Lexbase Affaires n°348 du 25 juillet 2013 : Internet

[Jurisprudence] Un fichier clients ne respectant pas l'obligation de déclaration préalable à la CNIL est "hors du commerce", donc insusceptible d'être l'objet d'une cession

Réf. : Cass. com., 25 juin 2013, n° 12-17.037, FS-P+B+I (N° Lexbase : A4712KHY)

Lecture: 7 min

N8226BTT

Citation copiée !

Citer l'article

Créer un lien vers ce contenu

Référence copiée !
[Jurisprudence] Un fichier clients ne respectant pas l'obligation de déclaration préalable à la CNIL est "hors du commerce", donc insusceptible d'être l'objet d'une cession. Lire en ligne : https://www.lexbase.fr/article-juridique/8951483-jurisprudence-un-fichier-clients-ne-respectant-pas-lobligation-de-declaration-prealable-a-la-cnil-es
Copier

par Hélène de Vigan, avocat au barreau de Paris

le 25 Juillet 2013

Dans un arrêt de cassation du 25 juin 2013, la Haute juridiction affirme le principe selon lequel un fichier informatisé contenant des données à caractère personnel n'ayant pas fait l'objet d'une déclaration à la CNIL (Commission nationale de l'informatique et des libertés) se trouve hors du commerce, de sorte que la vente portant sur un tel fichier est nulle, pour avoir un objet illicite. La loi dite "informatique et liberté" (1) régit en France, les conditions de traitement des données à caractère personnel, dans un but de protection contre les atteintes à l'identité humaine, aux droits de l'Homme, à la vie privée, aux libertés individuelles ou publiques. La CNIL, autorité administrative indépendante, veille au respect et à la bonne application de la loi "informatique et liberté", notamment en centralisant les déclarations ou demandes d'autorisation imposées par la loi, pour tous fichiers ou traitements contenant des données à caractère personnel. La CNIL dispose également d'un pouvoir de contrôle et de sanction.

Si ces obligations relatives au traitement des données à caractère personnel semblent bien connues, cet arrêt nous rappelle qu'il arrive encore trop souvent qu'elles ne soient pas respectées par les personnes qui collectent de telles données.

Or, cet arrêt de la Cour de cassation emporte des conséquences particulièrement lourdes pour tout opérateur économique qui aurait omis de procéder à la déclaration préalable de son fichier de clients et de prospects, quand on connaît la valeur économique que revêtent de tels fichiers (2). En affirmant ainsi qu'un fichier informatisé contenant des données à caractère personnel n'ayant pas fait l'objet d'une déclaration à la CNIL se trouve hors du commerce, la Haute juridiction fait perdre toute valeur patrimoniale à ce fichier, ce qui constitue, en pratique, une sanction bien plus sévère que celles qui sont généralement prononcées par la CNIL.

Dans cette affaire, une société exploitant un fonds de commerce de vente de vins aux particuliers (sans disposer d'un magasin physique), dont les deux associés souhaitaient se retirer des affaires, avait vendu son portefeuille de clientèle comprenant "une liste d'environ 6 000 clients référencés dans un fichier complet, manuscrit et classé, des classeurs ordonnés, un fichier de clients informatisé sous logiciel Windows". Cette cession avait été consentie moyennant un prix de vente de 46 000 euros. Or, il semble que l'acquéreur se soit rapidement aperçu, après la vente, que le fichier ne comportait en réalité que 1 950 clients actifs, et a souhaité faire annuler la vente en justice, en se prévalant notamment, du fait que le vendeur n'avait pas procédé à la déclaration du fichier clients à la CNIL.

Mais la cour d'appel de Rennes (3), confirmant le jugement rendu en première instance par le tribunal de commerce de Saint-Nazaire (4), a rejeté une telle cause de nullité de la vente, affirmant que "si le traitement du fichier clients de la société X doit faire l'objet d'une déclaration simplifiée qui en l'espèce n'a pas été faite, il apparaît que la loi n'a pas prévu que la sanction de l'absence de déclaration du traitement du fichier clients soit la nullité du fichier, son illicéité, de sorte que la vente du fichier portant sur ce fichier serait nulle, pour l'illicéité d'objet, ou pour illicéité de cause".

