19/10/2022

ARRÊT N°363

N° RG 21/04513 – N° Portalis DBVI-V-B7F-OOYK

IMM/CO

Décision déférée du 04 Octobre 2021 – Tribunal de Commerce de TOULOUSE – 2019J459

M.TAVERNIER

Société NOTE BLEUE

C/

Société FRESCO DATA LLC

Société HSBC GLOBAL SERVICES LIMITED

infirmation partielle

Grosse délivrée

le

à

REPUBLIQUE FRANCAISE

AU NOM DU PEUPLE FRANCAIS

***

COUR D’APPEL DE TOULOUSE

2ème chambre

***

ARRÊT DU DIX NEUF OCTOBRE DEUX MILLE VINGT DEUX

***

APPELANTE

SAS NOTE BLEUE prise en la personne de son représentant légal domicilié ès qualités au dit siège social

[Adresse 5]

[Localité 1]

Représentée par Me Gilles SOREL, avocat au barreau de TOULOUSE

Assistée de Me Randy YALOZ, avocat au barreau de PARIS

INTIMEES

Société FRESCO DATA Societe de droit californien

[Adresse 2]

[Localité 4]

Représentée par Me Sylvie DELHEURE, avocat au barreau de TOULOUSE

Assistée de Me Céline COASNES-PELLET de la SELARL COASNES-PELLET CELINE, avocat au barreau D’AIX-EN-PROVENCE

Société HSBC GLOBAL SERVICES LIMITED Société de droit anglais

[Adresse 3]

E14

5HQ LONDRES/ROYAUME-UNI)

Représentée par Me Jérôme CARLES de la SCP CAMILLE ET ASSOCIES, avocat au barreau de TOULOUSE

assistée de Me Etienne GASTEBLED de la SCP LUSSAN, avocat au barreau de PARIS

COMPOSITION DE LA COUR

En application des dispositions des articles 805 et 907 du Code de procédure civile, l’affaire a été débattue le 13 Juin 2022, en audience publique, les avocats ne s’y étant pas opposés, devant P.DELMOTTE, conseiller, I. MARTIN DE LA MOUTTE, Conseiller , chargée du rapport, Ces magistrats ont rendu compte des plaidoiries dans le délibéré de la Cour, composée de :

V. SALMERON, présidente

P. DELMOTTE, conseiller

I. MARTIN DE LA MOUTTE, conseiller

Greffier, lors des débats : A. CAVAN

ARRET :

– contradictoire

– prononcé publiquement par mise à disposition au greffe après avis aux parties

– signé par V. SALMERON, présidente, et par C. OULIE, greffier de chambre.

EXPOSE DU LITIGE

La société Note Bleue exerce son activité dans le domaine de la communication multimédia. Elle a développé sous la marque « Zecible» un service de location ou d’achat de bases de données personnelles.

Fresco Data limited Liability company (LLC), société de droit américain, commercialise des licences d’utilisation de bases de données permettant aux utilisateurs la vérification de l’identité de clients ou prospects.

Par acte du 12 mai 2017, la société Fresco Data a conclu avec la société Note Bleue, un contrat dénommé ‘contrat de licence pour le client final HSBC’ portant sur la location mensuelle, au moyen d’un lien de téléchargement adressé à la société HSBC, d’une base de données dite B2C désignée « Zecible » pendant une durée de 36 mois.

Il est précisé au préambule de ce contrat que la société HSBC qui exerce son activité dans le domaine bancaire souhaite utiliser le fichier des particuliers Zécible, dans le cadre de son projet KYC (Know your customer ou connaître son client) ‘notamment pour l’identification du client, la gestion des risques et la surveillance des transactions’ en excluant toute utilisation à des fins commerciales ou de prospection.

Après l’entrée en vigueur du règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après règlement général sur la protection des données ou RGPD), la société Fresco a sollicité de la société Note Bleue un certain nombre de précisions relatives aux modalités de collecte des données personnelles et à la sécurité de systèmes.

Elle a cessé de régler les factures émises par la société Note Bleue à compter du mois de juin 2018.

Par lettre du 2 octobre 2018,la société Note Bleue a mis en demeure la société Fresco Data, d’avoir à lui régler une somme de 125.000 € correspondant aux redevances impayées.

Par lettre du 21 décembre 2018, elle a informé HSBC du défaut de paiement des redevances.

Estimant que les sociétés Fresco Data et HSBC étaient à l’origine de la rupture du contrat, la société Note Bleue les a fait assigner, par acte du 22 février 2019, devant le juge des référés du tribunal de commerce de Toulouse les sociétés HSBC et Fresco Data afin de solliciter leur condamnation solidaire, au paiement provisionnel de la somme de 737.000 € correspondant à la totalité des redevances dues jusqu’à la fin du contrat.

Par ordonnance du 20 juin 2019, le juge des référés a estimé n’y avoir lieu à référé et ordonné le renvoi de l’affaire devant le tribunal en application des dispositions de l’article 873-1 du code de procédure civile.

Dans le cadre de la procédure pendante devant le tribunal de commerce, la société Note Bleue a sollicité la copie des pièces suivantes :

– une version intégrale signée, accompagnée de sa traduction, de l’accord de services conclu entre HSBC Global service (UK) Limited et Fresco Data LLC, évoqué à l’article 3 du contrat de licence du 12 mai 2017, ainsi que tous les documents contractuels et avenants s’y rapportant ;

– une copie intégrale signée de tout autre contrat et/ou document relatifs au mandat donné par la société HSBC global service (UK) Limited à la société Fresco Data LLC relative à la conclusion ou à l’exécution du contrat de licence du 12 mai 2017 ;

– toutes factures de Fresco Data émises en qualité de mandataire de HSBC dans le cadre de l’accord de services et du contrat de licence du 12 mai 2017.

Par jugement du 18 janvier 2021, le Tribunal de commerce de Toulouse a débouté Note Bleue de cette demande de communication de pièces.

