Formalités CNIL et patrimonialité du fichier clients

DONNÉES PERSONNELLES
Formalités CNIL et patrimonialité
du fichier clients
Par un arrêt du 25 juin 2013, la Cour de cassation affirme pour la première fois que la cession d’un
fichier clients est nulle pour illicéité de l’objet de la vente dès lors qu’il n’a pas été déclaré à la CNIL.
Au-delà des sanctions pénales en cas de non-respect de telles formalités, cette nouvelle sanction doit
inciter les opérateurs à être en conformité avec leurs obligations en matière de données personnelles.
SUR LES AUTEURS
Philippe Debry,
avocat associé
U
Matthieu Dary,
avocat
ne société qui exploitait
un fonds de commerce de
vente de vin aux particuliers
a cédé son portefeuille de clientèle
composé d’un fichier informatisé et
d’une ligne téléphonique. Ce portefeuille comprenait une liste d'environ 6 000 clients référencés dans un
fichier manuscrit et dans un fichier
informatisé. L’acquéreur souhaitant
se voir rembourser les sommes versées lors de cette cession a contesté la
validité de la vente du fichier clients
en se fondant notamment sur le
défaut de déclaration dudit fichier à
la CNIL (Commission nationale de
l'informatique et des libertés). Il soutenait ainsi que la cession du fichier
encourait la nullité dès lors que l’objet de la vente était illicite en raison
du défaut de déclaration du fichier
auprès de la CNIL. Débouté par la
cour d'appel de Rennes aux motifs
que « si le traitement du fichier clients
de la société Bout-Chard doit faire
l'objet d'une déclaration simplifiée qui
en l'espèce n'a pas été faite, il apparaît
que la loi n'a pas prévu que la sanction
de l'absence de déclaration du traitement du fichier clients soit la nullité
15
PAROLES D'EXPERTS - OCTOBRE 2013
Sahra Hagani,
avocat
du fichier, son illicéité, de sorte que la
vente du fichier portant sur ce fichier
serait nulle, pour l'illicéité d'objet, ou
pour illicéité de cause » (cour d’appel
de Rennes, 17 janvier 2012, n°1007599), l’acquéreur a obtenu gain de
cause devant la Cour de cassation.
Un fichier client, à défaut
d’avoir fait l’objet de
formalités auprès de la
CNIL, est hors commerce
Selon la Cour de cassation « en statuant ainsi, alors que tout fichier
informatisé contenant des données à
caractère personnel doit faire l'objet
d'une déclaration auprès de la CNIL et
que la vente par la société Bout-Chard
d'un tel fichier qui, n'ayant pas été
déclaré, n' était pas dans le commerce,
avait un objet illicite, la cour d'appel
a violé les textes susvisés » (Cour de
cassation, Chambre commerciale,
25 juin 2013, n° 12-17.037). Après
avoir constaté que tout fichier conte-
Philippe Debry, avocat associé du cabinet
FIDAL, intervient en droit des technologies de
l’information (contrats informatiques, sécurité
des systèmes d’information, internet et données
personnelles). Matthieu Dary et Sahra Hagani,
avocats du cabinet FIDAL, interviennent en droit
des contrats, droit de la distribution, promotion
des ventes et données personnelles.
nant des données à caractère personnel doit être déclaré à la CNIL
et que le défaut de déclaration
constitue une infraction pénale, la
Cour de cassation en tire comme
conséquence qu’un tel fichier non
déclaré est hors commerce et donc
insusceptible d’être vendu. Elle se
fonde pour cela sur l'article 1128 du
Code civil qui pose le principe que
seules les choses dans le commerce
peuvent faire l’objet de convention
et l'article 22 de la loi Informatique
et Libertés du 6 janvier 1978 relatif à l’obligation de déclaration des
traitements de données à caractère
personnel. L’obligation de déclaration de l’article 22 de la loi Informatique et Libertés du 6 janvier 1978
impose aux entreprises détenant des
fichiers clients de procéder (i) soit à
une déclaration simplifiée auprès de
la CNIL, s’agissant des traitements
de données à caractère personnel
entrant dans le champ d’application
de la norme simplifiée n°48 relative à
la gestion de clients et de prospects,
(ii) soit à une déclaration normale
pour les traitements n’entrant pas
dans son champ d’application.
