La vente et la location de fichiers de données à caractère personnel à l’ère du règlement général européen sur la protection des données personnelles

Publié le 19/10/2020 - mis à jour le 20/10/2020 à 10H23

La clientèle constitue l’élément essentiel du fonds de commerce. L’acquisition ou la location de fichiers de clientèle ou de prospects constitue aujourd’hui un moyen essentiel pour la conservation ou le développement d’un fonds de commerce. Toutefois, la nature particulière des données personnelles contenues dans les fichiers, objet de contrat, engendre de nombreuses obligations à la charge des parties et des droits au profit des personnes concernées, donnant un caractère sui generis aux contrats de vente ou de location de fichiers de données personnelles.

L’ère du Big Brother1 effrayant incarné par l’État est de retour à la faveur de la montée en puissance du terrorisme. Mais il n’y a plus qu’un Big Brother, des milliers de little brothers2 chaque jour traitent nos informations personnelles acquises loyalement ou non. Ces informations, nos données personnelles, sont devenues la matière première d’un modèle économique qui génère des milliards de dollars par an et semble étendre désormais ses tentacules dans divers secteurs d’activité, même les plus insoupçonnables.

Le développement des technologies de l’information et de la communication, en multipliant les moyens de captation et de partage des informations, a jeté les bases d’une exploitation intense et incontrôlée des données personnelles souvent au mépris des droits de l’Homme. « Les fossoyeurs potentiels des droits de l’Homme sont entre autres les instruments numériques et plus particulièrement ceux issus du web 2.0. Ce web contributif ou communautaire est construit sur les échanges des internautes qui deviennent les acteurs du réseau »3. Chaque acteur du réseau y expose ses goûts, ses envies, ses photos, ses moments les plus fantastiques au point de frôler le narcissisme. Il s’agit d’une « digitalisation de la vie »4, « une numérisation de toutes leurs activités sur la toile »5. Le numérique a désormais envahi notre sphère, qu’elle soit privée ou professionnelle. « Il ne s’agit pas seulement d’internet. Il s’agit de la dématérialisation progressive de toutes les activités humaines qui s’étend désormais du monde physique au monde virtuel ; l’individu passe de l’un à l’autre souvent même sans s’en apercevoir et “la donnée” est au cœur de ce monde sans couture »6.

Ainsi que l’on soit retraité, salarié ou étudiant, pour le travail comme pour le loisir, il devient difficile d’échapper à l’utilisation des ordinateurs reliés à internet, des téléphones portables7 et de ne pas y laisser des informations personnelles. La somme de ces informations stockées par les ordinateurs des entreprises, des administrations et des opérateurs de réseaux atteint des niveaux inégalés8. Les réseaux sociaux apparus avec le web 2.0 sont les plus grands détenteurs de données personnelles au monde.

Toute stratégie d’entreprise doit placer la connaissance du client au cœur de ses activités, au point même de constituer parfois le principal actif de l’entreprise. Les données personnelles s’achètent, se louent ou se vendent9. Pour les entreprises, notamment celles ayant une activité de nature commerciale, il est devenu indispensable d’établir des fichiers de données relatifs à la clientèle. Sans clientèle, il n’y a pas de fonds de commerce10. L’existence d’une clientèle est, pour la Cour de cassation française, le critère déterminant la date de création d’un fonds de commerce. L’établissement de fichiers de clients permet, dans le cadre de la conservation du fonds de commerce, de garantir la fidélité de ces derniers par une communication assidue se traduisant généralement par l’envoi d’offres promotionnelles, l’organisation de jeux ou encore l’envoi périodique de newsletters. La focalisation du fonds de commerce sur la clientèle conduirait aujourd’hui à réduire sa cession à la vente des seuls fichiers de clientèle. Néanmoins, elle ne saurait se réduire à cette seule vente. La prospection de la clientèle, que rend également nécessaire la conservation des fonds de commerce, a permis, en dehors de la vente, le développement des opérations de location de fichiers de prospects.

L’intensification des croisements entre l’utilisation des données et le droit des contrats soulève nécessairement la question du respect de la protection dédiée aux données personnelles. La Cour de cassation avait déjà, sous l’empire de la directive européenne n° 95/46/CE, sur la protection des données personnelles, et de la loi n° 78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés modifiée, considéré que « tout fichier informatisé contenant des données à caractère personnel doit faire l’objet d’une déclaration auprès de la Cnil et que la vente par [une société] d’un tel fichier qui, n’ayant pas été déclaré, n’était pas dans le commerce, avait un objet illicite »11. Le règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), supprime les obligations de déclaration préalable incombant aux responsables du traitement, mais renforce les droits des personnes concernées par les données. Si le nouveau cadre réglementaire semble induire une certaine libéralisation des contrats de vente ou de location portant sur les données par la suppression des obligations de déclaration préalable, le renforcement des droits des personnes concernées bride davantage la liberté contractuelle des parties à de tels contrats. Cette nouvelle source du droit des contrats donne un caractère sui generis à la conclusion (I) et à l’exécution des contrats de vente ou de location des fichiers de données personnelles (II).

