Jurisprudence : nullité d'un contrat relatif à un site internet pour des motifs tirés du non respect du RGPD
Le RGPD s’immisce de plus en plus dans le quotidien des TPE et des PME et dans les litiges commerciaux
(voy. notre post en matière de concurrence déloyale : https://www.lawell-lawyers.be/fr/news_details.cfm?newsID=37).
Une décision du 12 janvier 2023 de la Cour d’appel de Grenoble (21/03721) vient de consacrer la nullité d’un contrat de licence d’exploitation d’un site web pour des motifs tirés, pour la première fois, de la réglementation sur les données personnelles.
Un opticien avait commandé à une agence la création, l’installation et la maintenance d’un site web.
Dans le cadre d’un litige l’opposant à cette agence, celui-ci a produit un constat d’huissier établissant que le site réalisé collectait des données à caractère personnel et que cette collecte était réalisée en violation du RGPD. L’huissier a notamment constaté l’existence de cookies dont ceux de Google Analytics, service jugé illégal par la CNIL.
En tant que Responsable de traitement, l’opticien, qui n’avait pas été informé de ces éléments, pouvait donc se voir infliger une amende de la part de la CNIL et voir sa responsabilité être mise en cause par les personnes concernées.
La Cour a dès lors estimé que le contrat était nul pour erreur sur une qualité essentielle du site Internet puisque l’opticien pouvait s’attendre légitimement à ce que le site ne collecte pas illégalement des données personnelles.
Les sommes versées ont donc dû être restituées.
Le RGPD ce n’est donc pas que la CNIL (en France) ou l’APD (en Belgique). Les juridictions de l’ordre judiciaire peuvent également être saisies par vos clients, vos partenaires ou vos concurrents.
Il est donc important de penser à sa mise en conformité et de la documenter. Car les conséquences tirées du non-respect du RGPD sont souvent bien plus importantes que le coût d’une mise en conformité.