerait un pouvoir exclusif d'interprétation à ADI.
501. Le jugement sera infirmé en ce qu'il a retenu l'illicéité de la clause sur le fondement de l'article L. 211-1 du code de la consommation et l'UFC sera déboutée de sa demande de voir juger la clause abusive sur fondement des articles L. 212-1 et R. 212-1-4° du code de la consommation.
La clause n° 24 de l'Engagement de Confidentialité
« Les sites web, les services en ligne, les applications interactives, les e-mails et les publicités d'Apple peuvent utiliser des « cookies » et d'autres technologies, telles que des « pixel tags » et des balises web ['].
Si vous utilisez le navigateur web Safari et que vous souhaitez désactiver les cookies, allez dans les préférences Safari, puis dans le volet Confidentialité où une option vous permettra de gérer vos préférences. Sur votre appareil mobile Apple, accédez à Réglages > Safari, faites défiler l'écran vers le bas pour atteindre la section Confidentialité et sécurité, puis appuyez sur « Bloquer les cookies » pour gérer vos préférences. Pour les autres navigateurs, veuillez consulter votre fournisseur pour savoir comment désactiver les cookies. Veuillez noter que certaines fonctionnalités du site web Apple ne seront plus disponibles une fois les cookies désactivés ['].
Dans certains de nos e-mails, nous utilisons des « URL de destination » liées au contenu du site web Apple. Lorsque les clients cliquent sur l'une de ces URL, ils sont transférés vers un autre serveur web avant d'arriver sur la page de destination de notre site web. Nous suivons ces données de clic pour nous aider à déterminer [VERSION DU 9 mai 2019 : « pour déterminer »] l'intérêt porté à certains sujets et mesurer l'efficacité de nos communications clients. Si vous préférez ne pas être suivi de cette façon, vous ne devez pas cliquer sur les liens texte ou graphiques figurant dans les e-mails. Les balises « pixel tags » nous permettent d'envoyer des e-mails dans un format que les clients peuvent lire et de savoir si les messages ont été ouverts. Nous pouvons utiliser ces informations pour réduire ou supprimer les messages adressés aux clients »
502. La clause n°24 de l'«'Engagement de Confidentialité'» d'Apple traite de l'utilisation des technologies de suivi en ligne telles que les cookies, les pixel tags et les balises web.
Sur le fondement du droit des données personnelles
503. La société ADI soutient que le tribunal a commis une erreur de droit en déclarant la clause n°24 illicite, notamment en raison d'une application incorrecte du droit national français et d'une interprétation excessive des obligations d'information concernant les technologies de suivi. Elle conteste l'application de l'article 82 de la LIL, arguant que la société, établie en Irlande, relève de la loi irlandaise de transposition de la directive ePrivacy. La détermination de la loi applicable aux cookies serait incertaine depuis l'abrogation de la directive 95/46/CE par le RGPD. La société ADI estime en outre que l'information fournie sur l'utilisation des cookies, pixel tags et URL de destination est précise et compréhensible. Les finalités (mesure d'audience, efficacité des communications) sont explicitement décrites. La société ADI fait valoir en outre que les technologies utilisées (URL de destination, pixel tags) relèvent de la mesure d'audience strictement nécessaire au fonctionnement du service et sont donc exemptées de consentement selon la doctrine de la CNIL. Elle considère que l'utilisation du terme « autres technologies » est défendue comme nécessaire face à l'évolution constante des technologies de suivi, le terme «'cookie'» étant générique. Enfin la société ADI soulève l'irrecevabilité de l'invocation de l'article R.625-10 du code pénal, fondement nouveau en appel.