I – La conclusion des contrats de vente ou de location des fichiers de données personnelles

Créer un fichier comportant des données à caractère personnel est un acte qui engendre un grand nombre de risques pour la protection de la vie privée des personnes concernées. Il y a même « un danger potentiel dans l’existence de ces fichiers ». Le rattachement intrinsèque des données à la personne questionne sur la commercialité de celles-ci malgré le commerce qui s’est développé autour d’elles (A). Cette considération justifie le fait que le seul consentement des parties soit insuffisant pour parfaire les contrats portant sur les fichiers de données personnelles (B).

A – Les données personnelles : des biens dans le commerce ?

Traditionnellement sont exclus du commerce le corps humain et ses éléments en raison du caractère « sacré » de la personne. La personne humaine n’étant pas une chose, du moins depuis l’abolition de l’esclavage, elle ne peut donc être vendue, louée ou prêtée12. Cette incessibilité de la personne humaine et de ses éléments a été étendue aux droits de la personnalité considérés comme inaliénables et imprescriptibles. En effet, Alphonse Boistel écrivait à propos des droits de la personnalité qu’il existe des « droits que l’Homme apporte en naissant »13. La spécificité des droits de la personnalité résulte du fait qu’ils sont « attachés à la personne du sujet (ils s’éteignent avec la mort dudit sujet) ce qui leur confère un caractère ‘‘sacré’’ interdisant d’en faire commerce »14. Aujourd’hui, l’extra-patrimonialité des éléments du corps humain et des droits de la personnalité n’est plus absolue. Une partie des droits de la personnalité telle que le droit à l’image avait déjà perdu de son extra-patrimonialité avant que le législateur n’admette la possibilité d’une cession et d’une utilisation des produits du corps humain15 avec de nombreux garde-fous.

La commercialité des données personnelles peut choquer certains juristes dans la mesure où les données personnelles sont composées d’éléments ayant trait à la vie privée, donc aux droits de la personnalité. Même si le droit à l’image était tombé dans le marché économique avec la possibilité pour les célébrités de monnayer la reproduction de leurs traits, le reste des droits avait conservé une extra-patrimonialité. Mais ne pouvait-on pas déjà prédire la fin de cette extra-patrimonialité ? Il reste toutefois difficile pour beaucoup de Français d’imaginer par exemple que leurs noms puissent faire l’objet de contrats16. Cela explique d’ailleurs la différence de vision entre les États-Unis et les États européens sur l’étendue de la protection à accorder aux données.

L’ancien article 1128 du Code civil précisait qu’« il n’y a que les choses qui sont dans le commerce qui puissent être l’objet des conventions ». Si cette disposition est, aujourd’hui, remplacée par une prohibition plus générale des contrats dont le contenu déroge à l’ordre public, les solutions jurisprudentielles dégagées demeurent applicables. L’exclusion d’un élément du commerce juridique est l’expression d’un choix social. Celle-ci peut résulter premièrement du rejet d’une valeur marchande de l’élément concerné, c’est-à-dire de son évaluation en argent. Il peut s’agir en second lieu du fait que l’élément concerné ne peut être qualifié de bien. Il est insusceptible d’appropriation. Sont classiquement rangés dans cette catégorie la personne et ses éléments. Si l’on considère que les données personnelles dérivent de la personne et participent à la personnalité des individus fichés, elles devraient être écartées de tout circuit marchand à titre onéreux. Bien que leur valeur marchande en fait l’or du numérique, il n’existe ni dans le droit de l’Union ni dans le droit interne un droit de propriété sur les données17. Elles ne relèvent ni du statut des produits ni de celui des services, mais, du point de vue de leur circulation, on leur applique le même régime18. Exclure ces données du commerce juridique serait néanmoins contraire à la circulation des données telle qu’envisagée par le droit européen.

À « l’état brut », les données personnelles sont hors du commerce. Le principe de l’indisponibilité de l’état des personnes affirmé par la Cour de cassation française s’oppose à toute transaction sur les éléments de l’état civil19. Serait, par exemple, nul un contrat par lequel une personne physique vendrait son nom de famille. Selon les articles 10 du RGPD et 46 de la loi Informatique et libertés modifiée, les données personnelles relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes ne peuvent en aucun cas entrer dans le circuit marchand20. Pour que les autres types de données personnelles puissent entrer dans le commerce juridique, elles doivent figurer dans un fichier papier ou électronique – c’est-à-dire tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés21 – et le responsable du traitement doit dès la collecte des données et pendant la phase précontractuelle se soumettre à un ensemble d’obligations.

