RGPD : la sanction de la nullité du contrat
- par Olivier BEDDELEEM - Professeur adjoint, EDHEC Business School
-
Affichages : 901
Un arrêt de la cour d’appel d’Orléans donne un éclairage particulier sur les obligations liées à la protection des données. La violation de la réglementation des données peut être sanctionnée pour l’illicéité de l’objet du contrat et cette sanction est applicable à la vente d’un fichier immobilier.
CA Orléans, 11 mars 2021, n° 19/01901
La protection des données a été organisée par la loi n° 78-17 Informatique et liberté du 6 janvier 1978. Cette loi a été de nombreuses fois modifiée afin de tenir compte de l’évolution des technologies. Elle a depuis le 25 mai 2018 été pour une large part remplacée par le Règlement général de protection des données (RGPD - Règlement (UE) 2016/679). L’arrêt du 11 mars 2021 est rendu sous l’empire de la loi Informatique et liberté, mais ses solutions prennent encore plus de sens à la lumière de la réglementation européenne.
Le RGPD prévoit six obligations principales : l’obtention du consentement, la limitation des finalités, la minimisation des données, l’exactitude, la limitation de conservation, et l’intégrité et la confidentialité des données.
Parmi ces obligations, le consentement tient une place de choix : un responsable de données ne peut utiliser celles-ci que s’il a préalablement obtenu le consentement. Les données doivent être «traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence)» (art. 5). Surtout, les données doivent être «collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités» (art. 5).
Les sanctions les plus souvent présentées relèvent de la CNIL. Le responsable de traitement s’expose à une amende administrative maximale de 20 millions d’euros ou 4 % du chiffre d’affaires mondial (art. 83). Au vu de l’ampleur des données collectées et de leur caractère souvent sensible, les agents immobiliers sont souvent l’objet de contrôle et de sanctions. Des sanctions qui ont pu aller jusque 400 000 euros pour un groupe immobilier français pour avoir insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées.
Mais comme le montre l’arrêt analysé, ce ne sont pas les seules sanctions. La violation de la réglementation des données peut être sanctionnée pour l’illicéité de l’objet du contrat (I) et cette sanction est applicable à la vente d’un fichier immobilier (II).
Article paru dans les Annales des Loyers N° 05 de mai 2021
Abonnez-vous ou connectez-vous pour lire la suite.