CGV du prestataire numérique : PI, responsabilité et RGPD

L’agence a livré le site en septembre. Six mois de développement, trois itérations de maquettes, une intégration sur mesure du tunnel de paiement. Le client était satisfait, la facture réglée. Dix-huit mois plus tard, il a vendu sa société.

Les acquéreurs avaient un avocat. Cet avocat a lu les CGV de l’agence, toutes les CGV de l’agence. Et il n’a pas trouvé grand-chose : une clause de paiement, un délai de livraison, une limitation de garantie copiée d’un modèle trouvé en ligne. Rien sur la propriété du code source. Rien sur les droits attachés aux maquettes graphiques. Rien sur les visuels produits par le DA de l’agence. Résultat : un contentieux à 80 000 €, dix-neuf mois de procédure, une relation commerciale détruite, pour un problème que deux clauses bien rédigées auraient éteint avant qu’il naisse.

Vos CGV ne ressemblent pas à celles d’un marchand de chaussures. Ce que vous livrez n’a pas de poids, pas de couleur, pas de numéro de série. Un logiciel, un design, une architecture de données : ce sont des œuvres au sens du Code de la propriété intellectuelle, des actifs incorporels qui peuvent valoir plusieurs fois le montant de votre facture. Et quand votre client les intègre dans son bilan pour les céder à un tiers, vous réalisez, parfois trop tard, que vous n’avez jamais défini à qui ils appartenaient.

Trois fronts, simultanément. La propriété intellectuelle de ce que vous créez. La responsabilité si ça ne fonctionne pas. La conformité RGPD dès que vous touchez aux données de vos clients. Un modèle de CGV générique ne tient pas sur ces trois axes à la fois. Pas parce qu’il est mal écrit, parce qu’il n’a pas été conçu pour vous.

À l’issue de cet article, prenez le temps de tester vos CGV en 9 points

CGV prestataire numérique : ce que vos CGV doivent trancher sur la propriété intellectuelle des livrables

La facture est réglée. Le site tourne. Vous passez au projet suivant.

Ce que vous ignorez, et que votre client ignore tout autant, c’est que vous êtes peut-être encore propriétaire de tout ce que vous venez de livrer. Le code. Les maquettes. Les visuels. L’architecture du tunnel de paiement. En droit français, la propriété intellectuelle ne se transfère pas parce qu’une prestation a été payée. Elle se transfère parce qu’un contrat l’organise expressément. Sans ce contrat, rien ne circule.

L’article L.131-3 du Code de la propriété intellectuelle ne laisse aucune marge d’interprétation : chaque droit cédé doit faire l’objet d’une mention distincte, le domaine d’exploitation doit être délimité quant à son étendue, sa destination, son lieu, sa durée. Ce n’est pas une formalité. C’est une condition de validité. Et l’article L.131-2 du même code exige que ce transfert soit constaté par écrit. Une CGV qui se contente d’évoquer la « livraison d’un site clé en main » ne satisfait à aucune de ces exigences.

Ce que la jurisprudence en a fait

La Cour d’appel de Versailles a tranché la question le 11 juin 2024 dans un litige entre une créatrice et la société qu’elle avait cofondée (n° RG 23/00133). La société exploitait commercialement les œuvres de sa cofondatrice depuis des années. Elle produisait une facture, un contrat de création de société, des éléments de rémunération. La cour a balayé l’argument : ni la facture ni les statuts ne mentionnaient la cession du droit d’exploitation, ni son périmètre. Pas de délimitation, pas de cession. L’exploitation constituait une contrefaçon.

Vous n’êtes pas dans une société avec votre client. Mais la logique est identique. Ce que vous n’avez pas expressément cédé vous appartient toujours, et votre client l’utilise sans titre.

Le piège inverse existe aussi

Céder trop, c’est aussi un problème.

Une clause de cession totale rédigée sans discernement, « le prestataire cède l’intégralité des droits sur les éléments produits », peut vous amputer de vos propres outils de travail. Vos frameworks, vos bibliothèques de composants, vos modules réutilisables d’un projet à l’autre : si vos CGV les englobent dans la cession, vous les livrez avec chaque mission. Le prochain client bénéficiera d’un produit appauvri. Vous travaillerez à reconstruire ce que vous avez déjà construit.

La solution n’est pas compliquée. Elle demande simplement d’être écrite.

Vos CGV doivent distinguer deux régimes. Les développements spécifiques, code métier, design sur mesure, contenus produits pour le client, font l’objet d’une cession délimitée, pour des modes d’exploitation identifiés, avec une contrepartie traçable. Sur les logiciels, l’article L. 131-4, alinéa 5 du CPI autorise une rémunération forfaitaire, ce qui simplifie la mécanique contractuelle. Les briques génériques, tout ce que vous réutilisez d’un projet à l’autre, restent vôtres. Votre client en reçoit une licence d’utilisation non exclusive, limitée au projet livré.