504. L'association UFC soutient que la clause n°24 est illicite car elle ne respecte pas les obligations fondamentales d'information et de recueil du consentement concernant l'utilisation des cookies et autres technologies de traçage, telles que prévues par l'article 82 de la Loi Informatique et Libertés (LIL) et le RGPD. L'UFC fait valoir en premier lieu que la clause ne permet pas à l'utilisateur de distinguer les cookies soumis au consentement préalable de ceux qui en sont exemptés (ex : cookies strictement nécessaires). Cette confusion empêche l'utilisateur d'exercer un choix éclairé. L'UFC souligne en deuxième lieu que le simple renvoi au paramétrage du navigateur (comme Safari) est considéré comme insuffisant pour constituer un mécanisme valable de recueil du consentement ou de l'opposition, conformément à la jurisprudence du Conseil d'État (CE, 6 juin 2018, n°412589, Challenges). L'utilisateur n'est pas mis en mesure de s'opposer spécifiquement à certains traceurs. L'UFC juge ensuite insuffisante les informations fournies sur les finalités des technologies de suivi (pixel tags, URL de destination). Les conséquences du refus des cookies sont décrites de manière trop vague (« certaines fonctionnalités [...] ne seront plus disponibles »), ce qui ne permet pas à l'utilisateur de mesurer l'impact de son choix. L'UFC relève une violation des articles 4.11, 12, 13 et 14 du RGPD : le défaut de transparence et l'absence de consentement valable constituent une violation des principes généraux du RGPD relatifs à l'information et au consentement. L'UFC souligne que le consentement doit être libre, spécifique, éclairé et univoque. Enfin l'UFC met en exergue une violation de l'article 82 de la LIL : la clause ne respecte pas les dispositions spécifiques de la loi française concernant les cookies, qui imposent un consentement préalable et une information claire avant toute installation de traceurs.
505. Le tribunal a retenu le caractère illicite de la clause n°24 en raison de son manquement aux obligations d'information et de recueil du consentement concernant l'utilisation des cookies et autres technologies de traçage, telles que prévues par l'article 82 de la LIL et les articles 4.11, 12, 13 et 14 du RGPD. La clause n°24 de l'« Engagement de Confidentialité » a été déclarée illicite et réputée non écrite pour violation des articles 4.11, 12, 13 et 14 du RGPD et de l'article 82 de la LIL.
506. Il sera relevé que l'argument de la société ADI concernant l'inapplicabilité de l'article 82 de la LIL en raison de son établissement en Irlande est inopérant. L'article 3 de la LIL et du RGPD prévoient une application territoriale fondée sur le ciblage des personnes se trouvant sur le territoire français. La CNIL a constamment appliqué ce principe pour sanctionner des entreprises étrangères, y compris d'autres géants technologiques.
507. Les «'pixel tags'» et «'URL de destination'» ne peuvent être qualifiés par la société ADI de simples outils de mesure d'audience exemptés de consentement. En effet, leurs finalités telles que décrites («'déterminer l'intérêt porté à certains sujets'») dépassent le cadre strict de la mesure d'audience nécessaire au fonctionnement du service et relèvent d'une analyse comportementale nécessitant un consentement.
508. Si la complexité liée à l'articulation entre la directive ePrivacy et le RGPD, soulignée par ADI, est un fait, elle ne saurait cependant exonérer un responsable de traitement de ses obligations fondamentales d'information et de recueil du consentement, qui sont claires et communes aux deux textes.
509. En se contentant d'un renvoi générique aux paramètres du navigateur (comme Safari) sans mettre en place le mécanisme de consentement préalable, spécifique et granulaire exigé par la loi, la clause viole les obligations spécifiques aux cookies issues de l'article 82 de la LIL. La clause est en outre trop vague sur les finalités précises des différents traceurs et sur les conséquences exactes de leur refus. L'utilisateur ne peut pas exercer un choix éclairé. Elle manque ainsi à l'obligation de transparence (articles 12, 13 et 14 RGPD). Le défaut de distinction entre les cookies strictement nécessaires (exemptés) et les autres (soumis au consentement) est une faille majeure, empêchant toute conformité.
510. Le simple fait de fournir une information, même longue, dans un document contractuel, ne suffit pas à satisfaire l'obligation de recueil du consentement préalable et actif qui doit intervenir via une interface dédiée (bandeau cookies) avant le dépôt des traceurs.
511. Il convient par conséquent de confirmer le jugement en ce qu'il a déclaré la clause n°24 illicite et l'a réputée non écrite, en raison du non-respect flagrant des principes fondamentaux régissant les cookies, qui sont d'ordre public.
Sur le fondement du droit de la consommation
512. La société ADI rappelle que le tribunal a jugé la clause n° 24 de l'Engagement de Confidentialité illicite sur le fondement des articles L. 211-1 et L. 221-1 du code de la consommation. S'agissant de l'article L. 211-1, simple règle d'interprétation en faveur du consommateur, la société ADI soutient que le choix de prévoir une information dans deux documents différents est justifié par un souci de clarté et de compréhensibilité. Elle ajoute qu'il suffit de cliquer sur le lien figurant dans la clause n° 24 pour consulter le document Utilisation des cookies par Apple, lien que le tribunal n'a sans doute pas distingué car présenté en noir et blanc sur la version papier alors qu'il est très facilement visible en bleu sur la version numérique. En outre la clause emploie des termes plus précis que le terme générique de «'cookies'» et sont tout à fait compréhensibles pour la majorité des personnes compte tenu de la place prise depuis de nombreuses années par l'environnement numérique dans la vie personnelle et professionnelle des personnes. S'agissant de l'article L. 221-1, la société ADI relève que le tribunal a commis une confusion avec l'article L. 212-1 qui traite du déséquilibre significatif et dont les termes sont repris par les premiers juges. La société ADI note que ce texte n'avait pas été cité par l'UFC en première instance qui se fondait sur l'article L. 121-2 sur les pratiques commerciales trompeuses.