Le raisonnement de la cour d'appel est donc de considérer que, pour prononcer la nullité de la vente du fichier, pour illicéité d'objet ou de cause, il aurait fallu dans un premier temps, retenir la nullité du fichier lui-même, à condition que cette nullité résulte de la loi. La réponse ainsi apportée par la cour d'appel déplaçait donc le débat sur la question de la nullité du fichier clients.

Or, si la loi prévoit des sanctions applicables au manquement de déclaration d'un fichier comportant des données à caractère personnel, aucune ne vise la nullité du fichier. Le défaut de déclaration préalable à la CNIL d'un fichier constituant un traitement de données à caractère personnel est constitutif d'une infraction pénale, prévue et réprimée par les articles 226-16 (N° Lexbase : L4476GTX) et suivants du Code pénal.

La CNIL est, elle-même, dotée d'un pouvoir de sanction prévu aux articles 45 et suivants de la loi "informatique et liberté".

Ainsi, lorsque des manquements à la loi sont portés à sa connaissance, la formation contentieuse de la CNIL peut prononcer à l'égard du responsable de traitement fautif :
- soit un avertissement (lequel peut être rendu public), qui fait suite à une mise en demeure préalable, à laquelle le responsable de traitement ne s'est pas conformé ;
- soit une sanction pécuniaire ;
- soit une injonction de cesser le traitement ;
- soit, le cas échéant, un retrait de l'autorisation accordée par la CNIL.

La cour d'appel relève, donc, qu'aucune des sanctions prévues par la loi n'emporte la nullité du fichier.

Mais en réalité, on voit mal comment une telle nullité pourrait être prévue par la loi. Si le responsable du traitement des données à caractère personnel, contenues dans un fichier, est fautif pour ne pas s'être conformé aux obligations légales de déclarations préalables à la CNIL, pour autant l'existence de ce fichier ne peut être remise en cause. Un fichier comportant des données à caractère personnel n'est pas un acte juridique susceptible de voir ses effets rétroactivement anéantis par la nullité. Il s'agit d'un bien susceptible d'appropriation, la cour d'appel de Rennes rappelant dans son arrêt que le fichier en cause constitue l'un des éléments incorporels constituant le fonds de commerce de vente de vins.

Ce raisonnement visant à rechercher une cause légale de nullité du fichier pour en tirer la conséquence de la nullité de la vente est censuré par la Chambre commerciale de la Cour de cassation, qui au double visa des articles 1128 du Code civil (N° Lexbase : L1228AB4) et de l'article 22 de la loi "informatique et liberté" affirme : "attendu qu'en statuant ainsi, alors que tout fichier informatisé contenant des données à caractère personnel doit faire l'objet d'une déclaration auprès de la CNIL et que la vente par la société X d'un tel fichier qui, n'ayant pas été déclaré, n'était pas dans le commerce, avait un objet illicite, la cour d'appel a violé les textes susvisés".

Sans qu'il soit nécessaire de rechercher une disposition légale sanctionnant l'absence de déclaration à la CNIL par la nullité, la Cour de cassation pose le principe selon lequel un tel fichier ne répondant pas à cette exigence préalable imposée par la "loi informatique et liberté", se trouve hors du commerce. Dès lors, par application des dispositions de l'article 1128 du Code civil qui prévoit qu'"il n'y a que les choses qui sont dans le commerce qui puissent être l'objet des conventions", le fichier non déclaré devient un objet incessible et perd ainsi toute valeur patrimoniale.

