Quelles sont les obligations et responsabilités des développeurs informatiques ?
Une décision sujette à interrogation
Le 12 janvier 2023, la Chambre commerciale de la Cour d’Appel de Grenoble a rendu sa décision RG n° 21/03701 largement commentée ces derniers jours. Pour quelle raison ?
Cette décision notamment liée au droit de la consommation est également fondée sur des éléments relatifs aux règles applicables en matière de protection des données à caractère personnel. Nous allons ici nous intéresser à ces éléments en particulier.
Contexte et synthèse des faits
Les faits remontent à mars 2016, lorsqu’une société d’optique (Optique Saint Jacques) sollicite une entreprise de développement de site internet (Cometik) pour la création, le développement et la maintenance de son site afin de mettre en avant son activité professionnelle. Dans ce cadre, la société a signé un bon de commande, ainsi qu’un cahier des charges pour la réalisation de cette prestation.
Un contrat de licence d’exploitation du site a été conclu pour une durée de 48 mois pour un coût mensuel de 288€ TTC (ces mensualités étant prélevées par une troisième société, Leasecom, directement sur le compte de la société Cometik. Une clause prévoyait la possibilité de céder les droits du contrat à un cessionnaire).
En octobre 2017, l’opticien adresse à la société Cometik une demande de résiliation du contrat et stoppe le paiement de ses mensualités en novembre 2017.
Le 26 mars 2018, une mise en demeure a été adressée par Leasecom à Optique Saint Jacques, l’informant que faute de paiement sous 8 jours, le contrat sera résilié avec une indemnité de résiliation (en complément des mensualités non payées). Une seconde mise en demeure a ensuite été adressée par une société de recouvrement demandant le paiement de l’ensemble des loyers et indemnité de résiliation ainsi que des pénalités de retard.
En mars 2019, Leasecom assigne Optique Saint Jacques devant le tribunal de commerce de Grenoble. Cometik est appelée à la procédure par Optique Saint Jacques. Cette décision de première instance condamne Optique Saint Jacques au paiement de ces sommes. En août 2021, la société fait appel afin d’obtenir l’annulation du contrat de licence.
La décision de la Cour d’Appel, qui nous intéresse ici, survenue en janvier 2023 est revenue sur la décision de première instance et donne gain de cause à la société Optique Saint Jacques notamment pour des motifs à liés à l’interprétation des règles du RGPD.
Argumentaire des Parties et constat d’Huissier
Pour mieux comprendre l’impact de cette décision, revenons dans un premier temps sur les prétentions invoquées par chacune des parties concernant les éléments relatifs au RGPD.
Société Saint Jacques (appelant)
Du côté de la société Saint Jacques, elle invoque la nullité du contrat au motif notamment que le site (objet du contrat) est un instrument de collecte illégale de données personnelles.
Pour justifier ces éléments, un huissier de justice a été mandaté dans le cadre de la procédure. Il a ainsi pu constater qu’en arrivant sur le site «… il existe des cookies, y compris de tiers, à des fins de fonctionnement, d’analyses statistiques, afin de proposer des contenus ciblés et d’analyser la performance de campagnes publicitaires ».
Le constat d’huissier a également permis d’identifier qu’en continuant à naviguer sur le site « l’internaute accepte l’utilisation de cookies, sans que cela vaille consentement, alors que le site utilise des cookies même lorsqu’on ne poursuit pas la navigation ; que des cookies sont installés automatiquement, même sans poursuite de la navigation ».
La société Optique Saint Jacques soutient que ce procédé est ainsi illégal en application de l’article 32 (ancien) de la loi du 16 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (relatif au consentement).
Par ailleurs, et cela devient particulièrement intéressant, le constat d’huissier a également relevé que le site a recours aux services de Google Analytics. La société insiste sur ce point au motif que la Cnil a déjà jugé, en 2020, que Google Analytics installait des cookies de ciblage publicitaire, et que l’usage de ce service était illégal dans la mesure où les données collectées étaient transférées en dehors de l’Union européenne. [Retrouvez notre position sur cette question ici et ici]
Enfin, la société Optique Saint Jacques indique que ces éléments n’ont pas pu être invoqués par elle auparavant car elle considère que ces éléments lui ont été dissimulés et qu’en raison des sanctions encourues, elle s’attendait à ce qu’aucune collecte de données ne soit opérée.
Leasecom (défendeur)
Côté défendeur, la société Leasecom argumente en rappelant que le contrat avait pour objet la conception et la création du site internet, son hébergement, la fourniture du nom de domaine et services annexes (fourniture des mails, base de données des produits, le référencement ainsi que le suivi et la modification du site). En signant le procès-verbal de réception, Optique Saint Jacques reconnaissait ainsi la validité du site au regard du cahier des charges – visant la création d’un site internet.
