Affaire Camaïeu : la galaxie DPO en émoi

En effet, à la suite de la mise en liquidation judiciaire de l’enseigne, l’ensemble des actifs est en train d’être vendu, sauf que dans les « actifs » en question se trouve… le fichier des clients. Et là, le sang des DPO n’a fait que 33 tours : nom d’une donnée personnelle directement identifiante, mais voilà qui est fichtre illégal puisque les clients en question n’ont (en principe) pas donné leur accord pour que leur identité (et certainement l’historique des commandes, l’adresse postale et tout le tralala) soit vendue (transférée ? Fourguée ?) à un tiers.

S’ensuivent des débats si enflammés sur les réseaux que Dallas et GOT à côté, c’est de la roupie de sansonnet, avec en gros le clan des DPO-Lannister (non non non, vous avez pas le droit, mais euh !) contre le clan des Pour-Stark (mais si si si voyons, ce n’est pas un transfert de données personnelles, c’est une vente d’actif, c’est pas pareil-heu !). Avec en filigrane des positions de la Cnil[1], mais concernant l’applicabilité desquelles les clans s’affrontent. Bref, une vraie saga.

L’analyse donne à peu près ce qui suit, discours à peine romancé entre les deux côtés de la masse spongieuse qui sert de cerveau à votre serviteur.

Mon cerveau droit :
Le transfert de données personnelles (DP) à un tiers doit avoir une base légale, qui n’est pas constituée ici : en l’espèce, dans le présent dossier, ce transfert ne peut pas avoir lieu. En effet, lorsque les clients de Camaïeu ont consenti au traitement de leurs DP, la question a dû leur être posée de l’autorisation de transfert à des tiers (question pour laquelle la réponse par défaut est NON, le client en question doit avoir explicitement coché – ou décoché selon la formulation – une case autorisant explicitement ce transfert). Dans la plupart des cas, les clients ne modifient pas le « réglage » par défaut et donc, à l’exception de quelques gugusses, l’accord de transfert est nul. Point barre.

Mon cerveau gauche :
Sauf que ce n’est pas si simple. On est dans le cas d’une cession d’entreprise en B to C, est-on véritablement dans le cadre d’un transfert ou d’un changement de propriétaire ? Il y a une nuance, et elle est de taille. Si vous avez une tirelire suffisamment grosse et que vous rachetez Facebook, le rachat ne s’apparente pas à un transfert puisque le RT était et reste Facebook, entreprise identifiée quelque part avec un Siret ou équivalent : c’est juste le tôlier qui a changé, mais pas la personne morale, RT à l’origine et RT toujours.

Encore le droit :
Oui, mais non : dans le cas de Camaïeu, on n’est pas dans le cadre d’un rachat. La boîte disparaît, et son Siret avec, les actifs sont juste éparpillés façon puzzle. La personne morale RT à l’origine disparaît du tableau, une autre entreprise rachète les actifs, les tables, les chaises, le stock de PQ et les fichiers de DP. On est donc bien dans le cadre d’un transfert, nom de nom !

De nouveau le gauche :
Ah ! mais pas du tout : si la personne morale RT disparaît et que dans ce cas précis le transfert de DP est impossible (nonobstant la base légale précédemment évoquée par le cerveau droit), alors on va avoir un léger problème dans ce pays pour les cessions d’entreprise en B to C, dont une des motivations (souvent principale) est justement le rachat de la base des clients. S’il faut maintenir des Siret fantômes juste pour contourner le RGPD, ça va être rock’n’roll dans les tribunaux de commerce ! D’ailleurs le lien Cnil ci-dessous rappelle les règles dans le cadre précis d’une vente de DP entre un vendeur et un acquéreur, scénario qui suppose l’existence juridique à la fois du RT initial et de l’acquéreur et qui ne peut être interprété à l’identique dans le cas d’un dépôt de bilan ou de la disparition d’une entreprise RT initiale.

Bon, comme c’est un peu le foutoir entre les deux moitiés, résumons un peu la situation.
Les questions en suspens :
– un rachat de fichier clients obéit-il aux mêmes règles selon que les deux entités RT existent toujours a posteriori ou que l’une d’elles disparaît (dépôt de bilan) ?
– si les règles sont les mêmes, on va avoir de légers soucis, par exemple dans le cas du rachat de la clientèle d’un cabinet médical de ville (ou de toute autre activité libérale au demeurant ; les cas d’hôpitaux qui « rachètent » des cliniques – avec disparition de la structure initiale – sont légion et, heureusement, les dossiers patients sont systématiquement repris) ;
– les rachats avec transfert de DP sur lesquels la Cnil se positionne en partie (mais en partie seulement) verront-ils des exceptions, par exemple pour des typologies de données à contrainte de conservation (données de santé, données financières), et si oui sur quelle base légale RGPD ?

À noter que la vente du fichier clients Camaïeu a été interrompue, absolument pas parce qu’elle est « illégale », mais parce que le commissaire-priseur a décidé de ne pas aller au-devant d’ennuis juridiques potentiels. L’annulation de la vente et la position susnommée de la Cnil n’épuisent donc en rien le sujet.

Le pronostic de votre serviteur est le suivant, en l’état actuel du sujet et sans préjuger des évolutions (ceinture et bretelles[2]) :
– dans le cas du rachat d’une structure avec maintien du Siret initial, on n’est pas dans le cadre d’un transfert de DP ;
– dans le cadre d’un rachat avec suppression du Siret initial, si les DP concernées sont soumises à un régime juridique externe comportant des règles de conservation précises (données de santé, données financières, etc.), il y a bien transfert, mais les délais de conservation font en quelque sorte partie du « passif » immatériel, que le nouveau RT doit respecter ;
– dans le cadre d’un rachat avec suppression du Siret initial et sans réglementation spécifique sur les durées de conservation, l’intérêt légitime peut être invoqué par le nouveau propriétaire, mais la protection de ces DP lui impose de tenir compte de ce risque dans le PIA et d’appliquer aux DP récupérées un régime d’effacement plus draconien que pour celles de ses propres clients (généralement trois ans pour les seconds, je verrais bien un an pour les premières).

 Je suis très preneur d’éventuelles analyses contradictoires, surtout si la dichotomie introduite par le présent article est totalement fausse.

[1] https://www.cnil.fr/fr/vente-de-fichiers-clients-la-cnil-rappelle-les-regles 

[2] Et ce qui suit ne constitue en rien un conseil, mais ne représente que l’avis de l’auteur de ces lignes et rien de plus.

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.