Quant aux droits moraux : incessibles par nature (art. L. 121-1 CPI). Vous pouvez en revanche renoncer contractuellement à les exercer pour des usages définis, ce qui couvre votre client contre une action en droit moral si, demain, il modifie votre code ou confie la maintenance à un concurrent

La clause limitative de responsabilité dans vos CGV : valide ou réputée non écrite ?

Vous l’avez insérée. Probablement au fond de vos CGV, dans un bloc dense que personne ne lit. Une ligne qui plafonne votre responsabilité à trois mois de facturation, exclut les pertes d’exploitation, les dommages indirects, le manque à gagner. Vous estimez être protégé.

Peut-être. Peut-être pas.

L’héritage Chronopost et sa codification

Depuis l’arrêt Chronopost (Cass. com., 22 octobre 1996, n° 93-18.632), une règle s’impose : une clause qui contredit l’obligation essentielle du contrat est réputée non écrite. Pas annulable. Non écrite, comme si elle n’avait jamais existé. La réforme du droit des contrats de 2016 a coulé ce principe dans l’article 1170 du Code civil, lui donnant force de droit positif. Ce n’est plus seulement de la jurisprudence que certains juges appliquent et d’autres contournent. C’est la loi.

Concrètement : si votre obligation essentielle est de livrer un logiciel fonctionnel, vous ne pouvez pas stipuler qu’en cas de défaillance totale de ce logiciel, votre responsabilité est plafonnée à une somme dérisoire. Le juge efface la clause et applique le droit commun. Votre protection disparaît exactement au moment où vous en avez le plus besoin.

Deux décisions, deux logiques opposées

La Cour d’appel de Toulouse a statué le 17 décembre 2024 sur un litige entre une société de gestion immobilière et son éditeur logiciel (RG n° 23/00046). Le client demandait la mise à l’écart de la clause limitative après des dysfonctionnements répétés. La cour a maintenu la clause, parce que le plafond indemnitaire restait proportionné à l’économie du contrat et que la clause n’interdisait pas l’engagement de la responsabilité du prestataire. Elle encadrait la réparation sans l’éteindre. Nuance décisive.

Quelques semaines plus tôt, la Cour d’appel de Paris avait tranché différemment (CA Paris, Pôle 5 ch. 11, 10 janvier 2025, n° RG 22/11677, Glady c/ Payplug). Payplug avait recommandé à son client un niveau de sécurisation 3D-Secure insuffisant. Des fraudes massives s’en étaient suivies. La clause limitative figurait au contrat, mais la cour l’a écartée. Motif : la faute reprochée n’était pas une défaillance technique du système de paiement. C’était un manquement au devoir de conseil, une faute autonome, distincte de l’exécution de la prestation elle-même. La clause ne couvrait pas ce périmètre.

Deux décisions récentes, deux résultats inverses. La variable n’est pas la rédaction de la clause, c’est la nature de la faute qu’on lui demande d’absorber.

Ce que vos CGV doivent distinguer

Trois exigences, non négociables.

Le plafond indemnitaire doit être proportionné. Un plafond fixé à un mois de facturation pour un contrat de développement d’un ERP critique ne passera pas. Le juge de Toulouse l’a dit autrement mais clairement : la clause est licite quand elle n’est pas dérisoire. Calibrez le plafond sur la réalité économique du contrat, pas sur votre confort.

La liste des préjudices exclus doit être explicite et raisonnée. Exclure les dommages indirects est une pratique admise, la CA Toulouse 2024 l’a validé. Mais une clause qui exclut « tout préjudice » sans distinction risque de vider votre obligation essentielle de sa substance, et c’est précisément le critère de l’article 1170.

Le devoir de conseil doit faire l’objet d’une stipulation séparée dans vos CGV. L’affaire Glady/Payplug le démontre sans ambiguïté : si vous conseillez votre client sur des choix techniques, paramétrage, architecture, niveau de sécurité, cette activité de conseil constitue une obligation contractuelle distincte. Votre clause limitative générale ne la couvre pas par défaut. Rédigez une stipulation autonome qui encadre l’étendue de votre obligation de conseil, les conditions dans lesquelles elle s’exerce, et les limites que vous lui assignez.

Sous-traitant RGPD sans le savoir : ce que l’absence de clause Data Processing Agreement (DPA) coûte vraiment

Vous hébergez le site de votre client. Vous intégrez un formulaire de contact. Vous accédez à sa base CRM pour configurer l’outil d’analytics. Vous n’avez pas signé de contrat de sous-traitance RGPD, parce que personne ne vous l’a demandé, et parce que vos CGV n’en prévoient pas.

Vous êtes pourtant sous-traitant depuis la première requête.

