Cour d’appel de Paris, le 27 février 2026, n°21/00128
La Cour d’appel de Paris, dans un arrêt du 27 février 2026, statue sur l’appel formé contre un jugement du Tribunal judiciaire de Paris du 9 juin 2020. L’affaire oppose une association de consommateurs à une société proposant un service de musique en ligne. L’association avait assigné la société pour faire constater le caractère abusif ou illicite de nombreuses clauses contenues dans les conditions générales d’utilisation et les documents relatifs à la protection des données du service. Le tribunal de première instance avait fait droit à la plupart des demandes de l’association. La société fait appel de cette décision, tandis que l’association forme un appel incident pour obtenir des sanctions supplémentaires et une indemnisation plus élevée. La question principale est de déterminer la recevabilité et le bien-fondé des actions en suppression et en réparation engagées par l’association de consommateurs, notamment au regard du droit de la consommation et du règlement général sur la protection des données.
La Cour commence par examiner les exceptions d’irrecevabilité soulevées par la société. Elle rejette l’argument selon lequel l’association serait irrecevable à agir sur le fondement du droit des données personnelles ou du droit d’auteur. La Cour rappelle que l’article 80.2 du RGPD, transposé à l’article 37 de la loi Informatique et Libertés, habilite expressément les associations agréées à exercer les droits conférés par le règlement. Elle estime également que les demandes relatives aux documents d’information sur la confidentialité ont un lien suffisant avec les prétentions originaires, les griefs initiaux incluant déjà des violations de la réglementation sur les données personnelles. En revanche, la Cour accueille partiellement l’irrecevabilité en constatant que les versions anciennes des documents contractuels ne sont plus en cours d’exécution. Elle relève que la société a substitué de nouvelles clauses aux anciennes, notifiées à l’ensemble des clients. Dès lors, l’action en suppression visant ces clauses obsolètes est irrecevable, l’association n’ayant plus d’intérêt à agir. Cependant, la Cour juge nécessaire d’examiner le caractère abusif ou illicite de ces clauses anciennes pour statuer sur la demande en réparation du préjudice collectif.
Sur le fond, la Cour confirme le caractère illicite et abusif de la plupart des clauses litigieuses. Concernant la clause limitative de responsabilité, elle retient que sa rédaction obscure induit le consommateur en erreur sur le principe de responsabilité de plein droit du professionnel. Elle sanctionne également les clauses de résiliation qui permettent une suspension ou une interruption des services sans préavis ni droit de réponse pour l’utilisateur, créant un déséquilibre significatif. S’agissant des clauses relatives aux données personnelles, la Cour approuve les motifs des premiers juges. Elle estime que la clause autorisant la collecte de données techniques utilise un langage trop vague et ne respecte pas les exigences de transparence et d’information du RGPD. De même, la clause permettant la divulgation de données aux forces de l’ordre sur la base d’une appréciation unilatérale et discrétionnaire de la société est jugée illicite. Enfin, la Cour rejette la demande de l’association tendant à une indemnisation de 200 000 euros pour préjudice collectif, confirmant l’allocation de 20 000 euros accordée en première instance. Elle ordonne la publication de l’arrêt via un lien hypertexte sur les plateformes de la société.
**La confirmation d’une action associative élargie en matière de protection des données**
La Cour d’appel de Paris consolide le rôle des associations de consommateurs dans la défense des droits liés aux données personnelles. Elle écarte l’argument de la société selon lequel l’action de l’association serait limitée aux seules directives énumérées par le droit de la consommation. La Cour affirme que « l’article 80.2 du RGPD, transposé en droit français à l’article 37 de la LIL, habilite expressément les associations agréées à exercer les droits conférés par le règlement ». Cette interprétation étend significativement le champ d’action des associations. Elle reconnaît un droit d’action autonome fondé directement sur le RGPD, indépendant du mandat individuel des personnes concernées. Cette analyse s’inscrit dans la lignée de la jurisprudence de la CJUE, comme l’arrêt Fashion ID, qui confirme la capacité d’action des associations en ce domaine. La Cour rejette ainsi la demande de renvoi préjudiciel, estimant le droit suffisamment clair. Cette position renforce l’effectivité du RGPD en permettant une surveillance privée complémentaire de l’action des autorités de contrôle. Elle offre aux consommateurs une voie de recours collective contre des pratiques opaques de traitement de données.
Par ailleurs, la Cour adopte une conception extensive du lien suffisant entre les demandes. Elle valide la recevabilité des griefs portant sur des documents généraux de politique de confidentialité, au-delà des seules conditions générales du service spécifique. La Cour estime que ces documents « font partie de l’ensemble contractuel auquel le consommateur est soumis ». Cette approche est essentielle dans l’économie numérique où les relations contractuelles sont souvent éclatées entre plusieurs documents. Elle permet de contrôler la cohérence de l’ensemble des engagements du professionnel. Cependant, la Cour opère une distinction temporelle cruciale en déclarant irrecevable l’action en suppression visant des clauses qui ne sont plus en cours d’exécution. Elle rappelle que l’article L. 621-8 du code de la consommation ne permet d’agir que sur des contrats « proposés ou destinés au consommateur ou dans tout contrat en cours d’exécution ». Cette solution préserve la sécurité juridique en évitant de sanctionner des pratiques abandonnées, mais elle limite l’effet dissuasif de l’action en cessation lorsque le professionnel modifie ses clauses pendant la procédure.
