Par Philippe Debry, avocat associé, Matthieu Dary et Sahra Hagani, avocats. Fidal
Formalités CNIL et patrimonialité du fichier clients
Par un arrêt du 25?juin 2013, la Cour de cassation affirme pour la première fois que la cession d’un fichier clients est nulle pour illicéité de l’objet de la vente dès lors qu’il n’a pas été déclaré à la CNIL. Au-delà des sanctions pénales en cas de non-respect de telles formalités, cette nouvelle sanction doit inciter les opérateurs à être en conformité avec leurs obligations en matière de données personnelles.
Une société qui exploitait un fonds de commerce de vente de vin aux particuliers a cédé son portefeuille de clientèle composé d’un fichier informatisé et d’une ligne téléphonique. Ce portefeuille comprenait une liste d’environ 6 000 clients référencés dans un fichier manuscrit et dans un fichier informatisé. L’acquéreur souhaitant se voir rembourser les sommes versées lors de cette cession a contesté la validité de la vente du fichier clients en se fondant notamment sur le défaut de déclaration dudit fichier à la CNIL (Commission nationale de l’informatique et des libertés). Il soutenait ainsi que la cession du fichier encourait la nullité dès lors que l’objet de la vente était illicite en raison du défaut de déclaration du fichier auprès de la CNIL. Débouté par la cour d’appel de Rennes aux motifs que «?si le traitement du fichier clients de la société Bout-Chard doit faire l’objet d’une déclaration simplifiée qui en l’espèce n’a pas été faite, il apparaît que la loi n’a pas prévu que la sanction de l’absence de déclaration du traitement du fichier clients soit la nullité du fichier, son illicéité, de sorte que la vente du fichier portant sur ce fichier serait nulle, pour l’illicéité d’objet, ou pour illicéité de cause?» (cour d’appel de Rennes, 17?janvier 2012, n°10-07599), l’acquéreur a obtenu gain de cause devant la Cour de cassation.
Selon la Cour de cassation «?en statuant ainsi, alors que tout fichier informatisé contenant des données à caractère personnel doit faire l’objet d’une déclaration auprès de la CNIL et que la vente par la société Bout-Chard d’un tel fichier qui, n’ayant pas été déclaré, n’était pas dans le commerce, avait un objet illicite, la cour d’appel a violé les textes susvisés?» (Cour de cassation, Chambre commerciale, 25?juin 2013, n° 12-17.037). Après avoir constaté que tout fichier contenant des données à caractère personnel doit être déclaré à la CNIL et que le défaut de déclaration constitue une infraction pénale, la Cour de cassation en tire comme conséquence qu’un tel fichier non déclaré est hors commerce et donc insusceptible d’être vendu. Elle se fonde pour cela sur l’article 1128 du Code civil qui pose le principe que seules les choses dans le commerce peuvent faire l’objet de convention et l’article 22 de la loi Informatique et Libertés du 6?janvier 1978 relatif à l’obligation de déclaration des traitements de données à caractère personnel. L’obligation de déclaration de l’article 22 de la loi Informatique et Libertés du 6?janvier 1978 impose aux entreprises détenant des fichiers clients de procéder (i) soit à une déclaration simplifiée auprès de la CNIL, s’agissant des traitements de données à caractère personnel entrant dans le champ d’application de la norme simplifiée n°48 relative à la gestion de clients et de prospects, (ii) soit à une déclaration normale pour les traitements n’entrant pas dans son champ d’application.
