Gare aux fichiers informatisés de clientèle non déclarés à la Cnil !
Un fichier de clientèle informatisé contient des données à caractère personnel et doit donc être déclaré à la Cnil. A défaut, il n’est pas commercialisable, et sa vente a un objet illicite.
Dans un arrêt rendu le 25 juin 2013, la Cour de cassation affirme haut et fort le prix qu’elle attache au respect des prérogatives de la Commission nationale informatique et libertés (Cnil) en matière de fichiers informatisés. La loi du 6 janvier 1978 dite loi informatique et libertés impose le principe d’une formalité préalable à la constitution d’un tel fichier dès lors qu’il comporte des données à caractère personnel (art. 22). Sont définies comme données à caractère personnel toutes les informations relatives à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par un numéro d’identification ou par un ou plusieurs éléments qui lui sont propres (art. 2). Les fichiers de clientèle constitués par les commerçants entrent donc dans cette catégorie.
Déclaration préalable. Le principe est celui d’une déclaration préalable, guère contraignante puisqu’elle s’effectue par voie informatique sur le site de la Cnil. Dès qu’il a reçu le récépissé, délivré sans délai, l’intéressé peut constituer son fichier ; il peut, selon l’expression de la loi, mettre en oeuvre le traitement automatisé. Le récépissé n’est pas pour autant un certificat de licéité. Sa portée se borne à établir que l’incontournable formalité de la déclaration préalable a été accomplie. Des exceptions dans un sens favorable ou au contraire défavorable existent. Ainsi, certains fichiers sont soumis à un régime plus strict d’autorisation préalable. Tel est le cas des fichiers relatant les infractions commises et condamnations subies, ou des fichiers qui comportent des appréciations sur les difficultés sociales des personnes (art. 25). Ces exceptions ne concernent pas a priori les fichiers de clientèle.
L’absence de déclaration préalable est lourdement sanctionnée sur le plan pénal. L’article 226-16 du code pénal prévoit une peine maximale de cinq ans d’emprisonnement et de 300 000 euros d’amende. Cette disposition est peu connue et, semble-t-il, peu appliquée. Il serait néanmoins imprudent de parier sur la mansuétude des procureurs – voire sur la surcharge de leurs services – pour s’affranchir de la formalité que la loi impose. Le risque encouru serait totalement disproportionné au regard de la simplicité de la formalité éludée. La sévérité du code pénal peut étonner. A y regarder de près, elle n’est pas injustifiée. Des fichiers servent à “ficher” ; sans qu’on en ait pleinement conscience, nos libertés individuelles sont dès lors en jeu. Aussi est-il essentiel que la Cnil puisse effectuer les contrôles qui relèvent de sa mission et prononcer, le cas échéant, les sanctions qui sont de sa compétence (avertissement, sanctions pécuniaires, injonction de cesser le traitement informatique…).
Le sort du fichier irrégulier. A propos d’un fichier de clientèle non déclaré, la chambre commerciale de la Cour de cassation, dans l’arrêt cité du 25 juin 2013, a été confrontée à une problématique qui ne relève pas du droit pénal mais du droit commercial. Une société exploitant un fonds de commerce de vente de vins aux particuliers avait vendu son fichier informatisé de 6 000 clients à un acquéreur. Déçu des résultats de ses premiers mois d’activité, cet acquéreur avait alors imaginé de faire annuler la vente du fichier au motif de l’absence de déclaration préalable à la Cnil. La cour d’appel de Rennes n’a pas suivi cette argumentation et a validé la vente. Sur pourvoi de l’acquéreur, la Cour de cassation rejette l’arrêt d’appel en affirmant qu’un fichier informatisé non déclaré à la Cnil n’est pas commercialisable et que la vente d’un tel fichier porte sur un objet illicite.
Un fichier non déclaré est donc à ranger avec les substances hallucinogènes et les armes prohibées… Le prix de vente doit être restitué, en contrepartie de la restitution du fichier dont on peut espérer que l’acquéreur n’aura pas gardé copie… Le risque couru par le vendeur est donc considérable.
Se garder de vendre ne suffirait pas à mettre à l’abri des déconvenues le détenteur d’un tel fichier. En dehors des sanctions pénales déjà évoquées, qu’en seraitil en effet de la protection du fichier en cas de concurrence déloyale, notamment par un ancien salarié ? On peut douter que les juges estiment légitime l’intérêt à agir du demandeur qui se plaindrait qu’ait été utilisé son fichier illicite. Perdre le temps de quelques clics eût été préférable.
Bernard-Henri DUMORTIER,
docteur en droit, avocat au barreau de Lille (bh.dumortier@tbd-avocats.fr)