B – L’insuffisance de l’accord de consentement des parties au contrat

Depuis le droit romain, la distinction est faite entre les contrats qui se forment par le seul accord des parties, appelés contrats consensuels, et les contrats qui exigent l’accomplissement de formalités ad validitatem pour pouvoir engager les parties. La vente et le bail sont des contrats consensuels qui se forment dès lors qu’il y a accord entre les parties sur les éléments du contrat. Même consensuelle, la conclusion de ces contrats peut nécessiter l’accomplissement de formalités préalables. En matière de vente, en cas d’existence de droit de préemption, le propriétaire peut être tenu de procéder à une déclaration d’intention d’aliéner. Il en est de même en cas d’existence de pacte de préférence où « le tiers peut demander par écrit au bénéficiaire de confirmer dans un délai qu’il fixe et qui est raisonnable, l’existence d’un pacte de préférence et s’il entend s’en prévaloir »22.

La vente ou le bail de fichiers de données personnelles met en rapport trois parties même s’il n’y a que deux parties au contrat : le responsable du traitement des données partie au contrat, le tiers cocontractant et les personnes concernées par les données, tiers au contrat. Si le consentement des cocontractants est nécessaire à la formation du contrat, le consentement des personnes concernées est nécessaire pour que les fichiers de données puissent devenir objet du contrat. En matière de protection des données à caractère personnel, le consentement est associé à l’idée que la personne protégée doit pouvoir contrôler l’utilisation qui est faite de ses données23. Le responsable du traitement doit obtenir un consentement spécifique à la vente ou à la location des données. La simple acceptation des conditions générales dans lesquelles figure la possibilité de la vente ou de la location est insuffisante24. Tout comme une clause attributive de compétence ou une clause compromissoire doit faire l’objet d’un consentement spécifique25, ainsi en est-il de la clause par laquelle le responsable du traitement prévoit la vente ou la location des données. La Cour de justice de l’Union européenne en a déduit que « dès lors que l’abonné a été correctement informé de la possible transmission des données à caractère personnel le concernant à une entreprise tierce (…) la transmission de ces données n’exige pas de nouveau consentement de la part de l’abonné, s’il est garanti que les données concernées ne seront pas utilisées à des fins autres que celles pour lesquelles elles ont été collectées en vue de leur première publication »26.

Selon le considérant 33 du RGPD, le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, éclairée et univoque son accord à la vente ou à la location des données personnelles la concernant. Par exemple, au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. L’existence d’un consentement libre n’est valable « que si la personne concernée est véritablement en mesure d’exercer un choix et s’il n’y a pas de risque de tromperie, d’intimidation, de coercition ou de conséquences négatives importantes si elle ne donne pas son consentement »27 à la cession de ses données. Pour le groupe de travail de l’article 29, devenu le Comité européen de la protection des données, « si les conséquences du consentement sapent la liberté de choix des personnes, il n’y a pas de consentement libre »28. Cette conception, s’identifiant à la considération civiliste de la liberté du consentement, va au-delà en prenant en compte l’état de nécessité sans condition particulière29. Par exemple, lorsque des produits ou des services suffisamment importants ne peuvent être obtenus par les consommateurs ou les clients qu’en communiquant leurs données personnelles et en acceptant leur vente ou location éventuelle à des tiers, leur consentement ne peut être considéré comme une décision libre, et, par conséquent, n’est pas valable. Il en est de même lorsque la personne concernée est sous l’influence ou la dépendance du responsable du traitement. Toutefois, cela ne signifie pas que la liberté du consentement sera exclue chaque fois qu’il existe des conséquences négatives en cas de refus. En outre, des éléments contextuels peuvent également influencer le consentement de la personne concernée. Il peut s’agir d’éléments de nature financière, affective ou pratique tels que la volonté de rencontrer à tout prix une âme sœur. La liberté de consentir à la vente ou au bail suppose la liberté de retirer son consentement.

Cette liberté de consentement suppose que le consentement soit informé. La personne concernée doit donc être suffisamment informée avant de prendre sa décision. La langue d’information doit être adaptée aux personnes concernées et, lorsqu’elles sont fournies en ligne, l’accessibilité et la visibilité des informations doivent être garanties. Si la décision de céder les données est prise « en aval » c’est-à-dire en cas de changement de finalité autre que celle déclarée à la personne concernée, celle-ci doit en être informée en des termes clairs afin de pouvoir accorder un consentement valable. La finalité de l’acquisition ou de la location doit être prévue dans le contrat et communiquée aux personnes concernées de façon intelligible, en des termes clairs et précis. Intégré dans le contrat, le respect de la finalité du traitement des données devient également une obligation contractuelle dont le manquement peut être sanctionné par la résolution du contrat. Selon la Commission européenne, « une description générale ou vague de l’objet du traitement n’est pas conforme au principe de la définition de la finalité »30. L’acquisition ou la location de fichiers de données sans finalité déterminée ou avec une finalité trop large est par conséquent illicite.

