Aujourd’hui, il est quasiment impossible de ne pas communiquer nos données personnelles.  C’est vrai pour le commerce traditionnel, c’est encore plus vrai pour le commerce en ligne. Une simple consultation d’un site internet et nos données personnelles sont communiquées. Un simple entretien d’embauche pour un travail, et nos données personnelles sont transmises.

Face à la masse des offres de biens et de services sur toute la planète, les entreprises cherchent à cibler leur public et à ajuster leurs produits au plus près des attentes des consommateurs.

Ils sont donc prêts à payer très cher afin d’obtenir des données personnelles, notamment auprès d’autres entreprises. C’est le cas lorsqu’une entreprise vend son fonds de commerce, elle vend aussi ses fichiers de données personnelles.

On sait que le fonds de commerce c’est la valeur d’une société, et les données personnelles peuvent doper la valeur du fonds de commerce. Google collecteur massif de données personnelles a atteint les 2.000 milliards de dollars de capitalisation boursière[i], Facebook, également intégrateur de données personnelles, est cotée en Bourse.

Lorsqu’une société cède son fonds de commerce, elle doit garantir à l’acquéreur une jouissance paisible du fonds de commerce[ii], le repreneur doit pouvoir exploiter normalement ce qu’il a acheté notamment les données personnelles. Si ce n’est pas le cas, les cessions du fonds de commerce peuvent être annulées ou leur prix réduit[iii], et les tribunaux sont régulièrement saisis à ce sujet.

Jouissance paisible, concurrence déloyale, vices cachés, les données personnelles peuvent donc être au cœur de troubles et de dangers lors des cessions de fonds de commerce. Heureusement, des méthodes juridiques existent, la première est de respecter certains points de vigilance.

Vigilance sur les données personnelles des clients

Toutes cessions de fonds de commerce imposent le transfert de la clientèle. C’est une obligation légale[iv]. Comment ? Par la vente de ce qu’on appelle les éléments dit attractifs de la clientèle tels que l’emplacement commercial, la marque, les compétences des salariés, ou les fichiers clients.

Ces fichiers clients contiennent les données personnelles. Les clients communiquent aux commerçants leur nom, prénoms pour la facturation, leur adresse personnelle pour la livraison des articles achetés, leur situation familiale, leurs préférences, leurs habitudes…

Ainsi, une donnée personnelle se définit comme tout élément qui permet d’identifier, totalement ou partiellement, une personne physique, par exemple, son nom, prénom, sa localisation géographique…[v]

Pourtant, aussi surprenant que cela puisse être, d’un point de vue juridique, les données personnelles  ne sont pas vendues lors d’une cession d’un fonds de commerce . D’abord, comme le corps humain, les données personnelles restent attachées à la personne. Ensuite, la personne physique propriétaire de ses données personnelles n’est pas partie au contrat de vente du fonds de commerce.

Ce qui est vendu ce sont les fichiers clients, et le droit d’utilisation portant sur ces fichiers.

Les parties à la cession du fonds de commerce doivent donc être particulièrement vigilantes en s’assurant, juridiquement, que le repreneur du fonds de commerce, aura les mêmes droits sur les données personnelles que le cédant.

L’erreur ici serait de considérer que l’accord des clients pour l’utilisation de leurs données personnelles par le repreneur du fonds de commerce est implicite parce que pour eux cela n’a pas d’impact. Au contraire, le consentement des clients au transfert de leurs données personnelles à un tiers doit être express.

Express, leur consentement doit aussi être complet. Ainsi, la cession du fonds de commerce doit couvrir le transfert non pas du mais des fichiers clients, celui pour les relances commerciales, celui pour les cartes de fidélité, celui pour les garanties produits etc…

Les données personnelles contenues dans les fichiers clients sont parfois très sensibles. Prenons l’exemple des sites d’e-commerce qui n’ont pas de boutiques physiques. Tous les paiements se font en ligne sur le site internet du commerçant. Résultat, les numéros des cartes bancaires des clients qui ont acheté en ligne sont enregistrés dans un fichier. Or, ces données financières sont qualifiées de données à caractère hautement personnel car leur violation peut entraîner des paiements frauduleux.

