Nullité de la cession d’un fichier de clientèle non déclaré à la CNIL

En application de l’article 22 de la loi « informatique et libertés » du 6 janvier 1978, les traitements automatisés de données à caractère personnel doivent faire l’objet d’une déclaration préalable auprès de la Commission nationale de l’informatique et des libertés.

Cette obligation concerne tous les fichiers automatisés de données à caractère personnel, à l’exception de ceux bénéficiant d’une dispense, ou au contraire de ceux soumis à une procédure spéciale d’autorisation en application des dispositions de la loi informatique et libertés.

Dans le cas spécifique des fichiers de clientèle, la CNIL a édicté une norme simplifiée n° 48 (issue, dans son dernier état, de la délibération n° 2012-209 du 21 juin 2012 portant création d’une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects – http://www.cnil.fr/documentation/deliberations/deliberation/delib/184/).

Cette norme concerne exclusivement les traitements de données relatifs à la gestion des clients et de prospects. Elle vise en substance toutes les utilisations classiques des fichiers clientèle par une société ou un organisme public :

  • gestion des clients ;
  • contrats ;
  • commandes ;
  • livraison ;
  • factures ;
  • comptabilité ;
  • programme de fidélité ;
  • service après-vente ;
  • enquêtes ;
  • prospection ;
  • la vente de fichiers prospects ;
  • statistiques commerciales ;
  • organisation de jeux concours ;
  • etc.

Le type de données pouvant être exploité par le commerçant sous cette norme concerne uniquement les données pertinentes pour l’exploitation d’un fichier clients, tels que l’identité civile, les moyens de paiements, la situation familiale, etc. Le champ précis des données pouvant être exploitées est limité par la norme.

Toute utilisation ou types de données non expressément prévus par la norme simplifiée n°48 doit faire l’objet d’une déclaration classique ou bien d’une autorisation (suivant les cas, notamment en raison du caractère sensible de la donnée collectée).

A noter que cette norme fixe également un certain nombre de devoir pesant sur le responsable du traitement de données, comme celui de supprimer les données relatives aux cartes bancaires une fois la transaction réalisée, et de manière générale de conserver les données uniquement pour le temps de la durée « strictement nécessaire » à la gestion de la relation commerciale.

Tout manquement à cette obligation de déclaration peut entrainer deux types de sanctions :

–       des sanctions pénales prévues aux articles 226-16 et suivants du Code pénal (« le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende »). A noter que le fait de ne pas respecter le champ des normes simplifiées et puni des mêmes peines ;

–       des sanctions administratives, notamment pécuniaires, pouvant être prononcées par la CNIL. Ce deuxième type de sanction provoque essentiellement pour les entreprises un préjudice d’image important, les décisions de la CNIL étant très souvent relayés par la presse. Il peut notamment être cité en exemple la sanction prononcée en 2011 à l’égard de GOOGLE pour son service « street view » où l’analyse menée sur ces données par la CNIL avait permis de constater que GOOGLE avait enregistré, outre des données techniques (identifiants SIID et adresses MAC des points d’accès Wi-Fi), de nombreuses données concernant des particuliers, identifiés ou identifiables (données de connexion à des sites web, mots de passe de messagerie, adresses de courrier électronique, échanges de courriels révélant notamment des informations sensibles sur l’orientation sexuelle ou la santé des personnes). La CNIL avait dans cette affaire prononcée à l’encontre de GOOGLE une sanction pécuniaire de 100.000 euros, considérant que la collecte de ses données était déloyale.

La Cour de cassation a toutefois fait surgir un nouveau risque de sanction dans son arrêt du 25 juin 2013, de nature civile : toute transaction portant sur un fichier clients non déclaré serait entachée de nullité.

Dans cette espèce, les associés dirigeants d’une société dénommée BOUT-CHARD qui exploitait un fond de commerce de vente de vins aux particuliers, souhaitaient se retirer des affaires.

Par un acte de cession de vente établi et signé le 10 décembre 2008, il fut cédé à un tiers, non pas le fond de commerce, mais uniquement les éléments incorporels portant sur le fichier clients. L’acte de cession mentionnait expressément : « le portefeuille de la clientèle de vente de vins aux particuliers, exploité sous l’enseigne BOUT-CHARD depuis 2002 et auparavant GUICHARD depuis 1946 », et que ce portefeuille comprenait « une liste d’environ 6000 clients référencés dans un fichier complet, manuscrit et classé, des classeurs ordonnés.., un fichier de clients informatisé sous logiciel windows ».

Une fois la vente conclue, le cessionnaire s’aperçu que sur les 6.000 clients référencés, seuls 1.954 contacts étaient actifs.

Le cessionnaire s’aperçut également le fichier clients objet de la cession n’avait jamais fait l’objet d’une déclaration à la CNIL.

A la suite de ces découvertes, le cessionnaire avait assigné les cédants en résolution de la vente, sur deux fondements : le dol et la non conformité du fichier clients aux obligations légales.