Contrairement au droit civil, dans le droit de la protection des données à caractère personnel la summa divisio entre vices de consentement et absence totale de consentement n’existe pas. Dès lors que le consentement accordé n’est pas libre, spécifique et informé, le responsable du traitement se trouve dans la même situation juridique que celui qui aurait manqué à l’obligation de recueillir le consentement préalable de la personne concernée. Il en est de même lorsque le consentement émane d’une personne juridiquement incapable. Le consentement nul de personnes frappées d’une incapacité juridique entraîne l’absence de base juridique pour la vente ou la location de leurs données. En cas de dommage subi par les personnes concernées résultant de l’absence de consentement à la vente ou à la location des données, la responsabilité civile du responsable du traitement pourra être engagée sur le fondement de l’article 82 du RGPD.

En outre, en cas de cession illicite des données, le cocontractant du responsable initial du traitement des données ne peut se fonder sur sa bonne foi pour s’opposer à la suppression des données. Dans ce cas, l’application de l’adage fraus omnia corrumpit l’emporte sur la bonne foi du cocontractant. D’ailleurs la nécessité de protéger le droit fondamental à la vie privée fait incliner la balance en faveur des personnes concernées. Il n’y a donc pas lieu de procéder à un contrôle de proportionnalité privatisé31. Le cocontractant devra se contenter d’introduire une action en nullité pour obtenir la restitution du prix d’achat des fichiers. S’il est locataire des fichiers, le responsable du traitement bailleur fautif devra lui restituer les loyers payés sans pouvoir exiger la restitution de la contrepartie en valeur de la jouissance des fichiers. Même si la jurisprudence admet cette restitution32, il est acquis, en droit positif, que le possesseur de bonne foi conserve les fruits qui découlent de l’exploitation du bien33. Il serait également possible pour le locataire d’invoquer la règle nemo auditur propriam suam turpitudinem allegans. L’acheteur comme le locataire de bonne foi peut, selon la Cour de cassation, « demander la condamnation de la partie fautive à réparer le préjudice qu’elle a subi en raison de la conclusion du contrat annulé »34.

Le mode de recueil du consentement doit le rendre vérifiable en vue de se ménager des preuves en cas de poursuites judiciaires pour avoir cédé des données sans le consentement des personnes concernées. Autant que faire se peut, le responsable du traitement doit établir et conserver des preuves écrites. Si les données sont recueillies dans le cadre d’un contrat ayant une valeur égale ou supérieure à 1 500 €, la preuve devra être rapportée par écrit sauf en cas de convention sur la preuve entre les parties ou en présence d’un commencement de preuve par écrit, ou encore si la personne concernée a agi en qualité de commerçant. Lorsque les données sont recueillies en dehors de tout contrat, la preuve du consentement peut être rapportée par tout moyen admis par la loi. Si le consentement des personnes concernées apparaît ainsi comme une condition sine qua non à la conclusion des contrats portant sur leurs données, le RGPD leur reconnaît des prérogatives permettant de remettre en cause les contrats conclus.

II – L’exécution des contrats de vente ou de location des fichiers de données personnelles

L’exécution du contrat portant sur les fichiers de données doit prendre en compte l’exercice des droits des personnes concernées. Parler des droits d’un tiers dans le cadre d’un contrat auquel il n’est pas partie n’est pas sans rappeler des mécanismes bien connus dans le droit des contrats tels que la stipulation pour autrui35. Mais au-delà de la stipulation pour autrui, l’autonomie de la volonté des contractants ne joue aucun rôle dans ce cas, elle est même bridée par la loi. En effet ce ne sont pas les parties qui décident de conférer aux personnes concernées leurs droits, et la jouissance de ces droits n’est subordonnée à aucune acceptation de la part de celles-ci. De surcroît, les personnes concernées exercent leurs droits à la fois à l’encontre du responsable du traitement et de son cocontractant (A). On retrouve là un aspect du dirigisme contractuel justifié par la nécessité de protéger les données personnelles. À cela s’ajoutent les obligations des parties au contrat qui s’imposent à tout responsable de traitement (B).

A – L’inopposabilité du contrat à l’exercice des droits de la personne concernée

L’inopposabilité d’un contrat en droit commun est considérée comme la sanction d’une fraude commise par les parties ou du non-accomplissement d’une formalité destinée à donner plein effet au contrat. Elle vise à protéger les tiers. En cas d’inopposabilité, l’acte reste valable entre les parties, mais les tiers ont le droit de l’ignorer et de faire comme s’il n’y avait pas d’acte. La volonté de conférer aux personnes concernées le contrôle de leurs données conduit à reconnaître à leur égard une inopposabilité des contrats dont leurs données font l’objet. Mais celle-ci ne vaut qu’en raison du caractère d’ordre public des dispositions du RGPD et de la loi Informatique et libertés modifiée, et uniquement dans l’exercice des droits qui leur sont reconnus.

