Aux
termes de la loi informatique et libertés du 6 janvier 1978, le responsable du
traitement[1] doit, avant de procéder au
traitement des données à caractère personnel, accomplir certaines formalités
qui ont pour objectif de permettre et de faciliter le contrôle du respect des
principes énoncés par les dispositions relatives à la protection des données
personnelles. Ces formalités sont divisées, selon la dangerosité des
traitements, en deux catégories : l’autorisation et la déclaration.
L’autorisation
préalable de la CNIL concerne certains traitements spécifiquement identifiés,
dont la mise en œuvre est susceptible de présenter des risques particuliers au
regard des droits et libertés des personnes concernées.
S’agissant
de l’obligation de déclaration préalable, il convient de distinguer entre deux régimes
différents : la déclaration normale et la déclaration simplifiée, qui
concerne les catégories les plus courantes de traitements de données, dont la
mise en œuvre n’est pas susceptible de porter atteinte aux droits et libertés
des personnes concernées.
L’inobservation
des formalités préalables au traitement de données à caractère personnel est
sanction pénalement sur le fondement de l’article 226-16 du Code pénal, lequel
prévoit, en son alinéa premier, que « le
fait, y compris par négligence, de procéder ou de faire procéder à des
traitements de données à caractère personnel sans qu'aient été respectées les formalités
préalables à leur mise en œuvre prévues par la loi est puni de cinq ans
d'emprisonnement et de 300 000 Euros d'amende ».
Dans
un arrêt en date du 25 juin 2013[2], la chambre commerciale de
la Cour de cassation a affirmé que la vente par une société d’un fichier de
clients informatisé non déclaré auprès de la CNIL encourt la nullité pour
illicéité de l’objet.
Les
faits de l’espèce qui ont conduit à cet arrêt étaient les suivants : une
société qui exploitait un fonds de commerce de vente de vins a cédé son
portefeuille de clientèle comprenant une liste d'environ 6000 clients
référencés dans un fichier complet, manuscrit et classé, des classeurs
ordonnés, un fichier de clients informatisé sous logiciel windows, et une ligne
téléphonique.
L’acheteur
souhaitant annuler la vente et se voir rembourser en conséquence des sommes
versées lors de la cession, l’acheteur a invoqué, notamment, l’illicéité de
l’objet de la vente, le fichier de clients automatisé n’ayant pas été déclaré à la CNIL.
En
appel, l’acheteur s’est vu débouté de sa demande, la Cour d’appel de Rennes
estimant que « la loi n'a pas prévu
que la sanction de l'absence de déclaration du traitement du fichier clients
soit la nullité du fichier, son illicéité, de sorte que la vente du fichier
portant sur ce fichier serait nulle, pour l'illicéité d'objet, ou pour
illicéité de cause »[3].
Ce
raisonnement a été rejeté par la chambre commerciale de la Cour de cassation.
Sur le fondement des articles 1128 du code civil et 22 de la loi informatique
et libertés, elle a jugé que : « attendu
qu'en statuant ainsi, alors que tout fichier informatisé contenant des données
à caractère personnel doit faire l'objet d'une déclaration auprès de la CNIL et
que la vente par la société […] d'un tel
fichier qui, n'ayant pas été déclaré, n'était pas dans le commerce, avait un
objet illicite, la cour d'appel a violé les textes susvisés ».
Les
professionnels qui envisageront de procéder à des opérations ayant pour objet,
exclusif ou non, ou ayant pour effet la cession de fichiers de clientèle, devront
s’assurer préalablement de la licéité de ces fichiers au regard des
dispositions de la loi informatique et liberté, plus particulièrement celle
relatives aux formalités préalable au traitement de données à caractère
personnel.
[1] Selon l’article 2 de
la loi informatique et libertés, on
entend par « traitement » « toute
opération ou tout ensemble d'opérations portant sur [des données à caractère
personnel ], quel que soit le procédé utilisé, et notamment la collecte,
l'enregistrement, l'organisation, la conservation, l'adaptation ou la
modification, l'extraction, la consultation, l'utilisation, la communication
par transmission, diffusion ou toute autre forme de mise à disposition, le
rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou
la destruction ».
[2] Cass.com, 25 juin
2013, n° 12-17037, disponible
sur :
[3] CA Rennes, 3ème Chambre
commerciale, 17 janvier 2012, RG n° 10/07599.