Les directions marketing appuyées par les directions informatiques concentrent leur énergie et leur ressources sur les données personnelles afin de :
• prendre des décisions stratégiques,
• pousser des offres ciblées et adéquates en recommandant des achats à leurs clients,
• personnaliser le service rendu,
• mesurer et améliorer les performances d’une application,
• soutenir des efforts d’innovation donnant naissance à d’autres applications,
• comprendre le marché potentiel et le qualifier.
Le rapport Collin & Colin rendu en janvier 2013 sur la fiscalité de l’économie numérique, donne une vision de l’essor de l’économie numérique et de l’importance que revêt pour elle l’exploitation des données personnelles.
Il considère que les données, notamment les données personnelles, sont la ressource essentielle de l’économie numérique et qu’elles sont collectées sans contrepartie financière au bénéfice des personnes qui fournissent gratuitement l’information.
Si le spectre d’une taxe nationale spécifique au numérique a disparu à la suite du rapport sur la fiscalité numérique remis à Fleur Pellerin par le CNNum le 10 septembre 2013, la nécessité d’une stratégie industrielle numérique européenne et du renforcement de la transparence et des contrôles sont au cœur de notre économie.
L’immatériel devient une valeur marchande, la monétisation des données personnelles est un enjeu d’importance.
Dans ce contexte, la décision de la Chambre Commercial de la Cour de cassation du 25 juin 2013 [1], rendue en formation de section et largement publiée (au Bulletin des arrêts des chambres civiles, au Bulletin d’information de la Cour de cassation et sur le site internet de la Cour de cassation), ne doit pas passer inaperçue.
En l’espèce, l’acquéreur d’un fichier client informatisé d’un fonds de commerce de vente de vin aux particuliers a assigné le cédant sur trois fondements : la requalification de la vente du fichier clients en vente de fonds de commerce, la résolution de la vente pour non-conformité du fichier client et en nullité de la vente pour illicéité de l’objet puisque le fichier clients n’avait pas été déclaré auprès de la CNIL.
La Cour de cassation a censuré la Cour d’appel de Rennes aux motifs que la cession d’un fichier client était suffisante pour entrainer la qualification de cession de fonds de commerce peu important que les autres éléments du fonds ne soient pas cédés, qu’une simple mise en possession matérielle du fichier clients objet du contrat ne suffit pas à attester de sa conformité convenue, et que la vente du fichier clients non déclaré à la CNIL est nulle pour objet illicite, la Cour d’appel ayant dès lors violé les articles 1128 du Code civil et 22 de la loi n° 78-17 du 6 janvier 1978 Informatique et Libertés.
A ce titre, la Cour de cassation énonce l’attendu selon lequel « tout fichier informatisé contenant des données à caractère personnel » n’ayant pas fait l’objet d’une déclaration auprès de la CNIL n’est pas dans le commerce juridique.
La propriété d’un bien, et donc notamment d’un fichier, confère deux facultés au propriétaire : la faculté de jouir du bien, c’est-à-dire de l’utiliser, et la faculté de disposer (au sens large) du bien, c’est-à-dire de l’engager dans tout acte juridique. L’« extra-commercialité » d’un bien implique que l’on ne peut pas en disposer mais que l’on ne peut qu’en jouir.
Depuis fort longtemps plus aucune entreprise n’ignore que les traitements automatisés de données à caractère personnel doivent faire l’objet d’une déclaration auprès de la CNIL (article 22 de la loi n° 78-17 du 6 janvier 1978).
S’agissant plus particulièrement des « traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects », la CNIL a facilité le processus déclaratif en créant il y a un peu plus d’an an la norme simplifiée n°48.
Toutefois, la loi n° 78-17 du 6 janvier 1978 n’a pas prévu que le défaut de déclaration d’un fichier auprès de la CNIL soit sanctionné par la nullité de l’acte juridique ayant pour objet ce fichier.
