Est-ce qu’un défaut de conformité à la règlementation sur les données personnelles (RGPD) généré par le Prestataire peut justifier la nullité du contrat ?

Est-ce qu’un défaut d’information par le Prestataire avant la signature du contrat est de nature à vicier le consentement du Client ?

 

Ce sont les questions posées à la Cour d’appel de Grenoble qui y a répondu le 12 janvier 2023[1]

Que s’est-il passé ?

En mars 2016, la société « Optique Saint Jacques » signe avec la société « Cometik » (le Prestataire) un contrat de licence d’exploitation d’un site internet, pour une durée fixe de 48 mois. L’agence web « Cometik » était chargée de la création, l’installation et la maintenance du site web dédiée à l’activité d’opticien de son Client.

Un dépôt de cookies était réalisé sur ce site internet et aucune information ni consentement du visiteur de ce site web, n’était prévu, rendant ainsi ce site internet non conforme au RGPD.

En juin 2016, un procès-verbal de réception sans réserve a été signé, ce qui a déclenché l’exigibilité des mensualités.

En octobre 2017, le Client a adressé au Prestataire une demande de résiliation du contrat. Face au refus du Prestataire de rompre le contrat, le Client a cessé de régler les mensualités suivantes.

En juin 2021, le Client, refusant toujours de payer, s’est vu assigné devant le Tribunal de commerce de Grenoble. Ce dernier l’a condamné à payer les mensualités impayées ainsi que l’indemnité de résiliation. La société Optique Saint Jacques fait appel de ce jugement.

Le 12 janvier 2023, la cour d’appel de Grenoble fait droit aux demandes du Client et prononce la nullité du contrat et, en conséquence la restitution des sommes versées. La cour retient une erreur sur les qualités essentielles du contrat dû à la collecte illégale de données personnelles opérée par le site internet créé par le Prestataire.

 

Qu’est-ce qu’une « erreur sur les qualités essentielles du contrat »?

L’article 1133 du Code civil, relatif aux vices du consentement, définit l’erreur sur les qualités essentielles comme étant « celles qui ont été expressément ou tacitement convenues et en considération desquelles les parties ont contracté ». Cet article poursuit en précisant que l’erreur est une cause de nullité du contrat.

En d’autres termes, le fait que le Prestataire n’informe pas le Client de l’utilisation d’un logiciel de dépôts de cookies non conforme au RGPD dans la réalisation du site internet, a trompé le Client sur une qualité essentielle de la prestation. Il s’agissait d’un critère déterminant car Client n’aurait pas contractualisé avec le Prestataire, s’il avait été mis au courant de l’installation de cookies en violation du RGPD, avant la signature dudit contrat.

 

Quels sont les arguments des parties ?

  • 1) Les arguments du Client

La société Optique Saint Jacques fait notamment valoir la nullité du contrat en raison de son objet, puisque le site internet développé est un « instrument de collecte illégale de données personnelles ». Un constat d’huissier relève que le site réalisé par Cometik ne respecte pas la règlementation applicable aux cookies. En effet, des cookies à des fins d’analyse et de marketing étaient déposés systématiquement sur le terminal de l’utilisateur sans avoir obtenu son consentement.

La société Optique Saint Jacques ne pouvait pas s’attendre à ce que le site internet qu’elle a commandé collecte illégalement des données personnelles. Elle n’aurait évidemment pas contracté avec le Prestataire si elle avait su que son Prestataire lui livrerait un site internet non conforme au RGPD. Le Client demande ainsi la nullité du contrat au motif d’une erreur déterminante sur les qualités essentielles du site internet.

  • 2) Les arguments du Prestataire

Le Prestataire fait valoir que le Client ne peut pas invoquer l’erreur sur les qualités essentielles, dans la mesure où « elle n’a formulé aucune réclamation ou contestation sur la collecte de données personnelles ».

Il rajoute qu’aucune erreur n’a été commise puisque la qualité essentielle de la prestation était la création d’un site Internet et que le Client a signé le procès-verbal de réception, reconnaissant ainsi la validité du site au regard du cahier des charges.

