La non-conformité au RGPD constitue un nouveau motif d’annulation d’un contrat

Écrit le
28 avril 2023

Au regard du Code civil, la validité d’un contrat suppose la réunion de trois éléments cumulatifs que sont :

  1. Le consentement des parties
  2. Leur capacité de contracter
  • Et un contenu licite et certain

Ce consentement est défini, d’une part, par l’existence d’un consentement, autrement dit par le fait d’être sain d’esprit, être exempté de tout trouble mental. Et d’autre part, il ne faut pas que le consentement soit vicié. En ce sens, le Code civil énumère trois vices du consentement : l’erreur, le dol et la violence.

L’erreur est un vice du consentement lorsque, sans elle, l’une des parties n’aurait pas contracté ou aurait contracté à des conditions substantiellement différentes. L’erreur ne doit pas inexcusable et peut porter tant sur les qualités essentielles de la prestation due que sur le cocontractant.

Ainsi, l’article 1133 alinéa 1 du Code civil définit l’erreur sur les qualités essentielles comme : « […] celles qui ont été expressément ou tacitement convenues et en considération desquelles les parties ont contracté »

******

 

Par un arrêt du 12 janvier 2023, la Cour d’appel de Grenoble a, pour la première fois, annulé un contrat de licence d’exploitation d’un site internet pour erreur sur les qualités essentielles, estimant qu’une société pouvait légitimement s’attendre à ce que le prestataire informatique ne collecte pas illégalement des données personnelles.

Dans cette affaire, une société d’Optique avait missionné un prestataire spécialisé dans la création, l’installation et la maintenance de sites internet pour développer son propre site internet dédié à son activité professionnelle.

Pour ce faire, un contrat de licence d’exploitation de 48 mois a été conclu entre les parties, pour que le prestaire lui gère le back-office d’exploitation.

N’étant pas satisfaite du site internet, la cliente a décidé de rompre le contrat et a arrêté de payer les mensualités afférentes. Ce que le prestataire informatique n’a pas vu d’un bon œil.

Conjointement avec son entreprise de leasing, il a alors assigné le magasin d’optique en paiement de ses échéances de licence impayées.

En première instance, la cliente a été condamnée à verser les indemnités et a fait appel.

L’appelante, dans un bouquet de prétentions, s’est notamment plainte de ce que le site créé et exploité ne prévoyait aucun traitement conforme de collecte des données personnelles en violation du RGPD.  À ce titre notamment, elle sollicitait la nullité du contrat de licence d’exploitation.

En effet, selon l’économie de l’opération, la cliente demeurait responsable de traitement des données personnelles au sens du RGPD.

Or, un constat d’huissier a mis en avant l’existence de cookies installés sans le consentement de l’utilisateur du site internet.

De plus, la politique de confidentialité du site internet prévoyait qu’aucune donnée personnelle n’était collectée sans accord préalable, ce qui n’était pas le cas en réalité.

En conséquence, le site internet conçu ne respectait pas le régime de collecte et l’utilisation des données personnelles des utilisateurs tel qu’exigé par le Règlement général sur la protection des données du 27 avril 2016 (dit « RGPD »), impérativement applicable en Europe depuis le 25 mai 2018.  En vertu de celui-ci en effet, les utilisateurs doivent avoir un contrôle et notamment d’en comprendre le traitement, la collecte et le stockage sur leurs données.

La Cour d’appel a été réceptive à cet argument.

Elle a considéré que la cliente devait être informée par le prestataire informatique de l’existence de logiciels permettant l’installation de cookies nécessaires à l’utilisation des données personnelles.

Elle a caractérisé comme qualité essentielle au sens du Code civil, dans un contrat de licence d’exploitation, la conformité du site internet commandé par un client à un prestataire informatique. Ce dernier, professionnel de l’informatique, ne peut ignorer les réglementations vitales qui s’imposent à l’activité des sites qu’on lui demande de créer.

