Le RGPD s’oppose-t-il à une réglementation nationale qui permet à un huissier de justice, dans le cadre d’une procédure d’exécution forcée, de vendre une base de données contenant des données à caractère personnel, lorsque les personnes concernées par ces données n’ont pas donné leur consentement à une telle vente ?
Une société, désignée comme la requérante ou la société créancière, établie en Pologne, détient une créance confirmée par une décision de justice définitive contre la société NMW, spécialisée dans la vente en ligne, dont M.W. est membre du conseil d’administration.
La société requérante a engagé une procédure d’exécution contre la société NMW pour recouvrer sa créance. Cependant, cette procédure a été interrompue par une décision de l’huissier de justice, affirmant que la société NMW n’avait pas d’actifs saisissables.
En conséquence, la requérante a intenté une action contre M.W. (membre du conseil d’administration) devant le tribunal de Varsovie, invoquant la responsabilité patrimoniale des membres du conseil d’administration selon le code des sociétés commerciales polonais.
M.W. a contesté cette action en affirmant que la société NMW possédait des actifs suffisants pour couvrir la dette, notamment un logiciel d’achat en ligne avec un service de quasi-cashback et deux bases de données d’utilisateurs.
Le tribunal a souligné que la vente du seul logiciel d’achat en ligne sans les bases de données ne serait pas aussi attrayante sur le marché que la vente de l’ensemble des actifs.
La question clé soulevée est de savoir si les bases de données de la société NMW peuvent être cédées dans le cadre d’une procédure d’exécution judiciaire. Une réponse affirmative pourrait conduire au rejet de l’action en justice principale.
La juridiction de renvoi considère que les bases de données en question relèvent de la directive européenne sur la protection juridique des bases de données et que leur cession est possible, sauf disposition contraire.
Cependant, des doutes subsistent quant au fait que ces bases de données, contenant des données à caractère personnel de centaines de milliers d’utilisateurs, puissent être cédées sans le consentement des personnes concernées, en vertu du Règlement général sur la protection des données (RGPD).
Par conséquent, le tribunal de Varsovie a posé une question préjudicielle à la Cour de justice de l’Union européenne (CJUE) concernant la compatibilité entre la législation nationale permettant la vente de bases de données contenant des données personnelles dans le cadre d’une procédure d’exécution et les dispositions du RGPD.
Dans ses conclusions, l’avocat général Priit Pikamäe propose à la Cour de répondre que l’article 6 RGPOD ne s’oppose pas à une réglementation nationale qui permet à un huissier de justice de vendre, dans le cadre d’une procédure d’exécution forcée, une base de données contenant des données à caractère personnel, lorsque les personnes concernées par ces données n’ont pas donné leur consentement à une telle vente, à condition que le traitement effectué par cet huissier à l’égard desdites données constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir l’exécution d’une demande de droit civil.
Selon lui, les opérations effectuées par l’huissier de justice aux fins de l’estimation de la valeur des bases de données concernées et de leur vente aux enchères publiques entrent dans le champ d’application du RGDP.
En fait, ces actes incluent à tout le moins l’extraction, la consultation, l’utilisation et la mise à disposition de l’acquéreur des données à caractère personnel et, par conséquent, doivent être considérés comme un « traitement » de ces données au sens de ce règlement.
De plus, l’avocat général estime que l’huissier de justice doit être considéré comme étant responsable de ce traitement.
En outre, l’avocat général considère que le traitement en question est licite lorsqu’il est nécessaire pour effectuer une mission relevant de l’exercice de l’autorité publique dont l’huissier de justice est investi.
Enfin, l’avocat général constate que la finalité du traitement réalisé par l’huissier de justice diffère de la finalité initiale visant à permettre l’utilisation de la plate-forme de vente en ligne concernée. Afin que ce traitement ultérieur puisse être considéré comme étant compatible avec le RGPD, il doit constituer une mesure nécessaire et proportionnée dans une société démocratique pour atteindre un des objectifs d’intérêt général visés par ce règlement. Selon l’avocat général, parmi ces objectifs, celui concernant l’exécution des demandes de droit civil peut, en principe, justifier le traitement de données en cause en l’espèce. Il souligne également que l’examen de la proportionnalité, qui incombe à la juridiction polonaise, implique une pondération entre le droit de propriété de la société créancière et le droit à la protection des données à caractère personnel des utilisateurs de la plate-forme de vente en ligne concernée.