L’apport de l’arrêt est intéressant dans la mesure où il érige les formalités à effectuer auprès de la CNIL en critère déterminant de la validité de la vente de fichiers clients contenant des données personnelles et renforce ainsi le caractère contraignant des dispositions de la loi Informatique et Libertés du 6 janvier 1978. Le double visa fondant la décision est innovant. En réputant le fichier clients hors commerce et donc insusceptible de faire l’objet d’une cession, la Cour utilise l’article 1128 du Code civil comme un nouvel instrument de sanction en complément du contrôle de la CNIL du fait du défaut de déclaration. En effet, en conditionnant la patrimonialité d’un fichier clients au respect des formalités CNIL, la Cour de cassation ajoute à l’arsenal répressif existant de la CNIL, un nouveau moyen de coercition potentiellement plus dissuasif pour les opérateurs économiques qui voient leurs fichiers clients, actif incorporel de plus en plus stratégique pour les entreprises, privés de toute valeur marchande. Pour preuve, l’acquisition du fichier clients de la société Virgin a récemment fait l’objet d’une bataille entre la Fnac et un particulier qui avait déclaré être l’acquéreur de ce fichier. Ce fichier constitué par les données personnelles de près de 1 600 000 porteurs de cartes Virgin a finalement été vendu à la Fnac pour un montant de 54 000?euros.
Il n’a pas échappé à la Cour de cassation qu’aujourd’hui l’exploitation commerciale des données à caractère personnel et plus particulièrement celles contenues dans les fichiers clients des entreprises ne cesse de croître et qu’elles font l’objet de nombreuses convoitises dans la mesure où elles représentent désormais un enjeu financier important pour les entreprises notamment dans l’économie numérique (cf. la montée en puissance de la problématique Big Data). La Cour de cassation, face aux dangers d’une extension de cette exploitation commerciale incontrôlée, «?innove?» avec une sanction retirant à ces données à caractère personnel toute commercialité si elles ne font pas l’objet d’une déclaration auprès de la CNIL et incite ainsi davantage les entreprises à se conformer aux formalités auprès de la CNIL. En effet, on le rappelle, la CNIL peut prononcer des sanctions administratives (avertissement, mise en demeure, injonction de cesser le traitement…) mais également des sanctions pécuniaires d’un montant pouvant aller jusqu’à 300 000?euros.
Le défaut de déclaration peut également faire l’objet de sanctions pénales : l’article 226-16 du Code pénal sanctionne d’une peine d’emprisonnement de cinq ans et d’une amende d’un montant de 300 000?euros «?le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre?». Ainsi, outre le risque de poursuite administrative et/ou pénale, les opérateurs économiques défaillants peuvent craindre de voir leurs fichiers clients non déclarés devenir incessibles privant alors ces derniers de toute valeur marchande.
Une société qui exploitait un fonds de commerce de vente de vin aux particuliers a cédé son portefeuille de clientèle composé d’un fichier informatisé et d’une ligne téléphonique. Ce portefeuille comprenait une liste d’environ 6 000 clients référencés dans un fichier manuscrit et dans un fichier informatisé. L’acquéreur souhaitant se voir rembourser les sommes versées lors de cette cession a contesté la validité de la vente du fichier clients en se fondant notamment sur le défaut de déclaration dudit fichier à la CNIL (Commission nationale de l’informatique et des libertés). Il soutenait ainsi que la cession du fichier encourait la nullité dès lors que l’objet de la vente était illicite en raison du défaut de déclaration du fichier auprès de la CNIL. Débouté par la cour d’appel de Rennes aux motifs que «?si le traitement du fichier clients de la société Bout-Chard doit faire l’objet d’une déclaration simplifiée qui en l’espèce n’a pas été faite, il apparaît que la loi n’a pas prévu que la sanction de l’absence de déclaration du traitement du fichier clients soit la nullité du fichier, son illicéité, de sorte que la vente du fichier portant sur ce fichier serait nulle, pour l’illicéité d’objet, ou pour illicéité de cause?» (cour d’appel de Rennes, 17?janvier 2012, n°10-07599), l’acquéreur a obtenu gain de cause devant la Cour de cassation.