513. L'UFC soutient que la clause n° 24 de l'Engagement de Confidentialité n'est ni présentée ni rédigée de façon claire et compréhensible au sens de l'article L. 211-1 du code de la consommation. Elle fait également valoir qu'en ne donnant aucune information pertinente concernant les cookies et autres méthodes de traçage de l'activité des utilisateurs, personnes concernées, la société ADI s'octroie le droit exclusif d'interpréter une quelconque clause du contrat. Elle ajoute que l'absence de mention de l'inexistence d'un traitement, et surtout d'un profilage, données à caractère personnel crée un déséquilibre significatif. Elle en conclut que la clause n° 24 est abusive sur le fondement des articles L. 212-1 et R. 212-1 4° du code de la consommation. L'UFC indique si la société ADI a modifié cette clause lors de la mise à jour de son Engagement de Confidentialité le 1er juin 2021, elle n'établit toujours pas la distinction entre les cookies soumis au consentement préalable de l'utilisateur et ceux qui en sont exemptés. Elle explique que l'utilisateur n'est pas mis en mesure de s'opposer aux cookies soumis à son consentement et que les conséquences de son opposition aux cookies sont toujours évoquées de manière vague. L'UFC en conclut que ses demandes restent donc d'actualité quant à la clause n° 24 de l'Engagement de Confidentialité.
514. Le tribunal a déclaré la clause n° 24 de l'Engagement de Confidentialité illicite sur le fondement des articles L. 211-1 et L. 221-1 du code de la consommation.
515. Force est de constater que la clause, dense, contient beaucoup d'informations notamment sur l'utilisation des «'URL de destination'» rendant la compréhension de la clause pour le consommateur hasardeuse. Les termes «'pixels tags'», «'balises web'» et «'URL de destination'» ne sont pas explicites pour le consommateur et accentuent l'inintelligibilité de la clause, en violation de l'article L. 211-1 du code de la consommation.
516. L'article L. 221-1 visé par le tribunal correspond à des définitions (contrat à distance, contrat hors établissement etc...) et non à l'article relatif au déséquilibre significatif (article L. 212-1) ce qui laisse penser à une erreur de plume.
517. Au demeurant, qu'il s'agisse de l'article L. 212-1 ou de l'article R. 212-1 4° du code de la consommation, l'association UFC ne démontre ni déséquilibre significatif entre les droits et obligations des parties.
518. Le jugement sera confirmé en ce qu'il a déclaré la clause illicite sur le fondement de l'article L. 211-1 du code de la consommation mais infirmé sur le fondement de l'article L.221-1 du même code et l'UFC sera déboutée de ses demandes sur le fondement des articles L. 212-1 et R. 212-1 4° du code de la consommation.
Sur la demande de suppression/cessation des agissements illicites
519. L'UFC rappelle avoir demandé au tribunal d'ordonner la suppression des clauses critiquées pour l'ensemble des versions qui lui étaient soumises et ce sous astreinte, et de déclarer ces clauses inopposables à tous les consommateurs, demandes dont elle a été déboutée. Elle formule appel incident de ce chef du jugement après avoir constaté que la société ADI n'avait pas jugé nécessaire de modifier en profondeur les clauses que le tribunal avait déclaré comme étant illicites et/ou abusives. Elle note que l'ancien article L. 421-6 devenu l'article L. 621-8 prévoit cette sanction.
520. La société ADI soutient à titre principal que cette demande est irrecevable sur le fondement des articles 562 et 954 du code de procédure civile dans la mesure où l'UFC a sollicité au dispositif de ses conclusions d'appel incident l'infirmation d'une partie de la motivation du jugement relative au rejet de la demande de suppression, sans viser dans son dispositif le chef de jugement y afférent. Elle en déduit que l'effet dévolutif de l'appel n'a pas opéré et que la cour n'est pas saisie de la demande de suppression.