Un statut qui ne dépend pas de ce que vous signez

L’article 28 du RGPD est mécanique : dès qu’un traitement de données personnelles est effectué pour le compte d’un responsable du traitement, celui qui l’effectue est sous-traitant. Peu importe que vos CGV ne mentionnent pas le mot « données ». Peu importe que votre client ne vous ait jamais parlé de RGPD. La qualification s’impose par les faits, par l’accès aux données, par l’opération technique réalisée, par la relation de subordination à la finalité définie par le client.

Ce statut emporte des obligations précises. L’article 28 §3 du RGPD liste ce que le contrat de sous-traitance doit prévoir : objet et durée du traitement, nature et finalité, catégories de données, obligations et droits du responsable du traitement. Le sous-traitant doit traiter les données uniquement sur instruction documentée du client, garantir la confidentialité, prendre les mesures de sécurité prévues à l’article 32, ne pas recruter un autre sous-traitant sans autorisation écrite préalable, et supprimer ou restituer toutes les données au terme de la prestation. Le contrat doit se présenter sous forme écrite, y compris électronique.

Aucune de ces mentions n’existe dans un modèle de CGV standard.

Ce que la CNIL en a fait

La CNIL a mis en demeure un organisme professionnel qui mettait à disposition une plateforme de publication d’annonces immobilières pour le compte d’entités indépendantes (CNIL, délibération, 4 mars 2021, n° MED-2021-009). Motif : aucun acte juridique ne formalisait les relations entre responsables du traitement et sous-traitant, ni entre le sous-traitant et le prestataire d’hébergement intervenant en sous-traitance de second rang. Pas de DPA, pas d’autorisation écrite pour recruter un sous-traitant en cascade. Violation de l’article 28 RGPD, pour les deux niveaux simultanément.

La CNIL a également jugé qu’il revient au sous-traitant de proposer au responsable du traitement les solutions techniques et organisationnelles adéquates en matière de sécurité, indépendamment des obligations qui pèsent en propre sur le responsable du traitement (CNIL, sanction, 8 janvier 2021, n° SAN-2021-002). Autrement dit : vous ne pouvez pas vous retrancher derrière l’inaction de votre client. Votre responsabilité propre existe.

Le double risque que vos CGV ignorent

Premier front : votre client viole l’article 28 RGPD en recourant à vous sans DPA formalisé. Si la CNIL contrôle son activité, à la suite d’une plainte d’un de ses clients, d’une violation de données, ou d’un contrôle sectoriel, ce manquement est un des premiers relevés. Votre nom apparaît dans le dossier.

Second front : l’article 82 RGPD ouvre une action directe de toute personne concernée contre le sous-traitant. Si un client de votre client estime que ses données ont été compromises lors d’une prestation que vous assuriez, il peut vous assigner directement, sans passer par le responsable du traitement. La solidarité de fait que crée ce régime de responsabilité est réelle, même si vous n’avez signé aucun contrat spécifique.

Ce que vos CGV doivent prévoir

Pas une annexe facultative. Une clause intégrée, ou un avenant DPA systématiquement annexé à chaque mission impliquant un accès aux données du client.

Cette clause doit identifier les catégories de données traitées pour chaque type de prestation, fixer la durée de conservation et les modalités de suppression ou de restitution en fin de contrat, décrire les mesures de sécurité mises en œuvre, et, point que la plupart des prestataires omettent, interdire expressément le recours à tout autre prestataire d’hébergement ou d’infrastructure susceptible d’accéder aux données sans autorisation écrite préalable du client. La sous-traitance en cascade est un angle mort. La CNIL le sait.

Ce n’est pas de la méfiance envers votre client. C’est la condition pour que votre propre responsabilité reste traçable et défendable.

Sur la conformité de votre site e-commerce en amont de toute relation prestataire-client, le cabinet a développé le sujet dans un article dédié, les obligations légales du site e-commerce constituent le premier niveau d’exposition ; ce que vous lisez ici en est le deuxième.

La bataille des formulaires : quand les CGP de votre client neutralisent vos CGV

Votre client vous retourne le bon de commande signé. Au verso, ses CGP, conditions générales d’achat, prévoient une cession totale des droits sur les livrables, excluent toute limitation de votre responsabilité, et fixent des délais de paiement à 90 jours. Vous ne les avez pas lues. Personne ne les lit.

Le contrat est pourtant formé.

L’article 1119 al. 2 du Code civil est net sur ce point : en cas de discordance entre des conditions générales invoquées par l’une et l’autre des parties, les clauses incompatibles sont sans effet. Pas de vainqueur désigné. Pas de préférence pour le vendeur ou l’acheteur. Les clauses contradictoires s’annulent mutuellement, et on revient au droit commun. Ce que vous croyez avoir protégé par vos CGV disparaît au même titre que ce que votre client voulait vous imposer par ses CGP.

