Nullité d’un contrat de site internet pour défaut d’information du client par le prestataire sur les traitements de données personnelles mis en œuvre sur le site

Dans sa décision du 12 janvier 2023, no 21/03701, la chambre commerciale de la Cour d’appel de Grenoble est venue sanctionner un prestataire informatique en prononçant la nullité du contrat qu’il avait conclu avec un client pour la création et l’exploitation d’un site internet, au motif que ce prestataire (i) n’avait pas informé son client de l’installation de cookies par l’intermédiaire dudit site internet et (ii) avait manqué à certaines obligations d’information contractuelle issues du droit de la consommation, alors même que le contrat était conclu entre deux professionnels (contrat B2B).

 

Dans cette affaire, un opticien avait commandé à un prestataire la création, l’installation et la maintenance d’un site internet dédié à son activité professionnelle en signant un bon de commande ainsi qu’un cahier des charges. Le même jour, un contrat de licence d’exploitation de ce site avait été conclu entre l’opticien et le prestataire pour une durée fixe de 48 mois. Une fois le site internet créé, un procès-verbal de réception sans réserve a été régularisé et a déclenché l’exigibilité et le prélèvement des mensualités auprès de l’opticien, par l’intermédiaire d’une société de financement locatif d’équipement.

Un an plus tard, l’opticien a adressé au prestataire une demande de résiliation du contrat et a cessé de régler les mensualités. La société de financement a donc assigné l’opticien devant le tribunal de commerce de Grenoble, sollicitant le paiement des loyers impayés, d’une indemnité de résiliation, de pénalités de retard et d’une indemnité forfaitaire pour frais de recouvrement. L’opticien a alors appelé le prestataire en intervention forcée.

Le tribunal de première instance ayant rejeté les demandes de l’opticien, notamment sa demande de résiliation du contrat, et ayant fait droit à certaines demandes du prestataire et de la société de financement, l’opticien a interjeté appel de cette décision.

La Cour d’appel de Grenoble vient d’infirmer, du moins en partie, le jugement de première instance.

 

*          *

*

 

A titre liminaire, il est précisé que l’opticien demandait en l’espèce l’annulation du contrat en se fondant sur un défaut d’information à son égard de la part du prestataire concernant les données à caractère personnel traitées par l’intermédiaire du site internet et sur des manquements au droit de la consommation.

 

 

1. La nullité du contrat pour absence d’information sur les traitements de données à caractère personnel mis en œuvre par l’intermédiaire du site internet

 

1. Un site internet non conforme à la règlementation relative à la protection des données personnelles

 

Pour mémoire, l’ancien article 32 de la loi relative à l’informatique, aux fichiers et aux libertés (dite « loi informatique et libertés ») du 6 janvier 1978 (dispositions sur lesquelles la Cour d’appel fonde sa décision) prévoyait :

  • des mentions d’informations obligatoires à porter à la connaissance des personnes concernées en cas de traitement de données à caractère personnel (l’obligation d’information des personnes concernées ainsi que le contenu de cette information figurent désormais aux articles 12, 13 et 14 du règlement général sur la protection des données (dit « RGPD »)) ;
  • ainsi le régime juridique applicable aux cookies et autres traceurs imposant, sauf dans de rares exceptions, le recueil du consentement de l’internaute avant le dépôt / la lecture de cookies (ce régime juridique des cookies a aujourd’hui été déplacé à l’article 82 de la loi informatique et libertés).

 

Par ailleurs, la CNIL rappelle, dans sa délibération 2019-093, que le consentement que doit donner l’internaute pour le dépôt / la lecture de cookies doit répondre aux mêmes exigences qu’un consentement au sens du RGPD, c’est-à-dire être libre, spécifique, éclairé et univoque. Aussi, si la CNIL a pu retenir pendant un temps la possibilité de recueillir valablement un consentement au moyen de la poursuite de la navigation de l’internaute sur le site internet, elle écarte désormais cette possibilité et impose un « véritable » consentement de l’internaute qui doit prendre la forme d’un bouton à cliquer de type « J’accepte les cookies », et ce après que l’internaute ait été informé de manière claire et exhaustive sur les finalités desdits cookies (voir sur ce sujet l’article que nous avions rédigé à l’occasion de l’adoption par la CNIL de ses lignes directrices sur les cookies et autres traceurs). A défaut de consentement, aucun cookie ne doit en principe être installé.

