Confidentialité et accès aux données d'un site

Accès, confidentialité, responsabilité : ce que recouvre vraiment la relation entre une agence web et son client

La relation entre une entreprise et son agence web est souvent perçue comme une relation de prestation. On commande un site, on paie, on reçoit un livrable. La réalité contractuelle et opérationnelle est sensiblement plus complexe et elle l’est d’autant plus lorsqu’elle implique des tiers.

Deux situations, en particulier, permettent d’en prendre la mesure.
La première : un tiers prend contact avec l’agence pour obtenir des informations sur le site d’un client.
La seconde : un client partage ses accès à un prestataire extérieur sans en informer l’agence, et des problèmes surviennent ensuite.

Ces situations semblent banales, relevant du quotidien. Pourtant, elles ne le sont pas. Elles activent des mécanismes contractuels que la plupart des parties n’ont pas anticipés, et révèlent ce que la relation agence-client implique réellement.

1. Quand un tiers demande des informations : confidentialité et périmètre de la loyauté contractuelle

1.1. Une agence ne gère pas seulement un site. Elle détient des informations.

Dans le cadre d’une mission de création ou de maintenance, une agence accède à un ensemble d’éléments qui vont bien au-delà des pages visibles : architecture du site, configurations serveur, accès administrateur, données utilisateurs, historiques techniques, logique de développement. Ces informations sont produites dans le cadre d’une relation contractuelle exclusive avec le client, et elles lui appartiennent. Ce point est fondamental, et souvent mal compris : l’agence est prestataire, pas propriétaire. Elle détient ces informations par délégation, dans un périmètre défini. Elle ne peut pas en disposer librement, ni les transmettre à qui les demande.

1.2. Pourquoi une demande extérieure ne peut pas recevoir de réponse sans mandat

Lorsqu’un tiers (repreneur, partenaire, autre prestataire comme un copywriter ou une rédactrice par exemple) prend contact avec une agence pour obtenir des informations sur le site d’un client, la question qui se pose n’est pas technique mais juridique et éthique : l’agence est-elle autorisée à répondre ?

En l’absence d’une autorisation explicite du client, la réponse est non.
Il ne s’agut pas ici de se méfier du tiers par principe. Plus véritablement, l‘agence n’est pas en mesure de juger de la légitimité d’une demande externe. Elle ne connaît pas le contexte, les intentions, ni les éventuels désaccords entre le client et ce tiers. Répondre sans autorisation, c’est sortir du périmètre de sa mission, et potentiellement exposer le client à des conséquences qu’il n’a pas souhaitées.

La bonne pratique dans ce cas est simple : rediriger la demande vers le client, à qui il appartient de décider. Si le client valide la démarche, il le formalise par écrit, sous la forme d’un mandat qui précise ce qui peut être transmis, à qui, et dans quel cadre.

1.3. Ce que l’autorisation écrite change réellement : la gestion de la confidentialité et de la responsabilité

L’exigence d’une autorisation écrite n’est pas une formalité administrative. Elle remplit deux fonctions précises.

D’abord, pour le client, elle constitue une protection. Dans un contexte de cession, de litige ou de transition, une transmission verbale d’informations sensibles peut avoir des conséquences juridiques que personne n’a anticipées. La trace écrite délimite les périmètres, clarifie les intentions, et protège toutes les parties.

Ensuite, pour l’agence, elle constitue une condition d’exercice responsable. Sans mandat, elle n’a pas les éléments nécessaires pour agir en connaissance de cause. Avec un mandat, elle sait exactement ce qu’elle peut faire et ce qu’elle ne doit pas faire.

Ce mécanisme n’est pas spécifique aux agences web. Il est commun à toutes les professions qui gèrent des informations sensibles pour le compte de tiers : experts-comptables, avocats, notaires. Ce qui change, c’est que dans le secteur du digital, cette exigence est encore peu formalisée, et donc souvent ignorée.

2. Quand un tiers accède au site sans coordination préalable : les effets contractuels concrets

Un site WordPress professionnel est un écosystème technique : il est composé d’un thème, de plugins, d’une base de données, d’un serveur configuré, de règles de sécurité, parfois de développements spécifiques. Ces éléments sont interdépendants. Une action sur l’un peut déstabiliser les autres, surtout si elle est réalisée sans connaissance de l’ensemble. C’est la raison pour laquelle  les contrats de maintenance définissent toujours un périmètre d’intervention précis. Ce périmètre n’est pas restrictif pour le plaisir : il est la condition technique et contractuelle qui permet à l’agence d’assurer ce qu’elle s’est engagée à assurer.

