CGV prestataire numérique : rendre votre conformité démontrable

Trois semaines après la résiliation, l’avocat adverse produit une pièce unique : la capture d’écran du tunnel de commande. Pas de case à cocher visible. Pas de lien actif vers les conditions générales. Aucune référence à la version applicable à la date du contrat. Votre client soutient n’avoir rien accepté et le dossier ne contient rien pour le contredire.

Vos conditions générales n’appelaient pourtant aucune critique sur le fond. La clause de cession de droits désignait les œuvres, délimitait le territoire, fixait la durée légale. La mention RGPD était conforme. Le plafond de responsabilité avait été calibré six mois plus tôt par un confrère qui les avait relues ligne à ligne.

Le texte était en ordre. L’architecture du litige, elle, s’est construite ailleurs dans un formulaire de commande que personne n’avait jamais pensé à journaliser.

Dans cet article nous allons examiner la distance entre ce que vos CGV énoncent et ce que vous êtes en mesure de produire quand un client conteste, quand un investisseur audite votre data room ou quand la CNIL ouvre un contrôle.

Dans notre précédent article consacré aux CGV du prestataire numérique, nous avons posé les fondations : clause PI, traitement des données, limitation de responsabilité, gestion des litiges. La question qui suit : celle de la traçabilité, de l’archivage, de la preuve d’acceptation ; est d’une autre nature. Elle ne relève plus de la rédaction. Elle relève de l’organisation.

L’opposabilité : une question de preuve, pas de rédaction

 L’article 1119 du Code civil dispose que les conditions générales « n’ont effet à l’égard de l’autre que si elles ont été portées à sa connaissance et si elle les a acceptées. » Deux conditions cumulatives. Pas une seule. La plupart des prestataires numériques satisfont, partiellement, à la première. Presque aucun ne documente la seconde.

Ce n’est pas un détail procédural. C’est la ligne de fracture entre un contrat qui protège et un contrat qui rassure faussement.

La jurisprudence le confirme avec constance. Dans un arrêt du 3 mai 2016, la cour d’appel de Versailles (n°15/02478) a écarté des conditions générales transmises en annexe d’un document contractuel au motif qu’elles n’avaient été ni signées, ni paraphées, sans qu’aucun élément ne permette d’établir que le cocontractant les avait reçues et acceptées en connaissance de cause. Le prestataire avait envoyé ses CGV. Il ne pouvait pas prouver qu’elles avaient été lues et acceptées. La nuance a tout changé.

La transmission par courriel commercial, avec les CGV jointes en PDF, suit la même logique.

Les juridictions du fond écartent régulièrement cet argument au motif que l’envoi d’une pièce jointe ne vaut pas preuve de sa réception, de sa consultation, ni a fortiori de son acceptation. Ce que votre messagerie a expédié, votre messagerie ne peut pas certifier.

À l’inverse, la Cass. Com., 21 juin 2023, n°21-21635 offre un repère utile : la signature d’une lettre de mission comportant un renvoi explicite aux conditions générales d’intervention suffit à rendre ces conditions opposables, même sans signature distincte sur les CGV elles-mêmes. Ce qui compte, ce n’est pas le support, c’est la traçabilité du consentement.

Votre processus de commande est donc une pièce à conviction au même titre que le contrat lui-même. Un formulaire en ligne qui ne génère pas de log horodaté, une page de validation qui n’archive pas la version des CGV applicable à la date de la transaction, un email de confirmation qui ne mentionne pas l’URL des conditions acceptées : autant de lacunes probatoires que le juge comblera rarement en votre faveur.

Quatre mots résument l’enjeu. Rédigé ne vaut pas prouvé.

Le mécanisme d’acceptation en ligne : ce que la loi impose vraiment

L’absence de case à cocher obligatoire en BtoB rassure, à tort, beaucoup de prestataires. L’article 1127-1 du Code civil impose une obligation distincte et souvent négligée : avant la conclusion du contrat, les conditions générales doivent pouvoir être conservées et reproduites par le cocontractant. La loi n’exige pas ici qu’il les ait cochées. Elle exige que vous lui en ayez rendu la conservation possible. Ce n’est pas la même chose.

La CJUE, 21 mai 2015, aff. C-322/14 (El Majdoub c/ CarsOnTheWeb) l’a formulé dans une affaire BtoB : la technique du clic est valide dès lors qu’elle « rend possible l’impression et la sauvegarde » des conditions avant leur acceptation. La Cour prend soin de préciser que le test porte sur la possibilité offerte, indépendamment de la question de savoir si le client a effectivement sauvegardé le document.

