1/ En l’espèce, le 22 mars 2016, une société X exerçant l’activité d’opticien a commandé auprès d’une société Y la création, l’installation et la maintenance d’un site internet dédié à son activité professionnelle. Elle signait à cette fin le bon de commande ainsi qu’un cahier des charges.
Parallèlement, un contrat de licence d’exploitation du site a été conclu pour une durée de 48 mois.
2/ Le 9 juin 2016, un procès-verbal de réception sans réserve a été régularisé, déclenchant ainsi l’exigibilité des mensualités.
3/ Le 17 octobre 2017, la Société X a adressé à la société Y une demande de résiliation de contrat, et a cessé à compter du 1er novembre 2017 de régler ses mensualités.
Après avoir mis deux fois en demeure la société X aux fins notamment de régler les mensualités, l’indemnité de résiliation et les pénalités de retard, la société Y, via une société de recouvrement, l’a assignée devant le Tribunal de commerce de Grenoble.
Après avoir été condamnée en première instance par le Tribunal de commerce de Grenoble, la société X a fait appel de la décision aux fins, notamment, de faire prononcer l’annulation du contrat de licence d’exploitation conclu avec la société Y.
Plusieurs fondements étaient invoqués à l’appui de leurs demandes, notamment liés au droit de la consommation. Seul celui relatif aux méconnaissances des règles du RGPD retiendra notre attention.
La Cour d’appel de Grenoble [1] a en effet annulé le contrat en cause pour erreur sur les qualités essentielles en faisant référence à des principes du RGPD (I). Cet arrêt vient nous apporter ainsi des enseignements intéressants sur l’articulation du RGPD et des règles de droit des contrats pur (II).
I. La nullité du contrat prononcée par la cour d’appel.
Nous noterons que la Cour d’appel de Grenoble se fonde sur deux blocs de dispositions du Code civil, à savoir :
1/ Les articles 1109 et 1110 anciens du Code civil, relatifs à l’erreur
2/ Les articles 1132 anciens et suivants du Code civil relatifs à la cause.
L’article 1109 du Code civil disposait dans sa rédaction ancienne :
« Il n’y a point de consentement valable si le consentement n’a été donné que par erreur ou s’il a été extorqué par violence ou surpris par dol ».
L’article 1110 précisait pour sa part que : « L’erreur n’est une cause de nullité de la convention que lorsqu’elle tombe sur la substance même de la chose qui en est l’objet ».
Concernant la cause dans les contrats, il est constant que l’obligation sur une cause illicite, ne peut avoir aucun effet. Etant précisé que « la cause est illicite, quand elle est prohibée par la loi, quand elle est contraire aux bonnes mœurs ou à l’ordre public » (article 1133 ancien du Code civil).
La Cour d’appel de Grenoble relève tout d’abord que le contrat de licence d’exploitation mettait à la charge de la société X la responsabilité de toutes les conséquences résultant de l’utilisation du site créé et mis en service par la société Y.
Elle relève également, grâce à un constat d’huissier diligenté par la société X, que des cookies étaient déposés sur le site internet de la société X, sans que cette dernière n’en ait été informée puisqu’aucune clause en ce sens n’avait été insérée dans le contrat.
Pire encore, il résulte de ce constat d’huissier que :
si un message avertit le visiteur de l’existence de cookies, qu’il peut refuser, il accepte en revanche en naviguant sur le site, l’utilisation de cookies destinés à lui proposer des services adaptés à ses centres d’intérêt ;
ayant validé cette invitation, l’huissier a alors constaté que sept cookies avaient été installés sans son consentement ;
le formulaire de contact, sollicitant la fourniture d’informations personnelles, n’a prévu aucune information concernant la collecte, le traitement ou la protection de ces données ;
après avoir consulté les mentions légales figurant sur le site, il a relevé que six nouveaux cookies avaient été installés, outre un cookie provenant de Google, sans son accord.
