Contrôle CNIL : comment se retourner contre son prestataire ? 

·

·

,
Contrôle CNIL : comment se retourner contre son prestataire ? 
Ce point juridique est utile ?

Un contrôle CNIL ne permet pas nécessairement à la société controlée de se retourner contre son prestataire, cédant des données personnelles en cause, pour obtenir le remboursement des factures payées. 

Cession de données personnelles non conformes 

La société Sfam exerce une activité de courtage en assurance et commercialise des produits principalement dans les métiers de la téléphonie, du multimédia et de l’optique.  La société Sfam ayant décidé de réorienter sa stratégie de commercialisation via la méthode du co-sponsoring, s’est rapprochée de la société Base & Co. 

Les relations contractuelles ont démarré le 30 octobre 2018 suite à la régularisation de deux bons de commande. Les relations entre les deux sociétés se sont poursuivies en 2019, 2020 et en 2021. Les relations entre les parties se sont tendues à la suite d’un contrôle de la Commission Nationale de l’Informatique et des Libertés en septembre 2021. 

Contestation de factures 

Par courrier recommandé du 9 novembre 2021, la société Sfam a contesté toutes les factures émises ou à émettre et a mis en demeure la société Base & Co de lui rembourser l’ensemble des factures payées par elle. Le 3 février 2022, la société Base & Co a attrait la société Sfam devant le juge des référés du tribunal de commerce de Romans sur Isère, afin d’obtenir le paiement de 1.265.853,24 euros TTC au titre de factures impayées.

Dans les différents documents contractuels, relatifs à l’utilisation des données personnelles, la société Base & Co s’est s’engagée à obtenir le consentement des personnes concernées quant au partage de leurs données personnelles avec des tiers et à conserver la preuve de ce consentement’; à mettre à la disposition de la société Sfam les informations nécessaires pour démontrer le respect des obligations prévues par le règlement général sur la protection des données personnelles pris par le Parlement européen (RGPD)’; à conserver les données, en fonction de la finalité poursuivie, pour une durée n’excédant pas cinq ans à compter de l’expiration du contrat. 

Aucun élément ne vient établir que l’objet du contrat est illicite comme soutenu par la société Sfam, s’agissant non d’un problème intrinsèque au contrat, mais de difficultés imputées à son exécution. En outre, il n’appartient pas à la cour, statuant dans la limite des pouvoirs du juge des référés, d’annuler un contrat. 

Les prestations dont le paiement est demandé sont relatives aux travaux réalisés sur la période courant des mois de juin à novembre 2021. Or, la société Sfam se prévaut d’un contrôle de la Cnil réalisé antérieurement, faisant l’objet d’un courrier et d’une mise en demeure de cet organisme du 24 novembre 2020, relevant un manquement dans la collecte des données personnelles. Cette mise en demeure repose sur des procès-verbaux de contrôle remontant au mois d’août 2019.

Conditions de l’exception d’inexécution

Il en résulte que ces faits ne peuvent venir fonder une exception d’inexécution de la part de la société Sfam concernant la demande en paiement visant la période de juin à novembre 2021, en exécution du contrat-cadre conclu le 17 février 2021.

Existence d’une contestation sérieuse 

En outre, sa demande tendant à voir condamner la société Base & Co à lui restituer la somme de 4.150.099,92 euros TTC au titre des factures payées jusqu’au 20 novembre 2019 est affectée d’une contestation sérieuse, en raison de l’absence de réclamation effectuée avant le contrôle de la Cnil, alors que la société Sfam disposait des fichiers concernés, outre la conclusion du contrat-cadre postérieurement. Les observations de la Cnil n’ont pas concerné tous les fichiers remis par la société Base & Co, ce contrôle n’ayant été effectué que par sondage.

Concernant la période ayant couru postérieurement au 20 novembre 2019, ce n’est que par décision du 29 juin 2021 que la Cnil a décidé de procéder à une nouvelle vérification des traitements mis en oeuvre par la société Sfam ou pour son compte. Des vérifications ont été effectuées par cette commission le 23 septembre 2021, mais il n’est pas justifié d’une décision de la Cnil qui aurait été notifiée à la société Sfam. Il s’est agi également de sondages, les fichiers livrés par la société Base & Co comportant des milliers de prospects. Le procès-verbal de contrôle n’a pas fait pas état d’une infraction à la réglementation concernant la protection des données personnelles.

Suite à ce contrôle, la société Sfam a procédé à des vérifications des fichiers livrés, et par mail du 9 novembre 2021, elle a fait part de l’absence de conformité de plus de 18.000 fiches de prospects. D’autres courriels postérieurs font état du même problème concernant d’autres livraisons de prospects. Un courrier a été adressé par la société Sfam à la société Base & Co concernant les problèmes rencontrés, avec une mise en demeure de rembourser la somme de 3.765.874,70 euros HT. 

Il résulte de ces éléments que la demande en paiement de la société Base & Co est affectée de contestations sérieuses, qu’il n’appartient pas au juge des référés d’apprécier. Les faits développés ci-dessus indiquent également que les demandes reconventionnelles de la société Sfam sont affectées des mêmes difficultés, dont l’appréciation appartient au juge du fond. Il sera en conséquence dit qu’il n’y a pas lieu à référé.

Télécharger cette décision

Consultez et Téléchargez la décision à l’origine de ce point juridique

Les litiges sur les traitements de données personnelles ↗

Parcourez toutes les décisions de justice récentes rendues sur ce thème afin de sécuriser vos affaires

La législation applicable aux traitements de données personnelles ↗

Restez informé(e) en retrouvant toute la législation applicable à ce thème juridique.


Chat Icon