Un lien qui s’ouvre dans une nouvelle fenêtre, imprimable et téléchargeable : suffisant. Un renvoi vers une page dont le contenu est dynamique, modifiable après coup, sans ancrage de version : insuffisant.

La Cass. Com., 16 mars 2022, n°20-22269 apporte l’éclairage du droit interne sur le même terrain : les conditions générales ne sont pas opposables au cocontractant « faute de preuve de leur acceptation expresse » La chambre commerciale ne s’arrête pas à la question de la communication, elle exige la preuve de l’acceptation. Deux niveaux distincts, deux points de défaillance possibles.

Ce que cela signifie concrètement pour votre tunnel de commande : la page de validation doit générer et archiver un log contenant l’URL des CGV applicables, le numéro de version du document, l’action accomplie par le client, et le timestamp serveur. Pas le timestamp de votre interface, celui du serveur, inaltérable par votre propre système. Sans cela, vous avez un processus pas une preuve.

Un dernier point souvent sous-estimé, modifier ses CGV sans versioning ne neutralise pas l’ancienne version, elle l’efface de votre capacité probatoire. Le client dont le contrat date d’octobre 2023 sera jugé selon la version applicable en octobre 2023. Si vous ne pouvez pas la produire, le débat porte alors sur ce que vous prétendez qu’elle contenait.

Vos clients sont des consommateurs ? Le régime BtoC ajoute une couche supplémentaire : procédure de double clic, droit de rétractation, information précontractuelle formalisée. Je vous invite à consulter notre article Comment structurer mes CGV BtoC ?,  les exigences y sont substantiellement plus contraignantes, et les sanctions plus exposées.

La cession de droits PI : l’écrit ne suffit pas 

Votre CGV stipule que « l’ensemble des droits de propriété intellectuelle sur les livrables sont cédés au client à compter du paiement intégral de la prestation. » Cette clause, ou une variante proche, figure dans de nombreuses conditions générales de prestataires numériques. Elle est juridiquement insuffisante.

L‘article L. 111-1 du Code de la propriété intellectuelle dispose que le droit d’auteur naît dans le patrimoine du créateur, automatiquement, par le seul fait de la création. Votre client ne devient titulaire d’aucun droit sur votre code, votre design, votre architecture logicielle, du seul fait de vous avoir commandé ou payé. Ce transfert doit être organisé, explicitement, formellement, dans les termes que la loi impose.

Ces termes, c’est l’article L. 131-3 CPI qui les fixe : « La transmission des droits de l’auteur est subordonnée à la condition que chacun des droits cédés fasse l’objet d’une mention distincte dans l’acte de cession et que le domaine d’exploitation des droits cédés soit délimité quant à son étendue et à sa destination, quant au lieu et quant à la durée. » Quatre paramètres obligatoires. Un seul manquant et la cession est interprétée restrictivement en faveur de l’auteur, c’est-à-dire du prestataire, pas du client.

La jurisprudence est constante sur ce point. Dans un arrêt du 11 juin 2024, la Cour d’appel de Versailles (n° 23/00133) a été saisie d’un litige opposant une créatrice de meubles en carton, qui avait co-fondé et intégré comme salariée la société Romeen, aux sociétés qui exploitaient commercialement ses œuvres après la rupture brutale de leur collaboration. Pour contester l’action en contrefaçon, les défenderesses produisaient deux pièces : une facture du 30 janvier 2014 et un contrat signé le 11 septembre 2014.

La Cour les a écartés l’une et l’autre, dans des termes clairs. Appliquant l’article L. 131-3, alinéa 1er, du CPI qu’elle prend soin de citer in extenso dans sa motivation, elle énonce :

« Ni la facture du 30 janvier 2014, ni le contrat du 11 septembre 2014 ne font référence à la cession du droit d’exploitation, ni a fortiori au périmètre de la cession, par plus qu’à la rémunération de l’auteur. »

Ce qui est remarquable tient à la nature même des documents écartés. Il ne s’agissait pas d’une clause approximative glissée dans des CGV standardisées, mais d’une facture détaillée de 30.000 € HT et d’un contrat constitutif de société, des actes que leurs rédacteurs avaient sans doute crus suffisants. La Cour confirme le jugement du TJ de Nanterre : la facture ne visait que « la cession du support des œuvres » sans évoquer le droit d’exploitation ; quant au contrat, il ne faisait « aucune référence aux droits de propriété intellectuelle » de l’auteure.

