A l’heure de la mise en œuvre des programmes de mise en conformité au RGPD au sein des organismes publics et privés, de nombreuses pratiques perçues comme anodines ont vocation à évoluer afin de satisfaire aux nouvelles exigences réglementaires en matière de protection des données à caractère personnel. La pratique répandue d’acquisition ou de souscription à des fins d’accès et d’exploitation de bases de données personnelles est l’une de ces habitudes sur lesquelles il convient légitimement de se questionner à la veille des premières sanctions post-application du règlement européen et d’analyser leur compatibilité avec ses exigences. Avant de s’intéresser à l’usage fait par des tiers des bases de données personnelles cédée ou licenciée (II), il est essentiel de s’intéresser à la nature même de ce type d’opération ainsi qu’à ses conditions de licéité (I).
Victime de nombreux raccourcis de langage, il est important de rappeler que les données à caractère personnel relèvent du droit fondamental des personnes physiques au respect de leur vie privée, tel que prévu par l’article 6 de la CESDH[1], de sorte qu’elles ne peuvent faire l’objet d’aucun droit réel et ne sont donc ni appropriable, ni aliénable.
Les fichiers au sens de l’article 2 de la Loi informatique et libertés[2]peuvent faire l’objet d’une appropriation de par le droit dit « sui generis »[3]des producteurs de bases de données que leurs reconnaissent les articles L.341-1 et suivants du Code de la propriété intellectuelle. Précisément ce droit sui generis est un droit de protection de la base de données octroyée au producteur de la base, à condition que sa constitution, sa vérification ou sa présentation atteste d’un investissement financier, matériel ou humain substantiel.
A défaut de porter sur les données personnelles, la propriété portera davantage sur le fichier organisé en base de données. Une cession ou une licence ne portera donc pas sur les données personnelles en elle-même, mais sur les droits réels portant sur ce fichier organisé en base de données qui pour être exploité, notamment à des fins de licence ou de vente, devra être conforme aux exigences posées par la réglementation applicable en matière de données personnelles[4], car comme nous allons le voir, l’illicéité du traitement de données personnelles apporte pour sanction la qualification d’hors commerce juridique à la base de données constituée qui est alors reléguée au rang de chose inaliénable[5].
Moins diffusée que l’amende d’un montant de 4% du chiffre d’affaire ou de 20 millions d’euros, cette sanction parallèle est pourtant établie depuis plusieurs années par une jurisprudence constante qui affecte profondément l’exploitation de la base de données personnelles illicite.
Un premier arrêt de la chambre commerciale de la Cour de cassation datant du 25 juin 2013[6]expose le cas d’un fichier client informatisé non déclaré à la CNIL ayant fait l’objet d’une cession entre commerçants. Cette absence de déclaration auprès de l’autorité de contrôle, formalité en vigueur à l’époque, vient frapper d’illicéité cette base de données personnelles et fait d’elle une chose hors commerce incessible.
Un second arrêt, cette fois de la chambre sociale et datant du 8 octobre 2014[7], traite de l’utilisation d’enregistrements vidéo comme preuve lors d’un contentieux prud’homale. Là encore cette base de données n’avait fait l’objet d’aucune déclaration et là encore les hauts juges ont reconnu l’illicéité de ce fichier et l’invalidité de la preuve qu’il constituait.
Certes il est à noter que le système des déclarations auprès de la CNIL a été supprimé depuis l’entrée en vigueur de la Loi relative à la protection des données personnelles, texte d’adaptation de la Loi informatique et libertés au RGPD.
Pour autant, le législateur national fit le choix de supprimer ce système peu efficace et laborieux dans l’objectif de responsabiliser davantage les responsables de traitement au travers du régime dit de responsabilité imposé par le RGPD[8], ou plus explicitement le régime d’Accountability dans sa version anglaise, c’est-à-dire la capacité pour le responsable de traitement d’être capable de justifier spontanément la licéité des traitements qu’il opère et de démontrer son strict suivi des obligations réglementaires.
Dès lors, et bien que cette solution jurisprudentielle se fonde sur l’absence de déclaration n’ayant plus court aujourd’hui, il est à prévoir que cette dernière soit désormais à interpréter comme imposant un strict respect des obligations réglementaires, et que toute incapacité du responsable de traitement à démontrer la licéité du traitement de constitution de la base de données personnelles à des fins de cession et/ou de licence commerciale entraîne l’illicéité de la base de données constituées et son retrait du commerce juridique.
Tel que développé précédemment, et à supposer que la réglementation soit à interpréter strictement, tout fichier ou base de données personnelles ne respectant pas tout ou partie des exigences posées par la réglementation applicable en matière de données personnelles est à considérer comme illicite et prive le producteur de la base de données des droits réels sur cette chose hors commerce juridique.
La qualification de chose hors commerce juridique affecte tout d’abord les contrats de cession ou de licence conclus entre le producteur de la base de données et les tiers qui seront alors réputés nuls et non-avenus par mécanisme des articles 6[9]et 1162[10]du Code civil empêchant toute chose hors commerce juridique de faire l’objet d’une convention quelconque.
