S’il est une question souvent posée aux juristes par les professionnels du développement informatique, et peut-être plus encore dans le secteur du web, c’est de savoir qui est responsable en cas de non-conformité du site web aux dispositions légales et réglementaires en matière de protection des données personnelles.
Si répondre à cette question peut requérir une analyse approfondie du contrat litigieux ainsi que du site web livré, l’arrêt de la Cour d’appel de Grenoble (12 janv. 2023, RG 21-03701) ne manque pas d’apporter une pierre à l’édifice particulièrement intéressante.
En l’espèce, la société A, exerçant une activité d’opticien et employant moins de 5 salariés, avait commandé à la société B, le 22 mars 2016, une prestation de développement d’un site web vitrine pour son activité. Un cahier des charges et un bon de commande avaient été signés, et le site livré le 9 juin 2016 avait donné lieu à la régularisation d’un PV de réception sans réserve.
L’analyse de cet arrêt sur le plan du droit des données personnelles ne requiert pas de s’attarder sur deux volets néanmoins intéressants : d’une part, la question de la validité d’une cession du contrat de licence d’exploitation du site sans respect des dispositions de l’article 1690 du Code civil ; d’autre part, la sanction du non-respect de l’article L221-3 du Code de la consommation en présence d’un client personne morale de moins de 5 employés concluant un contrat de prestation de services hors établissement.
Sur le terrain du droit des données personnelles, il convient de préciser que le contrat entre les parties stipulait que :
« le client est l’éditeur du site Internet »,
« il [le client] est seul responsable de la politique éditoriale de son site et du respect de la réglementation applicable au regard des informations diffusées et des prestations offertes sur ledit site ».
Il ressort de ces clauses que le prestataire a eu la volonté de faire porter la responsabilité du respect de la loi Informatique et Libertés et du RGPD sur son client.
Une telle clause fait certainement sens dans certains projets web, impliquant une participation active du client dans le paramétrage du site, le développement de fonctionnalités, l’utilisation et la mise à jour de bases de données, la connexion à des webservices ou API… Mais est-elle réellement pertinente en présence d’un site vitrine dont les seuls traitements de données personnelles consiste en un dépôt de cookies ?
C’est sur ce point que la cour a été amenée à se prononcer.
En effet, le 1er avril 2022, un constat d’huissier de justice établissait que :
« si un message avertit le visiteur de l’existence de cookies, qu’il peut refuser, cependant il accepte, en naviguant sur le site, l’utilisation de cookies pour disposer de services adapté à ses centres d’intérêt ;
ayant validé cette invitation, l’huissier a alors constaté que sept cookies avaient été installés sans son consentement ;
le formulaire de contact, sollicitant la fourniture d’informations personnelles, n’a prévu aucune disposition concernant la collecte, le traitement ou la protection de ces données ;
après avoir consulté les mentions légales figurant sur le site, il a relevé que six nouveaux cookies avaient été installés, outre un cookie provenant de Google, sans son accord ».
Avant de se prononcer sur l’imputabilité de la faute, la cour qualifie ces faits de manquements aux dispositions de l’article 32 (ancien) de la loi Informatique et Libertés dès lors
« qu’il est en effet imposé au responsable du service de communications électroniques d’informer tout abonné ou utilisateur, de manière claire et complète, de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement, ainsi que des moyens dont il dispose pour s’y opposer ».
En l’espèce, la cour relève ici que l’accès à des informations personnelles a été rendu possible sans information ni accord du visiteur du site.
Il importe également de préciser que la cour a retenu que la politique de confidentialité figurant sur le site de la société A, sous couvert de mentionner le RGPD, certifiait qu’aucun transfert de données à quiconque n’interviendrait sans le consentement du visiteur du site, hormis à l’hébergeur et au prestataire informatique. Or, comme le relève la cour, « le constat a établi qu’un cookie émanant de Google avait été installé à l’insu de l’huissier ».
Restait donc pour la cour à trancher entre deux visions :
celle du tribunal qui, en première instance, n’a pas retenu la responsabilité du prestataire informatique ;
ou celle consistant à considérer que le prestataire informatique était civilement responsable de la situation.
La cour a tranché pour cette dernière hypothèse, considérant que : « selon le contrat conclu avec la société B, rendue responsable de la collecte et de l’utilisation des données personnelles des utilisateurs, [la société A] devait être informée par le prestataire informatique de l’existence de logiciels permettant l’installation de cookies destinés à utiliser de telles données. Or, la société B ne rapporte pas la preuve de la communication de cette information, pourtant déterminante au regard de la responsabilité civile encourue par [la société A] ».
Pour la cour, un tel comportement constitue une omission de porter à la connaissance du client un élément essentiel concernant le site conçu et livré, de sorte que la réception du site constatée par procès-verbal écrit n’a pu donner lieu au constat de ce vice. Il est intéressant de relever que la cour considère dans ce cas d’espèce que ce n’est que lors du constat dressé par huissier de justice que le client, la société A, a pu prendre connaissance du dit vice.
Au-delà de ce raisonnement sur l’imputabilité, c’est certainement la qualification des faits qui retiendra le plus l’attention : selon la cour, ces faits établissent l’existence d’un vice du consentement de la société A, à savoir une erreur sur les qualités essentielles du site internet.
Ce raisonnement est intéressant à plus d’un titre, notamment parce qu’il implique qu’une information précontractuelle aurait manifestement suffi à écarter la nullité du contrat.
En l’absence de cette information, la cour annule le contrat de développement web et de licence d’utilisation du site et ordonne au prestataire de restituer 100% du prix de la prestation.
Terminons par un rappel qu’opère la cour dans sa motivation : par ses agissements, la société B, prestataire, a fait encourir à son client, la société A, des poursuites pénales puisqu’aux termes de l’article 226-16 du Code pénal, dans sa version existante à la date de la conclusion du contrat de licence, le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.