Le principe de disponibilité des données personnelles permettant qu’elles fassent l’objet de transactions fait naître à l’image du droit de suite un droit pour la personne concernée de suivre la circulation de ses données, quel que soit le contrat dont elles font l’objet. Le rattachement des données personnelles aux droits de la personnalité permet d’expliquer ce « droit de suite » qui se réalise dans le droit pour la personne concernée d’avoir accès à ses données. Le droit d’accès se définit comme étant la possibilité pour la personne concernée de consulter le dossier relatif à ses données personnelles et d’en obtenir une copie. Selon la déclaration des droits fondamentaux numériques rédigée par Hervé Morin, « toute personne a le droit d’être informée de l’existence des informations numériques la concernant ». Cette disposition, peut-être de lege feranda, tend à conférer au droit d’accès une plus grande portée sur le plan numérique. On retrouve là l’idée d’un droit à la transparence qui s’exprime par un droit à l’information où la personne concernée joue un rôle actif. Ce droit s’exerce à l’encontre de l’acheteur ou du locataire en fonction du type de contrat sans que celui-ci ne puisse être opposé. Comme pour la majorité des droits, il ne s’agit pas d’un droit absolu. L’acquéreur ou le locataire des fichiers a l’obligation de répondre aux demandes présentées par les personnes concernées dans un délai d’1 mois prorogeable de 2 mois en raison de la complexité et du nombre de demandes suivant leur réception. Cependant, si une demande ne comporte pas tous les éléments permettant à celui-ci de procéder aux opérations qui lui sont demandées ou si la demande est imprécise, il invite le demandeur par lettre remise contre signature ou par voie électronique à les lui fournir avant l’expiration du délai de 2 mois. L’exercice du droit d’accès est sans conséquence sur les relations contractuelles portant sur les données personnelles tant qu’il ne donne pas lieu à l’exercice du droit d’opposition ou du droit de portabilité des données.

Le droit d’opposition est le complément nécessaire de la possibilité reconnue aux personnes concernées de retirer leur consentement à une opération de vente ou de location de fichiers de données. L’opposition, qui intervient postérieurement au consentement, est sans effet si le contrat de vente a déjà été conclu et les fichiers livrés au cocontractant du responsable du traitement. Il en est de même si le contrat de bail est déjà en cours d’exécution. L’inefficacité de l’opposition n’empêche pas son auteur d’exercer son droit à la portabilité des données. Les parties au contrat de vente ou de location de fichiers de données ne peuvent faire échec au droit de portabilité des données par des stipulations contractuelles. De telles stipulations sont réputées non écrites même dans le silence de la loi. Selon l’article 20 du RGPD, c’est le droit pour les personnes concernées « de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et [elles] ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle ». La possibilité pour la personne concernée de retirer chez un responsable du traitement ses données personnelles et de les confier à un autre n’est soumise à la démonstration d’aucun motif légitime comme dans le cadre du droit d’opposition36. Au-delà d’une inopposabilité des contrats portant sur les données, l’exercice du droit de portabilité par les personnes concernées est de nature à mettre un terme aux relations contractuelles entre les parties dans le cadre de la location ou à ôter tout intérêt à l’opération d’achat des fichiers. Pour les contrats à exécution instantanée tels que la vente et l’échange, la connaissance et l’acceptation du risque inhérent à la transaction devraient conduire à écarter la garantie contre l’éviction. L’insécurité juridique est si grande que cela risque de décourager les éventuels contractants. Il est donc justifié que le projet de règlement ait entraîné une levée de boucliers de la part des acteurs du secteur économique et notamment des géants du net qui « vivent des données personnelles ».

Ainsi les personnes concernées peuvent veiller à l’intégrité de leurs données sans que leur soit opposé le contrat, et de façon incidente, dans l’exercice de certains droits qui leur sont reconnus, mettre fin aux relations contractuelles.

B – Les obligations du responsable ou des coresponsables du traitement

L’exécution du contrat portant sur les fichiers de données ne doit pas conduire à une gestion moins protectrice des données personnelles contenues dans les fichiers. Même si les personnes concernées ont consenti à la vente ou au louage des fichiers à des tiers, elles n’ont pas consenti à une atteinte à leur vie privée. Les dispositions du RGPD et de la loi Informatique et libertés modifiée étant d’ordre public, les parties ne peuvent les écarter par des stipulations contractuelles. Les clauses du contrat devront alors tenir compte de la nature particulière du bien objet du contrat. Les parties doivent apporter toutes les garanties nécessaires à leur protection telles que la garantie du droit à l’oubli, la sécurité des données et le respect de la finalité du traitement. Si, dans la vente, cette obligation est transférée à l’acquéreur nouveau responsable de traitement des données, dans le louage, le locataire, devenu coresponsable du traitement, est tenu de cette obligation au même titre que le bailleur. Ces deux parties au contrat de louage devront définir ensemble et de manière transparente leurs obligations respectives. Une formalisation de leur rôle respectif et des conditions d’exercice des droits des personnes concernées est recommandée par le RGPD.

