C’est au cœur de l’été que Twitter a été condamné par le Tribunal de Grande Instance de Paris à modifier les conditions générales d’utilisation de son réseau social en supprimant plus de 250 clauses jugées abusives pour les données personnelles des utilisateurs.
Les clauses concernées sont jugées abusives et/ou illicites. La sanction concerne des clauses des conditions d’utilisation, mais aussi de la « politique de confidentialité » et des « règles de Twitter ». Par ailleurs, Twitter devra payer 30.000 euros de dommages et intérêts. La firme devra aussi mettre le jugement à disposition des consommateurs sur la page d’accueil de sa plateforme. 
1/ Des clauses jugées abusives
Le tribunal a jugé comme abusives les clauses qui considéraient les données personnelles des utilisateurs comme des données « publiques » par défaut. Cette qualification permettait à Twitter d’organiser le libre transfert des données personnelles dans un autre pays.
De plus, en cas de faille de sécurité entraînant une fuite de données, les clauses permettaient à Twitter de se déclarer irresponsable. Ces données étant considérées comme publiques, la firme américaine s’autorisait à copier, adapter, modifier ou vendre les contenus postés par ses utilisateurs en total mépris du droit de propriété intellectuelle protégeant certains contenus. Twitter se réservait aussi le droit d’abuser des comptes utilisateurs en les clôturant de manière unilatérale et sans motivation mais Twitter se permettait aussi de clôturer un compte tout en conservant son nom.
En outre, Twitter s’octroyait le droit de modifier les 25 pages de ses CGU sans en informer les utilisateurs, et ces conditions renvoyaient parfois à des contenus en anglais.
Pour l’anecdote, les conditions d’utilisation ont été modifiées au cours du procès… ce qui n’a pas plus au Tribunal, les modifications allant à l’encontre de ce vers quoi les magistrats s’orientaient. Par ailleurs, les liens hypertextes étaient largement trop utilisés avec pour effet d’empêcher au consommateur d’avoir une vision d’ensemble de ses droits et devoirs.
2/ Les données personnelles reconnues implicitement comme une marchandise
Pour l’UFC-Que Choisir, la première étape a été de faire reconnaître que les données des utilisateurs constituaient une marchandise. L’adhésion au service proposé par le réseau social doit être considérée comme un contrat. En conséquence de ce jugement, il devrait être possible pour les utilisateurs de choisir quand leurs données sont utilisées à des fins commerciales. Il serait donc possible de refuser que ses photos et tweets soient collectés pour créer des publicités ciblées, par exemple.
Le TGI de Paris a reconnu que les utilisateurs français de Twitter ne pouvaient plus être sous le coup de la loi américaine, bien plus libertaire en matière de commercialisation des données personnelles. Notons que Twitter avait, dès septembre 2016, accéder à cette demande (les démarches judicaires à l’encontre de Twitter portaient sur les pratiques datant de 2014, c’est pourquoi de TGI y a répondu).
 
3/ Des sanctions relativement faibles mais à fort symbole
Au-delà de la sanction financière s’élevant à 30.000 euros de dommages et intérêts, Twitter devra aussi mettre le jugement à disposition des consommateurs sur la page d’accueil de sa plateforme. Ce dernier élément à défaut de toucher au portefeuille du géant impactera son image.
Avec la mise en place du RGPD, les sanctions aurait été bien différentes notamment d’un point de vue financier. Dans le cas d’infractions graves liées à la mauvaise application ou au non-respect du RGPD, une amende qui correspond à 4 % du chiffre d’affaires mondial s’agissant des entreprises ou 20 millions d’euros d’amende.
Les infractions en question doivent concerner les dispositions suivantes :

• L’obligation de consentement de la personne concernée avant collecte, traitement ou stockage des données personnelles
• Les autres droits des personnes concernées
• Les transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale
• Toutes les obligations découlant du droit des Etats membres
• Le non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle.

Pour le moment les conditions générales de Twitter n’ont pas été modifiées.
Au-delà de l’aspect financier de ces décisions il apparaît désormais clair qu’une véritable prise de conscience est à l’œuvre.
Ainsi, les différentes autorités françaises et européennes semblent désormais (enfin) prendre la mesure de l’importance d’une réglementation forte des traitements de données à caractère personnelles.
Cette prise de conscience est accompagnée d’un message public clair : il est désormais évident que les abus dans l’utilisation des données personnelles des internautes ne resteront plus impunis, alors que le Règlement européen en matière de données personnelles entre en vigueur en Mai 2018.
Le Cabinet HAAS, fort d’une expertise de plus de vingt ans en droit des nouvelles technologies, bénéficie d’une triple labellisation CNIL et accompagne régulièrement ses clients du secteur public comme du secteur privé dans la mise en conformité de leurs traitements en vue de la sécurisation de ceux-ci.
Le cabinet HAAS propose à ce titre :

• La mise à jour de vos Conditions Générales d’Utilisation et de votre Politique de Confidentialité ;
• L’externalisation de la fonction Correspondant Informatique et Libertés /DPO[11],
• La réalisation d’études d’impact (PIA),
• La formalisation de référentiels sécurité ou encore la dispense de formations relatives à la prévention des risques liés aux cyber menaces dans le cadre d’une offre globale de DataCompliance.

Pour plus d’informations, cliquez-ici.