Cession d’un fichier client à la lumière de la réglementation sur la protection des données personnelles : la clause d’autorisation de cession anticipée

Entre nullité et inopposabilité découlant de la violation des règles impératives sur la protection des données personnelles, l’opération de cession d’un fichier client peut se transformer en un véritable exercice d’équilibriste pour le praticien qui manquerait de vigilance ou de connaissance sur la matière. Sans constituer un palliatif à la mise en conformité réglementaire d’un responsable de traitement, la clause d’autorisation de cession anticipée d’un fichier client s’érige en standard contractuel facilitant sa transmission future à un tiers cessionnaire.

1. Bien qu’il soit plaisant de se prêter à un raccourci intellectuel en faisant d’une « clientèle » – qu’elle soit civile ou commerciale – et d’un « fichier client » les deux faces d’une même pièce ; céder l’une n’est aucunement céder l’autre.

Assurément, si la « clientèle » peut être définie comme l’« ensemble des relations d’affaires habituelles ou occasionnelles qui existent et seront susceptibles d’exister entre le public et un poste professionnel (…) dont ils constituent l’élément essentiel et qui généralement trouvent leurs sources dans des facteurs personnels et matériels conjugués »1, le « fichier client » quant à lui, revêt la forme d’un document/registre, physique ou numérique, au sein duquel est consigné l’ensemble des informations, utiles et pertinentes, relatives à cette même clientèle et faisant partie intégrante du patrimoine professionnel2.

La première constituerait donc le fond même de la notion dans sa dimension incorporelle, et le second sa matérialisation formelle.

Toutefois, ces objets juridiques – nonobstant leur équivoque parenté – revêtent tous deux une nature bien distincte. Cette différence de nature entraîne subséquemment l’application d’un régime spécifique relativement à leur cession3.

2. En effet, selon une jurisprudence constante en matière de cession de fichier client4, il a été jugé que, dès lors qu’un tel fichier n’est pas conforme à la réglementation d’ordre public sur la protection des données personnelles5, celui-ci se place de facto hors du commerce juridique6. L’instrumentum qui l’encadre est également entaché de nullité absolue pour cause d’« objet » illicite, devenu aujourd’hui le « contenu » (C. civ., art. 1128, 3°) depuis l’ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations.

Mais qu’entend-on réellement par « réglementation sur la protection des données personnelles » ?

3. Naguère, la tenue d’un fichier client par une entreprise individuelle ou une société, ès-qualités de responsable de traitement ou de sous-traitant, était conditionnée au formalisme de la déclaration préalable7 auprès de la Commission nationale de l’informatique et des libertés (CNIL).

Aujourd’hui, le régime de la protection des données à caractère personnel a été considérablement renforcé par l’entrée en application le 25 mai 2018 du règlement général européen sur la protection des données (RGPD) du 27 avril 20168, en passant d’un régime administratif de formalités préalables à un régime de conformité globale susceptible de contrôles inopinés et pluriels par les agents de la CNIL, auxquels s’ajoute le spectre de lourdes sanctions pécuniaires à l’encontre des responsables de traitement et des sous-traitants, pouvant aller jusqu’à 20 millions d’euros d’amende ou jusqu’à 4 % du chiffre d’affaires annuel mondial total du précédent exercice social9 (RGPD, art. 83.4 et RGPD, art. 83.5) selon la nature de la violation à la réglementation commise par ces derniers.

Ce régime de conformité globale impose notamment, et sans que cela ne constitue une liste exhaustive, l’obtention obligatoire du consentement des personnes concernées par le traitement de leurs données à caractère personnel et l’administration de la preuve d’un tel recueil sur simple requis de la CNIL (RGPD, art. 6 et RGPD, art. 7) ; la tenue d’un registre réglementaire des activités de traitement (pour le responsable du traitement) ou d’un registre règlementaire du sous-traitant (en cas de traitement de données personnelles pour le compte d’un client responsable de traitement) (RGPD, art. 30) ; la tenue d’un registre réglementaire des violations de données (RGPD, art. 33.5) ; la mise en œuvre de mesures techniques et organisationnelles destinées à garantir la sécurité et la confidentialité des données (RGPD, art. 32) ; etc.

4. De là, préalablement à toute opération de cession d’un fichier client, il appartient au minimum à la partie cédante de se poser trois questions essentielles :

• Mon entreprise individuelle ou ma société a-t-elle bien recueilli le consentement de l’ensemble de sa clientèle dite « active »10 pour le traitement des données personnelles y afférentes ?

• Mon entreprise individuelle ou ma société tient-elle à jour ses registres réglementaires ?

• Mes conditions générales/mon contrat/mon devis/mon bon de commande, comportent-ils une clause d’autorisation anticipée de cession des données personnelles ?

En effet, recueillir le consentement des intéressés pour le traitement de leurs données n’est pas recueillir leur consentement exprès au transfert de ces mêmes données.

5. Ainsi donc, la réponse à cette dernière question est de taille puisque, sans autorisation de cession des données personnelles par la personne physique concernée, ni même une notification dudit transfert à son attention, toute cession du fichier-clients serait de jure illicite, si ce n’est inopposable à celle-ci11 ; d’où la présente proposition de clause d’autorisation de cession anticipée pour éviter pareils écueils.

Cependant, une telle formule ne saurait aucunement dispenser le cédant des obligations réglementaires qui pèsent sur sa personne en qualité de responsable de traitement.