L’exploitation commerciale sans titre régulier a caractérisé la contrefaçon, et les condamnations ont été confirmées. Le contrat existait. La cession des droits, au sens de l’article L. 131-3 CPI, n’avait juridiquement jamais eu lieu.

La clause de cession dans vos CGV doit donc nommer les catégories d’œuvres concernées (code source, interfaces graphiques, architecture technique, contenus éditoriaux, le cas échéant les bases de données) préciser les droits cédés parmi les droits patrimoniaux reconnus par le CPI (reproduction, représentation, adaptation, traduction, distribution), fixer le territoire (généralement le monde entier) et la durée (en pratique, toute la durée légale de protection). Une clause qui dit « tous les droits » sans ces précisions n’organise pas une cession. Elle crée un contentieux en puissance.

Un dernier point, souvent ignorer, cette règle s’applique à chaque livrable distinct. Un développement effectué en phase 1, une refonte livrée en phase 3, des modules ajoutés six mois plus tard, chacun constitue potentiellement une œuvre de l’esprit distincte dont la cession doit être identifiée. Un bon de commande additionnel non accompagné d’un avenant de cession laisse les droits sur les nouveaux livrables dans le patrimoine du prestataire.

La précision d’une clause de cession est une marque de professionnalisme, envers vous-même d’abord, envers votre client ensuite

Sur les risques PI spécifiques aux contrats de prestation numérique, contrefaçon, requalification, garanties d’éviction, voir notre article Contrefaçon et contrat web : sécurisez votre propriété intellectuelle.

La responsabilité RGPD : l’obligation de démontrer, pas seulement de faire

Il y a une erreur de lecture très répandue du RGPD dans les PME numériques : celle qui consiste à traiter la conformité comme une somme de mesures à prendre, plutôt que comme une aptitude permanente à en rapporter la preuve. La distinction est le cœur du système.

L’article 5, paragraphe 2, du RGPD, dit principe de responsabilité, n’impose pas simplement que les principes de protection des données soient respectés. Il impose que le responsable de traitement « soit en mesure de démontrer » que ces principes le sont. Ce renversement de la charge probatoire est total : en droit commun, c’est à l’autorité de contrôle d’établir la violation ; sous le RGPD, c’est à vous d’établir en permanence votre conformité. 

La CNIL ne vient pas chercher une fuite, elle peut frapper sur le simple constat que votre documentation est absente ou insuffisante.

Le bilan 2025 de la CNIL est sur ce point sans ambiguïté : 259 décisions rendues, dont 83 sanctions et 143 mises en demeure. Parmi les motifs les plus récurrents : l’absence de registre des traitements, sanctionnée à l’encontre de sociétés de moins de 250 salariés, la CNIL rappelant que l’exemption prévue par l’article 30 du RGPD pour les petites structures ne joue que si les traitements sont occasionnels, ce qui n’est jamais le cas d’une entreprise numérique traitant en continu des données clients, de facturation ou de prospection. Autrement dit, votre TPE de trois personnes qui gère une base prospects dans un CRM est soumise à l’obligation de registre. Sans exception.

L’article 30 du RGPD précise le contenu de ce registre qui doit contenir les finalités de chaque traitement, les catégories de données et de personnes concernées, les destinataires, les durées de conservation, les mesures de sécurité. Ce n’est pas un document de principe, c’est une cartographie vivante, qui doit refléter à tout instant la réalité opérationnelle de votre activité. Un registre rédigé en 2022 et jamais mis à jour depuis l’intégration de votre nouveau CRM ne remplit pas cette fonction. Il vous expose.

Le DPA : ni option ni formalité

 Analysons ensemble un point que la quasi-totalité des prestataires numériques sous-estime. Chaque outil SaaS que vous utilisez dans votre chaîne de traitement, Stripe pour le paiement, HubSpot ou Salesforce pour le CRM, AWS ou OVH pour l’hébergement, Mailchimp pour les campagnes email, est un sous-traitant au sens de l’article 28 du RGPD. Et l’article 28 est catégorique : tout traitement effectué par un sous-traitant pour votre compte doit être encadré par un contrat écrit, le Data Processing Agreement, spécifiant notamment l’objet, la durée, la nature et la finalité du traitement, ainsi que les obligations et droits du responsable de traitement.

