La non-conformité au RGPD constitue un nouveau motif d’annulation d’un contrat

Au regard du Code civil, la validité d’un contrat suppose la réunion de trois éléments cumulatifs que sont :

  1. Le consentement des parties
  2. Leur capacité de contracter
  • Et un contenu licite et certain

Ce consentement est défini, d’une part, par l’existence d’un consentement, autrement dit par le fait d’être sain d’esprit, être exempté de tout trouble mental. Et d’autre part, il ne faut pas que le consentement soit vicié. En ce sens, le Code civil énumère trois vices du consentement : l’erreur, le dol et la violence.

L’erreur est un vice du consentement lorsque, sans elle, l’une des parties n’aurait pas contracté ou aurait contracté à des conditions substantiellement différentes. L’erreur ne doit pas inexcusable et peut porter tant sur les qualités essentielles de la prestation due que sur le cocontractant.

Ainsi, l’article 1133 alinéa 1 du Code civil définit l’erreur sur les qualités essentielles comme : « […] celles qui ont été expressément ou tacitement convenues et en considération desquelles les parties ont contracté »

******

 

Par un arrêt du 12 janvier 2023, la Cour d’appel de Grenoble a, pour la première fois, annulé un contrat de licence d’exploitation d’un site internet pour erreur sur les qualités essentielles, estimant qu’une société pouvait légitimement s’attendre à ce que le prestataire informatique ne collecte pas illégalement des données personnelles.

Dans cette affaire, une société d’Optique avait missionné un prestataire spécialisé dans la création, l’installation et la maintenance de sites internet pour développer son propre site internet dédié à son activité professionnelle.

Pour ce faire, un contrat de licence d’exploitation de 48 mois a été conclu entre les parties, pour que le prestaire lui gère le back-office d’exploitation.

N’étant pas satisfaite du site internet, la cliente a décidé de rompre le contrat et a arrêté de payer les mensualités afférentes. Ce que le prestataire informatique n’a pas vu d’un bon œil.

Conjointement avec son entreprise de leasing, il a alors assigné le magasin d’optique en paiement de ses échéances de licence impayées.

En première instance, la cliente a été condamnée à verser les indemnités et a fait appel.

L’appelante, dans un bouquet de prétentions, s’est notamment plainte de ce que le site créé et exploité ne prévoyait aucun traitement conforme de collecte des données personnelles en violation du RGPD.  À ce titre notamment, elle sollicitait la nullité du contrat de licence d’exploitation.

En effet, selon l’économie de l’opération, la cliente demeurait responsable de traitement des données personnelles au sens du RGPD.

Or, un constat d’huissier a mis en avant l’existence de cookies installés sans le consentement de l’utilisateur du site internet.

De plus, la politique de confidentialité du site internet prévoyait qu’aucune donnée personnelle n’était collectée sans accord préalable, ce qui n’était pas le cas en réalité.

En conséquence, le site internet conçu ne respectait pas le régime de collecte et l’utilisation des données personnelles des utilisateurs tel qu’exigé par le Règlement général sur la protection des données du 27 avril 2016 (dit « RGPD »), impérativement applicable en Europe depuis le 25 mai 2018.  En vertu de celui-ci en effet, les utilisateurs doivent avoir un contrôle et notamment d’en comprendre le traitement, la collecte et le stockage sur leurs données.

La Cour d’appel a été réceptive à cet argument.

Elle a considéré que la cliente devait être informée par le prestataire informatique de l’existence de logiciels permettant l’installation de cookies nécessaires à l’utilisation des données personnelles.

Elle a caractérisé comme qualité essentielle au sens du Code civil, dans un contrat de licence d’exploitation, la conformité du site internet commandé par un client à un prestataire informatique. Ce dernier, professionnel de l’informatique, ne peut ignorer les réglementations vitales qui s’imposent à l’activité des sites qu’on lui demande de créer.

Par ailleurs, la Cour a souligné plusieurs éléments de contexte pertinents, à savoir :

  • Que la cliente n’était pas une spécialiste en matière des données personnelles ;
  • Qu’un procès-verbal de réception du site sans réserve effectué n’exemptait pas le problème de la collecte et de l’utilisation des données. Car seul le constat d’huissier a permis de mettre en exergue cette anomalie.

Ainsi, la Cour d’appel a prononcé la nullité du contrat de licence d’exploitation pour erreur sur une qualité essentielle du site internet.

Celui qui s’engage à la création d’un site clef en main pour un client ne peut légitimement ignorer le « RGPD » qui désormais domine toute activité internet. Il ne peut ainsi prétendre proposer un site clef en main qui n’y soit pas compatible.

Concrètement, face à un tel site, la responsabilité civile encourue se doublerait d’une responsabilité pénale du dirigeant social – passible de cinq ans d’emprisonnement et de 300.000 euros d’amende.

Dès lors, lorsque vous souhaitez faire concevoir votre site internet, veillez à bien lire le contrat de licence d’exploitation et notamment de prévoir une clause de responsabilité à la charge du prestataire informatique, si ce dernier ne vous assure pas de la parfaite conformité au RGPD du site qu’il s’engage à vous livrer clef en main.

Ces actualités pourraient également vous intéresser
L’Actu by NMCG – Mars 2024
L'actu by NMCG
L'Actu by NMCG - Mars 2024
Les Distinctions