Site internet non conforme au RGPD : deux cours d'appel annulent les contrats pour erreur sur les qualités essentielles

Deux arrêts récents convergent et redessinent l'équilibre contractuel entre les agences web et leurs clients. La Cour d'appel de Douai, le 7 mai 2026, et celle de Lyon, le 5 mars 2026, ont annulé pour erreur sur les qualités essentielles deux contrats de création et location de site internet, au motif d'une non-conformité au RGPD et à la loi Informatique et Libertés.

Ces deux décisions concernent des litiges entre Axecibles et un paysagiste, et entre Linkeo.com et un artisan maçon. Elles posent une règle claire : un client qui s'adresse à un professionnel de la création de sites web est en droit d'attendre, sans clause expresse, que la solution livrée respecte le cadre réglementaire applicable. L'absence de cette conformité vicie le consentement.

L'essentiel en 30 secondes

• La conformité au RGPD d'un site web est une qualité essentielle tacitement convenue entre le client et l'agence web.
• Cookies installés sans consentement, Google Analytics non encadré, absence d'information : autant de motifs de nullité.
• La charge de la preuve de conformité pèse sur l'agence web, pas sur le client.
• Conséquence directe : restitution des sommes versées, exonération des indemnités de résiliation, dépens à la charge du prestataire.

Deux affaires, un même schéma

Douai, 7 mai 2026 : Auffray Paysage contre Axecibles

Une société de paysagisme souscrit en mars 2021 un contrat d'abonnement et de location de solution internet auprès d'Axecibles, pour 444 € par mois pendant 48 mois. Le site est livré le 6 avril 2021.

Un constat d'huissier dressé le 21 mai 2021 met en évidence plusieurs manquements :

• bandeau cookies sans bouton de refus ;
• installation automatique de quatre cookies, dont un cookie « ga » publicitaire, malgré l'absence de validation par l'internaute ;
• retrait du consentement quasi impossible, relégué dans les mentions légales ;
• formulaire de contact et bouton de rappel sans aucune information sur la collecte des données.

Le tribunal de commerce avait initialement débouté la cliente et l'avait condamnée à 23 443 € d'indemnité de résiliation. La cour d'appel infirme intégralement et annule le contrat.

Lyon, 5 mars 2026 : Linkeo.com contre un artisan maçon

Un artisan maçon conclut en mars 2019 avec Linkeo.com un contrat de création de site et de maintenance, pour 576 € au comptant et 216 € de loyer mensuel sur 48 mois. La créance de loyers est cédée à Leasecom, mécanisme de portage classique.

L'artisan cesse de payer en 2020. Leasecom l'assigne, il appelle Linkeo en intervention forcée et demande la nullité du contrat. Un constat d'huissier du 3 mars 2022 révèle des manquements similaires à l'affaire Axecibles : cookies installés malgré refus, transfert hors UE via Google Analytics, retrait du consentement asymétrique, informations RGPD manquantes.

Le tribunal judiciaire de Lyon prononce la nullité. La cour d'appel confirme intégralement.

Le raisonnement juridique commun

La conformité RGPD comme qualité essentielle tacite

Les deux cours mobilisent les articles 1112-1, 1130, 1132 et 1133 du Code civil. La logique se déroule en trois temps.

Le client professionnel d'une agence web s'attend légitimement à ce que le site livré soit conforme à la loi Informatique et Libertés et au RGPD. Cette attente n'a pas besoin d'être stipulée : elle découle de la nature même de la prestation et du domaine d'expertise revendiqué par l'agence.

La conformité au cadre réglementaire constitue donc une qualité essentielle tacitement convenue. Son absence vicie le consentement du client, qui n'aurait pas contracté, ou pas dans les mêmes conditions, en connaissance de cause.

L'article 1112-1 impose en outre à l'agence web d'informer le client de l'installation de cookies publicitaires. Cette obligation d'information précontractuelle vient renforcer le mécanisme.

La charge de la preuve sur le prestataire

Les deux cours appliquent une règle décisive : le client n'a pas à prouver la non-conformité de manière exhaustive. Dès lors que des éléments crédibles, en l'occurrence un constat d'huissier, mettent en évidence des manquements, c'est à l'agence web de démontrer la conformité de sa solution.

Dans l'affaire Lyon, Linkeo n'avait même pas produit le constat d'huissier visé par le premier juge. La cour relève sèchement que ses « seules allégations ne sont pas suffisantes ». Le message vaut pour tout le secteur.