Par Philippe Debry, avocat associé, Matthieu Dary et Sahra Hagani, avocats.
Fidal
LES POINTS CLÉS
La Cour de cassation sanctionne le défaut de déclaration d’un fichier clients auprès de la CNIL
par la nullité de sa cession.
Elle subordonne ainsi la patrimonialité d’un fichier clients au respect des formalités CNIL.
Cette nouvelle sanction jurisprudentielle s’ajoute ainsi à l’arsenal répressif existant de la CNIL et
apparaît comme un moyen d’inciter les opérateurs économiques à procéder aux formalités auprès
de la CNIL, sous peine de voir leurs fichiers clients privés de toute valeur marchande.
© CNIL
L’apport de l’arrêt est intéressant dans
la mesure où il érige les formalités à
effectuer auprès de la CNIL en critère
déterminant de la validité de la vente
de fichiers clients contenant des données personnelles et renforce ainsi le
caractère contraignant des dispositions de la loi Informatique et Libertés du 6 janvier 1978. Le double visa
fondant la décision est innovant. En
réputant le fichier clients hors commerce et donc insusceptible de faire
l’objet d’une cession, la Cour utilise
l’article 1128 du Code civil comme
un nouvel instrument de sanction
en complément du contrôle de la
CNIL du fait du défaut de déclaration. En effet, en conditionnant la
patrimonialité d’un fichier clients
au respect des formalités CNIL, la
Cour de cassation ajoute à l’arsenal
répressif existant de la CNIL, un
nouveau moyen de coercition potentiellement plus dissuasif pour les
opérateurs économiques qui voient
leurs fichiers clients, actif incorporel
de plus en plus stratégique pour les
entreprises, privés de toute valeur
marchande. Pour preuve, l’acquisition du fichier clients de la société
Virgin a récemment fait l’objet d’une
bataille entre la Fnac et un particulier qui avait déclaré être l’acquéreur
de ce fichier. Ce fichier constitué par
les données personnelles de près de
1 600 000 porteurs de cartes Virgin
a finalement été vendu à la Fnac pour
un montant de 54 000 euros.
Il n’a pas échappé à la Cour de cassation qu’aujourd’hui l’exploitation
commerciale des données à caractère
personnel et plus particulièrement
celles contenues dans les fichiers
clients des entreprises ne cesse de
croître et qu’elles font l’objet de nombreuses convoitises dans la mesure où
elles représentent désormais un enjeu
financier important pour les entreprises notamment dans l’économie
numérique (cf. la montée en puissance de la problématique Big Data).
La Cour de cassation, face aux
dangers d’une extension de cette
exploitation commerciale incontrôlée, « innove » avec une sanction
retirant à ces données à caractère
personnel toute commercialité si
elles ne font pas l’objet d’une déclaration auprès de la CNIL et incite
ainsi davantage les entreprises à se
conformer aux formalités auprès de
la CNIL. En effet, on le rappelle,
la CNIL peut prononcer des sanctions administratives (avertissement, mise en demeure, injonction
de cesser le traitement…) mais également des sanctions pécuniaires
d’un montant pouvant aller jusqu'à
300 000  euros.
Le défaut de déclaration peut également faire l’objet de sanctions
pénales : l’article 226-16 du Code
péna l sa nctionne d ’une peine
d’emprisonnement de cinq ans et
d’une amende d’un montant de
300 000  euros « le fait, y compris
par négligence, de procéder ou de faire
procéder à des traitements de données
à caractère personnel sans qu’aient été
respectées les formalités préalables à
leur mise en œuvre ». Ainsi, outre le
risque de poursuite administrative
et/ou pénale, les opérateurs économiques défaillants peuvent craindre
de voir leurs fichiers clients non
déclarés devenir incessibles privant
alors ces derniers de toute valeur
marchande.
OCTOBRE 2013 - PAROLES D'EXPERTS
16