La solution peut sembler d'autant plus sévère que la cour d'appel n'avait pas manqué de relever que la déclaration simplifiée à la CNIL pouvait être régularisée à tout moment. En effet, si en principe le fichier contenant des données à caractère personnel doit être déclaré à la CNIL préalablement à la mise en oeuvre du traitement des données, en pratique, une déclaration postérieure au traitement des données est toujours possible, et peut permettre de régulariser une situation illicite. Ainsi, l'acquéreur devenant responsable du traitement des données contenues dans le fichier clients, aurait parfaitement pu procéder à la déclaration auprès de la CNIL, et poursuivre l'exploitation des données du fichier clients. Mais c'est alors envisager cette déclaration préalable à la CNIL comme ne constituant qu'une simple formalité administrative. Or, telle n'est manifestement pas la position de la Cour de cassation, au vu de cet arrêt.

La notion de "choses hors du commerce" vise plus classiquement les "choses" qui, si elles devaient faire l'objet d'une convention, seraient contraires aux bonnes moeurs et l'ordre public. L'exemple classique étant tout ce qui a trait au corps humain qui ne peut en aucun cas être l'objet d'une convention. Cette position particulièrement sévère de la Cour de cassation trouve très certainement une explication dans la finalité des obligations légales de déclarations à la CNIL s'imposant à toute personne responsable du traitement de données à caractère personnel. En effet, à la lecture de l'article 1er de la loi "informatique et liberté", il apparaît que les obligations posées par le législateur ont pour objet de garantir que l'informatique, en général, et le traitement automatisé de données à caractère personnel, en particulier, ne porte pas atteinte à l'identité humaine, aux droits de l'Homme, à la vie privée, et aux libertés individuelles ou publiques. Dès lors, un fichier non déclaré, donc susceptible de porter une telle atteinte, doit être considéré comme hors du commerce.

La vente litigieuse portant sur une chose hors du commerce est une vente dont l'objet est illicite, ce qui doit avoir pour conséquence de prononcer la nullité de la vente. En plaçant un fichier non déclaré à la CNIL hors du commerce, cet arrêt de la Cour de cassation supprime ainsi toute valeur patrimoniale à ce fichier, ce qui crée une sanction finalement bien plus lourde que celles qui sont susceptibles d'être prononcées par la CNIL lorsqu'il s'agit d'une mise en demeure de se conformer, ou même d'un avertissement.

La location et la cession de fichiers de clients et prospects est une activité qui s'est très largement développée avec le marketing sur internet. Mais les opérateurs économiques de ce secteur d'activité ayant fait de ces fichiers l'objet même de leur activité commerciale, il apparaîtrait logique qu'ils soient, pour la plupart, déjà particulièrement attentifs au respect des obligations légales imposées par la loi "informatique et liberté".

En revanche, c'est dans le cadre des cessions de fonds commerce, dont l'un des éléments constitutifs est le fichier clients, que des difficultés importantes pourraient apparaître. Au vu de cette jurisprudence, tout rédacteur d'un acte de cession portant sur un fichier de données devra impérativement procéder à la vérification du respect des obligations de déclaration à la CNIL, sauf à risquer de voir sa responsabilité engagée.

(1) Loi n° 78-17 du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés (N° Lexbase : L8794AGS)
(2) A titre d'exemple récent, dans le cadre de la liquidation judiciaire de la société Virgin intervenue au mois de juin 2013, le fichier clientèle de la société aurait été racheté par la société FNAC pour un montant de 54 000 euros.
(3) CA Rennes, 17 janvier 2012, n° 10/07599 (N° Lexbase : A7576IAT).
(4) T. com. Saint-Nazaire, 15 septembre 2010.

© Reproduction interdite, sauf autorisation écrite préalable

newsid:438226

Vos notes

add
  • Aucune note pour le moment
Ajouter une nouvelle note


Utilisation des cookies sur Lexbase

Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.

En savoir plus

Parcours utilisateur

Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.

Réseaux sociaux

Nous intégrons à Lexbase.fr du contenu créé par Lexbase et diffusé via la plateforme de streaming Youtube. Ces intégrations impliquent des cookies de navigation lorsque l’utilisateur souhaite accéder à la vidéo. En les acceptant, les vidéos éditoriales de Lexbase vous seront accessibles.

Données analytiques

Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.