Selon la Commission européenne, « les dangers qui menacent le droit à la vie privée de la personne concernée ne proviennent pas uniquement du responsable du traitement des données (…). Le droit à la vie privée de l’intéressé est également menacé si les données sont utilisées à d’autres fins par des tiers qui ne sont pas autorisés à avoir accès aux données et à les utiliser »37. Pour prévenir ce danger, l’article 32 du RGPD impose au responsable du traitement de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Il s’agit pour ce dernier de prendre toutes les précautions utiles – notamment celles prévues par l’article 32 du RGPD – au regard des risques présentés par le traitement pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Cette stricte obligation de sécurité s’applique que les fichiers acquis ou loués soient automatisés ou manuels. Elle présente un caractère préventif, mais les mesures prises par le responsable du traitement doivent évoluer en fonction de la mise en œuvre du traitement des données c’est-à-dire de la finalité pour laquelle les fichiers ont été loués ou acquis. Déjà, la Cnil dans sa délibération du 21 juillet 1981 précisait que les mesures de sécurité nécessaires doivent être prises avant « toute mise en œuvre d’une application informatique »38 destinée à traiter les données. Avant donc que le responsable du traitement ne communique les données à l’acquéreur ou au locataire, celui-ci doit avoir déjà adopté les mesures de sécurité requises. Les parties peuvent en principe prévoir une clause permettant au responsable initial du traitement de procéder à un contrôle des mesures de sécurité adoptées par l’acquéreur avant toute remise des fichiers de données.

L’acquéreur ou le locataire des fichiers de données se doit de respecter scrupuleusement la finalité du traitement prévue dans le contrat et portée à la connaissance des personnes concernées. En cas de détournement des données de la finalité déterminée par le contrat, le responsable initial du traitement peut demander la résolution du contrat. Cela est d’autant plus vrai dans le cadre de la location des fichiers de données où le locataire est tenu conformément à l’article 1728 du Code civil d’exploiter les fichiers suivant la destination prévue dans le contrat. Toutefois, l’article 5, § 1, b, du RGPD dispose que les données personnelles peuvent être traitées ultérieurement de manière non incompatible avec les finalités initialement définies. Pour déterminer cette compatibilité, le Comité européen de la protection des données propose deux méthodes à l’acquéreur des données. Il s’agit d’abord d’établir une comparaison entre les différentes finalités indiquées et de s’assurer que les finalités ultérieures sont couvertes explicitement ou implicitement39. La seconde méthode consiste en une évaluation technique. Il s’agit d’analyser contextuellement l’attente des personnes concernées sur la manière dont leurs données peuvent faire l’objet de traitements ultérieurs. Cette méthode est plus flexible et permet de prendre en compte les possibles évolutions des finalités initialement prévues. L’usage ultérieur des fichiers acquis pour d’autres finalités se heurtera le plus souvent au droit à l’oubli des personnes concernées40.

Les parties au contrat, notamment l’acquéreur, le bailleur et le locataire, doivent veiller au respect du droit à l’oubli des personnes concernées par les données contenues dans les fichiers. Le retrait du consentement ou l’exercice du droit d’opposition permet aux personnes concernées d’obtenir l’effacement de leurs données. Selon l’article 17, § 1, a, du RGPD, les personnes concernées peuvent également obtenir l’effacement de leurs données dès lors que celles-ci ne sont plus nécessaires au regard des finalités indiquées dans le contrat de vente ou de louage. Les parties devraient par conséquent prévoir dans le contrat une durée pour la conservation des données personnelles en tenant compte des finalités prévues. Il s’agit de fixer une sorte de date de péremption des données personnelles contenues dans les fichiers. Ainsi, même lorsque la durée de conservation des données n’a pas été déterminée dans le contrat, l’acquéreur a l’obligation de définir une durée de conservation à l’issue de laquelle les données seront archivées ou détruites41. La conséquence est donc que les données personnelles ne peuvent être conservées par le responsable du traitement de façon perpétuelle.

Les parties doivent respecter ces différentes obligations même lorsque les activités de l’acquéreur ou du locataire des fichiers, établi hors de l’Union européenne, visent à proposer des offres de biens ou de services ou à suivre le comportement de personnes situées sur le territoire de l’Union européenne. Le transfert des fichiers de données vers un tel pays d’établissement ne sera d’ailleurs possible qu’à la condition de l’existence d’une décision d’adéquation de la Commission européenne, de garanties appropriées ou encore de règles internes d’entreprises assurant une protection adéquate42.

