Cass. com. n°12-17037 du 25-6-2013
Cession d’un fichier client non déclaré
Une société avait cédé un « portefeuille de la clientèle de vente de vins au particulier » sous forme d’un fichier clients d’environ 6000 contacts ; fichier qui n’avait pas fait l’objet d’une déclaration à la CNIL.
L’acquéreur de ces éléments a, par la suite, demandé la nullité de la vente.
Il est à noter que la Cour de cassation a jugé qu’il n’était pas nécessaire en l’espèce de se pencher sur la demande de requalification en cession de fonds de commerce.
La Cour d’appel sanctionne le défaut de déclaration à la CNIL d’un fichier sans l’annuler
C’est la loi dite « Informatique et Libertés » qui pose le principe d’une déclaration préalable à la mise en œuvre des traitements auprès de l’autorité compétente, la CNIL.
Le défaut de déclaration à la CNIL constitue une infraction pénale (article 50, L. n°78-17, 6 janv. 1978, article 226-16 Code pénal) qui est définie selon les termes suivants : « le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et 300.000 euros d’amende ».
L’infraction peut aussi faire l’objet d’une sanction administrative par la CNIL. À ce titre la CNIL peut prononcer à l’égard du responsable de traitement un avertissement, une sanction pécuniaire, une injonction de cesser le traitement ou enfin saisir la justice pénale. Elle peut aussi, dans des situations d’urgence, prendre des décisions affectant le traitement lui-même, comme l’interruption de la mise en œuvre le traitement ou le verrouillage des données pendant trois mois. Pour autant la nullité d’un fichier et son caractère d’incessibilité pour simple défaut de déclaration n’est pas évoqué dans la règlementation ou parmi les textes de la CNIL.
La Cour d’appel de Rennes (17 janvier 2012, Ch. com 3, n° 10/07599) n’a pas fait droit à la demande de l’acquéreur estimant que « la loi n’a pas prévu que la sanction de l’absence de déclaration du traitement du fichier clients soit la nullité du fichier, son illicéité ».
La Cour de cassation annule la vente d’un fichier non déclaré à la CNIL
L’arrêt est cassé au double visa de l’article 1128 du Code civil et de l’article 22 de la loi Informatique et Libertés.
La Cour de cassation affirme qu’ « un fichier informatisé contenant des données à caractère personnel qui n’a pas été déclaré à la Commission nationale de l’informatique et libertés ne peut faire l’objet d’un commerce. Dès lors, la vente d’un tel fichier est frappée de nullité pour illicéité d’objet ».
La Cour se fonde donc sur l’article 1128 du code civil qui prévoit qu’« il n’y a que les choses qui sont dans le commerce qui puissent être l’objet des conventions » ; et l’article 22 de la loi Informatique et Libertés (n° 78-17 du 6 janvier 1978) qui prévoit que tous traitements automatisés de données personnelles doivent faire l’objet d’une déclaration, à l’exception de cas définis.
La Cour de cassation fait entrer les fichiers non déclarés à la CNIL dans la catégorie des choses hors commerce. Cette catégorie semble connaitre un nouveau souffle sur le fondement de la protection des données personnelles. En effet jusqu’alors les choses hors commerces concernaient principalement des choses incessibles (comme une clientèle strictement attachée à la personne ou un autorisation strictement attachée à son bénéficiaire) ou avaient lien étroit avec la personne humaine (les droits de la personnalité, les éléments du corps humain, les convention de mère porteuse etc). Pour autant la décision est inattendue de par sa portée.
L’argument présenté par le plaignant reposait sur le fait que l’absence de déclaration est une infraction pénale « et qu’il s’ensuit qu’un tel fichier non déclaré constitue un objet illicite, hors commerce, insusceptible d’être vendu ».
Cette décision est vraiment très étonnante si l’on considère que, de toute façon, la notification du fichier par le vendeur n’a aucune utilité pour l’acheteur qui doit notifier le fichier à son tour. Or, il est évident, qu’aujourd’hui, encore relativement peu de sociétés respectent leurs obligations de notification.
La sévérité de la sanction est d’autant plus surprenante que la réforme de la directive européenne envisage de réduire les obligations de notifications pour renforcer la responsabilisation sur la protection des droits des individus concernant les données traitées.
De façon plus fondamentale, cet arrêt donne une portée toute particulière à la règlementation de protection des données personnelles : son non-respect peut affecter la vie des affaires sous d’autres formes que des sanctions pénales ou administratives.
Cet arrêt vient confirmer que les données personnelles sont un enjeu économique et leur protection devient un enjeu politique et juridique.
Stéphanie Faber est Membre de voxFemina – Paroles d’Experts au Féminin
