Publicité en cours de chargement...

Publicité en cours de chargement...

Affaire Camaïeu : la galaxie DPO en émoi

13 déc. 2022 - 08:52,
Tribune - Cédric Cartau
Il y a une actualité qui empêche de dormir et qui fait le buzz dans les chaumières ces derniers temps, non ce n’est pas une histoire de ballon rond et de petit filet : c’est l’affaire Camaïeu.

En effet, à la suite de la mise en liquidation judiciaire de l’enseigne, l’ensemble des actifs est en train d’être vendu, sauf que dans les « actifs » en question se trouve… le fichier des clients. Et là, le sang des DPO n’a fait que 33 tours : nom d’une donnée personnelle directement identifiante, mais voilà qui est fichtre illégal puisque les clients en question n’ont (en principe) pas donné leur accord pour que leur identité (et certainement l’historique des commandes, l’adresse postale et tout le tralala) soit vendue (transférée ? Fourguée ?) à un tiers.

S’ensuivent des débats si enflammés sur les réseaux que Dallas et GOT à côté, c’est de la roupie de sansonnet, avec en gros le clan des DPO-Lannister (non non non, vous avez pas le droit, mais euh !) contre le clan des Pour-Stark (mais si si si voyons, ce n’est pas un transfert de données personnelles, c’est une vente d’actif, c’est pas pareil-heu !). Avec en filigrane des positions de la Cnil[1], mais concernant l’applicabilité desquelles les clans s’affrontent. Bref, une vraie saga.

L’analyse donne à peu près ce qui suit, discours à peine romancé entre les deux côtés de la masse spongieuse qui sert de cerveau à votre serviteur.

Mon cerveau droit :
Le transfert de données personnelles (DP) à un tiers doit avoir une base légale, qui n’est pas constituée ici : en l’espèce, dans le présent dossier, ce transfert ne peut pas avoir lieu. En effet, lorsque les clients de Camaïeu ont consenti au traitement de leurs DP, la question a dû leur être posée de l’autorisation de transfert à des tiers (question pour laquelle la réponse par défaut est NON, le client en question doit avoir explicitement coché – ou décoché selon la formulation – une case autorisant explicitement ce transfert). Dans la plupart des cas, les clients ne modifient pas le « réglage » par défaut et donc, à l’exception de quelques gugusses, l’accord de transfert est nul. Point barre.

Mon cerveau gauche :
Sauf que ce n’est pas si simple. On est dans le cas d’une cession d’entreprise en B to C, est-on véritablement dans le cadre d’un transfert ou d’un changement de propriétaire ? Il y a une nuance, et elle est de taille. Si vous avez une tirelire suffisamment grosse et que vous rachetez Facebook, le rachat ne s’apparente pas à un transfert puisque le RT était et reste Facebook, entreprise identifiée quelque part avec un Siret ou équivalent : c’est juste le tôlier qui a changé, mais pas la personne morale, RT à l’origine et RT toujours.

Encore le droit :
Oui, mais non : dans le cas de Camaïeu, on n’est pas dans le cadre d’un rachat. La boîte disparaît, et son Siret avec, les actifs sont juste éparpillés façon puzzle. La personne morale RT à l’origine disparaît du tableau, une autre entreprise rachète les actifs, les tables, les chaises, le stock de PQ et les fichiers de DP. On est donc bien dans le cadre d’un transfert, nom de nom !

De nouveau le gauche :
Ah ! mais pas du tout : si la personne morale RT disparaît et que dans ce cas précis le transfert de DP est impossible (nonobstant la base légale précédemment évoquée par le cerveau droit), alors on va avoir un léger problème dans ce pays pour les cessions d’entreprise en B to C, dont une des motivations (souvent principale) est justement le rachat de la base des clients. S’il faut maintenir des Siret fantômes juste pour contourner le RGPD, ça va être rock’n’roll dans les tribunaux de commerce ! D’ailleurs le lien Cnil ci-dessous rappelle les règles dans le cadre précis d’une vente de DP entre un vendeur et un acquéreur, scénario qui suppose l’existence juridique à la fois du RT initial et de l’acquéreur et qui ne peut être interprété à l’identique dans le cas d’un dépôt de bilan ou de la disparition d’une entreprise RT initiale.

Bon, comme c’est un peu le foutoir entre les deux moitiés, résumons un peu la situation.
Les questions en suspens :
– un rachat de fichier clients obéit-il aux mêmes règles selon que les deux entités RT existent toujours a posteriori ou que l’une d’elles disparaît (dépôt de bilan) ?
– si les règles sont les mêmes, on va avoir de légers soucis, par exemple dans le cas du rachat de la clientèle d’un cabinet médical de ville (ou de toute autre activité libérale au demeurant ; les cas d’hôpitaux qui « rachètent » des cliniques – avec disparition de la structure initiale – sont légion et, heureusement, les dossiers patients sont systématiquement repris) ;
– les rachats avec transfert de DP sur lesquels la Cnil se positionne en partie (mais en partie seulement) verront-ils des exceptions, par exemple pour des typologies de données à contrainte de conservation (données de santé, données financières), et si oui sur quelle base légale RGPD ?

À noter que la vente du fichier clients Camaïeu a été interrompue, absolument pas parce qu’elle est « illégale », mais parce que le commissaire-priseur a décidé de ne pas aller au-devant d’ennuis juridiques potentiels. L’annulation de la vente et la position susnommée de la Cnil n’épuisent donc en rien le sujet.

Le pronostic de votre serviteur est le suivant, en l’état actuel du sujet et sans préjuger des évolutions (ceinture et bretelles[2]) :
– dans le cas du rachat d’une structure avec maintien du Siret initial, on n’est pas dans le cadre d’un transfert de DP ;
– dans le cadre d’un rachat avec suppression du Siret initial, si les DP concernées sont soumises à un régime juridique externe comportant des règles de conservation précises (données de santé, données financières, etc.), il y a bien transfert, mais les délais de conservation font en quelque sorte partie du « passif » immatériel, que le nouveau RT doit respecter ;
– dans le cadre d’un rachat avec suppression du Siret initial et sans réglementation spécifique sur les durées de conservation, l’intérêt légitime peut être invoqué par le nouveau propriétaire, mais la protection de ces DP lui impose de tenir compte de ce risque dans le PIA et d’appliquer aux DP récupérées un régime d’effacement plus draconien que pour celles de ses propres clients (généralement trois ans pour les seconds, je verrais bien un an pour les premières).

 Je suis très preneur d’éventuelles analyses contradictoires, surtout si la dichotomie introduite par le présent article est totalement fausse.


[1] https://www.cnil.fr/fr/vente-de-fichiers-clients-la-cnil-rappelle-les-regles 

[2] Et ce qui suit ne constitue en rien un conseil, mais ne représente que l’avis de l’auteur de ces lignes et rien de plus.


L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

29 juil. 2025 - 11:09,

Actualité

-
Marguerite Brac de La Perrière

Le règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1er août 2024, vise à encadrer le développement et l’utilisation de l’intelligence artificielle dans l’Union européenne, en conciliant innovation technologique et protection des droits fondamentaux.

Illustration Dernier billet philosohico-cyber avant la plage

Dernier billet philosohico-cyber avant la plage

21 juil. 2025 - 10:00,

Tribune

-
Cédric Cartau

À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Illustration Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

07 juil. 2025 - 23:57,

Actualité

- DSIH

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.