Annulation du contrat de cession d’un fichier d’adresses clients non déclaré à la CNIL

Les bases de données personnelles de clients ont une valeur patrimoniale pouvant s’élever à plusieurs centaines de milliers d’euros. Cependant, la valeur de ces fichiers dépend notamment de leurs conditions de constitution, dont le respect des obligations de déclaration à la CNIL.

Les bases de données, ou fichiers, constitués de données personnelles de clients (dont les e-mails et adresses postales) ont une valeur patrimoniale pouvant s’élever à plusieurs centaines de milliers d’euros, compte tenu de la qualité de la base de données (nombre d’adresses, possibilité de cibler les profils des utilisateurs, conformité de la base de données à la réglementation sur la constitution de la base et à la loi Informatique et Libertés, etc.).
Suivant les conditions de leur constitution et la nature des autorisations des personnes concernées, ces bases de données peuvent ensuite être “louées” ou cédées contractuellement contre rémunération. Ainsi, dans le cadre des opération de liquidation des magasins Virgin, le fichier des clients détenteurs de la carte de fidélité Virgin Mégastore, comprenant les coordonnées de 1,6 millions de clients, vient d’être racheté par une enseigne concurrente. (1)
Cependant, la valeur de ces fichiers dépend notamment de leurs conditions de constitution, dont le respect des obligations de déclaration à la CNIL. (2)
Dans un arrêt du 25 juin 2013, la Cour de cassation vient ainsi d’annuler la cession d’une base de données clients au motif que celle-ci n’avait pas été dûment déclarée à la CNIL. (3)

1. Les conditions de constitution et de commercialisation d’une base de données clients de valeur

Les sociétés qui collectent des données relatives à leurs clients et utilisateurs de leurs produits ou services - que ce soit au moment de l’inscription sur leur site internet ou au moment de passer commande - mettent en œuvre un traitement de données à caractère personnel. Cette base de données clients a pour objet (ou finalité) d’identifier les utilisateurs, prospects et/ou clients de l’entreprise.
Or, la constitution d’une base de données est notamment soumise au respect des dispositions de la loi Informatique et Libertés, dont nous rappelons les principales obligations ci-dessous.

    1.1 Rappel des principales obligations légales relatives à la collecte et au traitement des données clients


Les traitements de données personnelles comprennent tous types d'opérations qui permettent d'identifier une personne physique, directement ou indirectement, et le fait de collecter, enregistrer, conserver, modifier, diffuser ou détruire des données personnelles.
Le responsable du traitement sera en règle générale, le dirigeant de l'entreprise ou le chef de service de l'organisme au sein de cette société en charge des traitements de données à caractère personnel.
Outre le fait de prendre toutes les précautions nécessaires pour assurer la sécurité et la confidentialité des données clients qu'il a en sa possession, le responsable de traitement doit notamment respecter les obligations suivantes :

Le fichier constitué doit être réalisé selon une finalité définie et précise, telle que la vente d’un produit ou la fourniture d’un service.
Les données collectées doivent donc être pertinentes compte tenu de cette finalité. Par exemple, le formulaire de commande d’un site marchand collectera les nom, prénom et adresse du client (finalité de traitement de la commande). En revanche, il ne sera généralement pas pertinent de demander la catégorie socio-professionnelle ou le statut marital de l'acheteur. Lors de la création du formulaire de passation de commande, il sera donc important de réfléchir aux catégories de données strictement nécessaires au traitement des commandes.
La collecte de données personnelles à des fins commerciales est soumise au consentement de la personne concernée. Ce droit d’information et de consentement implique également que les données ainsi collectées ne peuvent être utilisées à des fins de prospection commerciale, ni cédées que sous réserve d’avoir obtenu le consentement express de cette personne (ou “opt-in”).
Les données personnelles ne peuvent être conservées sans limitation de durée, mais pour une durée "raisonnable" correspondant à la durée nécessaire au traitement.
Enfin, les personnes concernées bénéficient d’un droit d'accès, de rectification (mise à jour), de contestation et d'opposition (suppression/désinscription) au traitement de leurs données. Cette faculté (droit d’accès, désinscription, etc.) se traduit par une information, et un lien hypertexte,  figurant en bas des emails commerciaux.