Par jugement du 4 octobre 2021, le Tribunal de commerce de Toulouse a:

– déclaré Note Bleue irrecevable en son action à l’encontre de HSBC pour défaut d’intérêt au motif que Fresco Data était intervenue dans le cadre d’une représentation imparfaite pour le compte de la banque mais en son propre nom ;

– désigné un expert ayant pour mission, notamment, de dire si les données contenues dans le fichier dénommé « Zécible», étaient licites au regard des dispositions du RGPD et de toutes réglementations françaises applicables en matière de protection des données à caractère personnel.

– condamné la société Note Bleue à payer à la société HSBC la somme de 800 € sur le fondement de l’article 700 du code de procédure civile.

Par déclaration en date du 8 novembre 2021, la société Note Bleue a relevé appel du jugement du 4 octobre 2021.

Par déclaration en date du 12 janvier 2022, la société Note Bleue a relevé appel du jugement du 4 octobre 2021, ainsi que du jugement du 18 janvier 2021.

Ces procédures ont été jointes par ordonnance du 18 février 2022.

Par conclusions notifiées le 3 juin 2022 auxquelles il est fait expressément référence pour l’énoncé du détail de l’argumentation, la société Note Bleue SAS demande à la cour au visa des articles 6 de la Convention européenne des droits de l’Homme ; 2016/679 du 27 avril 2016 (RGPD),1217 et 1231-1 du code civil,10, 143 et suivants du code de procédure civile ; L151-1, L153-1, R153-3, R153-4 et R153-6 du code de commerce de :

– Infirmer le jugement du 4 octobre 2021 en ce qu’il a :

Dit la SAS Note Bleue irrecevable en son action à l’encontre de HSBC Global Services (UK) Limited pour défaut d’intérêt à agir ;

Désigné en qualité d’expert : Monsieur [X] [Z], à défaut, monsieur [N] [C],

-Réformer le jugement du 19 janvier 2021 rendu par le tribunal de commerce de Toulouse en ce qu’il a débouté la Sas Note Bleue de ses demandes incidentes de communication.

Statuant à nouveau :

A titre liminaire, sur l’avant dire droit et la production obligatoire de la Convention de services HSBC au titre de l’article R153-3 du code de commerce :

Sur le jugement avant dire droit :

– Dire que la solution du litige dépend de la communication, à la société Note Bleue, de la Convention de services HSBC fixant la nature et les limites du mandat de représentation, en ce qu’elle procède d’un motif légitime et est nécessaire à la protection des droits de la société Note Bleue, qui l’a sollicitée, conformément aux articles 143 et suivants du code de procédure civile ;

– Dire que, contrairement à l’ordonnance du Conseiller de la Mise en état de la Cour d’appel de Toulouse du 19 mai 2022, l’article 3 du Contrat de licence conclu entre Note Bleue et HSBC n’interdit aucunement à Note Bleue de se faire communiquer et/ou consulter la convention de services HSBC conclue entre Fresco Data et HSBC, mais prohibe uniquement la consultation des « accords conclus entre Fresco Data et une entité du client final HSBC ou l’une de ses personnes désignées » par HSBC ;

– Dire que la société Note Bleue, en tant que tiers bénéficiaire, dispose de « tous les droits et recours offerts par cette désignation, y compris, sans limitation, Note Bleue aura tous les droits et recours disponibles envers Fresco Data en vertu de l’Accord sur les services HSBC », conformément à l’article 3 du contrat de licence conclu entre Note Bleue et HSBC ;

– Dire que la société Note Bleue ne peut se voir opposer le principe hypothétique du secret des affaires dans sa demande de communication de la Convention de services HSBC ;

– Dire que les sociétés HSBC et Fresco Data n’apportent aucun commencement de preuve permettant de qualifier les informations contenues dans la Convention de services HSBC conclue entre HSBC et Fresco Data comme des informations protégées par le secret des affaires, conformément aux critères posés par l’article L151-1 du code de commerce, et permettant ainsi de justifier que la consultation, totale ou partielle, de la Convention de services HSBC conclue entre HSBC et Fresco Data porterait atteinte au secret des affaires, conformément à l’article R153-3 du code de commerce.

– Dire que la consultation et/ou la communication de la Convention de services HSBC est nécessaire pour l’exercice des droits de la défense de Note Bleue conformément à l’article 6 de la Convention européenne des droits de l’Homme.

– Sur l’obligation de production de la Convention de services HSBC au juge par HSBC et Fresco Data, sous peine d’irrecevabilité du moyen de défense relatif au secret de affaires :

– Ordonner aux sociétés HSBC et Fresco Data de produire la Convention de services HSBC, avec sa traduction en français, selon les modalités prévues par l’article R153-3 du code de commerce et les critères établis à l’article L151-1 du code de commerce, sous peine d’irrecevabilité du moyen de défense relatif au secret des affaires, dans un délai de 30 jours à compter du prononcé de la décision à intervenir et FIXER un calendrier procédural, afin de statuer sur les modalités de consultation et/ou de communication, entière ou partielle, de ladite convention ;

A défaut de production de la Convention de services HSBC par HSBC et Fresco Data avec sa traduction en français, dans le délai fixé par la Cour: – Déclarer irrecevable toute opposition à la communication de la Convention de services HSBC, invoquant la protection des informations contenues dans cette convention, par le secret des affaires, sur le fondement de l’article R153-3 du code de commerce ;

A titre principal :

– Ordonner aux sociétés HSBC et Fresco Data de communiquer, intégralement, la Convention de services HSBC, avec sa traduction en français, à la société Note Bleue ;

A titre subsidiaire :

– Ordonner en tant que besoin, toute autre mesure permettant la mise à disposition et la consultation, auprès du greffe de la Cour d’appel de Toulouse, de la Convention de services HSBC, avec sa traduction en français, par la société Note Bleue et/ou son avocat ;

