La question de la sous-traitance des traitements de données à caractère personnel a été introduite à l’article 35 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés lors de la transposition de la directive 95/46/CE du 24 octobre 1995 par la loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

==> La loi informatique et libertés

L’article 35 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés prévoyait que les données personnelles ne peuvent faire l’objet d’un traitement par un sous-traitant que « sur instruction du responsable du traitement ».

Plusieurs garanties étaient prévues pour encadrer ces opérations :

  • Le sous-traitant doit présenter des « garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité » ;
  • Le contrat entre le sous-traitant et le responsable du traitement doit indiquer les obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et que celui-ci ne peut agir que sur instruction du responsable du traitement ;
  • En tout état de cause, les garanties offertes par le sous-traitant ne déchargent pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

==> Le RGPD

Le règlement 2016/679 du 27 avril 2016 a eu pour conséquence d’étendre le champ des obligations applicables aux sous-traitants.

Son chapitre IV fixe un ensemble d’obligations aussi bien aux responsables de traitements qu’aux sous-traitants susceptibles d’intervenir dans les opérations de traitement :

  • La mise en œuvre de mesures techniques et organisationnelles appropriées de nature à démontrer que le traitement respecte le règlement et la protection des droits de la personne concernée, par exemple à travers l’application d’un code de conduite ou d’un mécanisme de certification approuvés (articles 24 et 28) ;
  • La tenue d’un registre des activités de traitement effectuées, selon le cas, sous leur responsabilité ou pour le compte du responsable du traitement (87) (article 30) ;
  • La coopération avec l’autorité de contrôle (article 31) ;
  • La mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (88), par exemple à travers l’application d’un code de conduite ou d’un mécanisme de certification approuvés (article 32) ;
  • La notification, selon le cas, à l’autorité de contrôle ou au responsable de traitement de toute violation de données à caractère personnel (article 33) ;
  • La désignation d’un délégué à la protection des données dès lors que le sous-traitant entre dans le champ des organismes pour lesquels cette désignation est obligatoire (article 37).

L’article 28 prévoit des obligations spécifiques pour les sous-traitants :

  • En premier lieu, il s’agit de l’obligation de recueillir l’autorisation écrite préalable du responsable du traitement pour le recrutement d’un autre sous-traitant.
  • En second lieu, le contrat liant le responsable du traitement au sous-traitant doit comporter un certain nombre de garanties.

Afin, de savoir si un opérateur qui manipule des données à caractère personnel est soumis à ces obligations, il convient de déterminer s’il endosse le statut de responsable du traitement ou de sous-traitant.

I) Définitions

A) La notion de responsable du traitement

Selon le groupe de l’article 29 la notion de responsable du traitement des données et son interaction avec la notion de sous-traitant des données jouent un rôle central dans l’application du RGPD, car elles déterminent la ou les personnes chargées de faire respecter les règles en matière de protection des données et la manière dont les personnes concernées peuvent exercer leurs droits dans la pratique.

Ainsi, en présence d’un traitement de données à caractère personnel il convient de déterminer le responsable à qui il échoit de respecter les règles de protection des droits et libertés et de supporter d’éventuelles sanctions administratives, civiles voire pénales.

Le rôle premier de la notion de responsable du traitement est donc de déterminer qui est chargé de faire respecter les règles de protection des données, et comment les personnes concernées peuvent exercer leurs droits dans la pratique. En d’autres termes, il s’agit d’attribuer les responsabilités.

L’article 3 de la loi informatique et libertés définit le responsable du traitement comme « la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ».

Dans une approche plus restrictive, la convention 108 désigne le responsable du traitement comme le « «maître du fichier» lequel est « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui est compétent selon la loi nationale, pour décider quelle sera la finalité du fichier automatisé, quelles catégories de données à caractère personnel doivent être enregistrées et quelles opérations leur seront appliquées. »

Cette définition n’a pas été retenue par le RGPD qui prévoit, en son article 4, 7), que le responsable du traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ».