Le délai de mise en conformité Cnil n'est pas un blanc-seing

Axecibles invoquait le délai accordé par la Cnil jusqu'au 31 mars 2021 pour se mettre en conformité avec les lignes directrices cookies. La cour de Douai écarte l'argument en deux temps.

D'abord, le site avait été livré le 6 avril 2021, donc postérieurement à l'échéance. Ensuite, ce délai retardait les sanctions de la Cnil mais n'autorisait pas la poursuite de pratiques illégales lors de la création ou de la modification de sites web.

Les enseignements pour les agences web

La conformité devient un point contractuel central

Vendre un site web sans démontrer sa conformité RGPD expose désormais à l'annulation pure et simple du contrat. Les conséquences financières sont lourdes : restitution des sommes perçues, exonération des indemnités de résiliation, dépens et frais irrépétibles à la charge du prestataire.

Trois mesures préventives s'imposent :

• documenter par écrit la conformité du livrable (rapport d'audit cookies, captures d'écran datées, journal des modifications) ;
• adapter les clauses contractuelles pour clarifier le périmètre de responsabilité, sans pouvoir l'exclure totalement ;
• signer un accord de sous-traitance RGPD (DPA) avec chaque client, en application de l'article 28 du Règlement.

Le bouclier « le client est responsable de traitement » ne tient plus seul

Axecibles soutenait que la cliente, en tant qu'éditrice du site, était seule responsable de traitement au sens de l'article 4.7 du RGPD. La cour reconnaît cette qualification mais en tire la conclusion inverse de celle attendue par l'agence : précisément parce que le client est responsable de traitement, il a un intérêt déterminant à ce que la solution livrée soit conforme. L'agence, en tant que sous-traitant ou simple prestataire technique, doit en informer son client et lui livrer un outil conforme.

Les enseignements pour les clients

Un levier puissant pour les TPE et indépendants

Beaucoup d'agences web démarchent agressivement les TPE, artisans et professions libérales avec des contrats de 36 ou 48 mois, accompagnés d'indemnités de résiliation lourdes. Ces deux arrêts ouvrent une voie de sortie quand le site livré n'est pas conforme au RGPD.

Le client peut, sur le fondement de l'erreur sur les qualités essentielles, demander la nullité du contrat, la restitution des sommes versées et le rejet des demandes d'indemnité de résiliation.

L'importance du constat d'huissier

Les deux décisions mettent en avant le constat de commissaire de justice comme pièce probante. La cour de Douai souligne que l'huissier a procédé à une purge complète de son ordinateur avant test, ce qui rend ses constatations incontestables.

Pour un client qui suspecte une non-conformité, faire dresser un constat avant toute procédure constitue l'investissement le plus rentable.

Le rôle de l'avocat avant et après le contrat

En amont d'un projet web

Une consultation initiale permet de bâtir un cahier des charges qui intègre les exigences RGPD comme conditions de réception. Inclure explicitement la conformité dans le contrat n'est pas une précaution superflue, c'est une clause de sortie activable en cas de manquement.

En cas de litige

Si le site livré présente des défauts de conformité, l'action en nullité pour erreur sur les qualités essentielles devient une stratégie efficace. Elle nécessite un dossier solide :

• constat d'huissier précis et récent ;
• analyse technique des cookies, du bandeau de consentement et des mentions ;
• démonstration de l'attente légitime du client.

Ces deux arrêts constituent désormais des points d'appui jurisprudentiels solides pour ce type d'action.

Une jurisprudence qui structure le marché

Ces deux décisions ne sont pas isolées. Elles s'inscrivent dans un mouvement plus large qui voit la conformité RGPD intégrer le standard de qualité attendu de tout prestataire numérique. Les agences web qui survivront à cette consolidation seront celles qui auront intégré la dimension juridique en amont de leur offre, pas celles qui continueront de la traiter comme un sujet annexe.

Pour les clients, le message est clair : un contrat de site web mal exécuté n'est plus une fatalité. Les outils juridiques existent, encore faut-il les mobiliser au bon moment, avec les bonnes pièces.

Vous êtes engagé dans un contrat de site web non conforme, ou vous préparez une prestation et souhaitez sécuriser son cadre juridique ? Je vous propose un audit dédié : analyse de la conformité, qualification des manquements, stratégie contentieuse ou contractuelle adaptée à votre situation.