Tout a commencé bien avant le RGPD, en 2013, quand la Chambre Commerciale de la Cour de Cassation décidait de la nullité de la vente d’un fichier client qui n’avait pas été déclaré à la CNIL alors qu’il aurait dû l’être.
Illicitement constitué, le fichier client ainsi cédé était invendable en application du principe général rappelé par l’article 1128 du Code Civil qui disait jusqu’au 1er octobre 2016 (date où il a été modifié par la refonte du droit des contrats) :
Il n’y a que les choses qui sont dans le commerce qui puissent être l’objet des conventions.
Depuis le 1er octobre 2016, l’article 1128 du Code Civil est modifié comme suit :
Sont nécessaires à la validité d’un contrat :
1° Le consentement des parties ;
2° Leur capacité de contracter ;
3° Un contenu licite et certain.
Fondamentalement dans le cas qui nous intéresse, cela ne change pas grand-chose : le contenu du contrat étant dans ce cas illicite, il ne peut pas faire l’objet d’un contrat.
La question que l’on peut légitimement de poser est la suivante : A compter du 25 mai 2018, le RGPD est devenu applicable. Il prévoit notamment que dans le cas où des données personnelles ont été collectées dans un but de démarchage, le consentement de la personne doit être obtenu. Je ne détaillerai pas ici les modalités de recueil de ce consentement mais dans l’hypothèse où le consentement des personnes concernées identifiées dans le listing client serait vicié, ne pourrait-on pas retenir le même raisonnement ?
Pire, dans l’hypothèse de la cession d’un fonds de commerce dont la valeur principale serait ce listing client, le nom respect du RGPD ne pourrait-il pas remettre en question la cession complète, le fonds étant vidé de sa substance par l’aspect illicite du listing client ?
Lors des dues diligences menées lors d’audits d’acquisition, et dans le cadre de l’obligation de conseil des différents consultants (avocats, experts-comptables…), l’analyse du RGPD est désormais indispensable. Au-delà d’être un risque (ou une opportunité, ça dépend de quel côté on se place) pour dégrader la valorisation de la cible, c’est l’opération elle-même qui peut être mise en péril en cas de négligence du RGPD.