Au-delà de l’indisponibilité de la base, les sanctions prévues par le RGPD[11]désormais intégrées à la Loi informatique et libertés[12]pourront naturellement être prises par une autorité de contrôle à l’encontre du producteur de la base de données, responsable de traitement, avec pour fondement l’illicéité du traitement de constitution et d’exploitation commerciale de la base, mais également à l’encontre des différents tiers à qui il aura mis à disposition contractuellement cette base.
Ces tiers, qualifiables de responsables de traitement indépendants du producteur de la base, pourront eux aussi avoir à répondre de la collecte indirecte illicite de données personnelles puisque l’origine illicite de la collecte des données par le producteur de la base conditionne la licéité des traitements ultérieurs effectués par les tiers destinataires de cette base[13], et ce, quand bien même ces tiers auraient réalisés les traitements ultérieurs mis en cause conformément aux exigences réglementaires. Face à de tels risques, il est de bon ton d’analyser minutieusement la licéité de la base de données personnelles avant tout acquisition ou exploitation par licence (des informations complémentaires dans cet article : audit RGPD).
Avant la signature d’un contrat de cession ou de licence d’une base de données personnelles, Des audits et des opérations de due diligence peuvent être demandées au producteur de la base de données afin de vérifier ces éléments :
– La définition du cadre juridique du traitement, à savoir les finalités et bases légales afférentes, l’adéquation et la pertinence des données collectées au regard des finalités préalablement définies, l’exactitude et la mise à jour régulière de ces données, la détermination d’une durée de conservation maximale, ainsi que les mesures de sécurité des données prises ;
– L’information effective exhaustive des personnes concernées par la collecte des données conformément aux articles 13 et/ou 14 du RGPD, ainsi que le respect des bases légales préalablement définies, précisément quand celles-ci sont le consentement des personnes et l’intérêt légitime du responsable de traitement devant faire l’objet d’une mise en balance écrite des intérêts de chacun ;
– La garantie effective des droits des personnes concernées, et notamment leur droit d’opposition à ce traitement de constitution et leur droit au retrait de leur consentement lorsque ce traitement a pour base légale le consentement des personnes concernées ;
– Le respect effectif des durées de conservation maximale des données, et la suppression des données en dépassement de celles-ci (voir cet article sur le droit à l’oubli).
D’autres éléments ne doivent quant à eux pas être pris en compte car ces derniers ne sont pas ou plus pertinents :
– Il n’existe actuellement aucune certification reconnue garantissant la conformité des traitements effectués ou des bases de données constituées, le mécanisme des certifications délivrées par la CNIL n’a jamais permis de certifier de la licéité d’une base de données ou d’un traitement, et ce mécanisme a été récemment abrogé ;
– Un contact régulier du producteur de la base de données avec la CNIL, voire une coopération avec elle, n’est pas synonyme de conformité aux exigences réglementaires, de même que les anciennes déclarations faites à la CNIL qui n’ont jamais garanti la licéité des bases de données ou la conformité de celles-ci au RGPD[14] ;
– Les filtres et règles de gestion des bases dits « RGPD » peuvent effectivement aider au suivi de la conformité au RGPD mais ne garantissent pas à eux seuls cette conformité de ces dernières ; la conformité étant un processus régulier de suivi des obligations sur le long terme ;
– Enfin la conformité des traitements ultérieurs réalisés à l’aide d’une base de données illicite n’a pas pour effet d’épurer celle-ci comme évoqué précédemment.
– Valérian Bonnard
Télécharger notre Fiche Pratique « La CNIL et ses prérogatives »cpour vous aider à y voir plus clair et avoir les bonnes méthodes pour agir.
[1]Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.
[2]À savoir « tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés ».
[3]C’est-à-dire un droit propre et difficile voire impossible à classer parmi les catégories traditionnelles.
[4]A savoir, la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ou toute législation locale équivalente, ainsi que le règlement (UE) 2016/679 du 27 avril 2016 dit « RGPD ».
[5]Autrement dit, une chose ne pouvant notamment pas être cédée, licenciée, ou encore exploitée.
[6]Cour de cassation, chambre commerciale, pourvoi n° 12-17037, audience publique du 25 juin 2013.
[7]Cour de cassation, chambre sociale, pourvoi n° 13-14991, audience publique du 8 octobre 2014.
[8]Principe édicté à l’article 5, deuxièmement et développé en tant qu’obligation à l’article 24 du règlement.
[9]L’article 6 du Code civil dispose que l’”on ne peut déroger, par des conventions particulières, aux lois qui intéressent l’ordre public et les bonnes mœurs”.
[10]L’article 1162 du Code civil dispose que “le contrat ne peut déroger à l’ordre public ni par ses stipulations, ni par son but, que ce dernier ait été connu ou non par toutes les parties”.
[11]Pour rappel la sanction financière pouvant être d’un montant de 4% du chiffre d’affaire global ou de 20 millions d’euros.
[12]Article 45 de la Loi 78-17 du 6 janvier 1978 (modifiée).
[13]L’article 6, quatrièmement du RGPD impose en effet au responsable de traitement d’effectuer un test de compatibilité entre la finalité initiale du traitement et les finalités des traitements ultérieurs qui devra notamment tenir compte de la licéité du traitement initial.
[14]Ce dernier ayant de surcroît été adopté et étant applicable postérieurement au système des déclarations.