Le contexte de l’affaire :
La première société, requérante, possède une créance sur la deuxième, confirmée par une décision de justice devenue définitive. Afin de recouvrer cette créance, elle engage une procédure d’exécution contre la société débitrice. Cependant, cette procédure est interrompue par l’huissier de justice pour défaut d’actifs saisissables. La société doit donc tenter de trouver une autre voie. Selon le droit polonais, si la société débitrice n’a pas d’actifs pour satisfaire la créance de la société créancière, les membres du conseil d’administration peuvent voir leur responsabilité patrimoniale engagée. Par conséquent, la société intente une action en responsabilité à l’encontre de l’un des membres du conseil, M.W.
M.W conteste cette action en affirmant que la société débitrice possédait bien des actifs suffisants pour couvrir la dette, notamment un logiciel d’achat en ligne avec un service de quasi-cashback et deux bases de données d’utilisateurs de la plate-forme en ligne qu’elle avait créée. La vente du logiciel semble conditionnée à la cession conjointe des bases de données, car le tribunal souligne que la vente du seul logiciel d’achat en ligne sans les bases de données ne serait pas aussi attrayante sur le marché que la vente de l’ensemble des actifs.
La problématique de revente de données à caractère personnel :
Ce n’est pas tant la question de la possibilité de céder une base de données elle-même qui pose difficulté, puisqu’il est admis qu’une base de données puisse faire l’objet d’une cession.
Mais les bases de données contiennent, en l’espèce, des données à caractère personnel de centaines de milliers de personnes, qui n’ont pas consenti au traitement de leurs données sous la forme d’une mise à disposition à des tiers en dehors de ladite plate-forme. Ils n’y ont consenti que pour leur usage de la première plateforme. Des doutes subsistent donc quant au fait que ces bases de données puissent être cédées sans le consentement des personnes concernées, en vertu du Règlement général sur la protection des données (RGPD).
Ainsi, la problématique est la suivante : le RGPD permet-il à un huissier de justice de vendre, dans le cadre d’une procédure d’exécution forcée, des bases de données sans le consentement des personnes concernées par ces données ?
Doutant de la réponse, le juge polonais s’est adressé à la Cour de justice par le biais d’une question préjudicielle (affaire C-693/22).
Inscrivez-vous à la newsletter Livv
et recevez chaque semaine des informations exclusives en droit des affaires. En savoir plus
La réponse de l’avocat général :
Dans ses conclusions, l’avocat général Priit Pikamäe propose à la Cour de répondre par l’affirmative : le RGPD ne s’oppose pas à la mise en œuvre d’une réglementation nationale qui permet à un huissier de justice de vendre, dans le cadre d’une procédure d’exécution forcée, une base de données.
Selon lui, une base qui contient des données à caractère personnel peut donc être vendue même si les personnes concernées par ces données n’y ont pas consenti, à la condition que le traitement de données lié à une telle vente soit nécessaire et proportionné dans une société démocratique pour garantir l’exécution d’une demande de droit civil.
Analysons le raisonnement de l’avocat général :
- Pour appliquer les règles du RGPD concernant le traitement des données à caractère personnel, encore faut-il caractériser un traitement ;
- Ce traitement doit avoir une base légale licite ;
- Le traitement doit poursuivre une finalité licite ;
Un traitement
Selon l’avocat général, les opérations effectuées par l’huissier de justice afin de permettre l’estimation de la valeur des bases de données concernées et de leur vente aux enchères publiques constituent un traitement au sens du RGDP, puisque cela consiste en l’extraction, la consultation, l’utilisation et la mise à disposition de l’acquéreur des données à caractère personnel.
Les règles du RGPD sont applicables, et l’huissier de justice doit alors être considéré comme étant le responsable du traitement dans le cadre de cette opération.
Un traitement licite
La base légale d’un traitement est ce qui autorise légalement sa mise en œuvre. En l’espèce, l’avocat général considère que le traitement nécessaire pour effectuer une mission relevant de l’exercice de l’autorité publique dont l’huissier de justice est investi est licite.
L’article 6 du RGPD prévoit en effet plusieurs bases légales permettant le traitement des données à caractère personnel, comme la « mission d’intérêt public » ou « l’intérêt légitime », qui pourraient correspondre à la présente situation.