Le cessionnaire fut débouté de ses demandes en première instance et en appel. La Cour d’appel de Rennes avait en effet considéré dans son arrêt du 17 janvier 2012 que la loi ne prévoyant pas de sanctionner l’absence de déclaration du traitement du fichier clients par sa nullité, la vente du fichier ne pouvait pas être nulle en raison de l’illicéité des son objet, ou de sa cause.

La Cour d’appel avait donc entendu faire dans son raisonnement, une stricte application de l’adage « pas de nullité sans texte ».

La Cour de cassation, dans son arrêt du 25 juin 2013, n’a toutefois pas suivi cette argumentation.

C’est au visa de l’article 1128 du Code civil exprimant que « Il n’y a que les choses qui sont dans le commerce qui puissent être l’objet des conventions »  et de l’article 22 de la loi informatique et libertés imposant l’obligation de déclaration des traitements automatisés de fichiers de données personnelles à la CNIL, que la haute Cour  a cassé et annulé en toutes ses dispositions l’arrêt rendu par la Cour d’appel de Rennes.

Aux termes d’un syllogisme parfait, a Cour de cassation considère :

–       que tout fichier de traitement de données à caractère personnel doit faire l’objet d’une déclaration auprès de la CNIL ;

–       qu’en l’espèce, le fichier clients n’a fait l’objet d’aucune déclaration auprès de la CNIL ;

–       que ledit fichier contrevient donc aux dispositions de la loi informatique et libertés et est illicite ;

–       que les choses illicites ne sont pas dans le commerce ;

–       et que par conséquent l’objet de la vente est illicite.

Un fichier clients non déclaré à la CNIL est donc, selon la Cour de cassation,  insusceptible d’être vendu.

La Cour de cassation élargit ainsi la liste des choses étant « hors commerce ».

Les  choses dites « hors commerce » ont un caractère quasi sacré, cette catégorie concerne en effet traditionnellement le corps humain, les droits de la personnalité, les libertés fondamentales (ex : le droit de vote), les tombeaux, et.

C’est cette règle qui fonde notamment en France l’interdiction des mères porteuses.

Cette liste des choses hors commerce n’a pas été figée par le législateur et est évolutive.

En 2006, la Cour de cassation avait ainsi considéré, au sujet de cosmétiques, que les produits périmés étaient hors commerce (Cass. com., 16 mai 2006, n° 04-19.785).

Dans cette décision c’était également le non respect du cadre législatif et réglementaire qui avait conduit la Cour de cassation a une telle décision, la Cour retenant qu’il « serait contraire aux dispositions du code de la santé publique d’ordonner la vente de produits périmés destinés à la fabrication de cosmétiques ».

Dans l’espèce concernant le fichier clients, la Cour de cassation tient le même raisonnement : le non respect du cadre réglementaire quant au produit le vente, le rend illicite et donc hors commerce.

Ce terrain est toutefois glissant.

Le non-respect d’une disposition réglementaire ou législative du vendeur quant au produit de la vente ne doit pas conduire systématique à la nullité de la vente, sans quoi les transactions deviendraient trop incertaines.

L’acheteur disposerait ainsi de la prescription quinquennale pour faire tranquillement une analyse juridique du produit de la vente et ainsi soulever une nullité parfaitement objective tenant à l’illicéité du produit. Toute notion de vice caché ou de mauvaise foi serait ainsi totalement écartée du débat, laissant le vendeur sans grande défense, la chose étant « hors commerce ».

Dans le cadre d’un fichier clients on peut ainsi imaginer que la nullité tiendrait par exemple au défaut du recueil du consentement des personnes objets du traitements de données, du défaut de suppression des données après la durée nécessaire à leur utilisation, du défaut des mentions d’informations aux personnes concernées de leurs droits concernant l’accès et à la modification de leurs données personnelles, etc.

La dérive selon laquelle toute contravention à un règlement rend la chose hors commerce ne doit toutefois pas être faite. Cette jurisprudence est un arrêt d’espèce, et non un arrêt de principe ayant vocation à s’appliquer à d’autres types de transaction, par parallélisme.

Toutefois, et bien évidemment, la Cour de cassation ouvre la voie d’un nouvel argument que les acheteurs insatisfaits ne manqueront pas de soulever pour se défaire d’une vente.

Dans le cadre de la vente d’un fond de commerce, qui inclut dans la plupart des cas la cession du fichier clients, il est donc indispensable de se livrer à une vérification préalable pour vérifier que le fichier ait bien été déclaré à la CNIL. Cette vérification est facile car la liste des fichiers déclarés est tenue à disposition du public, en adressant une simple demande à la CNIL par courrier ou par fax.

 

Sacha Benichou

Avocat à la Cour

www.sbavocats.com

 

 

 

 

 

 

 

 

Partager : Share on LinkedInShare on FacebookGoogle+Email to someoneTweet about this on Twitter