Cookies invasifs : une entreprise obtient l'annulation de son contrat avec son prestataire Internet
La Cour d'appel de Grenoble a annulé le contrat d'un prestataire Internet qui avait déployé des cookies à l'insu des internautes, mais également de l'entreprise cliente. Un dossier qui souligne les risques pesant sur les prestataires IT dans la mise en oeuvre du RGPD.
PublicitéUn arrêt de la Cour d'appel de Grenoble en date du 12 janvier 2023 retient l'attention en ce qu'il a prononcé la nullité d'un contrat de licence d'exploitation d'un site Internet d'une société , faute pour le prestataire, en charge de l'installation et de la maintenance de ce site, d'avoir informé sa cliente que le site déposait des cookies, sans information ni consentement des internautes.
Cette pratique, non conforme à la règlementation, avait mis la cliente en infraction au regard de ses obligations de responsable d'un traitement de données à caractère personnel. Elle encourait non seulement une lourde amende administrative - pouvant aller jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu - mais également une sanction pénale - car « le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre par la loi est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. » (CP, art. 226-16).
Des précédents touchant des bases de données
La Cour d'appel a considéré que la cliente pouvait « s'attendre légitimement à ce que le site ne collecte pas illégalement » de données personnelles et que le prestataire n'avait pas porté à la connaissance de sa cliente un « élément essentiel concernant le site qu'[il] a conçu et installé ». Elle a donc prononcé la nullité du contrat qui liait le client et le prestataire pour erreur sur une qualité essentielle de la prestation objet de ce contrat et condamné le prestataire à restituer au client les sommes qu'il avait perçues au titre du contrat.
Le risque de nullité d'un contrat pour non-respect de la réglementation en matière de protection des données n'est pas nouveau. La Cour de cassation a déjà considéré que la cession par une société d'un fichier clients informatisé non déclaré à la CNIL - la déclaration du fichier était alors une obligation - était illicite car l'objet de ce contrat était hors du commerce et a annulé l'acte de cession. De même, en 2022, l'autorité italienne de protection des données avait prononcé une sanction de 1,4 million d'euros à l'encontre de l'acquéreur d'une base de données clients dans le cadre d'une opération de fusion-acquisition, qui n'avait pas obtenu le consentement des clients pour utiliser leurs données à ses propres fins.
PublicitéLes prestataires dans la ligne de mire
Toutefois, ici c'est du fait d'un manquement du sous-traitant aux règles de protection des données que la nullité a été prononcée. Ainsi, les juges, tout comme la CNIL, n'hésitent plus à sanctionner les prestataires informatiques, sous-traitants, en cas de violation du RGPD. En 2022, pour la première fois, la CNIL a prononcé une sanction de 1,5 million d'euros à l'encontre d'un sous-traitant suite à une fuite de données, du fait notamment de l'absence de contrat conforme au RGPD et de mise en oeuvre de mesures de sécurité appropriées pour garantir la confidentialité des données personnelles confiées. Il ne faut pas oublier que le sous-traitant encourt lui aussi des sanctions pénales, faute de mettre en oeuvre de telles mesures de sécurité (CP., art. 226-17) ou encore de notifier une violation de données au responsable de traitement (CP., art. 226-17-1).
Autant de risques de sanctions qui incitent donc les prestataires informatiques à la vigilance. Outre l'obligation de garantir la sécurité des données personnelles traitées (RGPD, art. 32), le RGPD leur impose des obligations de :
- Transparence et traçabilité : conclure avec chacun de ses clients un contrat de sous-traitance encadrant leurs rapports et obligations respectives et intégrant l'ensemble des mentions listées à l'article 28 du RGPD (objet, durée, nature et finalité du traitement confié), tenir un registre des activités de sous-traitance (RGPD, art. 30), mettre à la disposition de son client toutes les informations nécessaires pour démontrer le respect de ses obligations... ;
- Prise en compte des principes de protection des données dès la conception et de protection des données par défaut des outils, produits, applications ou services fournis ;
- Assistance, alerte et conseil vis-à-vis de ses clients : le sous-traitant doit aider ses clients à répondre à toute demande d'exercice des droits par une personne concernée (par exemple, une demande accès aux données conservées par les clients), à notifier toute violation de données et à réaliser toute analyse d'impact relative à la protection des données requise.
Enfin, le prestataire doit également intégrer la conformité RGPD lors du processus de recrutement de sous-traitants de rang ultérieur, puisqu'il lui appartient de s'assurer que ceux-ci présentent des garanties suffisantes en termes de conformité au RGPD, d'obtenir l'autorisation écrite du client à leur intervention et de veiller à leur imposer les mêmes obligations en matière de protection de données que celles fixées dans le contrat avec son client. Autant de points de vigilance que les prestataires doivent impérativement intégrer et anticiper.
Article rédigé par
Christiane Féral-Schuhl, cofondatrice du cabinet FÉRAL
Christiane Féral-Schuhl est avocate associée du cabinet FÉRAL. Depuis plus de 35 ans, elle exerce dans le secteur du droit du numérique, des données personnelles et de la propriété intellectuelle. Elle est également inscrite sur la liste des médiateurs auprès de différents organismes (OMPI, CMAP, Equanim) ainsi que sur la liste des médiateurs de la Cour d'Appel de Paris et du Barreau du Québec (en matière civile, commerciale et travail). Elle a été nommée seconde vice-présidente du Conseil national de la Médiation (2023-2026).
Elle a publié plusieurs ouvrages et de nombreux articles dans ses domaines d'expertise. Dont, tout récemment, « Adélaïde, lorsque l'intelligence artificielle casse les codes » (1ère BD Dalloz, 16 mai 2024) avec l'illustratrice Tiphaine Mary, également avocate.
Elle a présidé le Conseil National des Barreaux (2018-2020) et le Barreau de Paris (2012- 2013). Elle a également co-présidé avec le député Christian Paul la Commission parlementaire sur le droit et les libertés à l'âge du numérique et a siégé au Haut Conseil à l'égalité entre les femmes et les hommes (2013-2015) et au Conseil Supérieur des tribunaux administratifs et des cours d'appel administratives (CSTA CAA -2015-2017).
Suivez l'auteur sur Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire