Par Pierre Vix
Vous ne le savez peut-être pas, mais le principe de primauté du droit européen exige que les dispositions du RGPD[i] s’imposent sur celles du code de commerce ou du code civil lors du recouvrement des créances auprès de vos clients.
Si dans sa politique la CNIL a préféré mettre l’accent sur le respect de la vie privée, néanmoins depuis 1980, la Commission a pris de nombreuses délibérations selon lesquelles la situation financière de vos clients, qu’ils soient professionnels ou particuliers, constitue des données à caractère personnel et le recouvrement de vos créances, des traitements[ii].
Ainsi les bilans, la situation financière de l’entreprise, les déclarations fiscales, les relevés bancaires, les dossiers de prêt, l’état chiffré des créances et des dettes de vos clients, etc., sont des données à caractère personnel au sens de l’article 4 du règlement européen.
Le recouvrement amiable ou judiciaire de vos créances constitue un traitement au sens du RGPD.
La CNIL a prétendu faire preuve de bienveillance à l’égard des entreprises dans l’application de la loi.
Mais en réalité, peut-on parler de bienveillance ou doit-on parler d’irresponsabilité quand on sait qu’aucune entreprise n’a intégré le fait que, du point de vue légal, le recouvrement d’une facture auprès d’un client professionnel ou d’un client particulier constitue un traitement de données au sens de la loi ?
Avant l’entrée en vigueur du RGPD le juge pouvait s’accommoder avec le droit interne.
Avec l’entrée en vigueur du RGPD, le 25 mai 2018, ce n’est plus la même chose.
Depuis l’arrêt Francovich[iii] rendu par la Cour de justice de l’Union européenne le 19 novembre 1991, il est possible de rechercher la responsabilité de l’État en cas de non-respect des normes européennes, donc du RGPD.
Ainsi, dans un conflit portant sur le montant d’une dette vous opposant à l’un de vos clients, le juge sera obligé d’écarter les dispositions du code de commerce ou du code civil qui vous seraient favorables au profit de celles du RGPD qui seraient favorables à votre adversaire.
A partir de là, il y a un gros problème de droit que ni les juridictions judiciaires, ni le Conseil d’Etat ne sont pressés de trancher alors qu’ils en ont connaissance depuis plusieurs années : c’est celui de la recevabilité de la demande d’un créancier portant sur le paiement d’une facture demeurée impayée si la créance est entachée d’une simple erreur de montant, sans être remise en cause dans son principe.
En effet, l’article 5 du règlement UE exige que le créancier rectifie les données à caractère personnel inexactes, sans attendre de demande spéciale du débiteur ou d’y être condamné[iv].
La sanction pour le créancier pour la non-rectification spontanée du montant de la dette pourrait être l’irrecevabilité de sa demande à voir le débiteur condamné à payer la créance qu’il doit.
En conclusion, la CNIL et le gouvernement prétendent faire preuve de bienveillance à l’égard des entreprises dans l’application de la loi.
Cependant force est de constater que ni l’Autorité administrative, ni l’autorité judiciaire, ni le secrétariat général du gouvernement ne sont pressés de dire si le non-respect par un créancier des dispositions du RGPD lors du recouvrement de ses créances est susceptible d’entrainer l’irrecevabilité d’une demande en justice, exposant ainsi le portefeuille de créances des entreprises à l’incertitude de cette absence de réponse.
Pierre Vix
[i] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
[ii] Voir par exemple les délibérations de la CNIL N° 2017-291 n° 85-14 du 30 avril 1985 modifiée par la délibération n° 88-82 du 5 juillet 1988 accessible sur Légifrance.
[iii] Arrêt de la Cour du 19 novembre 1991. Andrea Francovich et Danila Bonifaci et autres contre République italienne. Demande de décision préjudicielle : Pretura di Vicenza et Pretura di Bassano del Grappa – Italie. Non-transposition d’une directive – Responsabilité de l’Etat membre. Affaires jointes C-6/90 et C-9/90.
[iv] Article 5 du règlement UE 2016-679 « d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) »;