La Cour de cassation est donc allée rechercher un principe fondamental du Code civil, jamais remanié depuis son origine, rappelant qu’une chose qui n’est pas dans le commerce ne peut pas être l’objet d’un contrat (article 1128 du Code civil).
Elle en a ainsi légitimement déduit que la vente du fichier contenant des données à caractère personnel n’ayant pas fait l’objet d’une déclaration auprès de la CNIL est nulle comme ayant un objet illicite.
Cette décision est intéressante sur 6 points.
(1) Tout d’abord, il est important de noter que l’« extra-commercialité » du fichier a des conséquences d’une portée s’étendant au delà de la vente. En effet, elle ne fait pas seulement obstacle à la vente du fichier mais également à ce qu’il soit l’objet de quelque contrat que ce soit (ex : licence, prêt, etc.).
Un fichier non déclaré, s’il ne peut plus faire l’objet d’aucun contrat valable, perd alors toute valeur pécuniaire pour son propriétaire, il ne peut plus être valorisé.
(2) Par ailleurs, dans l’hypothèse où la vente a déjà été réalisée et le fichier déjà été livré, le cédant ne pourra obtenir le paiement forcé de la vente, mais seulement la restitution du fichier par le prononcé de la nullité du contrat de vente.
La nullité du contrat donne lieu à restitutions :
• du fichier par le cessionnaire ;
• du prix par le cédant.
Toutefois, le cédant n’a aucune garantie que le cessionnaire n’exploitera pas les informations qu’il aurait tiré du fichier.
(3) En outre, la nullité pour objet illicite est une nullité absolue : toute personne ayant un intérêt à agir, y compris un tiers au contrat (par exemple, la personne faisant l’objet du traitement automatisé de données) peut la soulever.
Or ce régime de nullité pourra être lourd de conséquence et être en véritable foyer de contentieux à venir pour les class actions devant bientôt être admises dans notre droit interne. Les particuliers faisant l’objet d’un traitement automatisé de données seront en effet plus à même d’intervenir par le biais des actions groupées que par le biais d’une action individuelle.
De multiples cessions de fichiers de traitements automatisées seraient dès lors sous le joug de la nullité, d’autant plus que ces cessions ne peuvent faire l’objet d’une régularisation a posteriori.
(4) En effet, bien que la déclaration simplifiée d’un fichier auprès de la CNIL puisse être faite à tout moment, le fichier ne deviendra un objet licite dans le commerce, pouvant faire l’objet d’un contrat, qu’à compter de sa déclaration.
Dès lors, tout contrat ayant pour objet un fichier non déclaré au jour de sa conclusion est nul comme ayant un objet illicite, et cela même en cas de déclaration postérieure à la conclusion. Il ne peut pas y avoir de régularisation.
En conséquence, pour faire l’objet d’un contrat, un fichier de traitement automatisé doit donc être déclaré nécessairement antérieurement de la conclusion d’un contrat.
(5) De plus, il est important de noter qu’au delà de la sanction de la nullité, le responsable du traitement d’un fichier non déclaré auprès de la CNIL s’expose, pour la simple jouissance du fichier, sans même sa transmission à :
• une sanction administrative par la CNIL,
• une peine d’emprisonnement d’une durée maximale de 5 ans et une amende d’un montant maximum de 300.000€, en vertu de l’article 226-16 du Code pénal.
(6) En outre, tout autre rédacteur d’actes à titre professionnel portant sur le fichier litigieux peut également voir sa responsabilité civile professionnelle engagée, au titre de sa participation lors de la conclusion du contrat portant sur le fichier non déclaré.
Ainsi à la suite de la décision de la Cour de cassation, le rédacteur de la cession du fichier de clientèle informatisé, illicite, aurait pu voir sa responsabilité engagé à l’égard du cédant pour ne pas avoir remplis son obligation d’assurer la validité et l’efficacité de l’acte projeté, obligation dont la seule constatation de l’inefficacité de l’acte est de nature à établir la responsabilité de l’avocat qui doit répondre de ses conséquences dommageables (Cass. 1ère civ., 14 oct. 2010, no 09-13.840).