**Le contrôle rigoureux des clauses au regard du RGPD et du droit de la consommation**
L’arrêt opère un contrôle approfondi des clauses relatives aux données personnelles au double regard du RGPD et du droit de la consommation. La Cour sanctionne sévèrement le manque de transparence. À propos d’une clause autorisant la collecte de données techniques, elle relève que « le langage vague de la clause constitue une violation du principe de transparence ». Elle considère que des termes comme « données associées » ou « le cas échéant » rendent l’information incompréhensible pour l’utilisateur moyen. Cette exigence de clarté rejoint celle posée par l’article L. 211-1 du code de la consommation. La Cour applique ainsi une lecture cumulative des standards de protection, renforçant le niveau d’exigence. Elle rejette également la tentative de la société de soustraire les données techniques au champ du RGPD par une auto-qualification. La Cour rappelle que la nature personnelle des données s’apprécie objectivement, suivant la définition de l’article 4 du RGPD et la jurisprudence de la CJUE. Cette position empêche les professionnels de contourner le règlement par une rédaction habile.
La Cour manifeste une vigilance particulière à l’égard des clauses accordant des pouvoirs discrétionnaires au professionnel. Elle juge illicite une clause permettant la divulgation de données aux forces de l’ordre lorsque la société « l’estime raisonnablement nécessaire ou approprié ». Un tel pouvoir d’appréciation unilatérale, sans cadre légal précis, méconnaît les exigences de finalité et de limitation des traitements. De même, la Cour condamne les clauses de résiliation qui permettent une suspension sans préavis ni droit de justification pour l’utilisateur. Elle y voit un déséquilibre significatif au sens de l’article L. 212-1 du code de la consommation. Ces solutions illustrent un contrôle substantiel du contenu des clauses, au-delà de leur simple forme. La Cour ne se contente pas de vérifier la présence d’informations mais examine leur intelligibilité et leur équilibre. Cette approche est cohérente avec l’objectif de protection du consommateur dans un environnement numérique où le déséquilibre informationnel est accentué. Elle contribue à imposer des standards élevés de loyauté contractuelle dans les services en ligne.
La Cour d’appel de Paris, dans un arrêt du 27 février 2026, statue sur l’appel formé contre un jugement du Tribunal judiciaire de Paris du 9 juin 2020. L’affaire oppose une association de consommateurs à une société proposant un service de musique en ligne. L’association avait assigné la société pour faire constater le caractère abusif ou illicite de nombreuses clauses contenues dans les conditions générales d’utilisation et les documents relatifs à la protection des données du service. Le tribunal de première instance avait fait droit à la plupart des demandes de l’association. La société fait appel de cette décision, tandis que l’association forme un appel incident pour obtenir des sanctions supplémentaires et une indemnisation plus élevée. La question principale est de déterminer la recevabilité et le bien-fondé des actions en suppression et en réparation engagées par l’association de consommateurs, notamment au regard du droit de la consommation et du règlement général sur la protection des données.
La Cour commence par examiner les exceptions d’irrecevabilité soulevées par la société. Elle rejette l’argument selon lequel l’association serait irrecevable à agir sur le fondement du droit des données personnelles ou du droit d’auteur. La Cour rappelle que l’article 80.2 du RGPD, transposé à l’article 37 de la loi Informatique et Libertés, habilite expressément les associations agréées à exercer les droits conférés par le règlement. Elle estime également que les demandes relatives aux documents d’information sur la confidentialité ont un lien suffisant avec les prétentions originaires, les griefs initiaux incluant déjà des violations de la réglementation sur les données personnelles. En revanche, la Cour accueille partiellement l’irrecevabilité en constatant que les versions anciennes des documents contractuels ne sont plus en cours d’exécution. Elle relève que la société a substitué de nouvelles clauses aux anciennes, notifiées à l’ensemble des clients. Dès lors, l’action en suppression visant ces clauses obsolètes est irrecevable, l’association n’ayant plus d’intérêt à agir. Cependant, la Cour juge nécessaire d’examiner le caractère abusif ou illicite de ces clauses anciennes pour statuer sur la demande en réparation du préjudice collectif.
