CONTRAT: Illicéité de la vente d’un fichier client non déclaré à la CNIL


Tout fichier informatisé contenant des données à caractère personnel doit faire l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés (CNIL). La vente par une société d’un tel fichier qui, n’ayant pas été déclaré, n’était pas dans le commerce, a un objet illicite.

Aujourd’hui, tout s’achète et tout se vend, dit la chanson. On croyait donc, du fait d’une jurisprudence particulièrement permissive, que la catégorie des choses hors du commerce, c’est-à-dire de celles qui sont insusceptibles de faire l’objet de conventions, pour des raisons qui tiennent à la protection de l’ordre public et des bonnes moeurs (F. Terré, P. Simler et Y. Lequette, Droit civil,. Les obligations, 10e éd., Dalloz, coll. « Précis », 2009, n° 274), était tombée en déshérence. Surtout depuis l’abandon, par souci de réalisme, du principe de la licéité de la cession des clientèles libérales. Pourtant, cette catégorie juridique renaît aujourd’hui de ses cendres, mais sur un fondement sur lequel on ne l’attendait probablement pas : celui de la protection des données personnelles. Certes, chose hors du commerce et personne ont toujours entretenu des rapports très étroits, mais la jurisprudence (tempérée par le législateur pour des nécessités thérapeutiques) s’est efforcée de limiter la catégorie des choses hors du commerce appliquée à la personne au corps humain et à ses parties (organes, sang, etc.). En l’occurrence, la Cour de cassation casse l’arrêt d’appel qui avait rejeté l’action en nullité de l’acheteur d’un fichier de clients informatisé qui avait omis, lors de la constitution de ce fichier, de déclarer celui-ci à la CNIL alors que l’article 22 de la loi n° 78-17 du 6 janvier 1978 informatique et liberté impose la déclaration de tout « traitement automatisé de données à caractère personnel ». Elle considère un tel fichier non déclaré comme une chose hors du commerce, et d’annuler sa vente pour objet illicite. Le rattachement de la convention sur chose hors du commerce à l’illicéité de l’objet est une démarche assez classique en jurisprudence. Les juges d’appel, s’en tenant à une application étriquée de cet article, avaient, pour leur part, estimé que la nullité ne pouvait être prononcée, faute pour la loi de prévoir que l’absence d’une telle déclaration est sanctionnée par la nullité. C’est oublier que, en cas de transgression d’une norme d’ordre public, la nullité peut être prononcée par le juge si cette violation porte atteinte à un intérêt qu’il estime particulièrement important.

La solution peut paraître sévère, mais la Cour de cassation souhaite probablement distiller un message à caractère « politique » selon lequel, en substance, les données personnelles des individus doivent être utilisées avec précaution, dans le strict respect de la règlementation. Au-delà du cas d’espèce, elle se veut certainement un avertissement adressé à certains acteurs du commerce électronique, en particulier ce qu’il est convenu d’appeler les « géants de l’internet » (Facebook, Google, Amazon, etc.), qui sont des gigantesques machines à collecter des informations sur les internautes, informations dont l’usage manque singulièrement de transparence et ne paraît pas toujours respectueuses des libertés individuelles.

(Com. 25 juin 2013,n° 12-17.037)

Restez informé…souscrivez

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Sécurité * Time limit is exhausted. Please reload CAPTCHA.