Conclusion

Les parties au contrat sur les données ne doivent pas perdre de vue la nature particulière des fichiers de données qu’ils ont fait entrer dans le commerce. Le RGPD, en renforçant les droits des personnes concernées, vient affermir la précarité des contrats portant sur les données personnelles. Toutefois, les menaces portant sur ces contrats, telles que l’exercice du droit à la portabilité ou du droit à l’oubli, ne seront réelles que si cela concerne plusieurs personnes fichées. Malgré l’adage volonti non fit injuria, le consentement des personnes concernées à la vente ou au louage des fichiers de données ne suffit pas pour délier les parties des obligations qui incombent à tout responsable de traitement. En raison de la suppression des obligations de déclarations préalables, le contrôle du respect de ces obligations par la Cnil ou par le juge n’intervient qu’a posteriori, notamment en cas d’incident. Il est peut-être nécessaire, comme le soutient Pierre Storrer, qu’une législation commerciale (ou contractuelle) spécifique intervienne pour organiser les obligations des parties au contrat et les droits des personnes concernées afin d’assurer la prévisibilité et la transparence législative en la matière43.

Notes de bas de pages

  • 1.
    Orwell G., 1984, 1949, Gallimard.
  • 2.
    Intersinger M., Anonymat sur internet, 2013, Paris, Eyrolles, p. 21.
  • 3.
    Paller L., Les réseaux sociaux sur internet et le droit au respect de la vie privée, 2012, Bruxelles, Larcier, p. 15.
  • 4.
    Cassadin D. et Sadin E., « Big Brother n’existe pas, il est partout », Multitudes, 2010/1, p. 78.
  • 5.
    Paller L., Les réseaux sociaux sur internet et le droit au respect de la vie privée, 2012, Bruxelles, Larcier, p. 8.
  • 6.
    Falque-Pierrotin I., « Quelle protection européenne pour les données personnelles ? », Fondation Robert Schuman, Question d’Europe n° 250, 3 sept. 2012.
  • 7.
    Mattatia F., Traitement des données personnelles, 2013, Paris, Eyrolles, p. 3.
  • 8.
    Mattatia F., Traitement des données personnelles, 2013, Paris, Eyrolles, p. 3.
  • 9.
    Desgens-Pasanau G., La protection des données à caractère personnel : la loi Informatique et Libertés, 2012, Paris, LexisNexis, p. 5.
  • 10.
    Dekeuwer-Defossez F. et Blary-Clement E., Droit commercial. Actes de commerce, fonds de commerce, commerçant, concurrence, 12e éd., 2019, LGDJ, p. 308.
  • 11.
    Cass. com., 25 juin 2013, n° 12-17037 : Bull. civ. IV, n° 108.
  • 12.
    Terre F. et Simler P., Droit civil. Les biens, 2002, Paris, Précis Dalloz, p. 17.
  • 13.
    Boistel A., Philosophie du droit, 1889, Fontemoing A., t. I, nos 131 et s., cité in Yildirim G., L’autonomie financière dans la communauté de vie, 2001, Limoges, Pulim, p. 267.
  • 14.
    Hassler T., Le droit à l’image des personnes : entre droit de la personnalité et propriété intellectuelle, 2014, Strasbourg, LexisNexis, p. 1.
  • 15.
    Admis dans un premier temps pour les nécessités thérapeutiques en ce qui concerne le don du sang (voir la loi du 21 juillet 1952 devenue l’article L. 1221-1 du Code de la Santé publique), le prélèvement d’organes humains en vue de greffe (voir la loi du 22 décembre 1976 dite loi Cavaillet, devenue l’article L. 1231-1 du Code de la santé publique), l’admission du don de sperme (voir l’article 13 de la loi du 31 décembre 1991 devenu l’article L. 1244-1 du Code de la santé publique). Puis, avec la loi du 29 juillet 1994 (v. CSP, art. L. 1211-1 et s. et CSP, art. L. 1241-1 et s.), pour la cession et l’utilisation des produits du corps humain y compris les embryons.
  • 16.
    http://www.lefigaro.fr/secteur/high-tech/2014/09/26/01007-20140926ARTFIG00032-les-francais-prets-a-monnayer-leurs-donnees-personnelles.php.
  • 17.
    Bensoussan A., Informatique et libertés, 2008, Paris, Francis Lefebvre, p. 280.
  • 18.
    Fenoll-Trousseau M.-P. et Hass G., Internet et protection des données personnelles, 2000, Paris, Litec, p. 5.
  • 19.
    Cass. 1re civ., 16 déc. 1975, n° 73-10615 : Bull. civ., I, n° 374.
  • 20.