Vous devez comprendre une chose fondamentale ici : l’existence d’un DPA avec chacun de ces prestataires est une condition de votre propre conformité démontrable, pas une garantie de leur comportement. Si AWS subit une fuite de données personnelles de vos clients et que vous ne disposez pas d’un DPA valide avec eux, vous commettez une infraction autonome à l’article 28, indépendamment de toute faute technique de l’hébergeur. Le contrat SaaS standard, celui que vous avez accepté en cochant une case lors de l’abonnement, ne constitue généralement pas un DPA au sens du RGPD, ou du moins, il ne constitue pas votre DPA, que vous devrez être en mesure de produire lors d’un contrôle.

La plupart des grands éditeurs (AWS, Google Cloud, Stripe, HubSpot) proposent un DPA en libre accès dans leur documentation juridique. Le signer n’est pas une démarche lourde. Ne pas le signer, en revanche, c’est laisser un angle mort documentaire que la CNIL identifie désormais comme une infraction en elle-même, avant même que quoi que ce soit n’ait mal tourné.

La rigueur documentaire constitue votre capacité à démontrer votre conformité. Comme la précision contractuelle, elle se construit en amont jamais dans l’urgence d’un contrôle.

La gestion des versions contractuelles

 Il existe une zone d’ombre dans la pratique contractuelle des prestataires numériques que les litiges mettent en pleine lumière. Elle tient à une question déceptivement simple : quelle version de vos CGV s’appliquait à ce client, à cette date ? Si vous ne pouvez pas répondre sans hésiter, vous avez un problème probatoire et potentiellement un problème contractuel.

Le principe est celui posé par l’article 1366 du Code civil : l’écrit électronique a la même force probante que l’écrit papier, « sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité ». L’article 1367 complète ce dispositif pour la signature électronique, dont la fiabilité est présumée jusqu’à preuve contraire lorsque l’identité du signataire est assurée et l’intégrité de l’acte garantie. Ces deux textes forment l’armature probatoire de tout contrat dématérialisé.

Leur portée pratique est considérable : vos CGV horodatées, archivées sur un système garantissant leur immutabilité, peuvent s’imposer en justice. Une CGV modifiée en ligne sans traçabilité, elle, ne peut être ni opposée ni défendue.

Pour les contrats conclus en ligne avec des consommateurs et seulement avec eux, le texte ne couvrant pas les relations B2B, l’article L. 213-1 du Code de la consommation impose une obligation plus stricte encore : la conservation de l’écrit contractuel pendant dix ans à compter de la conclusion du contrat, avec accès garanti au cocontractant sur demande.

En matière B2B, c’est la prescription quinquennale de l’article L. 110-4 du Code de commerce qui gouverne la durée minimale de conservation des correspondances et contrats commerciaux. Dans les deux cas, le prestataire qui ne peut produire la version de CGV en vigueur au moment de la signature se trouve en situation de faiblesse probatoire structurelle, non parce que son contrat était mal rédigé, mais parce qu’il ne peut plus en établir le contenu.

La millésimation des versions : une discipline de cabinet

Les CGV évoluent. Un prestataire qui exerce depuis cinq ans a souvent traversé deux ou trois révisions de ses conditions, intégration d’une clause de médiation, mise à jour des mentions RGPD, révision des modalités de résiliation. Chaque mise à jour a vocation à régir les nouveaux contrats. Elle ne touche pas, en revanche, aux contrats antérieurement conclus, sauf acceptation expresse du client. Ce point, que la jurisprudence commerciale rappelle avec constance, est celui que les prestataires oublient le plus systématiquement.

Analysons ensemble la conséquence concrète. Un client dont le contrat a été signé en octobre 2023 sous la version 2 de vos CGV se voit opposer en 2026 une clause de limitation de responsabilité qui n’a été introduite que dans la version 3. La clause est inopposable. Pire : si vous avez supprimé la version 2 de votre site pour la remplacer par la version 3, vous ne pouvez plus établir ce que le client a accepté. La confusion probatoire profite toujours à l’adversaire.

La discipline de gestion des versions contractuelles, que les cabinets anglo-saxons appellent version control, ne requiert pas d’infrastructure sophistiquée. Elle exige trois éléments : une numérotation ou datation de chaque version (v1.0 / v2.0, ou simplement « CGV en vigueur depuis le 1er janvier 2024 »), un registre interne associant chaque client à la version applicable au moment de la conclusion, et un archivage immuable de chaque version sur un support garantissant l’intégrité au sens de l’article 1366, qu’il s’agisse d’un coffre-fort électronique, d’un dépôt horodaté ou d’un système de signature avec journal d’audit.