Attention aussi au fait que l’acquéreur d’un fonds de commerce n’aura pas plus de droits que le cédant. Par exemple, les autorisations de collecte des données qui seraient limitées à un traitement comptable, ne peuvent pas être utilisées à des fins de démarchage commercial par le repreneur du fonds de commerce. L’exploitation doit correspondre à la finalité du traitement autorisé par le client[vi].

Vigilance sur les données personnelles des prospects

Un prospect c’est un client potentiel.

Les prospects sont le potentiel de chiffre d’affaires que l’acquéreur du fonds de commerce va tenter de réaliser. Or, plus la cible est qualifiée, c’est-à-dire plus les informations personnelles seront précises, plus les chances de transformer le prospect en client seront élevées.

Les données personnelles des prospects font partie du fonds de commerce peuvent ou doivent, selon l’accord des parties à la cession, être transmises au repreneur. Mais, il y a un point de vigilance important. L’absence de contrat d’achat, de biens ou de services, entre le commerçant et les prospects. C’est la différence entre un prospect et un client. Un client, ou un utilisateur, a signé un contrat avec le commerçant, il peut s’agir des CGV, des CGU par exemple.

Il y a aussi les collecteurs permanents de données personnelles de prospects, tels les géants du numérique qui vendent ou louent des fichiers de prospects classés par catégorie (âge, situation familiale, localisation…) selon l’activité en ligne de leurs visiteurs. Dans cette hypothèse, il faut être vigilant à bien transmettre les contrats correspondants lors de l’acquisition du fonds de commerce.

En toute hypothèse, le repreneur d’un fonds de commerce a intérêt à vérifier les conditions dans lesquelles, le cédant du fonds de commerce a obtenu les coordonnées de ses prospects, car si cette collecte est illicite, la cession est nulle.

Vigilance sur les données personnelles des salariés

L’achat d’un fonds de commerce passe par la reprise des salariés en place, c’est une obligation légale[vii]. L'acquéreur devra continuer les contrats de travail en cours quelque soit leur statut juridique : CDI, CDD, apprentis….

Recruter un salarié oblige l’employeur à collecter une partie de ses données personnelles et de pouvoir les exploiter. Par exemple, pour établir les paies, l’entreprise a besoin de données telles que les prénoms, nom mais aussi les coordonnées bancaires.

De plus, l’exploitation de certains fonds de commerce impose une surveillance accrue et systématique des salariés, vidéosurveillance, traceur GPS. Or, ces traitements nécessitent une analyse d’impact spécifique. En effet, le règlement pour la protection des données prévoit la conduite d’une analyse d’impact relative à la protection des données (AIPD)[viii], lorsqu‘un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, compte tenu notamment de la nature des données traitées.

Le risque ici est de ne pas pouvoir transférer les contrats de travail, avec une indemnisation financière des conséquences de cette inexécution[ix].

Vigilance sur les données personnelles liées au bail commercial

Céder son fonds de commerce, c’est céder son bail commercial lorsqu’il existe bien sûr. Le bail commercial est un élément fondamental dans la valorisation du fonds de commerce.

L’exécution du bail commercial, par les parties ou via un administrateur de biens, voir par une agence immobilière nécessite l’exploitation de données personnelles. Des prestataires de services liés à la location des locaux de l’entreprise peuvent également faire des traitements sur les données personnelles, notamment pour les informations relatives à l’utilisation de l’immeuble : vidéo surveillance du parking, contrôle d’accès à l’immeuble…

Le repreneur doit s’assurer que l’exécution du bail commercial est et sera compatible avec la réglementation applicable aux données personnelles.

Vigilance sur la légalité du traitement des données personnelles : le pré-audit

Quelque soit la nature des données personnelles, elles peuvent être transférées à l’acquéreur d’un fonds de commerce uniquement lorsqu’elles ont été collectées dans le respect de la réglementation française et européenne, et si ce traitement est expressément prévu lors de l’autorisation d’exploitation.

Il est ici rappelé qu’il n'y a que les choses qui sont licitement dans le commerce qui puissent être l'objet de contrat[x]. Il est fortement recommandé pour une cession de fonds de commerce de faire faire au préalable un audit juridique par avocat, sur les conditions de collecte et de traitement des données personnelles.

Vigilance sur la légalité du transfert des données personnelles : l’information

L’information des propriétaires des données personnelles que leurs données ont été transférées doit être faite[xi].

