Que deviennent les données personnelles collectées par une entreprise lorsque celle-ci est mise en liquidation ou est vendue ? Il n’est pas rare dans une telle situation que le patrimoine de l’entreprise change de main via une vente d’actifs.

Mais les données personnelles ne sont pas tout à fait un actif comme les autres. Peuvent-elles être revendues sans contrôle ? Nous sommes allés poser la question à Maître Eric Barbry, avocat et directeur du pôle numérique au cabinet Alain Bensoussan Avocats.

SecurityVibes : Peut-on racheter les données personnelles d’une entreprise en liquidation ?
Eric Barbry : Il faut tout d’abord déterminer si ces données ont été collectées conformément à la loi Informatique & Libertés. Si ce n’est pas strictement le cas, alors c’est simple : ces données ne peuvent pas être revendues !

SV : un audit préalable en ce sens est donc souhaitable ?
EB : Cela s’apparente aux contrôles que l’on fait sur tous les actifs, tels que les marques par exemple. Utiliser une marque sans droit relève du pénal. C’est pareil si l’on utilise un fichier de données personnelles hors de sa destination déclarée.

SV : Est-il possible de se couvrir contre ce risque au moment du rachat ?
EB : Il est conseillé d’ajouter au contrat de reprise ou de cession une clause de jouissance paisible de ces données. Mais cela peut être difficile à faire respecter après coup. Le mieux reste donc l’audit juridique préalable afin de s’assurer que tout est en ordre.

SV : Si tout est en ordre, alors une entreprise peut donc racheter des données personnelles ?
EB : Si tout est correct, alors les fichiers de données personnelles relèvent du patrimoine immatériel de l’entreprise et ils doivent donc pouvoir être cédés ou repris. A condition toutefois de respecter ce qui a été déclaré à la CNIL !
Cela est assez simple pour des fichiers clients (qui relèvent de la déclaration simplifiée : on peut faire a peu près tout ce que l’on veut en terme de commerce). En revanche avec des fichiers un peu plus spéciaux, comme ceux des abonnés à une newsletter par exemple, il faudra respecter la destination du fichier. Dans le cas de la newsletter le repreneur ne pourra utiliser le fichier que pour l’envoi de newsletters, et non pour faire du démarchage. Et il devra aussi respecter le périmètre initial : si les abonnés ont par exemple acceptés de recevoir des publicités en provenance de la société elle-même, il sera impossible au repreneur de leur adresser des publicités de ses partenaires.

SV : Y a-t-il des formalités particulières à mener vis-a-vis de la CNIL lors d’une telle cession ou d’une reprise ?
EB : Oui, car la déclaration ayant été faite par la société d’origine, si celle-ci change (intégration, nouveau nom, nouvelle structure, reprise, etc) il faudra refaire les déclarations car une mise à jour est nécessaire. Lors d’une reprise, il n’y aura a priori aucun souci pour démontrer qu’il s’agit de la continuité de l’activité initiale. Dans le cadre d’une cession en revanche, il n’est pas certain que les fichiers puissent être revendus, en fonction de leur destination (notamment de l’activité du repreneur, ndlr). Il y a donc une vérification à faire sur ce point.