En tout état de cause,

– fixer une astreinte journalière de 1.500 € par jour de retard de non communication ou de non mise à disposition de ladite convention, à compter du lendemain de l’expiration du délai accordé par la cour pour la production de la convention de services HSBC au titre de l’article R153-3 du code de commerce ;

– fixer un calendrier procédural concernant le fond du présent litige ;

– dire que la Cour se réserve le droit de liquider l’astreinte ;

Sur le fond :

A titre principal,

– déclarer Note Bleue recevable et bien fondée en son action à l’encontre de la société Fresco Data et de la société HSBC ;

– dire n’y avoir lieu à expertise ;

– dire que les sociétés Fresco Data et HSBC ont manqué aux obligations leurs incombant vis-à-vis de Note Bleue en vertu du contrat de licence du 12 mai 2017;

– prononcer la résiliation judiciaire du contrat au bénéfice de Note Bleue;

– condamner solidairement Fresco Data et HSBC à verser à Note Bleue la somme de 670.000 € au titre des sommes restant dues au titre du contrat du 12 mai 2017 ;

– dire que cette somme devra être majorée de 10 %, représentant 67.000 €, et des intérêts de retard calculés, pour le tout, à hauteur de 3 fois le taux d’intérêt légal, conformément aux stipulations de l’article 7 du contrat de licence, et ce à compter de la décision à intervenir ;

– condamner solidairement les sociétés Fresco Data et HSBC à verser à Note Bleue la somme de 50.000 € à titre de dommages et intérêts;

A titre subsidiaire, dans l’hypothèse extraordinaire où la Cour décide d’ordonner l’expertise,

– ordonner solidairement à Fresco Data et HSBC de verser à Note Bleue une provision sur redevances impayées de 180.000 € sur la somme de 670.000 € en vertu du contrat de licence du 12 mai 2017 comme condition préalable à la mise en ‘uvre de l’expertise judiciaire et que, à défaut de règlement effectué dans le délai d’un mois, la mesure d’expertise ordonnée sera caduque.

– dire que cette provision sera placée en séquestre sur le compte CARPA de Me [M] [B] dédié à cet effet dans l’attente du résultat de l’expertise judiciaire et du fond de l’affaire.

En tout état de cause,

– débouter les Intimés de l’ensemble de leurs fins de non-recevoir, moyens, demandes et arguments ;

– condamner solidairement Fresco Data et HSBC à payer à Note Bleue la somme de 15.000 € au titre de l’article 700 du code de procédure civile ;

– condamner solidairement Fresco Data et HSBC aux entiers dépens, incluant notamment les frais d’huissiers et de traduction de l’assignation et des pièces.

Par conclusions notifiées le 7 juin 2022 auxquelles il est fait expressément référence pour l’énoncé du détail de l’argumentation, la société Fresco Data demande à la cour au visa des articles 1154 et suivants, 1219 et suivants, 1162 et suivants du code civil, 138, 10 et 232 et 564 du code de procédure civile, ainsi que des dispositions du Règlement UE 2016/679 du 27 avril 2016 et la loi 78-17 Informatique et Liberté du 4 janvier 1978 modifié, de

A titre liminaire ;

A titre principal :

– confirmer le jugement du Tribunal de Commerce de Toulouse du 18 janvier 2021 et ainsi

– rejeter la demande de communication sous astreinte de Note Bleue visant: 1) la Convention de services HSBC entre Fresco Data et HSBC et tout document relatif au mandat donné par HSBC à Fresco Data en relation avec la conclusion et l’exécution du Contrat de licence,

2) les copies des factures émises par Fresco Data en qualité de mandataire de HSBC dans le cadre de l’accord de services et du contrat de licence du 12 mai 2017.

3) les justificatifs de paiement attestant de l’acquittement par HSBC des factures émises par Fresco Data

A titre subsidiaire,

Si par extraordinaire la Cour donnait droit à la communication de la Convention de services et/ou des factures et/ou justificatifs de paiement – fixer le délai de communication sous astreinte à 40 jours à compter du prononcé de la décision à intervenir.

Sur le fond ;

A titre principal,

– confirmer le jugement du Tribunal de Commerce du 4 octobre 2021 en ce qu’il jugé que Fresco Data a agi au titre d’une représentation imparfaite dans le cadre du Contrat de licence et a donc déclaré l’action de Note Bleue à l’encontre de HSBC irrecevable pour défaut d’intérêt à agir,

– confirmer le jugement du Tribunal de Commerce du 4 octobre 2021 en ce qu’il a ordonné une expertise et de confirmer la mission de l’expert telle que définie par ledit Tribunal,

– Déclarer irrecevable la demande subsidiaire de versement d’une provision sur le fondement de l’article 564 du code de procédure civile

A titre subsidiaire, si la Cour annule le jugement du Tribunal de Commerce du 4 octobre 2021 en ce qu’il a ordonné une expertise

– juger que Note Bleue est défaillant dans la charge de la preuve qui lui incombe concernant le consentement des personnes concernées au transfert des Données les concernant n’est pas rapportée par Note Bleue; – juger que Note Bleue est défaillant dans la charge de la preuve qui lui incombe concernant les mesures de sécurité mises en place pour la protection des Données, notamment par la réalisation d’analyse d’impact; -juger que Note Bleue est défaillant dans la charge de la preuve de la licéité des Données ;

-juger que Fresco Data a légitimement suspendu le paiement des factures échues après le 25 mai 2018 ;

En conséquence,

– débouter Note Bleue de l’ensemble des demandes, fins et prétentions de Note Bleue au titre de la résiliation du Contrat de licence.

-juger que Note Bleue a commis une faute dans l’exécution du Contrat de licence en ne démontrant pas le caractère licite des Données ;

– juger que cette faute ouvre droit à réparation à Fresco Data au titre de la responsabilité contractuelle ;

– condamner Note Bleue au paiement de la somme de 430 000 € au titre de dommages et intérêts.