Sur le fond, la Cour confirme le caractère illicite et abusif de la plupart des clauses litigieuses. Concernant la clause limitative de responsabilité, elle retient que sa rédaction obscure induit le consommateur en erreur sur le principe de responsabilité de plein droit du professionnel. Elle sanctionne également les clauses de résiliation qui permettent une suspension ou une interruption des services sans préavis ni droit de réponse pour l’utilisateur, créant un déséquilibre significatif. S’agissant des clauses relatives aux données personnelles, la Cour approuve les motifs des premiers juges. Elle estime que la clause autorisant la collecte de données techniques utilise un langage trop vague et ne respecte pas les exigences de transparence et d’information du RGPD. De même, la clause permettant la divulgation de données aux forces de l’ordre sur la base d’une appréciation unilatérale et discrétionnaire de la société est jugée illicite. Enfin, la Cour rejette la demande de l’association tendant à une indemnisation de 200 000 euros pour préjudice collectif, confirmant l’allocation de 20 000 euros accordée en première instance. Elle ordonne la publication de l’arrêt via un lien hypertexte sur les plateformes de la société.
**La confirmation d’une action associative élargie en matière de protection des données**
La Cour d’appel de Paris consolide le rôle des associations de consommateurs dans la défense des droits liés aux données personnelles. Elle écarte l’argument de la société selon lequel l’action de l’association serait limitée aux seules directives énumérées par le droit de la consommation. La Cour affirme que « l’article 80.2 du RGPD, transposé en droit français à l’article 37 de la LIL, habilite expressément les associations agréées à exercer les droits conférés par le règlement ». Cette interprétation étend significativement le champ d’action des associations. Elle reconnaît un droit d’action autonome fondé directement sur le RGPD, indépendant du mandat individuel des personnes concernées. Cette analyse s’inscrit dans la lignée de la jurisprudence de la CJUE, comme l’arrêt Fashion ID, qui confirme la capacité d’action des associations en ce domaine. La Cour rejette ainsi la demande de renvoi préjudiciel, estimant le droit suffisamment clair. Cette position renforce l’effectivité du RGPD en permettant une surveillance privée complémentaire de l’action des autorités de contrôle. Elle offre aux consommateurs une voie de recours collective contre des pratiques opaques de traitement de données.
Par ailleurs, la Cour adopte une conception extensive du lien suffisant entre les demandes. Elle valide la recevabilité des griefs portant sur des documents généraux de politique de confidentialité, au-delà des seules conditions générales du service spécifique. La Cour estime que ces documents « font partie de l’ensemble contractuel auquel le consommateur est soumis ». Cette approche est essentielle dans l’économie numérique où les relations contractuelles sont souvent éclatées entre plusieurs documents. Elle permet de contrôler la cohérence de l’ensemble des engagements du professionnel. Cependant, la Cour opère une distinction temporelle cruciale en déclarant irrecevable l’action en suppression visant des clauses qui ne sont plus en cours d’exécution. Elle rappelle que l’article L. 621-8 du code de la consommation ne permet d’agir que sur des contrats « proposés ou destinés au consommateur ou dans tout contrat en cours d’exécution ». Cette solution préserve la sécurité juridique en évitant de sanctionner des pratiques abandonnées, mais elle limite l’effet dissuasif de l’action en cessation lorsque le professionnel modifie ses clauses pendant la procédure.
**Le contrôle rigoureux des clauses au regard du RGPD et du droit de la consommation**
L’arrêt opère un contrôle approfondi des clauses relatives aux données personnelles au double regard du RGPD et du droit de la consommation. La Cour sanctionne sévèrement le manque de transparence. À propos d’une clause autorisant la collecte de données techniques, elle relève que « le langage vague de la clause constitue une violation du principe de transparence ». Elle considère que des termes comme « données associées » ou « le cas échéant » rendent l’information incompréhensible pour l’utilisateur moyen. Cette exigence de clarté rejoint celle posée par l’article L. 211-1 du code de la consommation. La Cour applique ainsi une lecture cumulative des standards de protection, renforçant le niveau d’exigence. Elle rejette également la tentative de la société de soustraire les données techniques au champ du RGPD par une auto-qualification. La Cour rappelle que la nature personnelle des données s’apprécie objectivement, suivant la définition de l’article 4 du RGPD et la jurisprudence de la CJUE. Cette position empêche les professionnels de contourner le règlement par une rédaction habile.
La Cour manifeste une vigilance particulière à l’égard des clauses accordant des pouvoirs discrétionnaires au professionnel. Elle juge illicite une clause permettant la divulgation de données aux forces de l’ordre lorsque la société « l’estime raisonnablement nécessaire ou approprié ». Un tel pouvoir d’appréciation unilatérale, sans cadre légal précis, méconnaît les exigences de finalité et de limitation des traitements. De même, la Cour condamne les clauses de résiliation qui permettent une suspension sans préavis ni droit de justification pour l’utilisateur. Elle y voit un déséquilibre significatif au sens de l’article L. 212-1 du code de la consommation. Ces solutions illustrent un contrôle substantiel du contenu des clauses, au-delà de leur simple forme. La Cour ne se contente pas de vérifier la présence d’informations mais examine leur intelligibilité et leur équilibre. Cette approche est cohérente avec l’objectif de protection du consommateur dans un environnement numérique où le déséquilibre informationnel est accentué. Elle contribue à imposer des standards élevés de loyauté contractuelle dans les services en ligne.