« Nul ne peut se prévaloir de sa propre turpitude. »
— Adage juridique classique (Nemo auditur propriam turpitudinem allegans)
INTRODUCTION
Les deux premières parties de cette étude ont établi un double constat. D’une part, le juge français ne dispose d’aucun instrument de mesure fiable pour évaluer la commutativité des contrats numériques. D’autre part, la réduction fractionnaire al-muqābala offre un cadre structurel permettant de rendre visible le déséquilibre : pour Meta en Amérique du Nord, la fraction coût du service / revenu extrait de l’utilisateur s’écrit approximativement 5/230, soit environ 1/46 après réduction — là où un contrat commutatif exigerait que cette fraction tende vers 1/1.
Mais le déséquilibre économique, aussi vertigineux soit-il, n’est que le premier étage du problème. Cette troisième partie s’attaque à deux vices structurels plus profonds, qui rendent la réduction fractionnaire elle-même inopérante : le vice d’identité et le vice d’immunité.
Le vice d’identité est simple à formuler : un contrat conclu avec une partie dont l’identité n’est pas vérifiée est un contrat conclu avec un fantôme. L’article 1128 du Code civil exige, pour la validité du contrat, le consentement des parties et leur capacité de contracter. Or, comment vérifier le consentement et la capacité d’une partie dont on ne connaît ni le nom, ni l’âge, ni même l’existence réelle ?
Le vice d’immunité est son corollaire procédural : même lorsque le déséquilibre est mesurable et le dommage avéré, le droit positif — Section 230 du Communications Act américain, directive e-Commerce européenne, et leur transposition en droit français (LCEN) — prive le consommateur de la possibilité d’agir en justice contre la plateforme. En termes d’algèbre contractuelle, l’immunité supprime un terme de l’équation : il ne reste que 3 = 7, c’est-à-dire une équation sans solution — exactement le résultat qu’Al-Khwārizmī identifiait comme impossible.
TITRE I — LE FANTÔME CONTRACTUEL : L’IDENTITÉ COMME CONDITION DE LA COMMUTATIVITÉ
L’économie numérique a inventé un objet juridique sans précédent : le contrat conclu avec un cocontractant dont l’identité réelle est inconnue. Il convient d’en mesurer les conséquences tant sur la formation du contrat que sur la responsabilité des plateformes.
A / Le contrat sans identité : un vice de formation
Lorsqu’un utilisateur crée un compte sur une plateforme de type GAFAM, le processus d’inscription se résume généralement à trois éléments : un pseudonyme, une adresse électronique et un mot de passe. Aucune vérification d’identité réelle n’est exigée. Un individu peut ouvrir un compte sous le nom de « Jean Dupont » avec une adresse courriel jetable (« poubelle » dans le langage courant) et commencer immédiatement à publier des contenus, y compris des contenus illicites.
Ce choix n’est pas un oubli technique. C’est un choix économique délibéré. Exiger une vérification d’identité — pièce d’identité, numéro de téléphone vérifié, adresse physique — créerait une « friction » à l’inscription qui réduirait le nombre de nouveaux comptes. Or, la croissance du nombre d’utilisateurs est la variable centrale du modèle d’affaires des plateformes, car c’est elle qui détermine l’ARPU (Average Revenue Per User) et, par conséquent, la valorisation boursière.
Or, en droit français, l’article 1128 du Code civil exige trois conditions cumulatives pour la validité d’un contrat : le consentement des parties, leur capacité de contracter et un contenu licite et certain. La capacité de contracter suppose l’existence juridique de la partie, ce qui implique, a minima, son identification. Comment un mineur de quatorze ans peut-il valablement consentir à un contrat de cession de données personnelles si la plateforme ne vérifie pas son âge ? Comment un individu utilisant une identité fictive peut-il être tenu par ses obligations contractuelles ?
Le droit des vices du consentement (articles 1130 et suivants du Code civil) offre un éclairage supplémentaire. L’erreur sur la personne du cocontractant est un vice du consentement lorsque la considération de la personne est déterminante. Dans le cas des plateformes, la plateforme pourrait arguer que l’identité de l’utilisateur lui est indifférente. Mais c’est précisément cette indifférence qui constitue le problème : elle signifie que la plateforme accepte de contracter avec n’importe qui, y compris avec des entités juridiquement incapables ou inexistantes, pourvu que ses données soient exploitables.
L’obligation précontractuelle d’information (article 1112-1 du Code civil) renforce cette analyse. Si la plateforme ne demande pas l’identité réelle de son cocontractant, comment peut-elle satisfaire à son obligation d’informer « la partie qui connaît une information dont l’importance est déterminante pour le consentement de l’autre » ? La plateforme ne sait même pas à qui elle s’adresse.