En toutes hypothèses

-condamner Note Bleue au paiement de la somme de 15 000 € au profit de Fresco Data en application des dispositions de l’article 700 du code de procédure civile ;

-condamner Note Bleue aux entiers dépens.

Par conclusions notifiées le 1er juin 2022 auxquelles il est fait expressément référence pour l’énoncé du détail de l’argumentation, la société HSBC Global Services Limited demande à la cour au visa des articles 122 du Code de procédure et 1154, 1231-5 et 1341-3 du Code civil de ;

-dire que la production de pièces sollicitée par Note Bleue est totalement inutile

et, en toutes hypothèses,

-dire que Fresco Data a contracté le contrat de licence du 12 mai 2017 pour le compte de HSBC mais en son propre nom

-dire que la représentation de HSBC par Fresco Data est imparfaite,

-dire que seul Fresco Data est engagé par le Contrat de licence du 12 mai 2017,

-dire que Note Bleue ne dispose d’aucune action directe en paiement envers HSBC

-dire que l’action de Note Bleue est manifestement irrecevable pour défaut d’intérêt d’agir envers HSBC,

En conséquence,

-confirmer le jugement du 18 janvier 2021 en l’ensemble de ses dispositions,

-confirmer le jugement du 4 octobre 2021 en l’ensemble de ses dispositions,

En tout état de cause,

-dire que Note Bleue n’apporte pas la preuve de sa conformité à la réglementation RGPD,

-dire que la cessation des paiements par Fresco Data était parfaitement justifiée,

-dire que Note Bleue n’apporte nullement la preuve de ce que HSBC aurait manqué à ses obligations au titre de la réglementation RGPD,

-dire que HSBC n’a commis aucune faute au titre du Contrat de licence du 12 mai 2017,

-dire que Note Bleue ne peut se prévaloir de la clause 7.3.4. du contrat de licence du 12 mai 2017 pour solliciter la réparation d’une indemnisation au titre de son préjudice,

-dire que Note Bleue a renoncé à se prévaloir d’une quelconque indemnisation,

conformément à l’article 7.3.1.3 du contrat de licence du 12 mai 2017,

-dire que la clause 7.3.4. du Contrat de licence est une clause pénale,

-dire que l’indemnisation prévue par cette clause est manifestement excessive au regard du préjudice dont Note Bleue s’estime victime et qu’elle devra en conséquence être modérée à la baisse par les juges,

-dire que la demande nouvelle de paiement d’une provision formulée pour la première fois en cause d’appel par Note Bleue est manifestement irrecevable ou à tout le moins infondée,

En conséquence,

-déclarer irrecevable la demande de paiement d’une provision formée par Note Bleue à l’encontre de HSBC et Fresco Data,

-débouter Note Bleue de l’ensemble de ses demandes, moyens, fins et conclusions,

-condamner Note Bleue au paiement, au profit de HSBC, d’une somme de 15.000 € au titre de l’article 700 du code de procédure civile ainsi qu’au paiement de l’ensemble des dépens.

L’instruction de la procédure a été clôturée par ordonnance du 7 juin 2022.

Motifs

La cour est saisie par la déclaration d’appel et les conclusions de l’appelante de la disposition du jugement du 18 janvier 2021 qui a débouté la société Note Bleue de sa demande de communication de pièces ainsi que de l’ensemble des dispositions du jugement du 4octobre 2021. En effet, et contrairement à ce que soutient la société Fresco Data, si le tribunal qui a ordonné une mesure d’expertise avant dire droit n’a pas statué sur les responsabilités respectives, cette circonstance ne fait pas obstacle à l’effet dévolutif de l’appel qui produit tous ses effets en application des dispositions de l’article 561 du code de procédure civile.

Il lui appartient d’apprécier la portée des engagements des parties à la procédure afin de déterminer si la résiliation judiciaire de la convention doit être prononcée au bénéfice de la société Note Bleue comme cette dernière le demande, dans cette hypothèse de fixer le montant des sommes qui lui sont dues et de dire si la société HSBC en est redevable solidairement avec la société Fresco et de statuer tant sur la demande d’expertise à laquelle le tribunal a fait droit que sur la demande de communication de pièces formée par la société appelante.

1 – sur les demandes de la société Note Bleue à l’encontre de la société Fresco:

– sur la demande de résiliation de la convention de licence :

La société Note Bleue reproche à la société Fresco Data d’avoir cessé de payer les redevances à compter de juin 2018 et soutient, contrairement aux allégations des sociétés HSBC et Fresco Data, qu’elle a satisfait tant à ses obligations contractuelles qu’à celles issues du RGPD et répondu à l’ensemble des demandes de Fresco Data relativement aux modalités de collectes des données ainsi qu’en lui fournissant l’assurance de ce que la sécurité des systèmes était assurée. Elle estime que les manquements de la société Fresco et celles de la société HSBC justifient la résiliation du contrat à son bénéfice et par conséquent le paiement des indemnités contractuelles prévues dans cette hypothèse.

A l’appui de ses prétentions tendant à la confirmation du jugement en ce qu’il a ordonné une mesure d’expertise ou subsidiairement au débouté des demandes de Note Bleue au titre de la résiliation judiciaire du contrat et à la condamnation de l’appelante à lui payer une indemnité de 430.000 € à titre de dommages et intérêts, la société Fresco Data soutient que la société Note Bleue n’a pas justifié de la conformité de sa prestation aux dispositions réglementaires de sorte qu’elle a été contrainte de suspendre le paiement des redevances et rappelle à ce titre que la société HSBC ne pouvait prendre le risque d’utiliser des données non conformes.

La société HSBC fait valoir pour sa part que Note Bleue a refusé de se soumettre à un audit qui aurait permis de vérifier la conformité des données transmises.

Selon l’article 1219 du code civil ‘ une partie peut refuser d’exécuter son obligation, alors même que celle-ci est exigible, si l’autre n’exécute pas la

sienne et si cette inexécution est suffisamment grave’.