 

En l’espèce, un constat d’huissier avait été réalisé sur le site internet de l’opticien et avait relevé les éléments suivants :

  • en se connectant sur le site internet de l’opticien, un bandeau cookie avertissait le visiteur de l’existence de cookies, de la possibilité de les refuser, et qu’en continuant sa navigation, le visiteur acceptait l’utilisation de cookies pour disposer de services adapté à ses centres d’intérêt ;
  • sept cookies avaient été directement été installés sans consentement préalable puis, après poursuite de la navigation, six nouveaux cookies avaient été installés, dont un cookie Google Analytics ;
  • aucune information concernant la collecte, le traitement ou la protection des données à caractère personnel ne figurait sur le formulaire de contact sollicitant la fourniture d’informations personnelles.

 

Sur la base de ce constat, et après avoir précisé que l’opticien ne pouvait pas lui-même avoir procédé à la configuration et/ou à la modification du site internet dans la mesure où seul le prestataire disposait des codes permettant d’administrer ledit site, la Cour d’Appel de Grenoble considère que :

  • l’accès à des données à caractère personnel des internautes était possible sans information ni consentement de ces derniers ;
  • un cookie émanant de Google s’installait sans information ni consentement de l’internaute, en contradiction avec le contenu de la politique de confidentialité figurant sur le site internet et certifiant qu’aucune donnée ne serait collectée sans accord préalable et avec un transfert limité au prestataire et à l’hébergeur ;
  • ce dont il résulte que les traitements de données à caractère personnel opérés par le site internet n’étaient pas conformes aux dispositions applicables.

 

2. Sanction du prestataire pour défaut d’information sur les traitements de données à caractère personnel opérés sur le site internet

 

Forte de ce constat, la Cour d’appel de Grenoble rappelle que dans le contrat liant le prestataire à l’opticien, il était stipulé que :

  • l’opticien « est l’éditeur du site Internet, et qu’il est seul responsable de la politique éditoriale de son site et du respect de la réglementation applicable au regard des informations diffusées et des prestations offertes sur ledit site» ;
  • il « garantit le cessionnaire qu’il effectuera toute formalité préalable prévue par la législation en vigueur et notamment auprès de la Cnil » ;
  • la responsabilité du prestataire « ne pourra être recherchée par le client notamment au regard des fonctionnalités du site, et que le client utilise le site sous sa seule responsabilité, directement et sous on seul contrôle, qu’il choisit les données diffusées sur son site, et qu’il garantit le cessionnaire contre toute action pouvant être intentée du fait des données diffusées ».

 

En d’autres termes, l’opticien était rendu seul responsable de la collecte et de l’utilisation des données personnelles des internautes naviguant sur son site internet.

 

La Cour d’Appel de Grenoble en déduit que le prestataire aurait dû informer l’opticien de l’installation de cookies par l »intermédiaire de son site internet pour que celui-ci puisse assumer la responsabilité qui a été mise à son unique charge concernant les traitements de données personnelles réalisés sur son site internet. Elle ajoute que le fait que le site ait fait l’objet d’une réception sans réserve ni observation par l’opticien ne peut pallier cette absence d’information, d’autant plus que l’opticien n’était pas un spécialiste en la matière et ne pouvait donc pas, lors de la livraison du site, constater ce problème de collecte et de traitement des données des internautes.

 

La Cour d’appel conclut en précisant que le prestataire avait donc omis de porter à la connaissance de l’opticien un élément essentiel du site internet et que le contrat devait alors être déclaré nul pour erreur sur une qualité essentielle du site internet, puisque l’opticien pouvait légitimement s’attendre à ce que le site qui lui a été livré ne traite pas illégalement des données personnelles.

 

 

2. La nullité du contrat pour absence de certaines mentions obligatoires imposées par le droit de la consommation dans un contrat B2B

 

1. L’application du droit de la consommation dans une relation commerciale

 

L’article L.221-3 (anciennement L.121-16 III) du code de la consommation prévoit que « les dispositions des sections 2, 3, 6 du présent chapitre applicables aux relations entre consommateurs et professionnels, sont étendues aux contrats conclus hors établissement entre deux professionnels dès lors que l’objet de ces contrats n’entre pas dans le champ de l’activité principale du professionnel sollicité et que le nombre de salariés employés par celui-ci est inférieur ou égal à cinq. »

 

Ainsi, dans un contrat conclu entre deux professionnels, certaines dispositions du droit de la consommation s’appliquent au contrat si :

  • le contrat est conclu hors établissement ;
  • l’objet du contrat n’entre pas dans le champ de l’activité principale du professionnel sollicité ; et
  • le nombre de salarié employés par le professionnel sollicité est inférieur ou égal à cinq.

