Par un arrêt en date du 2 avril 2020, la Cour d’appel d’Amiens est venue rappeler que la validité de la vente d’un fichier de données à caractère personnel suppose que ce fichier ait fait l’objet des formalités préalables alors requises auprès de la Commission nationale de l’informatique et des libertés (« Cnil »).
Bien que cet arrêt concerne des faits antérieurs à l’entrée en application du règlement européen (UE)2016/67 9 du 27 avril 2016 dit « règlement général sur la protection des données » (« RGPD »), il constitue l’occasion de s’interroger sur la portée d’une telle décision à l’heure du RGPD et de faire le point sur les précautions à prendre dans le cadre de l’achat d’un fichier comportant des données à caractère personnel ayant vocation à être utilisées par l’acheteur, pour son propre compte, en particulier à des fins de prospection.
La nullité de la vente d’un fichier comportant des données à caractère personnel non déclaré auprès de la Cnil
Dans l’affaire soumise à l’appréciation de la Cour d’appel d’Amiens, un établissement d’éducation avait conclu en 2012 avec une société commerciale spécialisée dans la vente et l’achat d’espaces publicitaires, ainsi que dans la création de brochures et prospectus pour diverses clientèles, un contrat de partenariat en vue de l’installation dans l’établissement scolaire d’écrans plasma destinés à diffuser des messages pour les élèves, professeurs et parents d’élèves. En échange de la fourniture de ces écrans, l’établissement d’éducation s’était engagé à fournir à cette société une liste détaillée des parents d’élèves occupant des postes à responsabilités dans des entreprises industrielles et commerciales à des fins de prospection publicitaire. Suite à la rupture de ce contrat par l’établissement d’éducation le 23 avril 2015, la société commerciale a introduit une action en justice en arguant du caractère abusif de la rupture de ce contrat. C’est dans ce contexte que la Cour d’appel d’Amiens a été amenée à se prononcer sur la validité du contrat conclu, ainsi que l’y invitaient les conclusions transmises par l’établissement d’éducation.
A cet égard, la Cour a considéré, sur le fondement de l’article 1128 du Code civil dans sa version applicable aux faits en cause, qui disposait alors qu’« il n’y a que les choses qui sont dans le commerce qui puissent être l’objet des conventions », et de l’article 22 de la loi n°78-17 relative à l’informatique, aux fichiers et aux libertés dans sa version applicable aux faits en cause, qui disposait alors que tout traitement ou utilisation de données personnelles, sauf dérogations, devait faire l’objet d’une déclaration préalable auprès de la Cnil, que l’un des éléments essentiels du contrat, à savoir un fichier de données à caractère personnel, étant hors commerce, le contrat devait être considéré en son entier comme hors du commerce et comme ayant un objet illicite (Cour d’appel d’Amiens, 1ère chambre civile, 2 Avril 2020, n°18/03630).
En l’espèce, la Cour a relevé que, en vertu de la délibération n° 2012-184 du 7 juin 2012 élaboré par la Cnil, les établissements d’éducation pouvaient bénéficier d’une dispense en matière de traitement informatique ayant pour finalité l’édition des listes de parents d’élève. Toutefois, ils ne pouvaient s’en prévaloir que dans le cadre de finalités et à destination de destinataires limitativement énumérés dans ladite dispense. Aussi, aucune autre donnée à caractère personnel relative aux élèves ne pouvait être communiquée à des tiers sans l’accord écrit de l’un de leurs responsables légaux ou des élèves concernés eux-mêmes. Or, en l’espèce, aucune déclaration auprès de la Cnil n’avait été réalisée par l’établissement d’éducation et des données avaient été communiquées à une société commerciale souhaitant les utiliser à des fins de prospection publicitaire, sans qu’aucun accord des personnes concernées en ce sens n’ai été recueilli.
Ainsi, la Cour a considéré que le fichier transmis à la société commerciale n’ayant pas été déclaré à la Cnil, il ne pouvait dès lors se trouver dans le commerce, si bien que, dès lors que la fourniture de ce fichier était un des éléments essentiels du contrat, ce contrat devait être considéré comme nul, en raison de l’illicéité de son objet, et ce alors même que la réglementation telle qu’applicable aux faits en cause ne prévoyait en tant que telle la nullité ou l’illicéité du fichier en cas de non-respect de cette formalité auprès de la Cnil.
Un tel raisonnement n’est pas nouveau en jurisprudence. En effet, la Cour de cassation avait déjà pu considérer, au sujet d’un fichier clients transmis, que le fichier non déclaré à la CNIL par un vendeur était une chose hors du commerce et que, par conséquent, la vente d’un tel fichier qui avait un objet illicite devait être considérée comme nulle (Cass. com., 25 juin 2013, n° 12-17037).
La fourniture de fichiers comportant des données à caractère personnel depuis l’entrée en application du RGPD
Il est intéressant de s’interroger sur la portée actuelle des décisions précitées en matière de vente de fichiers comportant des données à caractère personnel, alors que l’entrée en application du RGPD et les nouvelles dispositions françaises en matière de protection des données à caractère personnel n’imposent plus, dans la majorité des cas, que les traitements de telles données soient déclarés auprès de la Cnil, et ce d’autant plus que l’article 1128 du Code civil qui disposait qu’ « il n’y a que les choses qui sont dans le commerce qui puissent être l’objet des conventions » a été abrogé lors de la réforme du droit des contrats, du régime général et de la preuve des obligations (Ordonnance n° 2016-131 du 10 février 2016).