Par ailleurs, la Cour a souligné plusieurs éléments de contexte pertinents, à savoir :

  • Que la cliente n’était pas une spécialiste en matière des données personnelles ;
  • Qu’un procès-verbal de réception du site sans réserve effectué n’exemptait pas le problème de la collecte et de l’utilisation des données. Car seul le constat d’huissier a permis de mettre en exergue cette anomalie.

Ainsi, la Cour d’appel a prononcé la nullité du contrat de licence d’exploitation pour erreur sur une qualité essentielle du site internet.

Celui qui s’engage à la création d’un site clef en main pour un client ne peut légitimement ignorer le « RGPD » qui désormais domine toute activité internet. Il ne peut ainsi prétendre proposer un site clef en main qui n’y soit pas compatible.

Concrètement, face à un tel site, la responsabilité civile encourue se doublerait d’une responsabilité pénale du dirigeant social – passible de cinq ans d’emprisonnement et de 300.000 euros d’amende.

Dès lors, lorsque vous souhaitez faire concevoir votre site internet, veillez à bien lire le contrat de licence d’exploitation et notamment de prévoir une clause de responsabilité à la charge du prestataire informatique, si ce dernier ne vous assure pas de la parfaite conformité au RGPD du site qu’il s’engage à vous livrer clef en main.

Ces actualités pourraient également vous intéresser
La non-conformité au RGPD constitue un nouveau motif d’annulation d’un contrat
Article
La non-conformité au RGPD constitue un nouveau motif d’annulation d’un contrat
NMCG Avocats lance son nouveau département « Nouvelles Technologies et économie numérique »
Inside NMCG
NMCG Avocats lance son nouveau département « Nouvelles Technologies et économie numérique »
toutes les actus sur cette expertise
Les Distinctions
Provence Alpes Côte d’Azur 2021
Provence Alpes Cote d’Azur 2022
centre pays de la loire bretagne 2021
centre pays de la loire bretagne 2022
Bourgogne Franche comté
Décideurs Magazine – Concurrence et distribution 2021
Décideurs Magazine – Négociations collectives et relations sociales
Décideurs Magazine – Contentieux et arbitrage 2021
Décideurs Magazine – Contentieux individuel à risques 2021
Le Point – Droit social 2022
Le Point – Droit commercial, des affaires et de la concurrence 2022
Le Point – Droit de la sécurité sociale et de la protection sociale 2022
Le Point – Droit du dommage corporel 2022
Décideurs Magazine – Restructurations, plans sociaux et contentieux associés 2021
Décideurs Magazine – Sécurité sociale 2021
Décideurs Magazine – Fusions & acquisitions opérations jusqu’à 75M€ 2021
Palmarès du droit – Médias et presse 2021 bronze
Palmarès du droit – Sciences de la vie et santé 2021 Argent
Sommet du droit – Firme régionale argent
Décideurs Magazine 2022 – Contentieux et arbitrage
Antitrust 2022
Négo collectives 2022
Contentieux individuel 2022
Compliance sociale 2022
Restructuration plan sociaux 2022
Sécurité sociale 2022
Décideurs Magazine 2023 – Droit social – Négociations collectives et relations sociales
Décideurs Magazine 2023 – Droit social – Restructurations, plans sociaux et contentieux associés
Décideurs Magazine 2023 – Droit social – Contentieux individuel à risques
Décideurs Magazine 2023 – Droit social – Sécurité sociale
Décideurs Magazine 2023 – Droit social – France (Provence-Alpes-Côte d’Azur)
Décideurs Magazine 2023 – Fusions & Acquisitions – Opérations jusqu’à 75M€
Palmarès du droit – transport 2023
Palmarès du droit banque finance 2023
Le Point – Droit du travail (Employeur) 2023
Le Point – Droit des sociétés 2023
Le Point – Droit des transports 2023
Le Point – Droit commercial / Distribution / Concurrence 2023
Décideurs Magazine 2024 – Concurrence & Distribution – Antitrust
Décideurs Magazine 2024 – Contentieux & Arbitrage – Contentieux commercial
Palmarès du Droit Paris 2024 – Droit commercial & contrats commerciaux
Palmarès du Droit Paris 2024 – Droit des transports
Le Point 2024 – Droit du travail
Le Point 2024 – Droit des sociétés