La Cour de justice de l’Union européenne rappelle que les personnes physiques doivent connaître l’identité du ou des destinataires de leurs données personnelles.[xii]

Il appartient au repreneur du fonds de commerce en qualité de nouveau responsable de traitement, de procéder à cette information[xiii]. La CNIL, en charge de veiller au respect de la réglementation, recommande une information au premier contact avec le propriétaire des données personnelles, et au plus tard, dans un délai raisonnable.[xiv]

Dernier point, le nouvel exploitant du fonds de commerce peut être domicilié hors de l’Union européenne. Dans cette situation, il est recommandé d’appliquer les règles juridiques permettant le transfert international des données personnelles ; ces règles juridiques différent en fonction du pays de destination.

Conclusion : qui est responsable ?

Qui est responsable en cas de violation de la réglementation protégeant les données personnelles lors d’une cession de fonds de commerce ?

Dans le contentieux entre les parties à la cession du fonds de commerce, le cédant du fonds plaidera le transfert effectif de la clientèle, le défaut d’audit préalable, alors que le cessionnaire arguera le dol du cédant, affirmant que les données personnelles conditionnent la viabilité économique de toute entreprise[xv] et qu’il y a une violation de l’obligation de délivrance.[xvi]

En cas de dommage subi par les clients, prospects ou salariés résultant de l’absence de consentement au transfert de leurs données, la responsabilité civile est celle du cédant en qualité de responsable du traitement initial, sur le fondement de l’article 82 du RGPD.

Le repreneur risque gros aussi car, non il ne pourra pas évoquer l’ignorance en tant que professionnel, il pourra éventuellement se retourner contre le vendeur du fonds de commerce pour nullité de la cession ou indemnisation, encore faut-il que la société qui lui a vendu le fonds de commerce existe toujours…

Conclusion, l’anticipation est la meilleure option.

 


[i] https://www.tradingsat.com/

[ii] Article 1598 code civil

[iii] Article 1217 code civil. Pour un exemple de réduction de prix : Cour d'appel, Amiens, Chambre économique, 23 Juin 2016 – n° 13/01476

[iv] Fréquemment cité Article L. 141-5 code de commerce, avec surtout une jurisprudence confirmée.

[v] Pour une définition plus juridique, confère le RGPD

[vi] Pour un exemple, exemple d’un annuaire de coordonnées téléphonique : « Le libellé de l’article 12, paragraphe 2, de la directive « vie privée et communications électronique s» ne permet pas de considérer que l’abonné disposerait d’un droit sélectif de décision au profit de certains fournisseurs de services de renseignements téléphoniques accessibles au public et d’annuaire. Il convient de relever à cet égard que c’est la publication même des données à caractère personnel dans un annuaire ayant une finalité particulière qui peut s’avérer préjudiciable pour un abonné. Toutefois, lorsque ce dernier a consenti à ce que ses données soient publiées dans un annuaire ayant une finalité particulière, il n’aura généralement pas d’intérêt à s’opposer à la publication des mêmes données dans un autre annuaire similaire. » CJUE, 5 mai 2011, n° C-543/09, Deutsche Telekom AG c/ Bundesrepublik Deutschland

[vii] Article L. 1224-1, alinéa 2, du Code du travail

[viii] Article 35 du RGPD

[ix] Article 1217 code civil

[x] Article 1128 code civil

[xi] Article 82 du RGPD

[xii] CJUE, 12 janv. 2023, aff. C-154/21,

[xiii] Considérant n°42 du RGPD : « Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l'identité du responsable du traitement »

[xiv] La vigilance doit être portée sur les transferts à des tiers acquéreurs. La réglementation RGPD vise le cas d’un transfert intra-groupe qui présente un intérêt légitime.  Considérant n°48 du RGPD : « Les responsables du traitement qui font partie d'un groupe d'entreprises ou d'établissements affiliés à un organisme central peuvent avoir un intérêt légitime à transmettre des données à caractère personnel au sein du groupe d'entreprises à des fins administratives internes, y compris le traitement de données à caractère personnel relatives à des clients ou des employés. Les principes généraux régissant le transfert de données à caractère personnel, au sein d'un groupe d'entreprises, à une entreprise située dans un pays tiers ne sont pas remis en cause. »

[xv] Article 1615 du Code civil

[xvi] Pour un exemple : Cour d'appel, Versailles, 12e chambre, 12 Janvier 2023 – n° 21/02823