Il s’agissait en l’occurrence d’un fichier de clientèle non déclaré à la CNIL qui avait été vendu, alors que la loi impose que tout traitement automatisé de données personnelles fasse l’objet de formalités préalables (on parle en général de déclaration CNIL mais ces formalités peuvent en réalité recouvrir une diversité de régimes juridiques tels que demande d’autorisation, dispenses, etc.).
S’apercevant que le fichier litigieux n’avait pas été déclaré à la CNIL – et donc qu’elle ne pouvait légalement en faire usage – la société victime de la fraude a fait assigner le vendeur en demandant la nullité de la vente. Naturellement, elle demandait ainsi le remboursement des sommes initialement dépensées.
Au terme d’un long contentieux, la Cour de Cassation, donne raison à la société sur le fondement de l’article 1128 du Code civil ; celui-ci dispose qu’« il n’y a que les choses qui sont dans le commerce qui puissent être l’objet des conventions« . En effet, un bien acquis ou produit de manière illicite ne peut avoir aucune valeur en droit et par conséquence ne peut légalement être vendu.
Cette jurisprudence est extrêmement classique dans l’appréciation de l’usage qui peut être fait des fichiers non déclarés à la CNIL. On peut, en effet, la rapprocher la situation de l’usage de fichiers de logs dans une procédure, alors que ceux-ci n’ont pas été collectés en toute légalité (déclaration oubliée, délais de conservation trop longs, etc.). C’est le risque majeur de la non conformité à la loi informatique et liberté, qui tient au fait qu’il devient très difficile de faire valoir ses droits lorsque ceux-ci n’ont pas été acquis en parfaite légalité.
Pour des juristes, au moins, cela fait sens.
Vu l’article 1128 du code civil, ensemble l’article 22 de la loi n° 78-17 du 6 janvier 1978 ;
Attendu, selon l’arrêt attaqué, que M. X… a fait assigner la société B. en nullité de la vente d’un fichier de clients informatisé ;
Attendu que pour rejeter cette demande, l’arrêt, après avoir constaté que le fichier de clientèle tenu par la société B. qui aurait dû être déclaré à la Commission nationale informatique et libertés (la Cnil) ne l’avait pas été, retient que la loi n’a pas prévu que l’absence d’une telle déclaration soit sanctionnée par la nullité ;
Attendu qu’en statuant ainsi, alors que tout fichier informatisé contenant des données à caractère personnel doit faire l’objet d’une déclaration auprès de la Cnil et que la vente par la société B. d’un tel fichier qui, n’ayant pas été déclaré, n’était pas dans le commerce, avait un objet illicite, la cour d’appel a violé les textes susvisés ;
DECISION
Par ces motifs, et sans qu’il y ait lieu de statuer sur les autres griefs :
. Casse et annule en toutes ses dispositions, l’arrêt rendu le 17 janvier 2012, entre les parties, par la cour d’appel de Rennes ; remet, en conséquence, la cause et les parties dans l’état où elles se trouvaient avant ledit arrêt et, pour être fait droit, les renvoie devant la cour d’appel de Rennes, autrement composée ;