Ce constat d’huissier permettait en conséquence de mettre en lumière l’illégalité de la collecte et de l’utilisation des données personnelles des internautes.
Rappelons en effet que conformément au RGPD et à la Loi informatique et liberté, l’éditeur d’un site internet est dans l’obligation (i) d’informer les internautes naviguant sur son site, de manière claire et complète, de la finalité des cookies déposés sur son terminal et de (ii) recueillir leur consentement express avant tout dépôt de cookies.
Or, force est de constater que la règlementation n’était pas respectée sur ces points.
Par ailleurs, la cour d’appel relève, à bon droit, que la société X
« étant selon le contrat conclu avec la société Y, rendue responsable de la collecte devait être informée par le prestataire informatique de l’existence de logiciels permettant l’installation de cookies destinés à utiliser de telles données ».
Or, la société Y ne rapportait pas la preuve de la communication de cette information, pourtant déterminante pour la société X puisque la cour d’appel relevait en effet qu’
« aux termes de l’article 226-16 du Code pénal, dans sa version existante à la date de la conclusion du contrat de licence, le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ».
La société X faisait valoir que si elle avait eu connaissance d’un tel dépôt de cookies, elle n’aurait jamais contractualisé avec la société Y.
C’est sur la base notamment de cet argument que la Cour d’appel de Grenoble, dans son arrêt du 12 janvier 2023, a prononcé la nullité du contrat en relevant que la société Y n’avait pas porté à la connaissance de la société X un élément essentiel concernant le site qu’elle a conçu et installé.
Elle relève par ailleurs que la réception sans réserve ni observations du site par la société X ne saurait pallier ce manque d’informations, dans la mesure où la société X qui n’est pas une spécialiste en la matière, n’a pu, lors de la livraison du site, constater ce problème de collectes et d’utilisation de données. Seul le constat réalisé par huissier, pendant l’instance, a permis à l’appelante de relever ce vice.
II. Implications pratiques de cette décision.
1/ Tout d’abord, cet arrêt vient témoigner de l’importance de la conformité à la Règlementation sur la protection des données en ce que désormais la CNIL n’est plus la seule entité à se saisir de ces questions puisque les juridictions judiciaires s’emparent également de la question.
2/ Par ailleurs, cette décision est également intéressante en ce qu’elle met à la charge du prestataire web une réelle responsabilité. Pour éviter l’annulation de vos contrats, vous devrez absolument veiller à :
Respectez la règlementation relative à la protection des données ;
Informer clairement et par écrit vos clients des insertions dans vos scripts de cookies ou autres traceurs.
3/ Pour les entreprises ayant recours à de tels prestataires, soyez également vigilantes. En effet, le RGPD met à votre charge, en votre qualité de responsable de traitement, un certain nombre d’obligations. La première d’entre elles étant de traiter les données à caractère personnel de manière licite.
En l’espèce, quand bien même la société X n’avait pas connaissance du dépôt illicite de cookies sur son site internet, il était de sa responsabilité de vérifier la conformité de son site internet au RGPD et notamment à la règlementation en matière de cookies. De sorte que si la CNIL avait procédé à un contrôle, il est fort probable que la société X se serait faite condamner sur le fondement du RGPD, à charge pour elle de se retourner ensuite contre la société Y.
Par ailleurs, sur le plan pénal, et comme l’a justement relevé la Cour d’appel de Grenoble, la société X aurait pu se voir condamner sur le fondement de l’article 226-16 du Code pénal, qui disposait dans sa version existante à la date de la conclusion du contrat de licence :
« le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ».
En conséquence, éditeurs de site internet, faites attention aux prestataires auxquels vous avez recours et vérifiez qu’ils présentent toutes les garanties suffisantes quant au respect du RGPD.
Discussion en cours :
Je me demande pourquoi le tribunal a donné raison au client alors que le RGPD a été mis en place en mai 2018 (et n’existait pas au moment des faits) ?