Dans un arrêt du 13 mai 2025 (n° 23/02044), la Cour d’appel de Bordeaux a prononcé la résolution d’un contrat de création de site internet conclu entre M. X et la société Y, au motif de graves manquements aux obligations découlant du règlement général sur la protection des données (RGPD) et de la loi Informatique et Libertés.
Le demandeur avait constaté, à l’issue d’une procédure de constat d’huissier réalisée le 18 mai 2021, l’absence totale de bandeau d’information et de recueil de consentement relatif aux cookies sur la page d’accueil, l’absence de référencement du terme « cookies » dans les pages du site, ainsi que la persistance d’un dispositif reCAPTCHA non déclaré et l’installation, sans consentement, de quatre cookies sur l’ordinateur de l’huissier, dont deux fichiers temporaires ne relevant pas des seuls cookies exemptés par l’article 82 de la loi du 6 janvier 1978 modifiée.
Retenant la persistance de ces inexécutions contractuelles, la Cour d’appel a jugé M. X fondé à solliciter la résolution du contrat, en application des articles 1610, 1217 et 1224 du Code civil. Elle a en conséquence ordonné la restitution intégrale des sommes versées, y compris celles financées par crédit, considérant que l’obligation principale de la société était d’assurer la conformité du site aux exigences légales en matière de protection des données personnelles.
Cette décision illustre la portée contractuelle du RGPD et rappelle aux prestataires de services numériques l’impérieuse nécessité de mettre en place, dès la mise en ligne, des mécanismes transparents et fiables de recueil du consentement, ainsi que de respecter les règles encadrant les cookies et autres traceurs. Elle confirme également que la violation de ces obligations peut entraîner la résolution de plein droit du contrat et l’obligation de remboursement.