Enfin, le Prestataire conteste la validité du constat d’huissier au motif qu’il n’a pas été réalisé par un expert en informatique.

 

La solution retenue par les juges : nullité pour vice du consentement

La cour d’appel prononce la nullité du contrat pour erreur sur une qualité essentielle du site au motif que le Client pouvait « s’attendre légitimement à ce que le site ne collecte pas illégalement des données personnelles ».

Un défaut d’information de la part du Prestataire est caractérisé puisque ce dernier devait informer le Client de l’existence de logiciels permettant l’installation de cookies. Or, selon la cour, le Prestataire ne rapporte pas la preuve de la communication de cette information pourtant déterminante au regard de la responsabilité du Client au regard du RGPD. La Cour souligne d’ailleurs que le contrat mettait à la charge du Client la responsabilité du site internet.

Le fait que le site ait fait l’objet d’une réception sans réserve ni observation ne peut pallier ce manque d’information.

La cour ajoute que le Client, n’étant pas un spécialiste de la matière, n’a pas pu constater ce problème de collectes et d’utilisation de données. Seul le constat réalisé par l’huissier lui a permis de relever ce vice.

Par conséquent, les sommes versées par le Client à l’agence, correspondant aux mensualités litigieuses et à l’indemnité, lui seront reversés.

Que faut-il retenir ?

La décision retenue par les juges de la Cour d’Appel de Grenoble est importante car :

  • Elle souligne l’obligation du Prestataire d’informer son client sur les traitements opérés par le site Internet développé par le Prestataire afin que le Client puisse respecter ses propres obligations
  • Elle met en lumière la nécessaire cohérence entre les termes du contrat et les moyens mis en place dans la réalité : la solution aurait-elle été différente si le contrat n’avait pas mis à la charge du Client la responsabilité pleine et entière de l’exploitation du site internet ? En effet, en l’espèce, le Prestataire n’avait pas mis le Client en situation de remplir cette obligation contractuelle.
  •  Elle confirme la dépendance du Client avec son Prestataire en ce qui concerne la conformité légale des activités du Client.  

Il est donc recommandé notamment de :

  • adapter les contrats à cette réalité et notamment d’insérer dans le Contrat les clauses pertinentes et cohérentes
  • évitera de mettre à la charge de votre partenaire des obligations qui dépendent de vos propres actions
  • rédiger des clauses adaptées au projet, notamment les clauses de recette, de résiliation, de gouvernance et de responsabilité spécifique en matière de compliance, en particulier le RGPD
  • et pourquoi pas, intégrer une clause afin de permettre la remise en cause du contrat dans ces situations sans avoir à aller demander cette nullité au juge.

Quelques questions restent en suspens malgré tout, en particulier :

  • les prestataires sont-ils dans l’obligation de livrer des sites internet et autre logiciels réalisés conformes au RGPD ?
  • La décision aurait-elle été différente si les logiciels utilisés pour les cookies avaient été conformes au RGPD ? ou si le Prestataire avait juste informé le client de l’utilisation de ces logiciels, sans relevé la conformité ou la non-conformité au RGPD ?

 

Claudia Weber, avocat fondateur et Céline Dogan, avocat | ITLAW Avocats

Besoin d’accompagnement pour négocier votre contrat  ? Ou pour gérer un contentieux relatif à la livraison d’un projet non conforme au RGPD ?

Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 26 ans en matière de nouvelles technologies et de protection des données personnelles est à votre disposition pour répondre à vos questions et trouver les solutions adaptées à votre contexte et vos besoins.

ITLAW Avocats met à votre service son expérience et son expertise en la matière.

ITLAW Avocat mobilise ses talents et son expertise en matière de contrats, d’innovation, de projets informatiques complexes, de protection des données personnelles et de propriété intellectuelle  ainsi que sa connaissance de l’écosystème IT  pour vous accompagner dans la sécurisation de vos projets, la gestion des dérapages et votre compliance.

 

[1] Cour d’appel de Grenoble, 12 janvier 2023 n°21-03701

Nous contacter