Une CGV non datée est une CGV inutilisable. Non parce qu’elle serait nulle, elle peut être parfaitement rédigée sur le fond, mais parce que le jour où vous devrez l’opposer à un client ou la défendre face à lui, vous serez incapable d’établir qu’elle lui a bien été soumise dans sa version actuelle, à une date certaine, dans des conditions garantissant son intégrité. La précision contractuelle vaut autant par sa substance que par la preuve de son existence.

L’audit de conformité révèle ce que votre documentation vaut vraiment

Tout ce qui précède, l’opposabilité des CGV, la rigueur des cessions PI, la traçabilité documentaire RGPD, la gestion des versions contractuelles, converge vers un moment de vérité unique : l’audit juridique préalable à une opération (Levée de fonds, entrée d’un investisseur au capital, cession totale ou partielle de la société) C’est là que la qualité de votre travail contractuel, ou ses lacunes, se traduit en chiffres.

Ce que les auditeurs cherchent dans la salle de données

 La due diligence juridique, l’audit de conformité conduit par les conseils de l’acquéreur ou de l’investisseur, ne se limite pas à lire vos CGV. Elle vérifie, contrat par contrat, que vous pouvez prouver que ces CGV ont été acceptées, dans leur version applicable, par chaque client concerné.

Elle vérifie que les droits de propriété intellectuelle sur vos livrables ont été valablement cédés, pas simplement mentionnés dans un contrat-cadre, et que cette cession répond aux exigences de l’article L. 131-3 CPI sur l’ensemble de votre base clients. Elle vérifie que vos DPA sont signés, que votre registre des traitements est à jour, que vos contrats clés comportent une durée, un territoire, des conditions de résiliation lisibles.

Ce que les auditeurs documentent ensuite, c’est l’écart entre ce que le cédant présente comme ses actifs et ce que les pièces permettent réellement d’établir. Un portefeuille de deux cents clients dans lequel les CGV sont inopposables à la moitié d’entre eux, où les cessions PI sont formulées en termes génériques, où le registre RGPD date de deux ans et n’a pas été mis à jour depuis l’intégration du dernier outil SaaS, ce portefeuille n’est pas un actif documenté. C’est un passif latent, et il sera traité comme tel dans la valorisation.

La garantie d’actif et de passif retournée contre le cédant

 La garantie d’actif et de passif, dite GAP, est la convention par laquelle le cédant garantit à l’acquéreur que la situation juridique et financière de la société est conforme aux déclarations faites lors de la cession. Elle fonctionne comme une assurance rétrospective : si un passif non déclaré se révèle après le closing ; un litige client fondé sur une CGV inopposable, une action en contrefaçon d’un prestataire dont les droits n’ont jamais été valablement cédés, une sanction CNIL pour absence de DPA ; c’est le cédant qui en supporte les conséquences financières, dans les limites et délais prévus par la convention.

Vous devez comprendre la mécanique de cette exposition : les failles contractuelles identifiées lors de la revue juridique ne font pas seulement baisser le prix de cession. Elles alimentent directement les déclarations du cédant dans la GAP, ou, pire, elles constituent des vices non déclarés que l’acquéreur pourra faire valoir après la transaction si les lacunes n’ont pas été correctement représentées. Un acquéreur averti demandera systématiquement des représentations expresses sur la validité des cessions PI, l’opposabilité des CGV à la base clients et la conformité RGPD documentée. Si vous ne pouvez pas les donner sans réserve, la négociation vous échappera, ou le closing sera conditionné à une régularisation préalable qui, à ce stade, se fait dans l’urgence et au détriment de votre position.

 La préparation comme avantage de négociation

 Analysons ensemble ce que cette mécanique implique dans l’autre sens. Un cédant qui arrive en salle de données avec des CGV horodatées, une preuve d’acceptation par version et par client, des cessions PI détaillant œuvres, droits, territoires et durées, des DPA signés avec chaque sous-traitant et un registre RGPD à jour n’est pas simplement « en conformité ». Il est en position de faire des déclarations nettes dans sa GAP, sans réserve, sans plafonnements défavorables.

Cette position de force documentaire est, à taille d’entreprise comparable, un différenciateur de valorisation, parce qu’elle réduit le risque perçu, qu’elle raccourcit la durée de l’audit et qu’elle élimine les leviers de renégociation à la baisse que des lacunes contractuelles auraient autrement offerts à l’acquéreur.

La conformité contractuelle n’est pas qu’une contrainte réglementaire, c’est avant tout un actif qui se construit dans la durée, et qui se monnaie le moment venu.