Aujourd’hui, il est quasiment impossible de ne pas communiquer nos données personnelles. C’est vrai pour le commerce traditionnel, c’est encore plus vrai pour le commerce en ligne.

Une simple consultation d’un site internet et nos données personnelles sont communiquées. Un simple entretien d’embauche pour un travail, et nos données personnelles sont transmises.

Face à la masse des offres de biens et de services sur toute la planète, les entreprises cherchent à cibler leur public et à ajuster leurs produits au plus près des attentes des consommateurs.

Ils sont donc prêts à payer très cher afin d’obtenir des données personnelles, notamment auprès d’autres entreprises. C’est le cas lorsqu’une entreprise vend son fonds de commerce, elle vend aussi ses fichiers de données personnelles.

Mais, lorsqu’une société cède son fonds de commerce, elle doit garantir à l’acquéreur une jouissance paisible du fonds de commerce, le repreneur doit pouvoir exploiter normalement ce qu’il a acheté notamment les données personnelles. Si ce n’est pas le cas, les cessions du fonds de commerce peuvent être annulées ou leur prix réduit, et les tribunaux sont régulièrement saisis à ce sujet.

Jouissance paisible, concurrence déloyale, vices cachés, les données personnelles peuvent donc être au cœur de troubles et de dangers lors des cessions de fonds de commerce. Heureusement, des méthodes juridiques existent, la première est de respecter certains points de vigilance.

1. Vigilance sur les données personnelles des clients.

Toutes cessions de fonds de commerce imposent le transfert de la clientèle. C’est une obligation légale. Comment ? Par la vente de ce qu’on appelle les éléments dits attractifs de la clientèle tels que l’emplacement commercial, la marque, les compétences des salariés ou les fichiers clients.

Ces fichiers clients contiennent les données personnelles. Les clients communiquent aux commerçants leur nom, prénoms pour la facturation, leur adresse personnelle pour la livraison des articles achetés, leur situation familiale, leurs préférences, leurs habitudes…

Ainsi, une donnée personnelle se définit comme tout élément qui permet d’identifier, totalement ou partiellement, une personne physique, par exemple, son nom, prénom, sa localisation géographique…

Pourtant, aussi surprenant que cela puisse être, d’un point de vue juridique, les données personnelles ne sont pas vendues lors d’une cession d’un fonds de commerce. D’abord, comme le corps humain, les données personnelles restent attachées à la personne. Ensuite, la personne physique propriétaire de ses données personnelles n’est pas partie au contrat de vente du fonds de commerce.

Ce qui est vendu, ce sont les fichiers clients et le droit d’utilisation portant sur ces fichiers.

Les parties à la cession du fonds de commerce doivent donc être particulièrement vigilantes en s’assurant, juridiquement, que le repreneur du fonds de commerce, aura les mêmes droits sur les données personnelles que le cédant.

L’erreur ici serait de considérer que l’accord des clients pour l’utilisation de leurs données personnelles par le repreneur du fonds de commerce est implicite parce que pour eux cela n’a pas d’impact. Au contraire, le consentement des clients au transfert de leurs données personnelles à un tiers doit être express.

Express, leur consentement doit aussi être complet. Ainsi, la cession du fonds de commerce doit couvrir le transfert non pas du mais des fichiers clients, celui pour les relances commerciales, celui pour les cartes de fidélité, celui pour les garanties produits, etc…

Les données personnelles contenues dans les fichiers clients sont parfois très sensibles. Prenons l’exemple des sites d’e-commerce qui n’ont pas de boutiques physiques. Tous les paiements se font en ligne sur le site internet du commerçant. Résultat, les numéros des cartes bancaires des clients qui ont acheté en ligne sont enregistrés dans un fichier. Or, ces données financières sont qualifiées de données à caractère hautement personnel, car leur violation peut entraîner des paiements frauduleux.

Attention aussi au fait que l’acquéreur d’un fonds de commerce n’aura pas plus de droits que le cédant. Par exemple, les autorisations de collecte des données qui seraient limitées à un traitement comptable, ne peuvent pas être utilisées à des fins de démarchage commercial par le repreneur du fonds de commerce. L’exploitation doit correspondre à la finalité du traitement autorisé par le client.

2. Vigilance sur les données personnelles des prospects.

Un prospect, c’est un client potentiel.

Les prospects sont le potentiel de chiffre d’affaires que l’acquéreur du fonds de commerce va tenter de réaliser. Or, plus la cible est qualifiée, c’est-à-dire plus les informations personnelles seront précises, plus les chances de transformer le prospect en client seront élevées.

Les données personnelles des prospects peuvent ou doivent, selon l’accord des parties à la cession, être transmises au repreneur. Mais, il y a un point de vigilance important. L’absence de contrat d’achat, de biens ou de services, entre le commerçant et les prospects. C’est la différence entre un prospect et un client. Un client ou un utilisateur, a signé un contrat avec le commerçant, il peut s’agir des CGV, des CGU par exemple.

