- within Employment and HR topic(s)
L’idée selon laquelle la protection des données personnelles serait une simple formalité juridique dont les prestataires informatiques pourraient faire fi dans le cadre de leurs travaux doit définitivement être abandonnée.
En effet, depuis l’entrée en application du RGPD le 25 mai 2018, le cadre juridique et réglementaire associé à la protection des données personnelles est de plus en plus exigeant.
Plus précisément, force est de constater que les risques ne se limitent plus aux « simples » sanctions administratives ou pénales mais viennent également intégrer maintenant pleinement les litiges civils.
C’est en tout cas ce qui découle de l’arrêt de la Cour d’appel de Douai rendu le 7 mai 20261 au titre duquel elle prononce l’annulation d’un contrat de création de site internet au motif que le site livré n’était pas conforme aux règles relatives à la protection des données personnelles. Plus précisément, la Cour a considéré que cette non-conformité constituait une erreur sur une qualité essentielle de la prestation2. Cette position s’inscrit dans la continuité d’un arrêt rendu par la Cour d’appel de Lyon le 5 mars 20263 qui a tiré les mêmes conclusions d‘une situation similaire.
Revenons ici sur les conséquences de cette évolution et les solutions qui peuvent exister.
Contexte et manquements relevés sur le site internet
Dans cette affaire, une TPE spécialisée dans le secteur du paysagisme faisait appel à une agence Web pour la conclusion d’un contrat portant sur la création et l’exploitation d’un site internet en mars 2021. L’accord prévoyait un abonnement mensuel pendant quatre ans. Le site est mis en ligne début avril 2021, puis fait l’objet de modifications complémentaires avant le lancement d’une campagne Google Ads quelques semaines plus tard.
Estimant que le site livré n’était pas conforme à la réglementation notamment sur la protection des données personnelles, la société cliente engage une procédure judiciaire contre son prestataire informatique afin d’obtenir l’annulation du contrat.
Si le tribunal de commerce donnait raison au prestataire en première instance, la Cour d’appel de Douai adopte une position radicalement opposée.
L’arrêt retient en préambule que « le professionnel de la création ou de la location de site internet qui allègue que le site internet litigieux était conforme au RGPD est tenu d’en apporter la preuve concrète ». Trois catégories principales d’irrégularités sont mises en avant par les constatations versées aux débats :
| Thématique | Description |
| Une gestion des cookies non conforme | Le bandeau cookies présent sur le site ne proposait pas de véritable possibilité de refus. L’utilisateur pouvait seulement accepter les cookies ou cliquer sur un lien “en savoir plus”.
En parallèle, plusieurs traceurs étaient déposés automatiquement dès la navigation sur le site, sans consentement préalable4. |
| Un retrait du consentement compliqué | Une fois les cookies acceptés, il devenait particulièrement difficile de revenir sur ce choix. L’option de retrait du consentement était enfouie dans les mentions légales, accessibles uniquement via un lien discret situé en bas de page.
Or la doctrine de la CNIL impose que retirer son consentement soit aussi simple que l’accorder5. |
| Un défaut d’information sur les données collectées | Les formulaires de contact et de rappel téléphonique recueillaient des données personnelles (notamment des noms et numéros de téléphone) sans fournir les informations obligatoires concernant la finalité du traitement, la durée de conservation des données ou les droits des utilisateurs6. |
POINTS ESSENTIELS : La Cour note également que la société cliente :
- ne disposait pas des accès techniques lui permettant de corriger elle-même ces problèmes7, l’agence conservant la maîtrise complète du site;
- n’était pas informée du dépôt automatique des cookies depuis son site internet duquel elle était pourtant responsable de traitement.
- Motifs de l’annulation du contrat
La motivation de la Cour d’appel visant à l’annulation du contrat litigieux dépasse la seule question du RGPD.
En effet, selon les juges, lorsqu’une entreprise, profane qui plus est8, fait appel à un prestataire spécialisé pour créer un site internet, elle peut légitimement s’attendre à recevoir un outil conforme à la réglementation applicable. Même si le contrat ne mentionne pas explicitement la conformité RGPD, cette exigence fait partie des qualités essentielles attendues d’une prestation professionnelle visant à la livraison d’un site internet.