Dans le cadre de procédures collectives, il est très fréquent que des questions se posent sur la réutilisation des données à caractère personnel, qu’il s’agisse des fichiers clients (qui ont une valeur monétaire importante) ou des fichiers fournisseurs (notamment afin de les contacter pour l’établissement des plans d’apurement).
La matière est encore peu explorée et l’arrêt qui sera rendu est important.
La première question que la Cour aura à trancher concerne la question de la compatibilité des finalités. La finalité du traitement que constitue la vente du fichier dans le cadre de la procédure collective, est-elle compatible avec la finalité initiale ?
On connait la jurisprudence de la Cour (voir notre analyse) et les critères à prendre en compte dans cette analyse :
L’avocat général semble convaincu qu’il n’y a pas de réutilisation compatible possible. Il écrit : « Il est évident que la prise en compte de ces critères en l’espèce ne pourrait pas entraîner une réponse affirmative quant à la compatibilité des finalités en cause. Ainsi que la Cour l’a récemment précisé, lesdits critères traduisent la nécessité d’un lien concret, logique et suffisamment étroit entre les finalités de la collecte initiale des données à caractère personnel et le traitement ultérieur de ces données, et permettent ainsi de s’assurer que ce traitement ultérieur ne s’écarte pas des attentes légitimes des personnes concernées quant à l’utilisation ultérieure de leurs données. Or, un tel lien ne peut pas être établi dans la présente affaire. »
Cette évidence ne nous parait pourtant pas aussi … évidente.
Lorsqu’un acheteur se présente pour acquérir ce genre d’actif, c’est en général avec l’idée d’une poursuite d’activité. Dans pareil cas, nous ne voyons pas de raison d’exclure d’une façon aussi radicale la possibilité d’une compatibilité des finalités.
L’avocat général semble conscient de l’impasse créée par cette affirmation pour le moins radicale, et il cherche une solution via l’article 6.4 RGPD, lu en combinaison avec l’article 23.
Pour lui, selon cette disposition, « l’appréciation de la compatibilité des finalités devient uniquement nécessaire « [l]orsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, [du RGPD] ».
Il voit dans l’article 6.4 « une véritable dérogation au principe de limitation des finalités ».
Pour lui,la CJUE « a indiqué que le responsable du traitement est ainsi autorisé à effectuer un traitement ultérieur des données concernées indépendamment de la compatibilité de ce traitement avec les finalités pour lesquelles ces données ont été collectées initialement, afin de sauvegarder les objectifs importants d’intérêt public général énoncés à l’article 23, paragraphe 1, du RGPD. C’est ainsi qu’elle a conclu que l’article 6, paragraphe 4, première phrase, de ce règlement s’applique à la production en tant qu’élément de preuve d’un document contenant des données à caractère personnel de tiers collectées principalement à des fins de contrôle fiscal, ordonnée par une juridiction dans le cadre d’une procédure juridictionnelle civile. »
Il cite aussi « la position du Conseil dans les travaux préparatoires du RGPD [qui] exprime, peut-être encore plus clairement que le considérant 50 de ce règlement, le choix de permettre au responsable du traitement une marge, soigneusement encadrée, pour effectuer un traitement incompatible avec les finalités indiquées au moment de la collecte des données à caractère personnel faisant l’objet de celui-ci. »
Appliquant cela au cas d’espèce, l’avocat général considère que :
On le voit, c’est l’interaction entre les articles 5 et 6 d’une part, et l’article 23 d’autre part, qui est en jeu dans cette affaire, et qui fait de l’arrêt à venir une décision particulièrement intéressante.