Une décision structurante pour les acteurs du numérique
Le 5 mars 2026, la Cour d’appel de Lyon a rendu une décision particulièrement significative en matière de conformité numérique. Pour la première fois de manière aussi claire, une juridiction d’appel confirme la nullité d’un contrat de création de site internet en raison de manquements au RGPD.
Cette décision dépasse largement le cadre du litige entre les parties. Elle consacre une idée désormais essentielle : la conformité RGPD fait partie intégrante de la qualité attendue d’un site web. En d’autres termes, un site non conforme n’est pas seulement irrégulier sur le plan réglementaire, il peut être juridiquement considéré comme défectueux.
Les faits : un site internet juridiquement inexploitable
Le litige trouve son origine dans un contrat conclu entre un artisan et une société spécialisée dans la création et la maintenance de sites internet. L’objectif était classique : doter le professionnel d’un site fonctionnel permettant de présenter son activité et de collecter des demandes via un formulaire de contact.
Cependant, à la suite de difficultés, une expertise est réalisée. Un huissier de justice reproduit l’expérience d’un utilisateur standard et met en évidence plusieurs dysfonctionnements majeurs.
D’abord, des cookies sont installés sur le terminal de l’utilisateur, y compris lorsqu’il exprime un refus explicite. Cette seule constatation suffit à caractériser une violation manifeste des règles relatives au consentement.
Ensuite, l’analyse révèle l’utilisation de Google Analytics, impliquant un transfert de données personnelles en dehors de l’Union européenne, sans encadrement conforme aux exigences européennes.
Par ailleurs, le mécanisme permettant de retirer son consentement apparaît complexe et peu accessible, ce qui contrevient directement aux principes du RGPD. Enfin, les informations obligatoires relatives au traitement des données personnelles, telles que prévues par l’article 13 du règlement, sont absentes ou insuffisantes.
Pris dans leur ensemble, ces éléments conduisent les juges à considérer que le site ne respecte pas des exigences d’ordre public.
Une violation caractérisée des principes fondamentaux du RGPD
L’intérêt de cette décision réside dans la précision de l’analyse juridique opérée par la Cour.
Elle rappelle en premier lieu que le consentement en matière de cookies doit répondre à des critères stricts. Il ne peut être ni implicite ni contraint. L’utilisateur doit pouvoir accepter ou refuser avec la même facilité. En l’espèce, le fait que des traceurs soient déposés malgré un refus rend le consentement inexistant juridiquement.
La question des transferts de données hors Union européenne constitue un second point déterminant. L’utilisation d’outils d’analyse d’audience impliquant des flux de données vers des pays tiers est aujourd’hui fortement encadrée. En l’absence de garanties adéquates, ces transferts sont susceptibles de violer le RGPD. La Cour s’inscrit ici dans une continuité jurisprudentielle exigeante sur ce sujet.
Enfin, l’absence d’information conforme aux exigences de l’article 13 du RGPD est sanctionnée. Cette obligation d’information constitue pourtant un pilier du règlement, visant à assurer la transparence des traitements. Son non-respect prive l’utilisateur de la maîtrise de ses données.
La nullité du contrat : une évolution majeure
La portée de la décision est renforcée par la sanction retenue. La Cour d’appel ne se limite pas à constater des manquements : elle confirme la nullité du contrat.
Cette nullité repose sur une erreur portant sur les qualités essentielles de la prestation. Autrement dit, le client pensait acquérir un site exploitable et conforme aux exigences légales, ce qui n’était pas le cas.
Cette qualification est particulièrement importante. Elle signifie que la conformité RGPD est désormais perçue comme une caractéristique intrinsèque d’un site internet. À défaut, celui-ci ne remplit pas sa fonction économique et juridique.
Pour les professionnels du web, cette analyse marque un tournant. Elle transforme une obligation réglementaire en élément déterminant de la validité contractuelle.
Un impact direct pour les entreprises et les prestataires
Les conséquences de cette décision sont multiples et concernent l’ensemble de l’écosystème numérique.
Pour les prestataires, qu’il s’agisse d’agences, de développeurs ou de freelances, la conformité RGPD ne peut plus être traitée comme un élément accessoire. Elle engage directement leur responsabilité contractuelle. Une défaillance sur ce point peut conduire à l’annulation de la prestation, voire à des demandes indemnitaires.
Du côté des entreprises clientes, la vigilance est également de mise. Même en externalisant la création du site, elles demeurent responsables des traitements de données mis en œuvre. Un site non conforme les expose non seulement à des sanctions administratives, mais aussi à des litiges contractuels.
Cette décision incite donc à une approche plus rigoureuse dans la rédaction des contrats et dans la définition des obligations liées à la conformité.
Les non-conformités les plus fréquentes observées
Dans la pratique, les problématiques relevées dans cette affaire sont loin d’être isolées. De nombreux sites présentent encore des défauts similaires.
Il est fréquent d’observer des bandeaux cookies qui ne permettent pas un refus réel ou qui orientent fortement le choix de l’utilisateur. De même, certains outils de mesure d’audience sont déployés sans paramétrage adéquat, entraînant des transferts de données non conformes.
Les obligations d’information sont également souvent négligées. Les politiques de confidentialité sont incomplètes, imprécises ou difficilement accessibles. Enfin, la gestion du consentement, notamment sa preuve et sa révocation, reste un point faible récurrent.
À la lumière de cette décision, ces manquements ne relèvent plus simplement du risque administratif. Ils peuvent remettre en cause la validité même du site et des contrats associés.
Vers une approche globale de la conformité RGPD
La mise en conformité d’un site internet ne peut plus être envisagée de manière partielle. Elle suppose une approche globale, intégrant à la fois des aspects techniques, juridiques et organisationnels.
Cela implique notamment une analyse précise des cookies et traceurs utilisés, un paramétrage rigoureux des outils d’analyse, ainsi que la mise en place de mécanismes de consentement conformes. À cela s’ajoute la nécessité de rédiger des documents d’information complets et accessibles.
Au-delà de ces aspects visibles, la conformité suppose également une capacité à démontrer le respect des obligations, notamment en matière de preuve du consentement et de gestion des droits des personnes.
L’intérêt d’un accompagnement spécialisé
Face à la complexité croissante du cadre réglementaire et à l’évolution de la jurisprudence, le recours à un accompagnement spécialisé apparaît de plus en plus pertinent.
Un DPO externe permet d’apporter une expertise à la fois juridique et technique, indispensable pour sécuriser les sites internet et les relations contractuelles. Il contribue également à anticiper les risques et à adapter les pratiques aux exigences en constante évolution.
Dans ce contexte, la conformité RGPD ne doit plus être perçue comme une contrainte, mais comme un levier de sécurisation et de valorisation des activités numériques.
Conclusion : une décision qui redéfinit les standards du web
La décision rendue par la Cour d’appel de Lyon marque une étape importante dans l’intégration du RGPD au cœur des relations contractuelles numériques.
Elle consacre une réalité désormais incontournable : un site internet doit être conforme pour être juridiquement valable. À défaut, il expose ses utilisateurs, mais aussi ses concepteurs et ses commanditaires, à des conséquences significatives.
Pour les entreprises, l’enjeu est clair. Il ne s’agit plus seulement d’éviter une sanction, mais de garantir la solidité juridique de leurs outils digitaux.
Dans ce contexte, la mise en conformité RGPD s’impose comme un investissement stratégique, au croisement du droit, de la technique et de la performance économique.
