NumActu : Nous allons évoquer un arrêt de la Cour d’appel de Grenoble du 12 janvier 2023 qui a été beaucoup commenté. Pouvez vous rappeler les faits concernant cet arrêt ?
Olivia Flipo : Il y a 2 grandes tendances [sur l’effet du RGPD] qui se dessinent en ce moment qui ont un impact sur les contrats : la validité des contrats et sur la concurrence déloyale. En matière de validité des contrats, dans cette affaire, un client avait commandé à un prestataire un site internet, sa création et sa maintenance. Le prestataire avait créé un site internet et avait installé des cookies, à l’insu de son client, et donc des internautes. C’était le problème de départ.
Le contrat commence à être exécuté. Le client veut résilier le contrat. Le prestataire refuse la résiliation et demande de paiement. Le client arrête de payer les mensualités et le prestataire poursuit en paiement son client. Les premiers juges ont condamné le client à payer les mensualités. En appel, le client va opportunément invoquer le RGPD en disant qu’il y avait erreur sur les qualités substantielles, sur les qualités essentielles du site internet, qu’il n’était pas conforme au RGPD et que dès lors cette erreur sur les qualités essentielles du site légitimait la nullité du contrat, et donc le non paiement des mensualités.
La Cour d’appel de Grenoble va reconnaître l’erreur sur les qualités essentielles du site et va demander au prestataire de rembourser l’intégralité des sommes versées en vertu du contrat, puisque la sanction de la nullité, c’est de revenir à l’état antérieur. On voit donc qu’un manquement au RGPD peut avoir des conséquences importantes pour les prestataires informatiques.
NA : Quelle analyse faites-vous de cet arrêt ?
OF : Avant le RGPD, sous l’empire de la loi informatique et liberté, il fallait déclarer à la CNIL les fichiers de traitement de données à caractère personnelle. Dans le cadre d’une cession de société, il avait été cédé un fichier non déclaré à la CNIL à un client, et ce derner a obtenu la nullité de l’acte de cession puisque son objet était illicite, car le fichier n’avait pas été déclaré auprès de la CNIL. Il y avait donc déjà eu la reconnaissance de la nullité d’un contrat ne respectant pas la loi Informatique et Liberté.
Au niveau européen, en Italie, la CNIL italienne a prononcé une sanction de 1,4 millions d’euros contre une société qui avait acquise une base de données clients, et qui n’avait pas informé les clients qu’il allait utiliser la base de données à son profit. Il aurait dû informer les différentes personnes concernées de cette situation.
RGPD et validité des contrats, avec Me Olivia Flipo
