Un arrêt de la Cour d'appel de Grenoble en date du 12 janvier 2023 retient l'attention en ce qu'il a prononcé la nullité d'un contrat de licence d'exploitation d'un site Internet d'une société, faute pour le prestataire, en charge de l'installation et de la maintenance de ce site, d'avoir informé sa cliente que le site déposait des cookies, sans information ni consentement des internautes.
Cette pratique, non conforme à la règlementation, avait mis la cliente en infraction au regard de ses obligations de responsable d'un traitement de données à caractère personnel. Elle encourait non seulement une lourde amende administrative - pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu - mais également une sanction pénale - car « le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre par la loi est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. » (CP, art. 226-16).
Des précédents touchant des bases de données
La Cour d'appel a considéré que la cliente pouvait « s'attendre légitimement à ce que le site ne collecte pas illégalement » de données personnelles et que le prestataire n'avait pas porté à la connaissance de sa cliente un « élément essentiel concernant le site qu'[il] a conçu et installé ». Elle a donc prononcé la nullité du contrat qui liait le client et le prestataire pour erreur sur une qualité essentielle de la prestation objet de ce contrat et condamné le prestataire à restituer au client les sommes qu'il avait perçues au titre du contrat.
Le risque de nullité d'un contrat pour non-respect de la réglementation en matière de protection des données n'est pas nouveau. La Cour de cassation a déjà considéré que la cession par une société d'un fichier clients informatisé non déclaré à la CNIL - la déclaration du fichier était alors une obligation - était illicite car l'objet de ce contrat était hors du commerce et a annulé l'acte de cession. De même, en 2022, l'autorité italienne de protection des données avait prononcé une sanction de 1,4 million d'euros à l'encontre de l'acquéreur d'une base de données clients dans le cadre d'une opération de fusion-acquisition, qui n'avait pas obtenu le consentement des clients pour utiliser leurs données à ses propres fins.
Les prestataires dans la ligne de mire
Toutefois, ici c'est du fait d'un manquement du sous-traitant aux règles de protection des données que la nullité a été prononcée. Ainsi, les juges, tout comme la CNIL, n'hésitent plus à sanctionner les prestataires informatiques, sous-traitants, en cas de violation du RGPD. En 2022, pour la première fois, la CNIL a prononcé une sanction de 1,5 million d'euros à l'encontre d'un sous-traitant suite à une fuite de données, du fait notamment de l'absence de contrat conforme au RGPD et de mise en oeuvre de mesures de sécurité appropriées pour garantir la confidentialité des données personnelles confiées. Il ne faut pas oublier que le sous-traitant encourt lui aussi des sanctions pénales, faute de mettre en oeuvre de telles mesures de sécurité (CP., art. 226-17) ou encore de notifier une violation de données au responsable de traitement (CP., art. 226-17-1).
Autant de risques de sanctions qui incitent donc les prestataires informatiques à la vigilance. Outre l'obligation de garantir la sécurité des données personnelles traitées (RGPD, art. 32), le RGPD leur impose des obligations de :
- Transparence et traçabilité : conclure avec chacun de ses clients un contrat de sous-traitance encadrant leurs rapports et obligations respectives et intégrant l'ensemble des mentions listées à l'article 28 du RGPD (objet, durée, nature et finalité du traitement confié), tenir un registre des activités de sous-traitance (RGPD, art. 30), mettre à la disposition de son client toutes les informations nécessaires pour démontrer le respect de ses obligations... ;
- Prise en compte des principes de protection des données dès la conception et de protection des données par défaut des outils, produits, applications ou services fournis ;
- Assistance, alerte et conseil vis-à-vis de ses clients : le sous-traitant doit aider ses clients à répondre à toute demande d'exercice des droits par une personne concernée (par exemple, une demande accès aux données conservées par les clients), à notifier toute violation de données et à réaliser toute analyse d'impact relative à la protection des données requise.
Enfin, le prestataire doit également intégrer la conformité RGPD lors du processus de recrutement de sous-traitants de rang ultérieur, puisqu'il lui appartient de s'assurer que ceux-ci présentent des garanties suffisantes en termes de conformité au RGPD, d'obtenir l'autorisation écrite du client à leur intervention et de veiller à leur imposer les mêmes obligations en matière de protection de données que celles fixées dans le contrat avec son client. Autant de points de vigilance que les prestataires doivent impérativement intégrer et anticiper.