B / La preuve par l’hébergeur : un véritable hébergeur ne contracte pas avec des fantômes
L’argument décisif tient dans la comparaison avec un véritable hébergeur. Une entreprise d’hébergement web — OVHcloud, PlanetHoster, Amazon Web Services dans sa fonction d’infrastructure — ne saurait se contenter d’un pseudonyme et d’un courriel jetable pour ouvrir un compte. Pourquoi ? Parce qu’il y a facturation. Un hébergeur facture un service ; il a donc besoin d’une identité bancaire, d’une adresse de facturation, d’un identifiant fiscal. La relation commerciale suppose la traçabilité juridique du cocontractant.
Les plateformes de type GAFAM, en revanche, ne facturent pas l’utilisateur en argent — elles le facturent en données. Le service est présenté comme « gratuit », ce qui dispense la plateforme de la vérification d’identité inhérente à toute relation commerciale. Mais cette gratuité est une fiction juridique : le RGPD lui-même reconnaît que les données personnelles constituent une contrepartie réelle. Si la contrepartie est réelle, le contrat est onéreux — et un contrat onéreux suppose l’identification des parties.
Il en résulte une contradiction fondamentale : les GAFAM se présentent comme des « hébergeurs » pour bénéficier de l’immunité juridique attachée à ce statut, mais ils ne respectent pas la condition la plus élémentaire de l’hébergement : la vérification de l’identité du client. Un hébergeur qui accepterait de louer un serveur à un inconnu sans vérification d’identité serait considéré comme négligent. Les plateformes, elles, en font un modèle d’affaires.
De surcroît, le RGPD exige à son article 5, § 1, d) que les données à caractère personnel soient « exactes et, si nécessaire, tenues à jour ». Comment une plateforme qui n’exige aucune vérification d’identité à l’inscription peut-elle garantir l’exactitude des données qu’elle collecte, traite et monétise ? L’inexactitude volontairement tolérée contrevient au principe même qui fonde la liceité du traitement.
L’exemple du scandale Cambridge Analytica
Le cas Cambridge Analytica (2018) illustre tragiquement cette faille. Les données de 87 millions d’utilisateurs de Facebook ont été exploitées à des fins de manipulation électorale, par l’intermédiaire d’une application tierce (« thisisyourdigitallife ») dont le développeur avait pu accéder aux données sans que ni les utilisateurs, ni Facebook n’aient vérifié l’identité réelle du cessionnaire. L’absence de vérification d’identité n’a pas seulement facilité l’abus — elle en a été la condition.
De même, la FTC américaine a sanctionné Epic Games (éditeur de Fortnite) à hauteur de 520 millions de dollars en décembre 2022 pour des violations massives de la protection des enfants en ligne. Le coeur du problème était identique : l’absence de vérification d’âge à l’inscription permettait à des mineurs d’être exposés à des contenus et à des interactions inappropriés.
TITRE II — L’IMMUNITÉ COMME OBSTRUCTION À LA RÉDUCTION : DE LA SECTION 230 AU DSA
Le vice d’identité analysé au Titre I ne serait qu’un problème contractuel isolable s’il n’était doublé d’un vice procédural : l’impossibilité pour le consommateur d’obtenir réparation. C’est la question de l’immunité des plateformes.
A / La Section 230 : une immunité fondée sur une qualification erronée
La Section 230(c)(1) du Communications Decency Act de 1996 dispose qu’aucun fournisseur de service informatique interactif ne peut être traité comme l’éditeur ou le locuteur d’une information fournie par un tiers. Cette immunité a été confortée par la Cour suprême américaine dans l’arrêt Gonzalez v. Google LLC (2023), qui a refusé de restreindre sa portée, renvoyant la question au Congrès.
Cinq raisons fondent cette immunité, énoncées par le législateur de 1996 : la rapidité du développement des services, le contrôle de l’information par l’utilisateur, la diversité du discours politique, la croissance des services avec un minimum de régulation, et la dépendance croissante des citoyens envers les médias interactifs. Trente ans plus tard, chacune de ces raisons s’est retournée contre son objet.
La rapidité du développement a produit non pas une atomicité concurrentielle, mais un oligopole de cinq acteurs qui contrôlent la quasi-totalité du marché publicitaire en ligne. Le contrôle de l’information par l’utilisateur est devenu illusoire face à des algorithmes de recommandation dont le fonctionnement est opaque. La diversité du discours politique est menacée par les bulles de filtre et la désinformation algorithmique. Le minimum de régulation est devenu un maximum d’immunité. Et la dépendance des citoyens, loin d’être un bénéfice, constitue précisément le problème.