Autrement dit, la conformité juridique du site est considérée comme une caractéristique fondamentale du service vendu.
La Cour insiste également sur le devoir d’information du prestataire – clef de voûte de la bonne exécution des contrats. En tant que professionnel du numérique délivrant des sites internet, le prestataire était supposé connaître les règles applicables aux cookies et au traitement des données personnelles. Le prestataire aurait donc dû informer clairement sa cliente des implications liées à l’installation (notamment automatique) de certains traceurs et aux obligations légales correspondantes.
Quelles conséquences et quelles solutions pour les agences web/créateurs de sites ?
Cet arrêt s’inscrit dans une tendance plus large : les juridictions considèrent de plus en plus la conformité RGPD comme un élément central de la qualité des prestations numériques.
Concrètement, cela signifie qu’une agence web ne peut plus simplement renvoyer toute la responsabilité juridique vers son client au motif que celui-ci est “responsable de traitement” au sens du RGPD. Même si le client conserve certaines obligations, le prestataire informatique doit malgré tout livrer un site respectant les règles applicables.
Face à cette évolution jurisprudentielle, les agences web et les créateurs de sites internet ont désormais tout intérêt à adopter une transparence contractuelle totale sur les questions liées au RGPD.
| Thématique | Description |
| Une obligation d’information et de mise en garde à documenter | Les prestataires informatiques sont tenus de facto d’une obligation d’information et de mise en garde de leur client, que ceux-ci soient profanes ou pas.
Il est donc plus que jamais nécessaire pour les prestataires informatiques : – d’identifier les informations essentielles liées aux prestations qu’ils proposent, – de documenter la transmission de ces informations essentielles auprès de leur client, – de documenter les conséquences de certaines fonctionnalités de leurs solutions et la mise en garde associée réalisée auprès de leurs clients. Ces réflexes faciliteront la justification des démarches réalisées par le prestataire informatique et par conséquent la preuve du respect de ses obligations. |
| Une obligation de conformité renforcée | Les contrats de création de site internet devront renforcer leur transparence et encadrer beaucoup plus précisément les obligations liées au RGPD. Il s’agira donc de répartir en amont à qui incombe notamment :
– la configuration du bandeau cookies, – la rédaction ou la validation d’une politique de confidentialité, – le paramétrage des cookies de mesures d’audience (etc.) Ces précautions devraient également permettre de protéger davantage à la fois le prestataire mais aussi le client qui sera clairement au fait de ce qui relève ou non de sa responsabilité. |
| Un risque financier considérable | L’annulation du contrat entraîne ici des conséquences économiques importantes.
Le prestataire perd non seulement l’indemnité qu’il réclamait, mais également le bénéfice attendu de l’ensemble du contrat sur plusieurs années. Pour certaines agences, la multiplication de ce type de contentieux pourrait représenter un risque financier majeur. |
La décision de la Cour d’appel de Douai confirme ainsi une évolution de fond : la conformité au RGPD n’est plus perçue comme un simple sujet technique ou administratif. Elle devient une composante essentielle de la qualité d’une prestation numérique.
Les prestataires informatiques doivent donc se saisir de cette évolution afin de pérenniser leur activité.
Footnotes
1. 7 Mai 2026, Cour d’appel de Douai, RG n° 22/05075
2. Article 1132 du Code civil
3 5 Mars 2026, Cour d’appel de Lyon, RG n° 24/02311
4. Ex :le cookie Google Analytics “_ga”, déjà identifié par la CNIL comme nécessitant un consentement préalable lorsqu’il est utilisé à des fins publicitaires ou de mesure d’audience non exemptée.
5. CNIL, délibération (n°2020-091) du 17 septembre 2020
6. Articles 13 du RGPD
7. L’Agence « détenait les codes de sécurité permettant d’accéder au site, de le désactiver ou de modifier le code source ».
8. Précisons que dans cette affaire un débat sur l’application du Code de la consommation avait eu lieu compte tenu de la taille de l’entreprise cliente et de son activité.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
[View Source]