Traitements de données personnelles par un prestataire : attention aux risques d’annulation du contrat

Le non-respect, par un prestataire informatique, de certaines exigences légales en matière de traitement de données personnelles peut entraîner la nullité du contrat. Pour se prémunir de ce risque, une attention particulière doit être portée à la préparation et la rédaction du contrat, mais aussi à une application rigoureuse de celui-ci.

Deux décisions récentes de cours d’appel viennent d’illustrer les rapports entre les contrats informatiques et la réglementation relative aux données personnelles.

Ces affaires sont relatives à un contrat concernant une prestation informatique : d’une part, un contrat d’abonnement à un logiciel de santé et, d’autre part, le développement et la mise à disposition d’un site internet.

Dans les deux affaires, le prestataire omet un aspect précontractuel essentiel : dans le 1er cas, respecter une exigence spécifique relative à l’hébergement des données de santé, dans le 2nd, fournir une information déterminante pour la conclusion du contrat.

Nullité du contrat si l’hébergeur des données de santé n’est pas agréé

Le logiciel objet de la première affaire[1] permettait la télétransmission de feuilles de soins aux caisses mutuelles.

S’agissant de données de santé à caractère personnel, l‘hébergement de ces données par l’éditeur de ce logiciel nécessitait que l’éditeur soit titulaire d’un agrément pour l’hébergement de données de santé (HDS)[2][3].

Or, l’éditeur du logiciel ne disposait pas de cet agrément HDS.

Saisie en appel du litige entre le praticien et l’éditeur du logiciel, la Cour d’Appel de Nîmes retient que l’éditeur de logiciel est tenu de fournir au contractant une prestation d’hébergement conforme aux dispositions d’ordre public protégeant les données de santé à caractère personnel.

Faute de respect de cette exigence, la cour d’appel confirme la nullité du contrat.

Nullité du contrat faute de fourniture d’une information précontractuelle essentielle

L’arrêt de la Cour d’appel de Grenoble[4] concerne un contrat de création, d’installation et de maintenance d’un site internet.

Dans les faits, le site internet fourni au client collecte des données relatives aux visiteurs. Un huissier de justice constate en effet l’existence de cookies (notamment de tiers) à des fins de performance, d’analyses statistiques, pour proposer des contenus ciblés et analyser la performance de campagnes publicitaires. Faute de respecter les exigences légales, ces cookies sont illégaux.

Or, le contrat prévoit la responsabilité du client au regard de la règlementation relative aux données à caractère personnel.

Les juges considèrent que le client aurait dû être informé de l’existence de logiciels permettant l’installation de cookies, cette information étant considérée comme déterminante au regard de la responsabilité civile encourue par le client.

A défaut de cette information, ils annulent le contrat pour erreur sur une qualité essentielle du site internet fourni.

La Cour d’Appel de Grenoble confirme donc la nullité du contrat et condamne l’éditeur à rembourser le montant total de l’abonnement payé.

Conséquences de la nullité  

Dans les deux affaires, la nullité rétroactive du contrat emporte une remise en l’état initial.

Néanmoins, si l’arrêt de la Cour d’Appel de Grenoble (site internet) condamne le prestataire à rembourser l’intégralité de la somme perçue, l’arrêt de la Cour d’Appel de Nîmes (hébergement de données de santé) retient que le client a eu le bénéfice de l’utilisation du logiciel pendant 48 mois. La cour décide donc d’attribuer à l’éditeur une indemnité correspondant au montant de l’abonnement pendant le nombre de mois d’utilisation effective du logiciel.




Une attention particulière doit donc être apportée dans la contractualisation avec les prestataires informatiques :

  • avant la signature du contrat, par l’obtention d’informations complètes sur le fonctionnement détaillé du logiciel ou du service et les traitements de données personnelles réalisés,
  • dans le contrat, notamment par l’insertion de garanties détaillées relatives au traitement ou non de données personnelles,
  • et pendant l’exécution du contrat, afin de vérifier que la prestation (ou le droit concédé) est conforme au contenu du contrat initial et que le prestataire respecte de manière continue les exigences légales[5].




[1] Cour d’appel Nîmes 15/12/2022

[2] Art L 1111-8 du Code de la Santé Publique

[3] Remplacé depuis par la certification HDS. 

[4] Cour d’appel Grenoble 12/01/2023          

[5] La CNIL a récemment sanctionné un responsable de traitement pour n’avoir « pas suivi l’exécution (par son sous- traitant) des instructions et pas exercé un contrôle satisfaisant et régulier (…)  sur les mesures techniques et organisationnelles mises en œuvre par son sous-traitant (…) notamment pour assurer l’anonymisation et la sécurité des données ». (Délibération de la formation restreinte n° SAN-2022-018)

Publié par

Franck Delamer

Conseil Senior
Délégué à la Protection des Données