À l’examen, la définition du responsable du traitement énoncée dans la directive s’articule, selon le G29, autour de trois composantes principales :

  • L’aspect individuel: « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme »
  • La possibilité d’une responsabilité pluraliste: « qui seul ou conjointement avec d’autres »
  • Les éléments essentiels qui permettent de distinguer le responsable du traitement des autres acteurs: « détermine les finalités et les moyens du traitement de données à caractère personnel »

Afin de déterminer la ou les personnes responsables d’un traitement de données à caractère personne, il convient de se reporter à la méthodologie élaborée par le G29 dans son avis 1/2010 sur les notions de «responsable du traitement» et de «sous-traitant».

  1. L’aspect personnel

Le premier élément de la définition a trait à l’aspect personnel: qui peut être responsable du traitement, et donc considéré comme responsable en dernier ressort des obligations découlant de la directive.

La définition reproduit exactement le libellé de l’article 2 de la convention 108 et n’a fait l’objet d’aucun débat particulier lors du processus d’adoption de la directive. Elle renvoie à un vaste éventail de sujets susceptibles de jouer le rôle de responsable du traitement, de la personne physique à la personne morale, en passant par «tout autre organisme».

Il importe que l’interprétation de ce point garantisse la bonne application de la directive, en favorisant autant que possible une identification claire et univoque du responsable du traitement en toutes circonstances, même si aucune désignation officielle n’a été faite et rendue publique.

Il convient avant tout de s’écarter le moins possible de la pratique établie dans les secteurs public et privé par d’autres domaines du droit, tels que le droit civil, le droit administratif et le droit pénal.

Dans la plupart des cas, ces dispositions indiqueront à quelles personnes ou à quels organismes les responsabilités doivent être attribuées et permettront, en principe, d’identifier le responsable du traitement.

==> Principe : le responsable du traitement est une personne morale

Dans la perspective stratégique d’attribution des responsabilités, et afin que les personnes concernées puissent s’adresser à une entité plus stable et plus fiable lorsqu’elles exercent les droits qui leur sont conférés par la directive, il est préférable de considérer comme responsable du traitement la société ou l’organisme en tant que tel, plutôt qu’une personne en son sein.

C’est en effet la société ou l’organisme qu’il convient de considérer, en premier ressort, comme responsable du traitement des données et des obligations énoncées par la législation relative à la protection des données, à moins que certains éléments précis n’indiquent qu’une personne physique doive être responsable.

D’une manière générale, on partira du principe qu’une société ou un organisme public est responsable en tant que tel des opérations de traitement qui se déroulent dans son domaine d’activité et de risques.

Parfois, les sociétés et les organismes publics désignent une personne précise pour être responsable de l’exécution des opérations de traitement.

Cependant, même lorsqu’une personne physique est désignée pour veiller au respect des principes de protection des données ou pour traiter des données à caractère personnel, elle n’est pas responsable du traitement mais agit pour le compte de la personne morale (société ou organisme public), qui demeure responsable en cas de violation des principes, en sa qualité de responsable du traitement.

==> Exception : le responsable du traitement peut être une personne physique

Une analyse distincte s’impose dans le cas où une personne physique agissant au sein d’une personne morale utilise des données à des fins personnelles, en dehors du cadre et de l’éventuel contrôle des activités de la personne morale.

Dans ce cas, la personne physique en cause serait responsable du traitement décidé, et assumerait la responsabilité de cette utilisation de données à caractère personnel. Le responsable du traitement initial pourrait néanmoins conserver une certaine part de responsabilité si le nouveau traitement a eu lieu du fait d’une insuffisance des mesures de sécurité.

Ainsi, le rôle du responsable du traitement est décisif et revêt une importance particulière lorsqu’il s’agit de déterminer les responsabilités et d’infliger des sanctions.

Même si celles-ci varient d’un État membre à l’autre parce qu’elles sont imposées selon les droits nationaux, la nécessité d’identifier clairement la personne physique ou morale responsable des infractions à la législation sur la protection des données est sans nul doute un préalable indispensable à la bonne application de la loi informatique et libertés.

2. La possibilité d’une personne pluraliste

La possibilité que le responsable du traitement agisse «seul ou conjointement avec d’autres» n’avait pas été prévue initialement par les textes.

Ainsi, n’était-il pas envisagé le cas où tous les responsables du traitement décident de façon égale et sont responsables de façon égale d’un même traitement.