2.1. Ce qui se passe contractuellement quand un tiers intervient sans information préalable

Lorsqu’un tiers intervient sur un site sans que l’agence en soit informée, plusieurs effets contractuels se produisent de facto, indépendamment des intentions de chacun.
La responsabilité de l’agence peut être dégagée pour tout incident postérieur à cette intervention. Si quelque chose cesse de fonctionner après qu’un prestataire extérieur est passé sur le site, l’agence ne peut pas être tenue pour responsable d’une situation qu’elle n’a pas créée et dont elle n’avait pas connaissance.
Les garanties prévues au contrat de maintenance peuvent ne plus s’appliquer. Un contrat de maintenance est calibré sur un environnement donné. Si cet environnement est modifié par un tiers sans coordination, la cohérence du dispositif est rompue, et avec elle, la capacité de l’agence à honorer ses engagements.

La traçabilité des modifications disparaît. Identifier la cause d’un dysfonctionnement suppose de savoir ce qui a changé, quand, et par qui. En l’absence de cette information, le diagnostic prend plus de temps, génère des coûts supplémentaires, et n’aboutit pas toujours à une solution dans le cadre du contrat initial.

2.2. Ce que cela implique pour le client

Ces effets ne sont pas des sanctions. Ils sont la conséquence logique d’une rupture dans la chaîne de responsabilités. Une agence ne peut garantir la qualité d’un environnement qu’elle ne maîtrise plus entièrement.
Cela ne signifie pas qu’un client ne peut pas faire appel à d’autres prestataires, pour du contenu, du référencement, des développements spécifiques. Cela signifie que cette coordination doit passer par l’agence principale, au minimum par une information préalable. Dans la très grande majorité des cas, un échange suffit à organiser les interventions sans risque pour personne.

Ce qui crée des problèmes, ce n’est pas la multiplicité des intervenants. C’est l’absence de lisibilité partagée sur qui fait quoi, et à quel moment.

3. Ce que ces deux situations révèlent sur la nature de la relation agence-client

La relation entre une agence web et son client n’est pas une simple transaction commerciale. Elle implique un accès durable à des informations sensibles, une responsabilité technique sur un outil stratégique, et une interdépendance qui ne s’arrête pas à la livraison. Cette réalité est contractuellement encadrée, souvent dans des conditions générales de vente qui, précisément parce qu’elles sont générales, sont rarement lues avec attention. C’est là que réside le décalage le plus fréquent : entre ce que le contrat prévoit, et ce que chacune des parties comprend de la relation.

Il existe également une dimension plus structurelle derrière ces questions d’accès et de confidentialité. Dans un contexte où la présence numérique d’une entreprise influence directement sa crédibilité, sa capacité à générer du chiffre d’affaires, voire sa valorisation dans un contexte de cession, le site web n’est plus un simple outil de communication. C’est un actif : il mérite d’être traité comme tel, avec la même rigueur que les actifs financiers, contractuels ou humains. Cela implique de savoir précisément qui y a accès, dans quel cadre, avec quelles autorisations, et selon quelles règles de transmission.

Cette exigence n’est pas réservée aux grandes entreprises. Elle concerne toute structure dont l’activité repose, même partiellement, sur sa présence en ligne. Et elle commence par une lecture attentive de ce que le contrat passé avec l’agence prévoit, et protège.

Conclusion

Les situations évoquées ici ne sont pas des cas extrêmes. Elles surviennent régulièrement, dans des contextes anodins, souvent sans mauvaise intention de personne. Ce qui les rend problématiques, c’est moins leur nature que l’absence de cadre partagé pour les anticiper.

Comprendre ce que recouvre réellement un contrat de maintenance ou de gestion de site, c’est se donner les moyens d’éviter des situations dans lesquelles les responsabilités deviennent floues, les garanties caduques, et les recours limités.

Une agence web sérieuse ne gère pas seulement un outil technique. Elle gère une relation, avec tout ce que cela implique en termes de périmètre, de loyauté et de responsabilité partagée. En prendre la mesure, c’est la condition d’une collaboration qui fonctionne vraiment, y compris dans les moments où elle est mise à l’épreuve.