Le fichier, ou base de données, ainsi constitué doit avoir fait l’objet d’une déclaration préalable à la CNIL : le responsable du traitement doit - préalablement à la mise en oeuvre du fichier - procéder à une déclaration simplifiée de conformité (ex: norme simplifiée n°48 pour un fichier clients/prospects) ou à une déclaration normale, selon le type de traitement envisagé et les données collectées.

    1.2 La nécessité de contrôler la conformité légale de la base de données clients en cas de location ou de cession


En cas de non-respect des obligations légales, la base de données ainsi constituée peut être dénuée de toute valeur patrimoniale. La société ayant constitué cette base ne pourra l’exploiter légalement, que ce soit directement, en accordant des droits d’utilisation de la base à des tiers, ou encore en tentant de la céder.
En cas de cession d’un fichier clients, il est recommandé au cessionnaire de la base (l’acquéreur) de faire stipuler au contrat que la base est effectivement conforme à la réglementation, qu’elle a été dûment déclarée à la CNIL, qu’elle a été constituée dans le respect des droits des personnes concernées et que celles-ci ont effectivement donné leur consentement express à l’utilisation de leurs données par des partenaires commerciaux. Le cas échéant, l’acquéreur pourra exiger de faire réaliser un audit de conformité de la base de données à la réglementation.

Par ailleurs, au cas où l’acquéreur envisagerait de transférer la base de données en dehors de l’Union européenne, il lui appartiendra de s’assurer que les procédures relatives aux autorisations  et informations préalables ont été respectées.
Le vendeur du fichier clients devra informer l'acheteur des éventuelles limites d'utilisation des informations comprises dans la base de données. Quant à l'acheteur, il devra exiger du vendeur la preuve de la licéité de la collecte et du traitement des données. Une fois la cession du fichier devenue effective, le nouvel acquéreur deviendra responsable de traitement et prendra en charge les obligations légales à compter de la date effective de ladite cession.

2. Fichier clients illicite : les risques juridiques et financiers encourus par les parties

Le non-respect de la réglementation relative à la constitution des fichiers de données personnelles, notamment de la loi Informatique et Libertés, expose le titulaire des droits sur ce fichier à de sévères sanctions, d’ordre administratif et pénal. Dans le cas d’une cession de fichier, la sanction est également pécuniaire dans la mesure où ce fichier sera dénué de toute existence légale.

    2.1 Les sanctions administratives et pénales applicables à un fichier clients illicite


Les pouvoirs de contrôle et de sanction de la CNIL  
La CNIL dispose de pouvoirs de contrôle et de sanction à l'encontre des responsables de traitements qui auraient constitué un fichier de données clients en violation des dispositions de la loi Informatique et Libertés. La CNIL peut prononcer un avertissement ou mettre le responsable du traitement en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Si le responsable du traitement ne se conforme pas à la mise en demeure, la CNIL peut alors prononcer une sanction pécuniaire d'un montant maximum de 300 000 € et/ou l’injonction de cesser le traitement.

Les sanctions pénales  
La CNIL peut également décider de dénoncer les infractions constatées au procureur de la République. Les manquements à la loi Informatique et Libertés sont sévèrement réprimés par des   sanctions pénales, se déclinant comme suit :
- le fait de procéder, y compris par négligence, à un traitement de données personnelles sans respecter les formalités préalables de déclaration est puni de 5 ans d’emprisonnement et 300.000€ d’amende ;
- le fait de procéder à un traitement de données personnelles malgré l'opposition de la personne concernée est puni de 5 ans d’emprisonnement et 300.000€ d’amende ; et
- le fait de procéder à de la prospection directe sans obtenir le consentement préalable du destinataire du message publicitaire est puni d'une amende de 750€ par message irrégulièrement expédié ; cette amende peut-être portée au quintuple pour les personnes morales (soit 3.750€ par message). (4)

