Par une décision du 25 juin dernier[1], la Cour de cassation a jugé qu’un fichier de données à caractère personnel non déclaré à la CNIL avait un objet illicite et que sa vente devait donc être considérée comme « nulle », rappelant ainsi l’exigence de respect de la loi n° 78-17 du 6 janvier 1978 « relative à l’informatique, aux fichiers et aux libertés ».

 

A l’origine de cette décision, la cession par la société B-C, exploitant d’un fonds de commerce de vente de vins par correspondance, de son fichier de clientèle comprenant une liste d’environ 6000 clients.

 

Ayant découvert que ce fichier n’avait pas fait l’objet d’une déclaration à la CNIL, l’acheteur a assigné la société B-C en nullité de la vente.

 

Le Tribunal de Commerce de St Nazaire, puis la Cour d’appel de Rennes par un arrêt du 17 janvier 2012 l’avaient débouté de ses demandes en considérant notamment que l’absence de déclaration dudit fichier à la CNIL n’avait pas de conséquences sur sa cession et que la sanction de cette omission par la nullité du fichier n’était pas prévue par la loi.

 

La Cour de cassation vient casser et annuler l’arrêt de la Cour d’appel dans toutes ses dispositions en jugeant simplement que :

 

« tout fichier informatisé contenant des données à caractère personnel doit faire l’objet d’une déclaration auprès de la Cnil et que la vente par la société Bout-Chard d’un tel fichier qui, n’ayant pas été déclaré, n’était pas dans le commerce, avait un objet illicite, la cour d’appel a violé les textes susvisés ; »

 

Respectant la loi Informatique & Libertés précitée qui dispose qu’ « A l’exception de ceux qui relèvent des dispositions prévues aux articles 25, 26 et 27 ou qui sont visés au deuxième alinéa de l’article 36, les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés », les juges du droit font ici application du principe posé par l’article 1128 du Code civil selon lequel « Il n’y a que les choses qui sont dans le commerce qui puissent être l’objet des conventions ».

 

Les contrats ne peuvent pas porter sur des choses hors commerce et la Cour de cassation a considéré dans cette décision qu’un fichier contenant des données à caractère personnel non déclaré à la CNIL ne peut pas être « dans le commerce »,avec toutes les conséquences que la nullité entraîne concernant l’exploitation dudit fichier, notamment le remboursement par le vendeur de la totalité des sommes payées à l’acquéreur.

 

Néanmoins, la Loi Informatique & Libertés ne précise pas que le fichier de données personnelles non déclaré doit être considéré comme nul et comme ne pouvant faire l’objet d’une cession.

 

 

En conclusion :

 

  • Gardez à l’esprit qu’un fichier contenant des données à caractère personnel non déclaré à la CNIL n’a pas de valeur et ne peut donc, notamment, pas être vendu ;

 

  • Veillez attentivement à déclarer vos fichiers de données personnelles à la CNIL en conformité avec la Loi Informatique & Libertés, en particulier lorsque vous envisagez de les céder ;

 

  •  Assurez-vous, lors de la conclusion d’un contrat impliquant un tel fichier de données personnelles, que toutes les  obligations et formalités imposées par la Loi Informatique & Libertés ont été accomplies par votre co-contractant.
 

Claudia WEBER, Avocat Associée

Viola MOREL, Avocat

ITLAW Avocats

www.itlaw.fr


[1] Com. 25 juin 2013 n° 2013-013225

Nous contacter