Manquements en matière de traitement de données personnelles ? Les sanctions de la CNIL ne sont pas les seules à craindre !
- A la une
Dans un arrêt rendu le 12 janvier dernier, la Cour d’appel de Grenoble rappelle que les manquements relatifs à la collecte et à l’utilisation de données personnelles sont de nature à entrainer la nullité d’un contrat.
En l’espèce, un contrat avait été conclu pour la création, l’installation et la maintenance d’un site Internet.
La Cour d’appel constate que le site Internet viole, entre autres, diverses obligations issues de l’article 32 ancien de la Loi du 16 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
En effet, lorsqu’un utilisateur consultait le site Internet en question, divers cookies étaient déposés sur son terminal, sans son consentement. Ce dépôt était contraire à ce qui est précisé dans la politique de confidentialité du site Internet et, surtout, aux dispositions législatives en vigueur. En outre, ce dépôt, réalisé à l’insu de l’utilisateur, était de nature à pouvoir engager la responsabilité civile ou pénale de la société cliente, responsable des traitements résultant de l’exploitation du site Internet.
Considérant que le prestataire aurait dû porter à la connaissance de la société cliente l’existence de ce traitement, la Cour d’appel annule le contrat, le site livré ayant pourtant fait l’objet d’une réception sans réserve.
Cette décision, qui souligne que le risque de non-conformité aux obligations en matière de protection des données personnelles ne se limite pas à un contrôle de la CNIL et une sanction administrative, peut être mise en relation avec diverses décisions rendues en France comme en Allemagne.
À titre d’illustration, le Tribunal judiciaire de Paris a, dans une décision du 15 avril 2022, considéré que des manquements relatifs au Règlement général sur la protection des données constituent un avantage concurrentiel indu pour leur auteur. Ainsi, la société qui ne s’est pas conformée à ses obligations légales réalise un acte de concurrence déloyale.
En Allemagne, des décisions similaires ont été rendues. En 2018, la Cour d’appel de la région de Francfort avait prononcé la nullité d’un contrat de vente en raison d’une violation de la législation sur la protection des données. Le même raisonnement a été appliqué en 2021 par le tribunal de Sarrebruck.
En réalité, les risques résultant de la non-conformité à la législation sur la protection des données personnelles excèdent ceux de voir un contrat annulé ou une responsabilité engagée : ils peuvent conduire à fragiliser la régularité d’une opération de M&A ou encore permettre d’écarter des pièces produites dans un litige – sans compter les risques réputationnels.
Il convient par ailleurs de noter que les décisions rendues par les juridictions civiles sont sans incidence sur les éventuelles sanctions pouvant être appliquées par la CNIL dans le cadre d’une procédure administrative. En effet, si la CNIL tend progressivement à reconnaître la responsabilité des sous-traitants et à les sanctionner, elle considère presque systématiquement que le responsable de traitement doit superviser ses sous-traitants et le sanctionne au titre des manquements de ces derniers.
La possible nullité d’un contrat constitue ainsi, à défaut d’une protection, du moins un outil complémentaire dans l’arsenal du responsable de traitement en cas de manquement de son sous-traitant.