Base de données & données personnelles : le contrat portant sur un fichier peut être annulé pour défaut de respect de la réglementation CNIL

Les droits sui generis du producteur d’une base de données, tels que prévus à l’article L.341-1 et suivants du Code de la propriété intellectuelle, peuvent être anéantis en raison du défaut de respect des conditions de constitution d’une base de données contenant des données personnelles.

La Cour de cassation a récemment rendu un intéressant arrêt en la matière en soulignant que le défaut de déclaration auprès de la CNIL impique que le contrat de cession ou de licence d’une base de données peut être annulé.

Dans une très courte mais très claire décision, la Cour suprême pose le principe selon lequel un contrat de commercialisation (en l’espèce une cession) d’une base de données peut être annulé si ladite base de données n’a pas été déclarée auprès de la CNIL (Commission Nationale Informatique et Liberté).

La Cour légalement fondé sa décision en rappelant que tout fichier de données personnelles doit être déclaré à la CNIL et que la vente d’un tel fichier non préalablement déclaré n’est pas dans le commerce et a un objet illicite, étant le résultat d’une infraction à la loi n ° 78 -17 du 6 janvier 1978 dite « Loi Informatique et Libertés ».

En d’autres termes, des bases de données personnelles (soit la majorité des bases de données faisant l’objet d’une transaction sur internet) non préalablement déclarées auprès de la CNIL sont des objets hors du commerce.

Pour prendre cette décision, la Cour de cassation (Cass. com. 25 juin 2013, pourvoi n ° 12 à 17,037), s’est fondée sur les articles 1128 du Code civil (“Il n’y a que les choses qui sont dans le commerce qui puissent être l’objet des conventions”) et 22 de la loi n° 78-17 du 6 janvier 1978 (sur les formalités préalables à la mise en œuvre des traitements).

Premier enseignement, le plus compréhensible, La Cour suprême énonce que, pour être négociés en toute sécurité, les contrats portant sur des bases de données doivent être soumis à une déclaration auprès de la Commission nationale française de l’informatique et des libertés (CNIL) avant toute mise en oeuvre du traitement (et donc bien avant toute signature d’un quelconque contrat).

Second enseignement, sans doute moins clairement annoncé, cette jurisprudence implique que toute autre violation de la loi « Informatique et Libertés » peut éventuellement rendre « invendable » une base de données, comme objet illicite d’un contrat.

Par exemple, le fait de recueillir des données personnelles sans le plein respect des dispositions organisant les règles de collecte de données personnelles (obligation d’information, consentement à l’opt-in ou le respect du droit à l’ opt-out, finalité du traitement déclaré, respect du droit d’accès / modification / suppression) pourrait compromettre la validité de la vente ou de la location du fichier de données personnelles, même si la BDD est bien déclarée auprès de la CNIL.

Par conséquent, les entreprises qui vendent, louent, mettent à disposition des fichiers ou organisent des mailings pour des annonceurs ont fort intérêt à prendre conseil avant une telle commercialisation un DB.

Désormais, le risque pour ces sociétés commercialisant du big-data de donner accès à ces données gratuitement est à prendre au pied de la lettre.

Il reste à savoir si la Cour de cassation a ouvert la brèche pour tous les annonceurs, même de mauvaise foi, qui voudraient dénoncer un contrat et s’en voir rembourser le prix alors qu’ils auront exploité la base de données déclarée objet illicite ne pouvant faire l’objet d’une convention…

Nos derniers articles

Domaines