Selon la Cour de cassation «?en statuant ainsi, alors que tout fichier informatisé contenant des données à caractère personnel doit faire l’objet d’une déclaration auprès de la CNIL et que la vente par la société Bout-Chard d’un tel fichier qui, n’ayant pas été déclaré, n’était pas dans le commerce, avait un objet illicite, la cour d’appel a violé les textes susvisés?» (Cour de cassation, Chambre commerciale, 25?juin 2013, n° 12-17.037). Après avoir constaté que tout fichier contenant des données à caractère personnel doit être déclaré à la CNIL et que le défaut de déclaration constitue une infraction pénale, la Cour de cassation en tire comme conséquence qu’un tel fichier non déclaré est hors commerce et donc insusceptible d’être vendu. Elle se fonde pour cela sur l’article 1128 du Code civil qui pose le principe que seules les choses dans le commerce peuvent faire l’objet de convention et l’article 22 de la loi Informatique et Libertés du 6?janvier 1978 relatif à l’obligation de déclaration des traitements de données à caractère personnel. L’obligation de déclaration de l’article 22 de la loi Informatique et Libertés du 6?janvier 1978 impose aux entreprises détenant des fichiers clients de procéder (i) soit à une déclaration simplifiée auprès de la CNIL, s’agissant des traitements de données à caractère personnel entrant dans le champ d’application de la norme simplifiée n°48 relative à la gestion de clients et de prospects, (ii) soit à une déclaration normale pour les traitements n’entrant pas dans son champ d’application.
L’apport de l’arrêt est intéressant dans la mesure où il érige les formalités à effectuer auprès de la CNIL en critère déterminant de la validité de la vente de fichiers clients contenant des données personnelles et renforce ainsi le caractère contraignant des dispositions de la loi Informatique et Libertés du 6 janvier 1978. Le double visa fondant la décision est innovant. En réputant le fichier clients hors commerce et donc insusceptible de faire l’objet d’une cession, la Cour utilise l’article 1128 du Code civil comme un nouvel instrument de sanction en complément du contrôle de la CNIL du fait du défaut de déclaration. En effet, en conditionnant la patrimonialité d’un fichier clients au respect des formalités CNIL, la Cour de cassation ajoute à l’arsenal répressif existant de la CNIL, un nouveau moyen de coercition potentiellement plus dissuasif pour les opérateurs économiques qui voient leurs fichiers clients, actif incorporel de plus en plus stratégique pour les entreprises, privés de toute valeur marchande. Pour preuve, l’acquisition du fichier clients de la société Virgin a récemment fait l’objet d’une bataille entre la Fnac et un particulier qui avait déclaré être l’acquéreur de ce fichier. Ce fichier constitué par les données personnelles de près de 1 600 000 porteurs de cartes Virgin a finalement été vendu à la Fnac pour un montant de 54 000?euros.
Il n’a pas échappé à la Cour de cassation qu’aujourd’hui l’exploitation commerciale des données à caractère personnel et plus particulièrement celles contenues dans les fichiers clients des entreprises ne cesse de croître et qu’elles font l’objet de nombreuses convoitises dans la mesure où elles représentent désormais un enjeu financier important pour les entreprises notamment dans l’économie numérique (cf. la montée en puissance de la problématique Big Data). La Cour de cassation, face aux dangers d’une extension de cette exploitation commerciale incontrôlée, «?innove?» avec une sanction retirant à ces données à caractère personnel toute commercialité si elles ne font pas l’objet d’une déclaration auprès de la CNIL et incite ainsi davantage les entreprises à se conformer aux formalités auprès de la CNIL. En effet, on le rappelle, la CNIL peut prononcer des sanctions administratives (avertissement, mise en demeure, injonction de cesser le traitement…) mais également des sanctions pécuniaires d’un montant pouvant aller jusqu’à 300 000?euros.
Le défaut de déclaration peut également faire l’objet de sanctions pénales : l’article 226-16 du Code pénal sanctionne d’une peine d’emprisonnement de cinq ans et d’une amende d’un montant de 300 000?euros «?le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre?». Ainsi, outre le risque de poursuite administrative et/ou pénale, les opérateurs économiques défaillants peuvent craindre de voir leurs fichiers clients non déclarés devenir incessibles privant alors ces derniers de toute valeur marchande.