Selon Leasecom, le contrat ne portait donc pas sur la protection des données personnelles et le constat d’huissier n’émanant pas d’un expert en informatique n’est pas probant. Selon Leasecom encore, la société Cometik n’aurait ainsi donc procédé à aucune collecte illégale de données.
Cometik (défendeur)
Du côté de la société de développement Cometik, il est mis en avant que le contrat ne reposait pas sur une cause illicite. Par ailleurs, Cometik indique s’agissant de la collecte de données personnelles qu’une « simple visite du site permet de vérifier qu’il propose bien d’accepter, d’interdire ou de personnaliser l’installation des cookies ».
La société indique que lorsqu’elle est autorisée par l’internaute, la collecte de données personnelles répond aux limites déterminées par celui-ci (NDLR, ce qui a priori n’est pas le cas en l’espèce), et ne présente pas de caractère illégal.
La décision de la Cour
Retour sur les obligations contractuelles
Alors que les prétentions des différentes parties concernant la question des données à caractère personnelle est presque anecdotique par rapport à la multitude des arguments avancés (principalement en matière commerciale), la Cour d’Appel, quant à elle, a fortement insisté sur ce sujet pour motiver sa décision.
Elle retient ainsi, au regard du contrat conclu entre les Parties, que le client est l’éditeur du site Internet, et qu’il est seul responsable de la politique éditoriale de son site et du respect de la réglementation applicable au regard des informations diffusées et des prestations offertes sur ledit site.
Ce même contrat indiquait que le client (Optique Saint Jacques) garantit le cessionnaire (Leasecom) qu’il effectuera toute formalité préalable prévue par la législation en vigueur et notamment auprès de la Cnil.
D’autres articles du contrat prévoyaient que la responsabilité du cessionnaire ne pourra être recherchée par le client notamment au regard des fonctionnalités du site, et que le client utilise le site sous sa seule responsabilité, directement et sous son seul contrôle, qu’il choisit les données diffusées sur son site, et qu’il garantit le cessionnaire contre toute action pouvant être intentée du fait des données diffusées.
Selon l’interprétation de la Cour d’Appel, ces stipulations contractuelles démontrent que la société Optique Saint Jacques a été rendue responsable de toutes les conséquences résultant de l’utilisation du site créé et mis en service par la société Cometik.
Eléments du constat d’huissier
Mais c’est à ce stade que la Cour d’Appel opère un rappel au constat réalisé par l’huissier de justice en avril 2022, depuis son ordinateur personnel sur le site de la Société Saint Jacques. De manière plus détaillée que précédemment, la Cour liste les constats réalisés comme suit :
-
- Si un message avertit le visiteur de l’existence de cookies, qu’il peut refuser, cependant il accepte, en naviguant sur le site, l’utilisation de cookies pour disposer de services adaptés à ses centres d’intérêt ;
- Ayant validé cette invitation, l’huissier a alors constaté que sept cookies avaient été installés sans son consentement ;
- Le formulaire de contact, sollicitant la fourniture d’informations personnelles, n’a prévu aucune disposition concernant la collecte, le traitement ou la protection de ces données ;
- Après avoir consulté les mentions légales figurant sur le site, il a relevé que six nouveaux cookies avaient été installés, outre un cookie provenant de Google, sans son accord.
Tous ces éléments ont été constatés et reproduits par l’huissier de justice dans son constat, et selon la Cour, ne s’est livré à aucune considération ou déduction technique relevant d’une expertise (NDLR, nous pouvons tout de même nous interroger ici sur les critères retenus par la Cour pour juger de l’expertise technique de l’huissier pour constater ces éléments). Il a intégré dans ce document les captures d’écran correspondant aux constations qu’il a faites.
Aucune modification possible du site pour l’Opticien
Le site n’a pu être modifié par la société Optique Saint Jacques, puisque seule la société Cometik disposait des codes le permettant. Peu importe donc que ce constat ait été réalisé pendant l’instance.
Portée juridique et obligation de transparence
La Cour se prononce donc pour indiquer que les dispositions issues de la Loi Informatique et Libertés n’ont pas été respectées concernant la collecte et l’utilisation des données personnelles des utilisateurs.
Elle rappelle l’obligation imposée au responsable du service de communications électroniques d’informer tout abonné ou utilisateur, de manière claire et complète, de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement, ainsi que des moyens dont il dispose pour s’y opposer (notion de transparence ici). Ces accès étant bien souvent soumis au consentement de l’utilisateur.
La société Cometik, selon la Cour, n’a pas porté à sa connaissance un élément essentiel concernant le site qu’elle a conçu et installé (NDLR, à savoir la conformité en matière de protection des données).