Une finalité compatible ?
La finalité du traitement est l’objectif principal de l’utilisation de données personnelles.
Dans le cas présent, l’avocat général constate que la finalité du traitement réalisé par l’huissier de justice diffère de la finalité initiale visant à permettre l’utilisation de la plate-forme de vente en ligne concernée. Ainsi se pose la question de savoir si la finalité du traitement que constitue la vente du fichier dans le cadre du paiement d’une dette est compatible avec la finalité initiale.
Dans un arrêt du 20 octobre 2022, la CJUE s’est déjà prononcée et a dégagé 5 critères pour s’assurer de la compatibilité de la nouvelle finalité avec la finalité initiale, comme l’existence d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du futur traitement ; le contexte dans lequel les données à caractère personnel ont été collectées ; ou encore la nature des données à caractère personnel.
Dans ses conclusions, l’avocat général conclut qu’il n’y a pas de réutilisation compatible possible et licite au regard du RGPD :
« Il est évident que la prise en compte de ces critères en l’espèce ne pourrait pas entraîner une réponse affirmative quant à la compatibilité des finalités en cause. Ainsi que la Cour l’a récemment précisé, lesdits critères traduisent la nécessité d’un lien concret, logique et suffisamment étroit entre les finalités de la collecte initiale des données à caractère personnel et le traitement ultérieur de ces données, et permettent ainsi de s’assurer que ce traitement ultérieur ne s’écarte pas des attentes légitimes des personnes concernées quant à l’utilisation ultérieure de leurs données. Or, un tel lien ne peut pas être établi dans la présente affaire. »
Certains spécialistes du RGPD ont pourtant souligné que, lorsqu’un acheteur se présente pour acquérir ce genre d’actif, c’est en général avec l’idée d’une poursuite d’activité. La finalité de la base de données n’en est alors pas fondamentalement modifiée in fine, une fois la base revendue. Une exclusion de principe de la possibilité d’une compatibilité des finalités semble donc injustifiée et nécessiterait au contraire un examen au cas par cas. Elle crée d’ailleurs une impasse, et aurait pu empêcher l’avocat général de conclure par l’affirmative.
Cherchant à contourner cette impasse, l’avocat général se retrouve à devoir invoquer l’ article 6.4 et l’article 23 du RGPD. A son sens, afin que ce traitement ultérieur puisse être considéré comme étant compatible avec le RGPD, ce dit traitement doit constituer une mesure nécessaire et proportionnée dans une société démocratique pour atteindre un des objectifs d’intérêt général visés par ce règlement. L’article 23 du RGPD permet en effet de limiter les droits et obligations prévus par le RGPD lorsqu’une telle limitation constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir, par exemple, la sécurité nationale, la protection de l’indépendance de la justice et des procédures, la prévention et la détection d'infractions pénales, etc. Selon Priit Pikamäe, parmi ces objectifs, celui concernant l’exécution des demandes de droit civil peut, en principe, justifier le traitement de données en cause en l’espèce (et permet de contourner l’incompatibilité des finalités du traitement).
L’avocat général souligne également que l’examen de la proportionnalité, qui incombe à la juridiction polonaise, implique une pondération entre le droit de propriété de la société créancière et le droit à la protection des données à caractère personnel des utilisateurs de la plate-forme de vente en ligne concernée.
Une question dont la réponse est vivement attendue
En procédures collectives, la vente et la réutilisation des fichiers clients ou des fichiers fournisseurs posent très souvent des questions sur la réutilisation des données à caractère personnel. Ces bases de données ont souvent une valeur monétaire importante.
Pour rappel, les conclusions de l’avocat général ne lient pas la Cour de justice. Mais ce contentieux pourrait développer, en cas de réponse affirmative de la Cour, la vente de base de données à caractère personnel dans le cadre des procédures d’exécution forcée et d’apurement de passif.
La réponse aura donc un impact important dans ce domaine, d’autant que peu d’arrêts ou de décisions ont été rendus en la matière, en particulier concernant l’articulation entre les articles 5, 6 et 23 du RGPD.
La Cour de Justice va-t-elle suivre ces conclusions ? À suivre !