 

Dans cette affaire, le contrat avait été conclu dans un lieu qui n’est pas celui où le prestataire exerce son activité en permanence ou de manière habituelle, en l’occurrence au domicile de l’opticien. Il s’agissait donc d’un contrat conclu hors établissement. En outre, l’activité principale d’un opticien est la vente et la réparation de produits d’optiques, de sorte que la création et l’hébergement d’un site internet n’entrent pas dans le champ de cette activité principale. Enfin, l’opticien n’avait aucun salarié. Dès lors, les dispositions des sections 2, 3, 6 du chapitre I du Titre II du livre II du code de la consommation sont applicables à ce contrat, même s’il a été conclu entre deux professionnels.

 

2. Les conséquences de l’application du droit de la consommation dans un contrat B2B

 

Dans les grandes lignes, les obligations susvisées issues du droit de la consommation et applicables aux professionnels portent sur certaines informations obligatoires à mentionner dans le contrat, sur la forme du contrat et sur l’application du droit de rétractation de 14 jours. Parmi les mentions d’information obligatoires, on peut citer les caractéristiques essentielles du bien ou du service, les informations relatives aux garanties légales mais surtout, les informations sur l’existence (ou non) et les modalités d’exercice du droit de rétractation.

 

En l’espèce, la Cour d’appel relève que le droit de rétractation n’était pas applicable en l’espèce car le site internet a été créé « sur mesure ». En effet, l’article L.221-28 (anciennement L.121-21-8) du code de la consommation prévoit que le droit de rétractation ne peut être exercé pour les contrats de fourniture de biens confectionnés selon les spécifications du consommateur ou nettement personnalisés, la Cour d’appel considérant que cette disposition concerne également la fourniture de services.

 

Toutefois, lorsque le droit de rétractation ne peut être exercé, l’article L.221-5 10o (anciennement L.121-17) du code de la consommation exige que le professionnel informe expressément le consommateur que ce dernier ne bénéficie pas de ce droit, ce que la Cour d’appel rappelle dans sa décision.

 

3. Sanction du prestataire du fait de l’absence dans le contrat de certaines mentions obligatoires en droit de la consommation

 

En l’espèce, ni le bon de commande, ni le contrat de licence d’exploitation ne mentionnaient que l’opticien ne pouvait pas bénéficier du droit de rétractation. Le prestataire n’a pas non plus fourni d’autres informations exigées par le droit de la consommation, telles que l’absence d’exécution immédiate du contrat, ou encore la date ou le délai auquel le professionnel s’engage à livrer le bien ou à exécuter le service.

 

Par conséquent, la Cour rappelle que :

  • « il résulte […] de l’arrêt de la première chambre civile de la Cour de Cassation du 31 aout 2022, no10.075, qu’il ressort de l’article L.121-21-8 [NDLR : désormais L.221-28] du code de la consommation que la nullité du contrat est encourue lorsque les prescriptions de l’article L.121-17 I [NDLR : désormais L.221-5] ne sont pas respectées, ce qui est le cas en la cause » ;
  • et conclut en prononçant la nullité du contrat, constitué par le bon de commande du site internet, et par le contrat de licence d’exploitation de ce site, en raison de l’absence de respect des règles présidant la conclusion des contrats hors établissement.

 

 

Ce qu’il faut retenir :

 

  • L’absence d’information par le prestataire en charge de la création d’un site internet au bénéfice de son client s’agissant de l’installation de cookies, et donc de la mise en œuvre de traitements de données à caractère personnel associés, par l’intermédiaire dudit site internet est susceptible d’entrainer la nullité du contrat de prestation de service pour erreur sur une qualité essentielle du site internet, puisque sans cette information, le client ne peut pas pleinement se conformer à la règlementation applicable en matière de cookies et de protection des données à caractère personnel.

 

  • Lorsqu’un contrat conclu entre deux professionnels est soumis au droit de la consommation, parce qu’il a été conclu hors établissement, n’entre pas dans le champ de l’activité principale du professionnel sollicité et que celui-ci a moins de 5 salariés, alors le contrat doit comporter toutes les mentions d’information obligatoires que devrait contenir un contrat de consommation. A défaut, le contrat encourt la nullité.

 

 

Le Pôle « IT, Data protection & Cybercriminalité » d’AGIL’IT se tient à votre disposition pour vous accompagner en vue d’une mise et/ou d’un maintien en conformité de vos pratiques au regard de la règlementation applicable en matière de protection des données à caractère personnel, mais également aux fins de rédaction et de négociation de vos contrats, en particulier s’agissant de la conception et du développement de sites internet.

 

Par AGIL’IT – Pôle ITData & Sécurité

Laure LANDES-GRONOWSKI, Avocate associée