521. Aux termes de l'article L. 421-6 devenu L. 621-8 du code de la consommation':
522. «'Les associations mentionnées à l'article L. 421-1 peuvent demander à la juridiction civile d'ordonner, le cas échéant sous astreinte, la suppression de clauses abusives dans les modèles de conventions habituellement proposés par les professionnels aux consommateurs.'»
523. Aux termes de l'article 562 du code de procédure civile dans sa version applicable en la cause':
«'L'appel défère à la cour la connaissance des chefs de jugement qu'il critique expressément et de ceux qui en dépendent.
La dévolution ne s'opère pour le tout que lorsque l'appel tend à l'annulation du jugement ou si l'objet du litige est indivisible.'»
524. En vertu de l'article 954 du même code dans sa version applicable en la cause':
«'Les conclusions d'appel contiennent, en en-tête, les indications prévues à l'article 961. Elles doivent formuler expressément les prétentions des parties et les moyens de fait et de droit sur lesquels chacune de ces prétentions est fondée avec indication pour chaque prétention des pièces invoquées et de leur numérotation. Un bordereau récapitulatif des pièces est annexé
Les conclusions comprennent distinctement un exposé des faits et de la procédure, l'énoncé des chefs de jugement critiqués, une discussion des prétentions et des moyens ainsi qu'un dispositif récapitulant les prétentions. Si, dans la discussion, des moyens nouveaux par rapport aux précédentes écritures sont invoqués au soutien des prétentions, ils sont présentés de manière formellement distincte.
La cour ne statue que sur les prétentions énoncées au dispositif et n'examine les moyens au soutien de ces prétentions que s'ils sont invoqués dans la discussion.
Les parties doivent reprendre, dans leurs dernières écritures, les prétentions et moyens précédemment présentés ou invoqués dans leurs conclusions antérieures. A défaut, elles sont réputées les avoir abandonnés et la cour ne statue que sur les dernières conclusions déposées.
La partie qui conclut à l'infirmation du jugement doit expressément énoncer les moyens qu'elle invoque sans pouvoir procéder par voie de référence à ses conclusions de première instance.
La partie qui ne conclut pas ou qui, sans énoncer de nouveaux moyens, demande la confirmation du jugement est réputée s'en approprier les motifs.'
525. Force est de constater que comme le relève très justement la société ADI l'association UFC s'est contentée de reproduire dans son dispositif une partie de la motivation du tribunal sans viser un chef de jugement comme l'imposent les articles précités.
526. Il convient par conséquent de considérer que la cour n'est pas saisie de la demande de suppression des clauses jugées illicites et/ou abusives.
Sur les mesures de publication
527. La société ADI estime que la publication de l'arrêt sollicitée par l'UFC n'est pas justifiée dans la mesure où cette dernière a communiqué sur la décision du tribunal judiciaire.
528. L'UFC en revanche maintient sa demande de publication, estimant qu'il est opportun que les utilisateurs soient informés sur les suites de l'appel interjeté par la société ADI. Elle considère que la mesure de publication, destinée aux utilisateurs du service Apple Music, doit être accessible dès lors que les abonnés accéderont au service.
529. Le tribunal a ordonné à la société ADI de permettre à l'ensemble de ses abonnés français la lecture de l'intégralité du jugement par le moyen d'un lien hypertexte devant figurer sur la page d'accueil de son site Internet ainsi que sur celles de ses applications sur tablettes et téléphones pendant une durée de trois mois, ce lien hypertexte devant être mis en place et activable sur ces pages d'accueil, et ce sous astreinte.
530. Compte tenu de la complexité du présent arrêt, accentuée par une numérotation différente de celle employée par les juges de première instance, une mesure de publication telle que réclamée par l'UFC n'apparaît pas opportune.
531. En revanche la publication d'un lien hypertexte paraît adaptée et le jugement sera confirmé en ce qu'il a l'a ordonnée pendant une durée de trois mois. Le prononcé d'une astreinte n'apparaît en revanche pas justifié, la société ADI n'ayant pas manifesté de résistance à une telle mesure et le jugement sera infirmé quant au prononcé d'une astreinte.
Sur les dommages et intérêts
532. La société ADI estime que les dommages et intérêts sollicités par l'UFC ne sont pas justifiés car cette dernière ne communique aucun élément matériel démontrant un préjudice subi par l'intérêt collectif des consommateurs.