La qualification même de « fournisseur de service informatique interactif » est en cause. En droit commercial français, celui qui exerce habituellement des actes de commerce est un commerçant, soumis à une obligation d’immatriculation et à un devoir de diligence envers ses clients et les tiers. Les plateformes ne sont pas de simples « tuyaux » passifs : elles organisent, hiérarchisent, recommandent et monétisent les contenus de tiers. Elles exercent une activité éditoriale de fait, tout en revendiquant le statut d’hébergeur de droit.
La Cour de justice de l’Union européenne l’a reconnu dans l’arrêt YouTube et Cyando du 22 juin 2021 : la plateforme qui joue un « rôle actif » dans l’organisation des contenus ne peut se prévaloir de l’immunité de l’hébergeur passif. Mais cette jurisprudence reste d’application incertaine, et surtout elle ne s’applique pas aux États-Unis, où la Section 230 continue de protéger les plateformes de manière quasi absolue.
Le paradoxe du filtre parental
La Section 230 elle-même, à son alinéa (d), impose aux fournisseurs de services informatiques d’informer leurs clients de l’existence de « protections de contrôle parental (telles que matériel informatique, logiciel ou services de filtrage) ». Si la loi reconnaît l’existence de technologies de filtrage, comment les plateformes peuvent-elles arguer de l’impossibilité technique de contrôler les contenus des tiers ?
L’évolution récente du droit européen confirme que cette impossibilité est un choix économique, non une fatalité technique. En France, la loi SREN du 21 mai 2024 et le référentiel ARCOM de vérification d’âge imposent désormais aux sites à caractère pornographique de mettre en place des systèmes de vérification d’âge effectifs. Si la technologie existe pour filtrer l’accès à des sites pornographiques, elle existe a fortiori pour vérifier l’identité d’un utilisateur à l’inscription. Le refus des GAFAM de l’appliquer n’est pas un obstacle technique ; c’est un arbitrage budgétaire au détriment de la sécurité.
B / L’externalisation du risque social : privatisation des profits, socialisation des coûts
L’immunité juridique des plateformes produit un effet systémique que l’on peut décrire en termes économiques simples : les plateformes privatisent les profits et socialisent les risques. Elles extraient la valeur des données personnelles (« nous opérons ») et renvoient aux États la charge de gérer les conséquences de cette extraction (« vous vous débrouillez avec vos lois de police »).
Ce mécanisme est d’autant plus choquant que les mêmes plateformes participent activement à l’édiction des lois qui les protègent. Le lobbying des GAFAM est documenté : selon les données d’OpenSecrets, les cinq principales entreprises technologiques américaines ont dépensé plus de 70 millions de dollars en lobbying fédéral en 2023 à elles seules. Elles agissent comme des citoyens quand il s’agit d’écrire la loi, mais refusent la responsabilité du citoyen quand il s’agit de la respecter.
La question la plus sérieuse qui se pose est celle de la responsabilité pénale des personnes morales. En droit français, l’article 121-2 du Code pénal dispose que les personnes morales sont responsables pénalement des infractions commises pour leur compte par leurs organes ou représentants. Si une entreprise de transport est pénalement responsable lorsque son véhicule mal entretenu cause un accident, pourquoi une plateforme ne serait-elle pas pénalement responsable lorsque son algorithme — son outil de travail — facilite la diffusion massive de contenus criminels ?
Le Digital Services Act européen (DSA, Règlement 2022/2065) tente de corriger ce déséquilibre en imposant aux très grandes plateformes des obligations de gestion des risques systémiques et des mécanismes de signalement et de retrait. C’est un progrès réel. Mais le DSA reste dans une logique de régulation administrative — il n’ouvre pas véritablement le droit à l’action individuelle du consommateur contre la plateforme pour déséquilibre contractuel. Le consommateur peut signaler un contenu illicite ; il ne peut pas contester les termes mêmes du contrat qui a permis ce contenu.
L’exemple de la CNIL et de Meta
La délibération de la CNIL du 15 septembre 2022, sanctionnant Meta à hauteur de 60 millions d’euros pour impossibilité de refuser les cookies, illustre le paradoxe. La sanction est administrative, non contractuelle. L’utilisateur dont les données ont été indûment traitées ne reçoit rien. L’amende est versée à l’État, pas au consommateur lésé. Le déséquilibre contractuel (1/46) persiste après la sanction : la plateforme paie l’amende et continue d’extraire la même valeur.