L’article 1220 dispose que ‘une partie peut suspendre l’exécution de son obligation dès lors qu’il est manifeste que son cocontractant ne ‘s’exécutera pas à l’échéance et que les conséquences de cette inexécution sont suffisamment graves pour elle. Cette suspension doit être notifiée dans les meilleurs délais’.

Il y a lieu en conséquence de rechercher si la suspension du paiement des redevances par la société Fresco Data était légitime ou si au contraire, elle s’analyse comme un manquement de nature à justifier la résiliation judiciaire de la convention sollicitée par la société Note Bleue.

Contesté par la société Note Bleue, le problème de qualité des données caractérisé par des imprécisions sur les dates de naissances des personnes physiques, n’est pas invoqué par la société HSBC et n’est pas à l’origine de la suspension par la société Fresco Data du paiement des redevances, ainsi qu’il résulte de ses propres écritures (page 9).

Fresco Data invoque en revanche l’imprécision des réponses fournies par la société Note Bleue à ses interrogations relativement à la licéité des données, objet du contrat de licence, et à la sécurité du système ainsi que le refus de Note Bleue de se soumettre à un audit qui aurait permis de vérifier la licéité des données.

Il convient de relever en premier lieu que Fresco Data agissant pour le compte de la société HSBC était légitime à solliciter de Note Bleue toutes précisions et garanties tant s’agissant des modalités de recueil du consentement des personnes physiques, qu’eu égard à la sécurité des systèmes.

En effet, les dispositions du RGPD, d’application immédiate à compter du 25 mai 2018 en France ont été reprises par la loi 2018-493 du 20 juin 2018 modifiant la loi 7817 « Informatique et Liberté » du 6 janvier 1978.

En matière de sécurité des systèmes, l’article 32 du RGPD prévoit que compte tenu de l’état des connaissances, des coûts de mise en ‘uvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en ‘uvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins: et notamment ( …)

d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Afin de protéger les libertés et droits fondamentaux des personnes physiques, en particulier leur droit à la protection des données à caractère personnel, le RGPD et la loi du 20 juin 2018 imposent de nouvelles règles contraignantes aux entreprises qui collectent et traitent des données à caractère personnel sur des personnes physiques.

L’article 4 7) du RGPD définit le « responsable de traitement » comme la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement et la société Note Bleue qui a agrégé des données collectées par divers partenaires a bien, en l’espèce, la qualité de responsable du traitement, ainsi qu’il est d’ailleurs expressément mentionné dans les annexes au contrat de licence.

Elle s’est engagée selon les termes de l’article 5 du contrat de licence à ne livrer que’ des données qui ont été collectées de manière loyale et licite et notamment pour lesquelles les individus ont été informés de la finalité marketing et du transfert éventuel à des tiers sans s’y être opposés’.

L’article 7 du RGPD lui impose néanmoins en outre ‘de démontrer que la personne concernée a donné son consentement au traitement des données à caractère personnel le concernant’. A ce titre, la société Note Bleue n’est pas fondée à invoquer les dispositions de l’article 13-2 du contrat de licence qui met à sa charge, s’agissant de la qualité des données, une simple obligation de moyens, puisqu’en sa qualité de responsable du traitement, elle ne saurait s’exonérer des exigences du RGPD qui s’imposent à tous dès son entrée en vigueur.

Ainsi, dès lors que les sanctions prévues par le RGPD peuvent être prises à l’égard du responsable du traitement mais également des différentes personnes au profit desquelles les données ont été mises à disposition, qui supportent elles-même l’obligation de s’assurer de leur licéité, la société Fresco Data agissant pour le compte de HSBC était fondée à solliciter de la société Note Bleue toutes garanties quant aux modalités de collecte des données et au respect des exigences réglementaires relatives au recueil du consentement.

La cour observe néanmoins que la suspension du paiement des redevances est intervenue à compter du mois de mai 2018, soit concomitamment à l’entrée en vigueur du RGPD applicable à compter du 25 mai 2018, alors que le contenu de ce règlement européen qui porte la date du 27 avril 2016, était parfaitement connu à la date de conclusion du contrat de licence le 12 mai 2017 si bien que les exigences issues de ce texte n’ont pas constitué pour la société HSBC ou pour la société Fresco une circonstance nouvelle.

La société Fresco Data a informé la société note Bleue le 13 juillet 2018 de la cessation de l’utilisation de la base de données par HSBC en précisant que cette cessation était justifiée par deux raisons ‘l’une étant que leurs systèmes (les systèmes HSBC) sont toujours en préparation pour le RGPD et l’autre étant qu’ils ont besoin que Note Bleue se soumette à quelques étapes-démarches incluant un audit (…). Elle précisait à sa cocontractante : Ils (HSBC) me tiendront au courant des prochaines démarches’.

Elle indiquait en outre à la société Note Bleue dans le cadre d’un questionnaire transmis le 30 juillet 2018 : ‘ HSBC croit que Fresco Data ne peut continuer à agir en tant que représentante de HSBC pour ses contrats européens’ et lui demandait en conséquence ‘ Dans ce scénario, est-ce que Note Bleue dispose d’une solution qui pourrait faire en sorte que Fresco Data soit toujours impliqué de manière passive ‘ ‘( sic).

Ainsi, si la vigilance de HSBC témoigne de sa bonne compréhension des enjeux de cette réglementation nouvelle, il lui appartenait néanmoins d’en anticiper la mise en oeuvre, ce qu’elle n’a pas fait et qui ne saurait être imputé à la société Note Bleue.

Le contenu des échanges intervenus entre les parties entre les mois de mai et décembre 2018 permet, en second lieu, de constater que la société Note Bleue qui n’a jamais été interrogée sur les conditions dans lesquelles elle entendait se conformer à la réglementation nouvelle avant le mois de juillet 2018, a intégralement répondu aux demandes formées par Fresco Data à partir de cette date.

