Contrat et obligations – Illicéité de la vente d’un fichier client non déclaré à la CNIL

Com. 25 juin 2013, FS-P+B, n° 12-17.037

Aujourd’hui, tout s’achète et tout se vend, dit la chanson. On croyait donc, du fait d’une jurisprudence particulièrement permissive, que la catégorie des choses hors du commerce, c’est-à-dire de celles qui sont insusceptibles de faire l’objet de conventions, pour des raisons qui tiennent à la protection de l’ordre public et des bonnes mœurs (F. Terré, P. Simler et Y. Lequette, Droit civil,. Les obligations, 10^e éd., Dalloz, coll. « Précis », 2009, n° 274), était tombée en déshérence. Surtout depuis l’abandon, par souci de réalisme, du principe de la licéité de la cession des clientèles libérales. Pourtant, cette catégorie juridique renaît aujourd’hui de ses cendres, mais sur un fondement sur lequel on ne l’attendait probablement pas : celui de la protection des données personnelles. Certes, chose hors du commerce et personne ont toujours entretenu des rapports très étroits, mais la jurisprudence (tempérée par le législateur pour des nécessités thérapeutiques) s’est efforcée de limiter la catégorie des choses hors du commerce appliquée à la personne au corps humain et à ses parties (organes, sang, etc.).

En l’occurrence, la Cour de cassation casse l’arrêt d’appel qui avait rejeté l’action en nullité de l’acheteur d’un fichier de clients informatisé qui avait omis, lors de la constitution de ce fichier, de déclarer celui-ci à la CNIL alors que l’article 22 de la loi n° 78-17 du 6 janvier 1978 informatique et liberté impose la déclaration de tout « traitement automatisé de données à caractère personnel ». Elle considère un tel fichier non déclaré comme une chose hors du commerce, et d’annuler sa vente pour objet illicite. Le rattachement de la convention sur chose hors du commerce à l’illicéité de l’objet est une démarche assez classique en jurisprudence. Les juges d’appel, s’en tenant à une application étriquée de cet article, avaient, pour leur part, estimé que la nullité ne pouvait être prononcée, faute pour la loi de prévoir que l’absence d’une telle déclaration est sanctionnée par la nullité. C’est oublier que, en cas de transgression d’une norme d’ordre public, la nullité peut être prononcée par le juge si cette violation porte atteinte à un intérêt qu’il estime particulièrement important.

La solution peut paraître sévère, mais la Cour de cassation souhaite probablement distiller un message à caractère « politique » selon lequel, en substance, les données personnelles des individus doivent être utilisées avec précaution, dans le strict respect de la règlementation. Au-delà du cas d’espèce, elle se veut certainement un avertissement adressé à certains acteurs du commerce électronique, en particulier ce qu’il est convenu d’appeler les « géants de l’internet » (Facebook, Google, Amazon, etc.), qui sont des gigantesques machines à collecter des informations sur les internautes, informations dont l’usage manque singulièrement de transparence et ne paraît pas toujours respectueuses des libertés individuelles. Et pour en revenir au « fichier client » informatisé, il apparaît qu’une déclaration préalable est nécessaire pour pouvoir accomplir toute convention sur celui-ci, qu’il s’agisse, comme ici, d’une vente, mais aussi d’une location – c’est d’ailleurs là l’activité de certaines officines –, d’un prêt, d’un apport en société, voire même d’un nantissement. Il semble, en outre, que la déclaration doit être faite non seulement lors de la création du fichier, mais également lors de la vente de celui-ci (ou de toute autre opération) (V. l’art. 30-I-1° de la loi du 6 janv. 1978, qui impose de faire figurer dans la déclaration à la CNIL « l’identité et l’adresse du responsable du traitement ». Or, celui-ci a, par hypothèse, changé en cas de vente du fichier ; d’où l’exigence, à notre avis, d’une nouvelle déclaration). 

Auteur : Éditions Dalloz - Tous droits réservés.