533. L'UFC considère que le montant de 20.000 euros alloué en première instance est dérisoire au regard des recettes générées par le service Apple Music et du fait que la majorité des clauses litigieuses est toujours applicable à des millions de consommateurs. Elle fait également valoir que le préjudice porté à la collectivité des consommateurs ne saurait être réparé par l'octroi d'une indemnité symbolique compte tenu du nombre de clauses abusives et/ou illicites, du nombre de consommateurs concernés, de la durée de l'atteinte à leur intérêt collectif, de la nature et de l'étendue des manquements ud professionnel et de l'ampleur de la gravite de l'infraction et de la place sur le marché considéré du professionnel. Elle relève que la notion de préjudice à l'intérêt collectif des consommateurs est autonome de la suppression des clauses abusives et/ou illicites. L'UFC rappelle qu'une association de consommateurs au sens de l'article L. 421-1 du code de la consommation, telle que l'UFC-Que Choisir, peut demander une indemnisation au titre du préjudice direct ou indirect porté à l'intérêt collectif des consommateurs qu'elle défend. Elle précise en outre que l'intérêt collectif des consommateurs, qui n'est pas la somme des intérêts individuels ni l'intérêt général représenté par le Ministère Public, est lésé lorsque les pratiques déloyales des professionnels sont mises en 'uvre en violation des droits des consommateurs. Elle conclut que l'intérêt collectif est mis en cause chaque fois qu'une disposition législative ou réglementaire entrant dans le champ du droit de la consommation est méconnue ainsi que pour tout manquement à la loi informatique et libertés.
534. Aux termes de l'article L. 421-1 alinéa 1er du code de la consommation devenu l'article L. 621-1 depuis le 1er juillet 2016':
«'Les associations régulièrement déclarées ayant pour objet statutaire explicite la défense des intérêts des consommateurs peuvent, si elles ont été agréées à cette fin, exercer les droits reconnus à la partie civile relativement aux faits portant un préjudice direct ou indirect à l'intérêt collectif des consommateurs.'»
535. Outre l'action en cessation d'agissements illicites, qui a principalement pour objet d'éradiquer les clauses illicites et abusives stipulées dans les contrats proposés aux consommateurs, le code de la consommation offre également aux associations agréées la possibilité d'engager une autre action dite « police contractuelle », dans l'intérêt collectif des consommateurs, celle d' « exercer les droits reconnus à la partie civile relativement aux faits portant un préjudice direct ou indirect à l'intérêt collectif des consommateurs » (article L. 621-1 du code de la consommation). Cette action a donc pour objet la réparation de tout préjudice porté à l'intérêt collectif des consommateurs, notamment par la stipulation, même passée, de clauses abusives qui constitue, en elle-même, une faute de nature à porter atteinte à cet intérêt collectif. Il s'agit de réparer ici, par l'allocation de dommages-intérêts, le dommage subi par la collectivité des consommateurs du fait de la stipulation et de l'application par le passé et même si les contrats ne sont plus en cours, de clauses revêtant un caractère abusif et/ou illicite.
536. Les versions des clauses soumises à la cour vont du 30 juin 2015 au 1er juin 2021 pour la plus récente soit sur une durée de six années. L'entrée en vigueur du RGPD le 25 mai 2018 a accru de façon très importante les obligations mises à la charge de la société ADI pour le traitement des données à caractère personnel et aurait dû l'inciter à opérer de profondes modifications des clauses non conformes, figurant dans les documents Apple Music et Confidentialité et Engagement de Confidentialité. Tel n'a cependant pas été le cas de sorte que l'atteinte portée à l'intérêt collectif des consommateurs est durable et concerne plusieurs millions d'abonnés français au service Apple Music.
537. Compte tenu de ces éléments, le jugement sera infirmé en ce qu'il a évalué le préjudice porté à l'intérêt collectif des consommateurs à la somme de 20.000 euros et la cour fixera son montant à la somme de 50.000 euros.
Sur les dépens et l'article 700 du code de procédure civile
538. La société ADI succombant à l'action, il convient de confirmer le jugement en ce qu'il a statué sur les dépens et les frais irrépétibles et statuant de ces chefs en cause d'appel, elle sera aussi condamnée aux dépens, dont distraction au profit de Maître Hardouin, conformément aux dispositions de l'article 699 du code de procédure civile. Il apparaît en outre équitable de condamner la société ADI à payer à l'association UFC-Que Choisir la somme de 50.000 euros sur le fondement de l'article 700 du code de procédure civile.
