La conformité au Règlement général sur la protection des données (RGPD) constitue aujourd’hui un impératif incontournable dans le développement de solutions informatiques.

En tant que sous-traitant, le prestataire informatique engage sa responsabilité contractuelle en cas de manquement aux obligations prévues par ce règlement. Les récents arrêts rendus par la Cour d’appel de Bordeaux (13 mai 2025, n°23/02044 ; 11 juin 2025, n°23/02206) illustrent les conséquences juridiques significatives pouvant résulter d’une telle inexécution, notamment la résolution du contrat aux torts du prestataire et l’octroi de dommages-intérêts au profit du client.

La jurisprudence confirme que le non-respect du RGPD constitue un manquement contractuel suffisamment grave pour justifier la résolution judiciaire du contrat.

Dans l’affaire du 13 mai 2025 (n°23/02044), la Cour d’appel de Bordeaux a retenu que la solution livrée, non conforme aux exigences du RGPD en matière de sécurité des données et de traçabilité, malgré les demandes réitérées du client, exposait ce dernier à un risque juridique. [1]

La Cour a estimé que la contrepartie financière du contrat trouvait son utilité dans l'exécution conforme et complète de celui-ci, ce qui n'était pas le cas en l’espèce. Aucune mise en conformité n’avait été apportée, notamment concernant les cookies, et la présence d’un module reCAPTCHA subsistait sans que le consentement préalable des utilisateurs ne soit recueilli.

Dans l’arrêt du 11 juin 2025 (n°23/02206), le prestataire avait expressément accepté, dans ses engagements contractuels, de respecter les réglementations françaises et internationales. [2]

Or, le site développé ne comportait ni bandeau cookies ni mécanisme de recueil du consentement. Un procès-verbal d’huissier a, en outre, constaté l’usage du module reCAPTCHA, lequel implique la collecte de données techniques par Google (identifiées par la CNIL dans sa délibération n°2020-015 du 15 juillet 2020), sans que les utilisateurs n’en soient informés ni n’aient donné leur consentement éclairé.

Conformément à l’article 1229 du Code civil, le juge peut fixer la date d’effet de la résolution, laquelle est rétroactive lorsque les prestations ne présentent aucune utilité.

Dans les deux arrêts précités, les juridictions ont ordonné la restitution intégrale des sommes versées, la solution fournie s'étant révélée non conforme à la règlementation.

Au-delà de la résolution, la responsabilité contractuelle du prestataire peut être engagée pour l’octroi de dommages-intérêts, notamment lorsque le manquement entraîne une mise en demeure de la CNIL, une sanction administrative ou une perte d’exploitation.

La jurisprudence souligne l’existence d’un devoir de conseil renforcé pesant sur le prestataire, notamment quant aux risques juridiques liés aux traitements de données personnelles. En cas d’insuffisance d’information ou de choix techniques inadaptés, sa responsabilité peut également être retenue.

Le développement d’une solution informatique non conforme au RGPD peut entraîner des conséquences juridiques majeures : résolution judiciaire du contrat, restitution des prestations perçues et condamnation à indemnisation.

Les récentes décisions de la Cour d’appel de Bordeaux témoignent d’un renforcement de l’exigence de conformité dans les relations contractuelles impliquant des traitements de données personnelles pour les développeurs informatique.

💡 Il est fortement recommandé de prévoir, dans les contrats de développement informatique, des clauses spécifiques relatives à la conformité RGPD, permettant notamment de délimiter le périmètre de la garantie du prestataire.

⚠️ Toutefois, même en présence de telles stipulations, le devoir de conseil du professionnel demeure : celui-ci doit alerter son client sur les dispositifs nécessaires à la mise en conformité du site ou de la solution, et, le cas échéant, l’orienter vers un conseil spécialisé pour assurer pleinement cette mission.

[1] Cour d’appel de Bordeaux 13 mai 2025 n°23/02044 : https://justice.pappers.fr/decision/6fb0924d59d58b71f8a752fcd15799db47301fe7?q=Bordeaux+13+mai+2025+23%2F02044

[2] Cour d’appel de Bordeaux 11 juin 2025 n°23/02206 : https://justice.pappers.fr/decision/0b5ca4be6459b0b0ace3bf76d5945b5f63939465?q=Bordeaux+11+juin+2025+23%2F02206