La décision de la Chambre commerciale de la Cour d'appel de Grenoble du 12 janvier 2023 sur un contrat de licence d'exploitation d'un site internet est un cas d'école en matière de protection des données personnelles. Les motivations de cet arrêt sont cruciales.

1. Contrat de licence d'exploitation d'un site internet et litige avec l'agence web et la société de financement locatif

En mars 2016, un opticien a commandé à une agence web la création, l'installation et la maintenance d'un site internet pour son entreprise. Dans ce cadre, il a signé un contrat de licence d'exploitation du site avec un paiement mensuel sur 48 mois.

Deux mois plus tard, en juin 2016, un procès-verbal de recette définitive a été signé par l’opticien sans réserve, ce qui a déclenché l'exigibilité des mensualités. En octobre 2017, l'opticien a demandé la résiliation du contrat à l'agence web et a cessé de payer les mensualités à partir du 1er novembre 2017.

L'agence web ayant cédé le contrat à une société de financement locatif, cette dernière a mis en demeure l'opticien de payer les échéances échues et celles restantes. En mars 2019, le financeur a assigné l'opticien devant le Tribunal de Commerce de Grenoble, qui a contraint l'opticien à payer. L’opticien interjette appel.

2. Non conformité du site internet aux règles de protection des données personnelles : erreur sur les qualités essentielles

Étonnamment la Cour de Grenoble infirme le jugement du Tribunal. Elle donne gain de cause à l’opticien qui soutient qu'il a commis une erreur sur les qualités essentielles de la chose pour laquelle il a obtenu une licence d'exploitation alors qu’il s’agit d’un site internet qu’il a lui-même réceptionné sans réserve.

Elle se fonde sur l'article 32§II (ancien) ou 82 (nouveau) de la loi informatique et libertés[1], qui dispose que l'accès ou l'inscription d'informations dans l'équipement d'un visiteur d'un site Web n'est autorisé que si le visiteur y consent.

L'opticien fournit au juge un constat d'huissier montrant que des cookies sont déposés sur l'ordinateur du visiteur sans son consentement lorsqu'il se connecte au site web. Il est donc prouvé que le site n'est pas conforme aux règles de protection des données personnelles.

Cependant, ce constat à lui seul ne justifie pas l'annulation du contrat. Il montre également que le prestataire a omis de prévenir sa cliente de la non-conformité du site, alors même que le contrat la considère responsable de la conformité du site aux règles de protection des données. La Cour considère que cet oubli du prestataire est particulièrement grave notamment parce que l'exploitation illégale d'un tel site est pénalement sanctionnée par l’article 226-16 du Code pénal[2].

Selon la Cour, qui adhère à la position de l’opticien, si le prestataire avait informé sa cliente que le site enregistrait des cookies sans le consentement des visiteurs, celle-ci aurait pu prendre sa responsabilité lors de la réception site. Comme il n'a pas été informé, il a été mis devant le fait accompli et la Cour peut donc considérer que l’opticien a commis une erreur sur la qualité essentielle du site Web qu'il voulait exploiter. La Cour considère que, s'il avait été informé, il n'aurait pas contracté et que ce vice du consentement justifie l'annulation du contrat.

3. Une erreur qui n’était pas déterminante du consentement de l’opticien

Cependant, l'annulation d'un contrat sur le fondement de l'erreur sur la qualité essentielle est délicate puisqu’il faut, en l’état du droit positif, montrer que l’erreur porte sur une qualité déterminante du consentement du client.

Or, on peut se demander si la conformité d'un site internet aux règles de consentement aux cookies était réellement aussi déterminante. Du point de vue subjectif de l’opticien, il est peu probable que la conformité aux règles de cookies ait été un élément crucial pour lui. Le fait que l'opticien aurait pu être condamné pénalement n'est pas un argument pour considérer qu'il n'aurait pas pu accepter d'exploiter un site internet, car le paramétrage des cookies se modifie en 5 minutes tout au plus.

De plus, la Cour d'appel indique que l'opticien pouvait s'attendre à une collecte légitime des données, mais aucune preuve n’est produite montrant qu’il s’agissait bien d’un élément déterminant de son consentement.

Ajoutons à cela que le fait qu’il ne soit pas spécialiste n’est pas non plus un argument pertinent car tout le monde devait, en principe, savoir à l’époque des faits que des traceurs sont présents sur les sites. La Cnil avait déjà clairement expliqué ces règles avant l'entrée en vigueur du RGPD. L'opticien aurait dû considérer la question des traceurs lors de la réalisation de son site internet : l'objectif d'un site est d'être vu et de savoir si on est vu.

4. Un site internet qui n’était pas un site internet selon la Cour d’appel

Pour mieux comprendre cet arrêt il faut comprendre que la Cour d'appel de Grenoble a évalué le site internet, l'objet du contrat, d'un point de vue objectif, indépendamment du point de vue de l’opticien. Elle constate que l'opticien « pouvait » s'attendre à ce que le site ne collecte pas illégalement des données personnelles - en vertu de l'obligation désespérément basique d'être en conformité avec les lois -. Cette utilisation du terme « pouvoir » au lieu de l'emploi du passé simple « s'attendait » montre que la Cour s'est demandé si la non-conformité de ce site le transformait en quelque chose de différent de ce qu'il devait être, indépendamment de ce à quoi l'opticien pouvait s'attendre.

La Cour d'appel de Grenoble va donc très loin en apportant une nouvelle définition bien trop objective, si on examine en parallèle le fait que l’opticien à réceptionné sans réserve ce site, de ce qu'un site internet doit être. Alors qu'auparavant un site internet était simplement considéré comme une collection de pages web accessibles en ligne via un navigateur web, permettant notamment aux entreprises de présenter leur activité, aujourd'hui tout site internet doit être conforme aux règles de protection de données personnelles, à défaut d’être réellement un site internet si l’on en croit la Cour.

À ce stade, nous ne savons pas si la société de financement a fait appel à la Cour de cassation, mais il sera édifiant de découvrir si la plus haute Cour suivra cette position objectiviste de l'erreur sur la qualité essentielle de la chose vendue, alors que la position subjective prévaut dans le droit positif en principe.

5. Nos recommandations

En attendant, il est surprenant de pouvoir mettre fin à un contrat pour de telles raisons, tant le paramétrage des cookies est simple à réaliser et à modifier à tout moment. Par conséquent, il est important de prendre en compte les recommandations de la CNIL en matière de cookies[3] et plus largement de conformité des sites internet dès sa conception. Le cabinet Cloix Mendès-Gil dispose d’un département informatique compétent pour vous accompagner dans la mise en conformité de vos sites internet comme dans tous contentieux liés à des projets de développement de site internet.

[1] Loi n°78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés (https://www.legifrance.gouv.fr/loda/article_lc/LEGIARTI000037813978)

[2] https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000037825509/2016-03-22/

[3] https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies/comment-mettre-mon-site-web-en-conformite