    2.2 La nullité de la vente d’un fichier clients illicite

La Cour de cassation, dans un arrêt du 25 juin 2013, vient de se prononcer sur la licéité de la vente d’un fichier clients informatisé, non déclaré à la CNIL. Dans cet arrêt, la Cour a retenu que, dans la mesure où un fichier non déclaré est illicite, ce fichier doit être considéré comme étant hors commerce. Il ne peut donc faire l'objet d'un contrat et donc d'une vente. La sanction de l'illicéité étant la nullité, ceci implique pour le vendeur d'un fichier non-déclaré l'obligation de rembourser à l'acheteur le prix de la vente, son fichier étant sans valeur juridique ni commerciale.
Dans cette affaire, deux associés d'une société avaient décidé de céder certains éléments de leur fonds de commerce de vente de vins aux particuliers, dont un fichier clients. Ce fichier comprenait près de 6.000 contacts clients. Le prix de la cession était fixé à 46 000 €.
L'acquéreur, ayant découvert que le fichier n'avait pas été déclaré à la CNIL, a assigné les vendeurs en résolution de la vente, pour dol et pour non-conformité du fichier clients à la loi. Débouté en première instance, le vendeur a interjeté appel. La Cour d'appel de Rennes a rejeté les demandes de l'acquéreur du fichier. Si la Cour d'appel a relevé qu'un tel fichier clients devait effectivement faire l'objet d'une déclaration simplifiée, et qu'en l'espèce le fichier n’avait pas été déclaré, la loi n'avait cependant pas prévu de sanctionner l'absence d'une telle déclaration par la nullité du fichier.

L'acquéreur a finalement obtenu gain de cause devant la cour suprême. La Cour de cassation a fondé sa décision sur :
- l'article 22 de la Loi Informatique et Libertés qui dispose que : "(...) les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés", et
- l'article 1128 du Code civil qui dispose que : "Il n'y a que les choses qui sont dans le commerce qui puissent être l'objet des conventions". En d'autres termes, il ne peut y avoir de contrat valable que sur un objet licite.
La Cour a ainsi considéré que "tout fichier informatisé contenant des données à caractère personnel doit faire l'objet d'une déclaration auprès de la CNIL et que la vente d'un tel fichier qui, n'ayant pas été déclaré, n'est pas dans le commerce, a un objet illicite".
La Cour de cassation donne ainsi à la loi Informatique et Libertés une importance toute particulière : la valeur commerciale, ou patrimoniale, d'un fichier clients dépend de sa conformité à la réglementation sur la protection des données personnelles.  
Si cette jurisprudence ne concerne que le non-respect des formalités préalables, ce raisonnement de la Cour pourrait être étendu à toutes cessions de fichiers clients pour lesquels le vendeur n'aurait pas respecté les autres obligations légales, telle par exemple l’absence de consentement et d'information des personnes concernées.
Les bases de données entrent dans la valorisation patrimoniale des entreprises, au même titre que les contrats commerciaux, leur portefeuille de marques et autres actifs matériels et immatériels. Au-delà des sanctions administratives et pénales encourues en cas de base de données illicite, la conformité de la constitution des bases de données clients est désormais affirmée comme l’un des éléments à valider par le cessionnaire, dans le cadre d’une cession de droits par une entreprise, voire par les investisseurs en cas de prise de participation dans une opération d’augmentation de capital.

------------------------------------                                              

(1) Voir article "Bataille pour acquérir le fichier clients de Virgin", publié le 3 juillet 2013 sur http://www.lemonde.fr/.
(2) Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.
(3) Cass. com., 25 juin 2013, n°12-17.037
(4) Article 50 loi Informatique et Libertés ; Articles 226-16 et s., 131-13 et 131-41 du Code pénal et article R-10-1 du Code des Postes et des Communications Electroniques.

Chronique rédigée par Me Bénédicte DELEPORTE – Avocat, et Me Betty SFEZ – Avocat.

Autour du même sujet