Cette décision rendue par la Chambre commerciale de la Cour de cassation le 25 Juin 2013 (Cass. Com, 25 juin 2013, pourvoi n°12-17037) pourrait donner une vigueur nouvelle à la loi du 6 janvier 1978, dite « loi informatique et libertés ».
Le respect de cette loi, promulguée il y a plus de 35 ans mais encore peu appliquée par les entreprises, va désormais devenir un enjeu majeur pour celles, de plus en plus nombreuses, qui font du commerce de données.
(Cass. Com, 25 juin 2013, pourvoi n°12-17037)
L’acquéreur est débouté en première instance, puis en appel, en particulier sur son argumentation fondée sur l’absence de respect de la loi informatique et libertés. Les juges du fond ont ainsi estimé que la nullité de la convention ne pouvait pas découler d’un manquement à la loi informatique et libertés qui ne prévoit pas une telle sanction.
C’était oublier le droit commun des contrats : la Cour de cassation casse l’arrêt d’appel, au visa de l’article 1128 du Code civil, texte de portée générale prévoyant qu’« il n’y a que les choses qui sont dans le commerce qui puissent être l’objet des conventions ». Les hauts magistrats considèrent ainsi qu’un fichier non déclaré a la CNIL constitue un « objet illicite », c’est à dire un objet qui est en dehors du « commerce » juridique et, qu’en conséquence, un contrat portant sur un tel fichier doit être frappé de nullité.
Cette solution, au raisonnement imparable, est particulièrement sévère lorsque l’on sait qu’une nullité pour objet illicite appartient à la catégorie des nullités « absolues », ouvertes à tout intéressé (et pas uniquement aux parties signataires du contrat) et qui ne peuvent être sujet à aucune forme de régularisation.
Cette décision montre l’intérêt désormais incontestable, pour les entreprises, de veiller scrupuleusement à vérifier la conformité aux dispositions de la loi informatique et libertés pour tous les fichiers dont elles font commerce.
A défaut, c’est toute l’opération économique qui pourrait être remise en cause, impliquant – en cas de nullité – la restitution intégrale des sommes versées ou perçues.
En effet, la règle « nul ne peut se prévaloir de sa propre turpitude », qui pourrait éventuellement paralyser la restitution des sommes à l’acheteur d’un fichier qui se prévaudrait du caractère illicite de celui-ci alors qu’il en aurait eu connaissance, ne semble pas pouvoir jouer dans un tel cas, en application d’une jurisprudence restrictive limitant l’application de cet adage au seul cas de nullité pour « cause immorale ».
En outre, une telle nullité serait susceptible de « contaminer » l’ensemble de la convention même si la cession de fichier(s) n’en constitue qu’un des éléments cédés, dès lors que celui-ci constitue la « cause impulsive et déterminante » de l’opération globale : on pense à la cession d’un fonds de commerce dont les fichiers clients constituent la valeur essentielle, comme, par exemple, un salon professionnel ou encore un site d’e-commerce.
Enfin, il existerait un risque d’action de la part des personnes désignées dans le fichier qui pourraient alors réclamer une indemnisation et porter éventuellement le litige devant les juridictions répressives en vue de faire appliquer les sanctions pénales prévues en cas de manquement à la loi informatique et libertés.
Cet arrêt sonne donc comme un avertissement pour toutes les entreprises faisant du commerce de données, qui, désormais, ne pourront plus ignorer les dispositions de la loi informatique et libertés, au risque de mettre en péril leurs opérations commerciales les plus courantes.