TITRE III — VERS UNE RESPONSABILITÉ CONTRACTUELLE FONDÉE SUR LA COMMUTATIVITÉ
Les deux vices identifiés — identité fantôme et immunité procédurale — ne sont pas des problèmes indépendants. Ils forment un système : l’absence de vérification d’identité maximise le nombre d’utilisateurs et donc le profit, tandis que l’immunité empêche toute correction juridique de ce déséquilibre. Pour sortir de cette impasse, il faut repenser la responsabilité des plateformes à partir du principe de commutativité lui-même.
A / La bonne foi contractuelle comme fondement de la responsabilité
L’article 1104 du Code civil, dans sa rédaction issue de l’ordonnance de 2016, dispose que « les contrats doivent être négociés, formés et exécutés de bonne foi ». Cette obligation de bonne foi est d’ordre public : les parties ne peuvent y déroger par convention.
Or, la bonne foi suppose, au minimum, que chaque partie fasse un effort raisonnable pour connaître son cocontractant et pour fournir une contrepartie équilibrée. Une plateforme qui accepte délibérément de contracter avec des identités non vérifiées, tout en sachant que cette absence de vérification facilite les abus et la commission d’infractions, manque à son obligation de bonne foi dans la formation du contrat.
Ce manquement à la bonne foi est aggravé par l’asymétrie d’information. La plateforme connaît son modèle économique ; l’utilisateur ne le connaît pas. La plateforme sait que l’ARPU moyen est de 230 dollars par an en Amérique du Nord ; l’utilisateur pense que le service est « gratuit ». La plateforme sait que les données seront agrégées, profilées et revendues à des annonceurs ; l’utilisateur accepte des conditions générales de quatre-vingts pages qu’il n’a pas lues et qu’il ne peut pas négocier.
La CJUE, dans sa décision Meta Platforms c/ Bundeskartellamt du 4 juillet 2023, a ouvert une voie prometteuse en jugeant que l’autorité de concurrence peut tenir compte de la conformité au RGPD pour apprécier l’abus de position dominante. Ce croisement entre droit de la concurrence et droit des données personnelles confirme que le déséquilibre contractuel des plateformes n’est pas seulement un problème de droit civil — c’est un problème de marché.
B / La réduction fractionnaire comme fondement du recours individuel
La réduction fractionnaire al-muqābala, exposée dans les Parties I et II, fournit au juge l’outil qui lui manque pour passer du diagnostic à la sanction. Si la fraction coût du service / revenu extrait ne se réduit pas à 1/1, le juge dispose d’un indice objectif de déséquilibre. Mais encore faut-il que le juge puisse être saisi.
Le RGPD, à son considérant 42, dispose que le consentement ne devrait pas être considéré comme ayant été donné librement s’il existe un « déséquilibre manifeste » entre la personne concernée et le responsable du traitement. Mais comment mesurer ce déséquilibre ? Le RGPD ne le dit pas. La réduction fractionnaire fournit précisément cette mesure.
Concrètement, le mécanisme pourrait s’articuler en trois temps. Premier temps : le consommateur saisit le juge en invoquant le déséquilibre significatif (article 1171 du Code civil) ou l’absence de bonne foi (article 1104). Deuxième temps : le juge ordonne à la plateforme de communiquer les données nécessaires au calcul de la fraction — ARPU, coût marginal par utilisateur, volume de données collectées. Les rapports annuels (Form 10-K) déposés auprès de la SEC fournissent déjà une partie de ces données ; une expertise judiciaire pourrait combler le reste. Troisième temps : le juge procède à la réduction de la fraction et constate, le cas échéant, que le rapport s’éloigne significativement de 1/1.
La sanction pourrait prendre plusieurs formes : la nullité des clauses créant le déséquilibre (article 1171), la réparation du préjudice subi par l’utilisateur (dommages-intérêts fondés sur la différence entre la valeur extraite et la valeur du service rendu), ou la révision judiciaire du contrat pour rétablir l’équilibre. Dans les cas les plus graves — exploitation de données de mineurs, diffusion de contenus criminels facilitée par l’absence de vérification d’identité — la responsabilité pénale de la personne morale pourrait être engagée sur le fondement de l’article 121-2 du Code pénal.
L’al-muqābala comme al-jabr : restaurer l’équilibre
En termes d’algèbre d’Al-Khwārizmī, la situation actuelle est celle d’une équation déséquilibrée où l’un des termes a été supprimé. La Section 230, en privant le consommateur de son droit d’action, supprime le x de l’équation x - 3 = 7. Il ne reste que 3 = 7, c’est-à-dire une égalité impossible — précisément ce qu’Al-Khwārizmī identifiait comme le résultat d’une réduction sans solution.
