Contrat informatique : le prestataire de création d'un site Internet doit assurer les moyens de respecter le RGPD
CA Grenoble., 12 janvier 2023, n° 21-03701
Les contrats de prestation informatique soulèvent, la plupart du temps, des difficultés d’interprétation quant à l’étendue des obligations du prestataire, des délais impartis et de l’obligation de coopération du client. Lorsque l’objet de la prestation informatique consiste en la création et la fourniture d’un site Internet destiné au public, les parties ne peuvent ignorer complètement la conformité à la réglementation sur les données personnelles.
Une décision de la Cour d'appel de Grenoble du 12 janvier 2023 a annulé un contrat de création de site web en utilisant pour la première fois des motifs tirés de la méconnaissance du RGPD.
Dans cette affaire, une société ayant commandé à un prestataire la création, l'installation et la maintenance d'un site Internet dédié à son activité professionnelle avait cessé le versement des mensualités plus d’un an après la signature du contrat et du procès-verbal de réception du site Internet sans réserves particulières.
Assigné en paiement des mensualités échues par le prestataire, le client réclamait, à titre reconventionnel, l’annulation du contrat de prestations informatiques au motif d’une erreur commise sur une des qualités substantielles du contrat conformément aux anciens articles 1109 et 1110 du Code civil. En effet, le client estimait ne pas avoir été informé que le site Internet livré collectait des données personnelles des internautes de manière illégale au moyen du dépôt de cookies sur le poste informatique de ces derniers y compris sans consentement exprès, ni poursuite de la navigation sur le site. Il était ajouté que le site utilisait également le service Google Analytics, pourtant estimé illicite par la CNIL dans la mesure où la collecte de données personnelles au moyen de cookies publicitaire aboutissait à leur transfert hors de l’Union européenne. Ce faisant, le client, en tant qu’entité responsable du site Internet, s’exposait à des sanctions pénales (art. 226-16 du Code pénal).
Ces arguments sont validés par la cour d’appel. Constatant que le traitement de données personnelles implémenté par le prestataire est illicite, elle en déduit que le client aurait dû être informé du principe et des modalités de ce traitement susceptible d’entraîner l’engagement de sa responsabilité civile ou pénale. Les juges ajoutent que la réception sans réserve du site était indifférente puisque le client, n’étant pas un « spécialiste en la matière » aurait dû recevoir une information claire de la part du prestataire.
Les contrats de prestation informatique soulèvent, la plupart du temps, des difficultés d’interprétation quant à l’étendue des obligations du prestataire, des délais impartis et de l’obligation de coopération du client. Lorsque l’objet de la prestation informatique consiste en la création et la fourniture d’un site Internet destiné au public, les parties ne peuvent ignorer complètement la conformité à la réglementation sur les données personnelles.
Une décision de la Cour d'appel de Grenoble du 12 janvier 2023 a annulé un contrat de création de site web en utilisant pour la première fois des motifs tirés de la méconnaissance du RGPD.
Dans cette affaire, une société ayant commandé à un prestataire la création, l'installation et la maintenance d'un site Internet dédié à son activité professionnelle avait cessé le versement des mensualités plus d’un an après la signature du contrat et du procès-verbal de réception du site Internet sans réserves particulières.
Assigné en paiement des mensualités échues par le prestataire, le client réclamait, à titre reconventionnel, l’annulation du contrat de prestations informatiques au motif d’une erreur commise sur une des qualités substantielles du contrat conformément aux anciens articles 1109 et 1110 du Code civil. En effet, le client estimait ne pas avoir été informé que le site Internet livré collectait des données personnelles des internautes de manière illégale au moyen du dépôt de cookies sur le poste informatique de ces derniers y compris sans consentement exprès, ni poursuite de la navigation sur le site. Il était ajouté que le site utilisait également le service Google Analytics, pourtant estimé illicite par la CNIL dans la mesure où la collecte de données personnelles au moyen de cookies publicitaire aboutissait à leur transfert hors de l’Union européenne. Ce faisant, le client, en tant qu’entité responsable du site Internet, s’exposait à des sanctions pénales (art. 226-16 du Code pénal).
Ces arguments sont validés par la cour d’appel. Constatant que le traitement de données personnelles implémenté par le prestataire est illicite, elle en déduit que le client aurait dû être informé du principe et des modalités de ce traitement susceptible d’entraîner l’engagement de sa responsabilité civile ou pénale. Les juges ajoutent que la réception sans réserve du site était indifférente puisque le client, n’étant pas un « spécialiste en la matière » aurait dû recevoir une information claire de la part du prestataire.
