Résolution d'un contrat de licence d’exploitation de site internet en raison de manquements relatifs à la protection des données personnelles
Par un arrêt du 13 mai 2025, la Cour d'appel de Bordeaux a prononcé la résolution rétroactive d'un contrat de licence d’exploitation de site internet conclu entre un réparateur automobile et une société informatique, en raison d'importants manquements relatifs au respect du Règlement général sur la protection des données 2016/679 (« RGPD »).
En l’espèce, les parties avaient un contrat portant sur la création, l'hébergement et le référencement d'un site internet, financé par une société tierce. À la suite de difficultés financières, le client a cherché à résilier le contrat mais, face au refus du prestataire, l’a assigné sur divers fondements.
En appel, la cour a écarté la majorité des arguments du client, qui sollicitait notamment l’application du droit de rétractation ou, subsidiairement, la nullité du contrat fondée sur une insuffisance d'information précontractuelle, un défaut de contrepartie, une indétermination de son contenu ou encore une erreur sur les qualités essentielles du site.
Cependant, elle a retenu de graves manquements aux obligations prévues par le RGPD, constatés par procès-verbaux d’huissier. Elle a relevé notamment l'absence de consentement préalable des internautes à la collecte de leurs données personnelles via des cookies Google Analytics, qui peuvent être recoupées avec des données issues d’autres traitements pour mener des actions de publicité personnalisée, et à travers l’utilisation du module reCAPTCHA, en violation des articles 5, 6, 7, 9 et 13 du RGPD, ainsi que de l'article 82 de la loi Informatique et Libertés.
Elle a écarté d’un revers de la main les arguments du prestataire, qui avançait entre autres que la demande de résolution n’avait pas été précédée d’une mise en demeure restée infructueuse ou qu’elle était tenue d’une obligation de moyens et qui contestait tout manquement contractuel grave concernant la collecte de cookies. La société de financement, également attraite à la cause, arguait de son côté que le client avait régularisé un procès-verbal de réception et n’avait jamais formulé de critique à l’encontre du site ; arguments également rejetés par la cour.
Au contraire, la cour d’appel souligne qu’en plus de ne pas démontrer qu’il avait exécuté son obligation de référencement, le prestataire « n'a pas satisfait à son obligation de délivrer un site internet paramétré conformément à la réglementation relative à la protection des données personnelles. [Elle] ne peut utilement prétendre qu'elle n'était tenue à cet égard qu'à une obligation de moyens alors qu'il s'agit seulement de l'exécution d'une prestation technique pour laquelle elle disposait de la compétence nécessaire en qualité de spécialiste.
[Elle] ne peut davantage invoquer le fait que le site a donné lieu à la signature d'un procès-verbal de livraison et de conformité, le 19 novembre 2019, alors que la non-conformité relative à la réglementation sur la protection des données n'était pas apparente pour [le client], et que ce procès-verbal ne pouvait caractériser la mise au point effective et complète du site Internet ».
Ces manquements persistants et avérés à la réglementation sur la protection des données personnelles ont entraîné la résolution rétroactive du contrat.
Cour d'appel de Bordeaux, 4ème chambre commerciale, 13 mai 2025, n° 23/02044