PAR CES MOTIFS,
CONFIRME le jugement sauf en ce qu'il a':
- déclaré l'UFC-Que Choisir recevable en ses demandes relatives aux clauses issues des Conditions Générales d'ADI de juin 2015 (V1), de mars 2016 (V2), septembre 2016 (V3) et septembre 2018 (V4) comme issues de contrats qui ne sont plus ni proposés, ni destinés aux consommateurs et n'étant plus en cours d'exécution';
- déclaré dans son dispositif (contrairement à ses motifs) réputée non écrite en raison de son caractère illicite ou abusif la clause «'Divers'» («'Autres stipulations'»), clause d'exonération de responsabilité dans les versions V1, V2, V3, V4 et V5 et clause d'indivisibilité dans les versions V1, V3, V4 et V5';
- déclaré réputées non écrites les clauses «'Envoi de contenu au service Apple Music'» et «'Vos Envois sur nos services'» à l'exception de la phrase «'Vous concédez par les présentes à Apple une licence mondiale, gratuite, perpétuelle et non-exclusive pour utiliser les éléments que vous soumettez dans les services et à des fins marketing et à des fins internes.'»';
- déclaré réputée non écrite la clause n° 6 du document «'Apple Music et Confidentialité'»';
- déclaré dans son dispositif (contrairement à ses motifs) réputée non écrite la clause n° 15 du document «'Engagement de Confidentialité'»';
assorti l'accès à la lecture du jugement par le moyen d'un lien hypertexte du prononcé d'une astreinte';
- condamné la société ADI à payer à l'association UFC-Que Choisir la somme de 20.000 euros à titre de dommages et intérêts en réparation du préjudice causé à l'intérêt collectif des consommateurs';
Statuant à nouveau et y ajoutant,
DECLARE irrecevables les demandes de l'association UFC-Que Choisir relatives aux clauses issues des Conditions Générales d'ADI dans leurs versions V1 à V5 qui ne sont plus en cours d'exécution à savoir les Conditions Générales V1 (du 30 juin 2015), V2 (de mars 2016), V3 (du 13 septembre 2016), V4 (du 17 septembre 2018) et V5 (du 13 mai 2019)';
DECLARE irrecevables les demandes de l'association UFC-Que Choisir relatives aux clauses issues de l'Engagement de Confidentialité en sa version V1 du 22 mai 2018 et en sa version V2 du 9 mai 2019';
DECLARE irrecevables les demandes de l'association UFC-Que Choisir relatives aux clauses issues du document Apple Music et Confidentialité en sa version V1 du 17 septembre 2018';
DEBOUTE la société ADI de sa demande de saisine de la CJUE de questions préjudicielles relatives à l'interprétation de certaines dispositions du droit communautaire';
DECLARE licite la clause «'Divers'» («'Autres stipulations'»), clause d'exonération de responsabilité dans sa version V5 et clause d'indivisibilité dans sa version V5';
DECLARE licite la clause «'Vos Envois sur nos services'» en sa version V5 à l'exception de la phrase «'Vous concédez par les présentes à Apple une licence mondiale, gratuite, perpétuelle et non-exclusive pour utiliser les éléments que vous soumettez dans les services et à des fins marketing et à des fins internes.'»';
DECLARE la phrase «'Vous concédez par les présentes à Apple une licence mondiale, gratuite, perpétuelle et non-exclusive pour utiliser les éléments que vous soumettez dans les services et à des fins marketing et à des fins internes.» (clause 7 des conditions générales) illicite au visa de l'article L. 211-1 du code de la consommation et de l'article L. 212-1 du même code';
DECLARE licite la clause n° 6 du document «'Apple Music et Confidentialité'»';
DECLARE licite la clause n° 15 du document «'Engagement de Confidentialité'»';
CONSTATE que la cour n'est pas saisie de la demande de suppression des clauses jugées illicites et/ou abusives';
DEBOUTE l'association UFC-Que Choisir de sa demande tendant au prononcé d'une astreinte';
CONDAMNE la société ADI à payer à l'association UFC-Que Choisir la somme de 50.000 euros à titre de dommages et intérêts en réparation du préjudice porté à l'intérêt collectif des consommateurs';
CONDAMNE la société ADI aux dépens, dont distraction au profit de Maître Hardouin ;
CONDAMNE la société ADI à payer à l'association UFC-Que Choisir la somme de 50.000 euros sur le fondement de l'article 700 du code de procédure civile.