La société Note Bleue démontre en effet avoir transmis à la société HSBC, à la demande de cette dernière et sur le modèle qui lui avait été adressé, une attestation précisant que’ les données fournies sont et seront à l’avenir, en parfaite conformité avec le Règlement Général sur la Protection des Données et la société Note Bleue a transmis cette attestation établie le 28 mai 2018″.

Elle a également transmis une attestation établie par le cabinet Oxalia qui déclare avoir ‘accompagné Note Bleue en vue de sa mise en conformité RGPD, ainsi qu’en vue de l’obtention du label CNIL Gouvernance. Ce dernier label n’a cependant pas pu être obtenu, la CNIL ayant cessé d’instruire les dossiers pour se préparer aux certifications du RGPD mais le cabinet Oxalia indique cependant que ‘ lorsque la certification venant remplacer le label gouvernance sera disponible, Note Bleue pourra prétendre à son obtention’.

Par courriel du 3 août 2018, la société Note Bleue a répondu au questionnaire qui lui a été adressé par la société Fresco Data le 30 juillet 2018. Cette dernière n’est pas fondée à soutenir que la rapidité de cette réponse témoigne d’un défaut de sérieux puisqu’elle a elle-même insisté sur la nécessité d’une réponse rapide, rappelant que le contrat était ‘gelé’ dans cette attente, et que la société Note Bleue disposait de l’ensemble des éléments de réponse qui n’ont pas justifié de recherches spécifiques.

S’agissant des modalités de recueil du consentement, la société Note Bleue a indiqué en réponse aux questions posées ne pas procéder directement à la collecte, puisque, en qualité de courtier, son rôle se borne à agréger des données, mais avoir conclu un accord avec l’ensemble de ses partenaires pour s’assurer que les consentements sont recueillis conformément aux exigences du RGPD. Elle a joint le modèle d’avenant avec ses partenaires dans lequel sont explicitées ses exigences relativement au recueil des consentements puisqu’il y est notamment précisé que le consentement doit être recueilli pour un certain nombre de finalités comprenant celles de profilage et de lutte anti-corruption visées à la convention de licence.

Interrogée sur les mesures de sécurité mises en oeuvre, la société Note Bleue répondait aux questions posées en invoquant les vérifications réalisées par ses partenaires, contractuellement tenus à ne lui fournir que des données en conformité avec les prérequis du RGPD, les contrôles internes réalisés par les services, la désignation d’un DPO (délégué à la protection des données) ainsi que de l’audit réalisé par Oxalia, dont le contenu était explicité.

Enfin s’agissant des craintes émises par HSBC en raison du caractère extra-européen de la société Fresco Data, difficulté dont elle n’était pas responsable, elle répondait ‘ Afin de résoudre ce problème, nous pouvons envisager d’établir un nouvel accord ensemble. Note Bleue établira un nouveau contrat directement avec HSBC et pourrait alors payer des commissions à Fresco Data.

Aucune observation ni critique n’a été formée par les sociétés Fresco Data ou HSBC à la lecture des réponses apportées par la société Note Bleue. Si la société Fresco soutient qu’au delà de l’attestation établie par Oxalia, le rapport complet de l’audit réalisé par ce cabinet ne lui a été transmis que dans le cadre de la présente procédure, elle ne l’a néanmoins sollicité ni à réception des réponses le 3 juillet 2018, alors qu’il y était expressément fait référence, ni ultérieurement.

Critiquant les éléments de réponse apportés dans ce questionnaire par la société Note Bleue dans le cadre de la présente procédure, la société Fresco fait désormais valoir que purement déclaratifs, trop vagues et non circonstanciés, ils n’étaient pas de nature à lui garantir que les consentements étaient collectés en conformité avec les exigences du RGPD.

Elle est sur ce point fondée à estimer que seul un audit réalisé chez les prestataires de Note Bleue permettait, au delà des engagements contractuels de ces derniers, d’établir la preuve des conditions de collecte des données, en recherchant de manière concrète la réalité du consentement des personnes.

Elle n’établit néanmoins pas comme elle le soutient avec la société HSBC que la société Note Bleue a refusé de se soumettre à une telle demande.

En effet, et en troisième lieu, il n’est pas contesté que par courrier confidentiel d’avocats daté du 10 décembre 2018, qui n’est cependant pas versé aux débats, la société Fresco a sollicité l’organisation d’un ‘audit contradictoire’.

Il résulte néanmoins de ses écritures (p 45 et 46) qu’elle a conditionné la réalisation de ce nouvel audit d’une part à l’engagement de Note Bleue à renégocier le contrat en tenant compte du résultat de cet audit et d’autre part à l’accord de Note Bleue sur la poursuite de la suspension du paiement des redevances qu’elle avait décidé unilatéralement à compter de mai 2018, le mois de mai ayant finalement été payé avec retard le 28 août 2018 mais aucun autre versement n’étant intervenu à compter de cette date, malgré plusieurs mises en demeure émanant du conseil de la société Note Bleue.

Il est donc inexact de la part des sociétés Fresco Data et HSBC de soutenir que la société Note Bleue a refusé catégoriquement le principe d’un nouvel audit, ce qui ne résulte d’aucune pièce, alors que cette dernière indique, sans être démentie, avoir simplement sollicité à titre préalable, la prise en charge du coût de l’audit par la société Fresco, ce que cette dernière a accepté, et la reprise des paiements des redevances, ce qu’elle n’a en revanche pas accepté.

La société Fresco qui entend justifier la suspension du paiement des redevances à compter de juin 2018 par les dispositions de l’article 1220 du code civil, n’a cependant jamais procédé à la notification que ce texte impose.

Contrairement à ce qu’elle soutient pour justifier cette suspension, sa cocontractante, la société Note Bleue n’avait pas manqué à l’exécution de ses obligations contractuelles au sens des articles 1219 et 1220 du code civil et avait répondu à l’ensemble des interrogations dont elle avait été destinataire sans que les réponses apportées aient fait l’objet d’observations ou critiques.