La nullité du contrat par l’absence de connaissance du Responsable de Traitement
Enfin, la Cour base sa décision sur le fait que la société Optique Saint Jacques ait accepté la livraison du site sans réserve, puisque cette entreprise n’est pas une spécialiste en matière de collecte et utilisation de données et n’avait donc pas connaissance des manquements (choses dont elle a été informée lors du constat d’huissier).
Le contrat est donc notamment déclaré nul pour erreur sur une qualité essentielle du site Internet, puisque, selon la Cour d’Appel, la société Optique Saint Jacques pouvait s’attendre légitimement à ce que le site ne collecte pas illégalement des données personnelles.
Quelles conclusions en tirer ?
Plusieurs choses interpellent dans le résultat de cette décision et dans la manière dont elle est construite. La première, et ce qui n’est pas un point négatif en soi, c’est qu’elle démontre que ce n’est plus désormais seulement la Cnil qui est en charge de la répression en protection des données personnelles. Peut-être pouvons-nous nous attendre à d’autres décisions similaires dans le futur.
Ce qui est en revanche plus gênant, et raison pour laquelle nous ne serions pas étonnés de voir un appel de cette décision, c’est le fait qu’un adage fondateur du droit semble ici être omis. Car oui, « nul n’est censé ignorer la loi », et c’est bien là le problème. La Cour reconnait factuellement l’insuffisance du Client (responsable de traitement en l’occurrence) alors que ce même Client a des obligations légales à respecter en matière de protection des données. Quid de son activité en cas de contrôle par la Cnil ? N’oublions pas que du fait de la nature de son activité, la société Optique Saint Jean est amenée à traiter des données sensibles au sens du RGPD. La méconnaissance de ses obligations sur la conformité de son site internet peut en dire long sur l’avancée de ses travaux de mise en conformité interne.
Une chose étonnante dans cette affaire est l’argument de l’opticien qui explique n’avoir pas connaissance de ses obligations mais qu’au regard des sanctions encourues, il pensait que son prestataire avait pris en compte ces conditions légales dans la conception du site…
Cette décision fait peser la charge de la mise en conformité du site web sur le prestataire « seul » chargé du « développement du site ». Evidemment, nous pouvons considérer que ce professionnel a une obligation de conseil, car lui aussi n’est pas censé ignorer la loi, a fortiori concernant son domaine de prédilection : le développement de site en l’espèce. Dans ce cas, qu’en est-il des prestataires qui développent des applications spécifiques pour leurs clients, et qui suivent le cahier des charges définis avec eux. La mise en conformité de ces outils créés pour des besoins spécifiques doivent-ils être mis en conformité « by design » sans intervention du client donneur d’ordre (aka le responsable de traitement) ?
Cela fait écho également à une décision récente, qui a retenu la concurrence déloyale d’une entreprise qui n’avait pas mené d’action de mise en conformité au RGPD, à la différence de ces concurrents. Selon cette même logique, une entreprise qui impose des surcoûts à ses clients pour disposer d’un outil conforme pourrait être désavantagée par rapport à des concurrents qui ne s’embêteraient pas de ces questions (et ils sont nombreux) et qui en plus de proposer des prestations moins onéreuses profiteraient de la négligence de responsables de traitement peu scrupuleux. Il est donc vital de prendre conscience que la mise en conformité est un véritable atout et non pas une contrainte.
A l’heure actuelle, très peu d’entreprises de développement de sites internet sont en mesure de conseiller et de délivrer des prestations qui assurent un niveau de conformité adéquat à leurs clients. C’est pourquoi nous croyons aux synergies entre ces prestataires et les spécialistes de la protection des données.
Cette décision marque une avancée dans la prise en compte des obligations en matière de conformité numérique (applicables au moins depuis 2018 en ce qui concerne le RGPD), c’est indéniable. Mais les prestataires doivent être désormais vigilants avec ce précédent pour éviter que des clients peu scrupuleux invoquent les mêmes manques pour faire prononcer la nullité de leurs contrats. Mais si l’on revient aux basiques, tout responsable de traitement et tout sous-traitant, dès lors qu’une prestation implique le traitement de données à caractère personnel, doit être attentif à la présence dans les contrats de détails sur la gestion des dites données personnelles.
Pour éviter ces problématiques, en tant que client comme en tant que prestataire, bénéficier d’une attestation RGPD venant démontrer la conformité de votre site vitrine ou de e-commerce cela participera à vous rassurer et vous assurer que vous respectez vos obligations, tout en démontrant votre démarche de mise en conformité par la transparence.
Source :
Décision de la Cour d’Appel de Grenoble (texte intégral) : https://tinyurl.com/CAgrenobleRGPD