L’al-jabr (« restauration ») consiste alors à rétablir le terme supprimé : restituer au consommateur son droit d’action, afin que le juge puisse procéder à l’al-muqābala (la réduction de l’équation contractuelle à son expression la plus simple). Sans al-jabr, pas d’al-muqābala. Sans droit d’action, pas de mesure du déséquilibre. Sans mesure, pas de justice commutative.
CONCLUSION
Le fantôme dans le contrat n’est pas une métaphore. C’est une réalité juridique quotidienne. Des milliards de contrats numériques sont conclus chaque jour entre des plateformes qui ne vérifient pas l’identité de leurs cocontractants, et des utilisateurs qui ne connaissent ni la nature, ni la valeur de ce qu’ils cèdent. Le contrat est formé entre un acteur transparent (la plateforme, dont les comptes sont publics) et un fantôme (l’utilisateur, dont l’identité n’est pas vérifiée) — mais c’est le fantôme qui paie.
L’immunité juridique des plateformes, héritée de la Section 230 américaine et transposée en droit européen par la directive e-Commerce, constitue une obstruction à la réduction fractionnaire : elle empêche le juge de procéder à l’al-muqābala parce qu’elle prive le consommateur du droit de saisir le juge. Le DSA européen est un progrès, mais il reste dans une logique de régulation publique — il ne restitue pas au consommateur son droit d’action contractuelle.
La proposition de cette troisième partie est que le dépassement de cette impasse passe par le retour à l’article 1104 du Code civil : la bonne foi et la commutativité comme fondements autonomes de la responsabilité des plateformes. Le juge français dispose déjà des outils textuels nécessaires (articles 1104, 1112-1, 1128, 1171 du Code civil). Il lui manque l’instrument de mesure. La réduction fractionnaire al-muqābala est cet instrument.
Le mètre étalon existe dans le Code civil. La règle graduée existe dans l’algèbre d’Al-Khwārizmī. Il reste à opérer l’al-jabr : restaurer le droit d’action du consommateur, pour que le juge puisse enfin vérifier si 1 = 1 ou si 3 = 7.
Auteur
Miguel Vidal Bravo-Jandia
Master II en Droit — Paris II Panthéon-Assas / UFR Montpellier I
RÉFÉRENCES ET SOURCES
Textes législatifs et réglementaires
→ Art. 1104 Code civil — Bonne foi et contrats commutatifs
→ Art. 1112-1 Code civil — Obligation précontractuelle d’information
→ Art. 1128 Code civil — Conditions de validité du contrat
→ Art. 1130 Code civil — Vices du consentement
→ Art. 1171 Code civil — Déséquilibre significatif dans le contrat d’adhésion
→ Art. 121-2 Code pénal — Responsabilité pénale des personnes morales
→ RGPD — Règlement (UE) 2016/679
→ DSA — Règlement (UE) 2022/2065
→ LCEN — Loi n° 2004-575 du 21 juin 2004
→ Directive e-Commerce — 2000/31/CE
→ Communications Decency Act, Section 230 (U.S. Code)
→ Loi SREN n° 2024-449 du 21 mai 2024
Jurisprudence
→ CJUE, 4 juill. 2023, Meta Platforms c/ Bundeskartellamt, C-252/21
→ CJUE, 22 juin 2021, YouTube et Cyando, C-682/18 et C-683/18
→ U.S. Supreme Court, Gonzalez v. Google LLC, 598 U.S. 617 (2023)
→ CNIL, délib. SAN-2022-023, 15 septembre 2022 (Meta/Facebook)
→ FTC, In the Matter of Epic Games, Inc. (décembre 2022)
Doctrine et sources académiques
Al-Khwārizmī, Kitāb al-mukhtasar fī hisāb al-jabr wa’l-muqābala, circa 820.
M. Vidal Bravo-Jandia, « Notion et rôle de l’abus dans la détermination unilatérale du prix », Mémoire Master II, Paris II Panthéon-Assas, 1998.
M. Vidal Bravo-Jandia, « La Commutativité à l’Épreuve du Numérique », Parties I et II, Digital Synapse Exchange, avril 2026.
M. Vidal Bravo-Jandia, « Communication Act — The Good Samaritan — Section 230 — A Policy Misclassified », Consumption & Competition Gazette, Digital Synapse Exchange, juillet 2025.
Rapports financiers et données
→ SEC EDGAR — Meta Platforms, Inc. (Form 10-K)
→ SEC EDGAR — Alphabet, Inc. (Form 10-K)
→ OpenSecrets — Tech Industry Lobbying Data