    Elles ne peuvent faire l’objet de traitement direct ou indirect sauf dérogations légales. L’objectif visé est d’empêcher la constitution de casiers judiciaires privés tant en matière pénale que civile.
  • 21.
    PE et Cons. UE, règl. n° 2016/679, 27 avr. 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, art. 4, § 6.
  • 22.
    C. civ., art. 1123.
  • 23.
    Groupe de travail article 29 (2011), avis n° 15/2011, sur la notion de « consentement », WP 187, Bruxelles, 13 juill. 2011, p. 9.
  • 24.
    V. Groupe de travail article 29, avis n° 5/2005, sur l’utilisation de données de localisation aux fins de fourniture de service à valeur ajoutée, 25 nov. 2005, p. 6 ; dans ce sens, la Commission des clauses abusives a condamné la présomption d’acceptation de l’utilisateur, dans les contrats de fourniture de service de réseautage, du seul fait qu’il utilise le réseau, parce qu’elle l’oblige à cliquer ensuite sur un lien hypertexte s’il désire s’informer du contenu des conditions générales d’utilisation auxquelles il a implicitement adhéré.
  • 25.
    CJCE, 3 juill. 1997, n° C-269/95, Francesco Benincasa c/ Dentalkit Srl.
  • 26.
    CJUE, 5 mai 2011, n° C-543/09, Deutsche Telekom AG c/ Bundesrepublik Deutschland, pt 65.
  • 27.
    Groupe de travail article 29, avis n° 15/2011 sur la notion de « consentement », WP 187, Bruxelles, 13 juill. 2011, p. 14.
  • 28.
    Groupe de travail article 29, avis n° 15/2011 sur la notion de « consentement », WP 187, Bruxelles, 13 juill. 2011, p. 14.
  • 29.
    Ghestin J., Traité de droit civil. La formation du contrat, 4e éd., 2013, LGDJ, n° 586.
  • 30.
    Proposition de directive modifiée, Exposé des motifs, p. 15.
  • 31.
    Pour une bonne compréhension de l’expression, v. Marguenaud J.-P. et Mouly J., « Le licenciement, droit à la liberté d’expression du salarié et principe européen de proportionnalité », D. 2001, p. 574.
  • 32.
    Cass. ch. mixte, 9 nov. 2007, n° 06-19508 : Bull. mixte, n° 10.
  • 33.
    Safi F., « Les restitutions consécutives à la nullité du contrat : rétablir ou corriger ? », D. 2016, p. 1179.
  • 34.
    Cass. ch. mixte, 9 juill. 2004, n° 02-16302 : Bull. mixte, n° 2, p. 3.
  • 35.
    Terre F., Simler P. et Lequette Y., Droit civil. Les obligations, 2005, Paris, Dalloz, p. 514.
  • 36.
    Dans un arrêt du 28 septembre 2004, la Cour de cassation a jugé qu’en ce qui concerne la légitimité de l’opposition « en matière politique, philosophique ou religieuse, comme en l’espèce, cette condition est remplie par le seul exercice de la faculté pour la personne concernée de s’opposer au traitement de données nominatives » (Cass. crim., 28 sept. 2004, n° 03-86604 : Bull. crim., n° 224, p. 801). Bien qu’elle soit la seule décision à aborder la question de la légitimité des motifs de l’exercice du droit d’opposition, elle n’en pose pas moins un principe très important.
  • 37.
    Proposition de directive modifiée, Exposé des motifs, p. 29.
  • 38.
    Cnil, délib. n° 81-094, 21 juill. 1981, portant adoption d’une recommandation relative aux mesures générales de sécurité des systèmes informatiques.
  • 39.
    Perray R., « Données à caractère personnel. Conditions de licéité des traitements de données à caractère personnel », JCl Communication, fasc. 932 , spéc. § 14.
  • 40.
    La CJUE a d’ailleurs estimé dans l’affaire Google Spain qu’« un traitement initialement licite de données exactes peut devenir, avec le temps, incompatible avec cette directive lorsque ces données ne sont plus nécessaires au regard des finalités (…) et du temps qui s’est écoulé » : CJUE, 13 mai 2014, n° C-131/12, Google Spain SL, Google Inc. c/ Agencia Espanola de Proteccion de Datos (AEPD), Mario Costeja G.
  • 41.
    Recomm. Conseil de l’Europe n° R (90) 19, 13 sept. 1990, sur la protection des données à caractère personnel utilisées à des fins de paiement et autres opérations connexes, art. 11, § 1.
  • 42.
    V. RGPD, art. 44 à 50.
  • 43.
    Storrer P., « Pour un droit commercial de l’exploitation des données à caractère personnel », D. 2013, p. 1844.

À lire également

Référence : LPA 19 Oct. 2020, n° 156t5, p.9

Plan