Ce que le droit commun dit à votre place

Le résultat n’est pas neutre. Quand votre clause limitative de responsabilité tombe faute de clause survivante, c’est le droit commun de la responsabilité contractuelle qui s’applique, sans plafond. Quand votre clause de propriété intellectuelle tombe parce qu’elle contredit la cession totale prévue par les CGP, c’est l’article L. 131-3 CPI qui reprend la main : sans clause de cession valide, vous restez propriétaire. Ici, le droit commun vous protège. Mais ce n’est pas toujours le cas, et ce n’est jamais prévisible.

La Chambre commerciale a posé la règle complémentaire dans l’arrêt du 28 septembre 2022 (n° 19-19.768, publié) : dès lors qu’un prestataire entre en négociation commerciale avec un opérateur professionnel, il est tenu de le faire sur la base de ses propres CGV applicables à cette catégorie de clients. Autrement dit, vos CGV ne sont pas une option que vous activez à la fin de la relation, elles doivent structurer la négociation dès son ouverture. Si vous acceptez que la commande se forme sur les CGP du client sans réserve de votre part, vous avez implicitement renoncé à les opposer.

La solution tient en deux lignes dans vos CGV

Deux lignes, et une procédure.

La première est une clause d’exclusion expresse : « Les présentes conditions générales de vente prévalent sur tout document émanant de l’acheteur, et notamment sur ses conditions générales d’achat, sauf accord écrit préalable et signé des deux parties. » Formulée ainsi, elle ne prétend pas écraser les CGP du client par principe, elle signale simplement que l’acceptation de vos CGV exclut l’incorporation silencieuse de tout autre document.

La seconde est une procédure d’acceptation traçable. Une case à cocher horodatée, une signature électronique, un accusé de réception mentionnant explicitement l’acceptation des CGV : peu importe le mécanisme, l’essentiel est que vous puissiez produire une preuve datée de l’acceptation de vos conditions, et pas des conditions de votre client. Ce détail procédural est souvent le seul élément qui fait la différence entre une clause opposable et une clause que votre client n’a « jamais vue ».

Ce n’est pas une clause de style. C’est la condition pour que les sections précédentes de vos CGV aient une valeur contractuelle réelle.

Opposabilité des CGV : la forme comme condition de fond

Des CGV parfaitement rédigées sur le fond peuvent ne produire aucun effet si elles n’ont pas été régulièrement portées à la connaissance du client avant la formation du contrat. C’est la condition que les praticiens négligent le plus, et la première que soulève l’adversaire en cas de litige.

L’obligation de communication préalable

L’article L. 441-1, II du Code de commerce impose à tout producteur, prestataire de services ou distributeur de communiquer ses CGV à tout professionnel qui en fait la demande. Ce droit à communication est d’ordre public dans les relations B2B. Mais au-delà de cette obligation passive, la règle de fond est posée par l’article 1119 al. 1er du Code civil : les conditions générales n’ont d’effet que si elles ont été portées à la connaissance du cocontractant et qu’il les a acceptées. La communication post-commande ou le simple renvoi en pied de page sans accès direct au texte ne satisfont ni l’une ni l’autre exigence.

Pour un contrat conclu par voie électronique, l’article 1127-1 du Code civil précise que le prestataire doit permettre au contractant de mémoriser et de reproduire les CGV avant d’accepter, autrement dit, le document doit être consultable et conservable avant la validation de la commande, et non simplement accessible via un lien discret après paiement.

La case à cocher et l’horodatage

Une case à cocher du type « J’ai lu et j’accepte les CGV » constitue une acceptation valide sous deux conditions cumulatives : le texte intégral des CGV doit être accessible par un lien direct sur la même page, avant la validation de la commande, et la case ne doit pas être pré-cochée par défaut, ce qui rendrait l’acceptation équivoque et inopposable. L’horodatage de cet acte, date, heure, adresse IP, constitue la preuve en cas de contestation. Sans horodatage conservé côté serveur, vous n’avez pas de preuve d’acceptation ; vous avez une clause.

La mise à jour des CGV

Vos CGV évoluent. La question est de savoir si cette évolution s’impose aux contrats en cours. La réponse est non, sauf notification préalable et délai raisonnable. Toute modification rétroactive d’une clause contractuelle se heurte à l’article 1193 du Code civil : le contrat ne peut être modifié que par le consentement mutuel des parties. En pratique, vos CGV doivent mentionner une version datée, prévoir une procédure de notification en cas de mise à jour, email à l’adresse contractuelle avec délai de préavis de 30 jours minimum, et préciser que la poursuite de la relation commerciale après ce délai vaut acceptation tacite des nouvelles conditions. Sans cette mécanique, votre client peut légitimement invoquer l’ancienne version lors d’un litige survenu après votre mise à jour silencieuse