Il y a aussi les collecteurs permanents de nos données personnelles, tels les géants du numérique qui vendent ou louent des fichiers de prospects classés par catégorie (âge, situation familiale, localisation…) selon l’activité en ligne de leurs visiteurs. Dans cette hypothèse, il faut être vigilant à bien transmettre les contrats correspondants lors de l’acquisition du fonds de commerce.

En résumé, le repreneur d’un fonds de commerce a intérêt à vérifier les conditions dans lesquelles, le cédant du fonds de commerce a obtenu les coordonnées de ses prospects, car si cette collecte est illicite, la cession est nulle.

3. Vigilance sur les données personnelles des salariés.

L’achat d’un fonds de commerce passe par la reprise des salariés en place, c’est une obligation légale. L’acquéreur devra continuer les contrats de travail en cours quel que soit leur statut juridique : CDI, CDD, apprentis….

Recruter un salarié oblige l’employeur à collecter une partie de ses données personnelles et de pouvoir les exploiter. Par exemple, pour établir les paies, l’entreprise a besoin de données telles que les prénoms, noms mais aussi les coordonnées bancaires.

De plus, l’exploitation de certains fonds de commerce impose une surveillance accrue et systématique des salariés, vidéosurveillance, traceur GPS. Or, ces traitements nécessitent une analyse d’impact spécifique. En effet, le règlement pour la protection des données prévoit la conduite d’une analyse d’impact relative à la protection des données (AIPD), lorsqu‘un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, compte tenu notamment de la nature des données traitées.

Le risque ici est de ne pas pouvoir transférer les contrats de travail, avec une indemnisation financière des conséquences de cette inexécution.

4. Vigilance sur les données personnelles liées au bail commercial.

Céder son fonds de commerce, c’est céder son bail commercial lorsqu’il existe bien sûr. Le bail commercial est un élément fondamental dans la valorisation du fonds de commerce.

L’exécution du bail commercial, par les parties ou via un administrateur de biens, voir par une agence immobilière, nécessite l’exploitation de données personnelles. Des prestataires de services liés à la location des locaux de l’entreprise peuvent également faire des traitements sur les données personnelles, notamment pour les informations relatives à l’utilisation de l’immeuble : vidéo surveillance du parking, contrôle d’accès à l’immeuble…

Le repreneur doit s’assurer que l’exécution du bail commercial est et sera compatible avec la réglementation applicable aux données personnelles.

5. Vigilance sur la légalité du traitement des données personnelles : le pré-audit.

Quelle que soit la nature des données personnelles, elles peuvent être transférées à l’acquéreur d’un fonds de commerce uniquement lorsqu’elles ont été collectées dans le respect de la réglementation française et européenne, et si ce traitement est expressément prévu lors de l’autorisation d’exploitation.

Il est ici rappelé qu’il n’y a que les choses qui sont licitement dans le commerce qui puissent être l’objet de contrats. Il est fortement recommandé pour une cession de fonds de commerce de faire faire au préalable un audit juridique par avocat, sur les conditions de collecte et de traitement des données personnelles.

6. Vigilance sur la légalité du transfert des données personnelles : l’information.

L’information des propriétaires des données personnelles que leurs données ont été transférées doit être faite.

La Cour de justice de l’Union européenne rappelle que les personnes physiques doivent connaître l’identité du ou des destinataires de leurs données personnelles.

Il appartient au repreneur du fonds de commerce, en qualité de nouveau responsable de traitement, de procéder à cette information. La CNIL, en charge de veiller au respect de la réglementation, recommande une information au premier contact avec le propriétaire des données personnelles, et au plus tard, dans un délai raisonnable.

Dernier point, le nouvel exploitant du fonds de commerce peut être domicilié hors de l’Union européenne. Dans cette situation, il est recommandé d’appliquer les règles juridiques permettant le transfert international des données personnelles ; ces règles juridiques pouvant être différentes en fonction du pays de destination.

Conclusion : qui est responsable ?

Qui est responsable en cas de violation de la réglementation protégeant les données personnelles lors d’une cession de fonds de commerce ?

Dans le contentieux entre les parties à la cession du fonds de commerce, le cédant du fonds plaidera le transfert effectif de la clientèle, le défaut d’audit préalable, alors que le cessionnaire arguera le dol du cédant, affirmant que les données personnelles conditionnent la viabilité économique de toute entreprise et qu’il y a une violation de l’obligation de délivrance.

En cas de dommage subi par les clients, prospects ou salariés résultant de l’absence de consentement au transfert de leurs données, la responsabilité civile est celle du cédant en qualité de responsable du traitement initial, sur le fondement de l’article 82 du RGPD.

Le repreneur risque gros aussi, car il ne pourra pas évoquer son ignorance en tant que professionnel, il pourra éventuellement se retourner contre le vendeur du fonds de commerce pour nullité de la cession ou indemnisation, encore faut-il que la société qui lui a vendu le fonds de commerce existe toujours…

Conclusion, l’anticipation est la meilleure option.

Jean-François Aubert, Avocat Barreau de Paris Droit & informatique [->jfa@aubertavocats.fr]