La vente d’un fichier informatisé contenant des données à caractère personnel qui n’a pas été déclaré à la Cnil est nulle.

Publié le

La loi est claire : tout fichier informatisé contenant des données à caractère personnel doit être déclaré auprès de la commission nationale de l’informatique et des libertés (Cnil).

S’appuyant sur cette règle, l’acheteur d’un fichier informatisé de clients qui n’avait pas été déclaré à la Cnil avait demandé en justice la nullité de la vente. Il a obtenu gain de cause, la Cour de cassation ayant estimé qu’un fichier non déclaré n’est pas dans le commerce et qu’en conséquence sa vente a un objet illicite.

Attention : le non-respect de l’obligation de déclarer à la Cnil un traitement de données à caractère personnel constitue une infraction pénale pouvant être punie de 5 ans d’emprisonnement et de 300 000 € d’amende.

Cette décision rappelle aux entreprises combien il est important pour elles de déclarer leurs fichiers clients (et tout autre fichier comportant des données à caractère personnel). Car sinon, au-delà des sanctions pénales qu’elles encourent, il pourra leur être interdit de les vendre et donc d’en tirer profit.

Cassation commerciale, 25 juin 2013, n° 12-17037

© Les Echos Publishing – 2013