A cet égard, il convient de relever que si le Code civil a fait l’objet d’une refonte en profondeur, les principes applicables en matière de validité des contrats n’ont pas été totalement abandonnés puisque les articles 1128 et 1162 du Code civil, tels qu’en vigueur à ce jour, prévoient respectivement que « Sont nécessaires à la validité d’un contrat : 1° Le consentement des parties ; 2° Leur capacité de contracter ; 3° Un contenu licite et certain » et que « Le contrat ne peut déroger à l’ordre public ni par ses stipulations, ni par son but, que ce dernier ait été connu ou non par toutes les parties ». Il en résulte que, pour qu’un contrat soit valide, il doit porter sur un contenu, et donc un objet, licite.
Par ailleurs, une des importantes nouveautés issues du RGPD, entré en application le 25 mai 2018, réside dans la disparition de l’obligation de réaliser des formalités préalables auprès de la Cnil dans la majorité des situations. La logique des formalités préalables a été remplacée par celle de la responsabilisation des acteurs. Ainsi, en contrepartie de la suppression de certaines formalités, les responsables de traitement et sous-traitants doivent être en mesure de démontrer, à tout moment, leur conformité à la réglementation applicable en matière de protection des données à caractère personnel en traçant toutes les démarches entreprises (cf. principe d’« accountability »).
Ainsi, en l’absence d’obligation des responsables de traitement de réaliser des formalités auprès de la Cnil, les solutions issues des décisions susvisées pourraient être considérées comme n’étant pas adaptées ou transposables aux situations couvertes par la réglementation actuellement en vigueur. Pour autant, il convient de faire preuve de prudence et de vigilance dans la mesure où il pourrait être considéré que d’autres manquements de la part d’un responsable de traitement à la réglementation applicable en matière de protection des données à caractère personnel (défaut d’information des personnes concernées, absence de recueil du consentement le cas échéant, absence de tenue d’un registre des activités de traitement,…) pourraient entacher d’illicéité un fichier comportant des données à caractère personnel transmis par ses soins à un tiers, et ainsi rendre un contrat nul si la communication d’un tel fichier constitue un des éléments essentiels du contrat conclu entre le responsable de traitement et le tiers destinataire du fichier.
Précautions contractuelles en matière d’achat de fichier
En tout état de cause, il est recommandé à tout organisme souhaitant acquérir des fichiers de données à caractère personnel auprès d’un tiers de s’assurer auprès dudit tiers « fournisseur du fichier » (et de se faire garantir contractuellement par ce dernier) que (i) la collecte et le traitement des données des personnes concernées ont été effectuées de manière loyale et licite (information des personnes concernées, voire consentement le cas échéant en fonction des utilisations envisagées et des situations particulières pouvant être rencontrées, respect des droits des personnes concernées, respect des principes directeurs en matière de protection des données à caractère personnel) et que (ii) les données peuvent être licitement réutilisées par l’organisme destinataire pour les finalités souhaitées par ce dernier.
Aussi, tout contrat d’achat d’un fichier de données à caractère personnel conclu avec un “fournisseur de fichier” doit notamment comporter :
- une garantie de la part du fournisseur du fichier s’agissant de la titularité de l’intégralité des droits sur le fichier;
- une garantie de la part du fournisseur du fichier portant sur le fait que le fichier est constitué, mis à jour et utilisé conformément à la réglementation applicable, et qu’il ne comporte pas d’éléments qui sont susceptibles d’engager la responsabilité de l’organisme destinataire à l’égard des tiers ;
- une garantie de la part du fournisseur du fichier en matière de protection des données à caractère personnel (information voire recueil du consentement des personnes concernées dans les hypothèses où un tel consentement est nécessaire, répercussions des demandes d’exercice des droits des personnes concernées,…) ;
- une garantie de la part du fournisseur du fichier relative à la possibilité pour l’organisme destinataire d’utiliser les données pour les finalités envisagées par cette dernière (notamment prospection le cas échéant, et ce d’autant plus par exemple que la Cnil exige que les personnes concernées aient donné leur consentement avant toute transmission de leurs données à des partenaires à des fins de prospection par courrier électronique) ;
- une garantie de jouissance paisible et/ou d’indemnisation contre toute action de toute personne invoquant notamment une violation de la réglementation applicable en matière de protection des données à caractère personnel ou des dispositions applicables en matière de prospection, et plus généralement contre toute action qui pourrait être intentée par une personne et qui serait liée, directement ou indirectement, au non-respect par le fournisseur du fichier de ses engagements en matière de fourniture du fichier, et plus généralement de ses obligations légales et/ou réglementaires.
* *
*
Le pôle IT & Data protection d’Agil’IT accompagne ses clients dans le cadre de l’analyse de la licéité des opérations envisagées (cf. analyse de la licéité des fichiers concernés notamment), de la rédaction et de la négociation de contrats d’achat de fichiers ou de tout accord contractuel portant, en tout ou partie, sur des opérations de traitement de données à caractère personnel. Notre pôle assiste également ses clients dans le cadre de leurs démarches de mise (ou de maintien) en conformité au regard de la réglementation applicable en matière de protection des données à caractère personnel.
Par AGIL’IT – Pôle IT, Data protection & Télécoms
Laure LANDES-GRONOWSKI, Avocate associée
Marie MILIOTIS, Avocate