Si la société Note Bleue a omis de transmettre le rapport Oxalia, comme la société Fresco le prétend, cette dernière ne l’a néanmoins jamais réclamé.

Note Bleue n’avait pas non plus, comme le souligne la société Fresco, communiqué un rapport d’audit réalisé par Mondpo.com auprès de la société Actiplay, fournisseur des données qui ont été mises à disposition de HSBC mais ce rapport daté du mois de septembre 2019 n’a été établi que postérieurement à l’introduction de la procédure et aucune demande de réalisation d’un tel audit, établi sur la base de tests réalisés auprès des personnes ayant consenti à l’utilisation de leurs données, n’avait été formée antérieurement au courrier du 10 décembre 2018 portant sur un audit contradictoire avec les conditions ci-dessus visées.

Certes, à la supposer démontrée, l’illicéité des données était susceptible d’affecter la validité du contrat de licence puisque l’objet du contrat doit être licite et se trouver dans le commerce juridique. Une telle illicéité n’a néanmoins jamais été invoquée par la société Fresco qui s’est bornée à solliciter des précisions sur la prestation fournie.

En outre, la société Fresco ne prenait contrairement à ce qu’elle soutient aucun risque en payant les redevances et n’était nullement contrainte de suspendre les paiements. Seul l’usage de données susceptibles d’être illicites constituait pour HSBC un risque, que cette dernière indique avoir pris en compte en cessant d’utiliser les données à compter de juillet 2018. Il a d’ailleurs été souligné ci-dessus que les difficultés liées à l’entrée en vigueur du RGPD n’ont pas été anticipées par HSBC et que la situation de risque invoquée tant par Fresco Data que par HSBC est très largement imputable à l’impréparation de cette dernière. En revanche, le paiement des redevances constituait pour la société Fresco Data la simple exécution de son engagement contractuel, à une date où, s’il était légitime de vérifier leurs modalités de collectes, rien ne permettait d’affirmer que les données étaient illicites.

Ainsi, le comportement de la société Fresco Data qui a suspendu sans motif légitime le paiement des redevances, puis, alors même que la société Note Bleue avait répondu à l’ensemble de ses demandes, sans que les réponses apportées ne soient critiquées, à entendu conditionner l’organisation d’un audit au maintien du gel de l’exécution du contrat, privant ainsi la société Note Bleue qui avait procédé au traitement des données afin de fournir à sa cocontractante la prestation contractuellement définie, de la rémunération de la prestation fournie, s’analyse comme un manquement de la société Fresco Data à ses obligations contractuelles justifiant la résiliation du contrat à ses torts.

Le jugement sera en conséquence infirmé en ce que, avant dire droit sur la demande de résiliation, il a ordonné une mesure d’expertise.

– sur les indemnités réclamées par la société Note Bleue :

La convention de licence qui lie les parties prévoit en son article 7.3.1.3 ‘Résiliation pour non-respect des obligations contractuelles par l’une des parties’ que ‘en cas de non-respect par l’une des parties des obligations contractuelles souscrites, la résiliation sera acquise un mois après la date d’envoi d’une lettre recommandée avec accusé de réception sans qu’aucune demande de dommages et intérêts de la part de l’une ou de l’autre des parties ne puisse être formée de ce chef. Les parties signataires renoncent à cet égard à se réclamer de quelconques dommages et intérêts’.

Selon l’article 7.3.4 §3 du contrat, ‘en cas de résiliation judiciaire du contrat, Note Bleue aura droit à une indemnité égale à l’intégralité des sommes dues au titre du contrat, majoré de 10 %, ainsi que, le cas échéant, du montant des factures impayées et des intérêts de retard calculés à hauteur de 3 fois le taux de l’intérêt légal’.

La société Note Bleue ne s’est jamais prévalue des dispositions de l’article 7.3.1.3 relatives à la résiliation conventionnelle dans les conditions fixées par ce texte qui impose l’envoi d’un courrier recommandé. Elle a au contraire saisi la juridiction commerciale et devant le tribunal, comme devant la cour, a sollicité le prononcé de la résiliation du contrat aux torts de la société Fresco. Elle est donc fondée à revendiquer l’application des dispositions de l’article 7.3.4§3.

En application de ces dispositions, il convient d’allouer à la société Note Bleue la somme de 670.000 € correspondant aux redevances dues par Fresco Data jusqu’à l’expiration de la période initiale soit jusqu’au 11 mai 2020.

Cette stipulation qui a pour objet l’évaluation forfaitaire de l’indemnité due en cas d’inexécution d’une obligation contractuelle s’analyse comme une clause pénale.

Elle exclut en conséquence l’allocation de plus amples dommages et intérêts et la société Note Bleue sera déboutée de sa demande tendant à obtenir le bénéfice d’une indemnité complémentaire de 50.000 €.

En application de l’alinéa 2 de l’article 1231-5 du code civil, le juge peut, même d’office, modérer ou augmenter la pénalité ainsi convenue si elle est manifestement excessive ou dérisoire. En l’espèce, la cour estime que la majoration de 10 % des sommes restant dues et la fixation d’un taux d’intérêt correspondant à trois fois le taux légal constituent des pénalités excessives qu’il n’y a donc pas lieu de mettre à la charge de la société Fresco Data. La société Note Bleue sera déboutée de ces demandes.

S’agissant d’une condamnation indemnitaire, les intérêts sont dus sur la somme de 670.000 € au taux légal à compter du présent arrêt.

2 – sur les demandes formées à l’encontre de la société HSBC :

Note bleue qui sollicite la condamnation de HSBC solidairement avec la société Fresco Data justifie d’un intérêt à agir à l’encontre de cette dernière. En effet, la détermination de la qualité des parties au contrat de licence constitue une question de fond qui conditionne le bien fondé des demandes de Note Bleue à l’encontre de HSBC mais non leur recevabilité. C’est donc à tort que les demandes formées à l’encontre de HSBC ont été jugées irrecevables. Le jugement du 4 octobre 2021 sera donc également infirmé sur ce point.

La société Note Bleue qui poursuit la condamnation de HSBC au paiement des indemnités dues en raison de la résiliation fautive du contrat de licence, entend démontrer que la société Fresco est intervenue au contrat de licence en qualité d’agent-mandataire de HSBC dans le cadre d’une représentation parfaite et qu’ainsi la société HSBC est contractuellement engagée.

Elle s’appuie pour ce faire sur les termes du contrat de licence mais estime en outre que la communication du contrat de service liant Fresco et HSBC, qui détermine les conditions de l’intervention de la société Fresco est nécessaire à la démonstration de sa qualité de mandataire de HSBC.

L’article 1154 du code civil dans sa version issue de l’ordonnance du 10 février 2016, applicable au contrat de licence dispose en son alinéa 1 que ‘ lorsque le représentant agit dans la limite de ses pouvoirs au nom et pour le compte du représenté, celui-ci est seul tenu de l’engagement ainsi contracté ‘mais prévoit en revanche dans son alinéa 2 que ‘ lorsque le représentant déclare agir pour le compte d’autrui mais contracte en son propre nom, il est seul engagé à l’égard du cocontractant’.

En l’espèce, il se déduit des termes de la convention du 12 mai 2017 que la société Fresco Data, chargée de représenter la société HSBC dans la négociation du contrat de licence a agi pour le compte de cette dernière mais en son nom propre et non pas au nom de la société HSBC, si bien que la communication de pièces, sollicitée à seule fin de démontrer l’existence d’une représentation parfaite, apparaît inutile.

En effet, le contrat de licence mentionne expressément dans son préambule, à l’article 1-objet du contrat et à l’article 2- définitions, que la société Fresco Data, désignée dans la convention comme ‘l’agent’ représente HSBC, désignée comme ‘le client final’. Il précise également en son préambule que ‘l’agence défend les intérêts du client final dans la mise en place du contrat.’

La société HSBC est qualifiée à l’article 3 du contrat de ‘ tiers bénéficiaire’.

Contrairement à ce que soutient la société Note Bleue, l’usage du terme ‘l’agence’ ne permet pas d’établir que la société Fresco est intervenue comme agent commercial.

Il apparaît au contraire à l’examen du contrat de licence, que si le client final est expressément désigné comme le bénéficiaire du contrat de licence qui lui confère un droit à l’utilisation des données, la société Fresco Data, seule signataire de la convention conclue avec Note Bleue, supporte des engagements qui lui sont propres et bénéficie d’engagements de la société Note Bleue à son seul profit.

Ainsi, l’article 9 de la convention met à la charge de la société Fresco, et non à celle de la société HSBC, le paiement des rémunérations fixes mensuelles et annuelles, de la caution et des factures. La cour constate d’ailleurs que l’ensemble des factures produites a été établi au nom de la société Fresco et que, déplorant le non-paiement des redevances par Fresco la société Note Bleue a adressé à la société HSBC un courrier qui, s’il est dénommé ‘mise en demeure ‘ ne comporte qu’une invitation à prendre position, et si elle le souhaite à ‘ régler l’affaire à l’amiable au plus vite’.

Réciproquement, la société Note Bleue s’est engagée à l’article 11- protection des données, à garantir à la société Fresco, mais non au client final, que les données sont collectées conformément aux règles applicables en matière de protection des données personnelles. La circonstance que le bénéficiaire des données est expressément désigné au contrat, rendue nécessaire par l’objet même de la convention, et celle que Fresco n’acquiert pas pour elle-même le doit d’utiliser les données, ne sont pas suffisantes pour retenir que Fresco n’est pas intervenue en son nom.

Pas d’avantage ne peuvent être invoquées les dispositions des articles 6 à 9 de la convention relatives aux conditions d’utilisation des données par le client final puisqu’il n’est pas contesté que Fresco Data est intervenue pour le compte de ce dernier.

HSBC qui n’a donc contracté à l’égard de la société Note Bleue aucun engagement de payer les redevances, ne peut se voir imputer la responsabilité de la résiliation du contrat auquel elle n’était pas partie.

La société Note Bleue sera donc déboutée de toutes ses demandes formées à son encontre.

Il s’en déduit que la demande de communication de pièces est rendue sans objet. Le jugement du 18 janvier 2021 sera en conséquence confirmé en ce qu’il a débouté la société Note Bleue de cette demande;

Partie perdante, la société Fresco Data supportera les dépens.

Elle devra indemniser la société Note Bleue des frais irrépétibles qu’elle a été contrainte d’exposer pour faire valoir ses droits.

Les circonstances de l’espèce ne justifient pas qu’il soit fait application au profit de HSBC des dispositions de l’article 700 du code de procédure civile.

Par ces motifs :

Confirme le jugement partiellement avant dire droit du 18 janvier 2021,

Infirme le jugement du 4 octobre 2021 en toutes ses dispositions,

Statuant à nouveau des chefs infirmés ;

Déclare la société Note Bleue recevable en ses demandes formées à l’encontre de la société HSBC,

La déboute de l’ensemble de ses demandes formées à l’encontre de la société HSBC,

Prononce la résiliation du contrat de licence en date du 11 mai 2017 entre la société Note Bleue et la société Fresco Data aux torts exclusifs de la société Fresco Data,

Condamne la société Fresco Data à payer à la société Note Bleue la somme de 670.000 € avec intérêts au taux légal à compter du présent arrêt,

Déboute la société Note Bleue de ses plus amples demandes à l’égard de la société Fresco Data,

Condamne la société Fresco Data aux dépens de première instance et d’appel,

Condamne la société Fresco Data à payer à la société Note Bleue la somme de 3.000 € par application des dispositions de l’article 700 du code de procédure civile,

Dit n’y avoir lieu à application des dispositions de l’article 700 du code de procédure civile au profit de la société HSBC.

La greffière La présidente

.