Pourtant, la réalité montre qu’il ne s’agit là que d’une des facettes de la «responsabilité pluraliste». Dans cette optique, «conjointement» doit être interprété comme signifiant «ensemble avec» ou «pas seul», sous différentes formes et associations.

Il convient tout d’abord de noter que la probabilité de voir de multiples acteurs participer au traitement de données à caractère personnel est naturellement liée à la multiplicité des activités qui, selon la loi, peuvent constituer un «traitement» devenant, au final, l’objet de la «coresponsabilité».

La définition du traitement énoncée à l’article 2 de la loi informatique et libertés n’exclut pas la possibilité que différents acteurs participent à plusieurs opérations ou ensembles d’opérations appliquées à des données à caractère personnel.

Ces opérations peuvent se dérouler simultanément ou en différentes étapes.

Dans un environnement aussi complexe, il importe d’autant plus que les rôles et les responsabilités puissent facilement être attribués, pour éviter que les complexités de la coresponsabilité n’aboutissent à un partage des responsabilités impossible à mettre en œuvre, qui compromettrait l’efficacité de la législation sur la protection des données.

Ainsi, une coresponsabilité naît lorsque plusieurs parties déterminent, pour certaines opérations de traitement :

  • soit la finalité
  • soit les éléments essentiels des moyens qui caractérisent un responsable du traitement

Cependant, dans le cadre d’une coresponsabilité, la participation des parties à la détermination conjointe peut revêtir différentes formes et n’est pas nécessairement partagée de façon égale.

En effet, lorsqu’il y a pluralité d’acteurs, ils peuvent entretenir une relation très proche (en partageant, par exemple, l’ensemble des finalités et des moyens d’une opération de traitement) ou, au contraire, plus distante (en ne partageant que les finalités ou les moyens, ou une partie de ceux-ci).

Dès lors, un large éventail de typologies de la coresponsabilité doit être examiné, et leurs conséquences juridiques évaluées, avec une certaine souplesse pour tenir compte de la complexité croissante de la réalité actuelle du traitement de données.

Par exemple, le simple fait que différentes parties coopèrent dans le traitement de données à caractère personnel, par exemple dans une chaîne, ne signifie pas qu’elles sont coresponsables dans tous les cas. En effet, un échange de données entre deux parties, sans partage des finalités ou des moyens dans un ensemble commun d’opérations, doit être considéré uniquement comme un transfert de données entre des responsables distincts.

L’appréciation peut toutefois être différente si plusieurs acteurs décident de créer une infrastructure commune afin de poursuivre leurs propres finalités individuelles. En créant cette infrastructure, ces acteurs déterminent les éléments essentiels des moyens à utiliser et deviennent coresponsables du traitement des données, du moins dans cette mesure, même s’ils ne partagent pas nécessairement les mêmes finalités.

À cet égard, l’article 26 du RGPD prévoit que :

  • D’une part, lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d’accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord.
  • D’autre part, l’accord visé au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.
  • Enfin, indépendamment des termes de l’accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement.

3. Les éléments essentiels qui permettent de distinguer le responsable du traitement des autres acteurs

Le responsable du traitement est celui qui « détermine les finalités et les moyens du traitement de données à caractère personnel ».

Cette composante comporte deux éléments qu’il convient d’analyser séparément :

  • Détermine
  • Les finalités et les moyens du traitement

a) Détermine

La notion de responsable du traitement est une notion fonctionnelle, visant à attribuer les responsabilités aux personnes qui exercent une influence de fait, et elle s’appuie donc sur une analyse factuelle plutôt que formelle.

Par conséquent, un examen long et approfondi sera parfois nécessaire pour déterminer cette responsabilité. L’impératif d’efficacité impose cependant d’adopter une approche pragmatique pour assurer une prévisibilité de la responsabilité.

À cet égard, des règles empiriques et des présomptions concrètes sont nécessaires pour guider et simplifier l’application de la législation en matière de protection des données.

Ceci implique une interprétation de la directive garantissant que «l’organisme qui détermine» puisse être facilement et clairement identifié dans la plupart des cas, en s’appuyant sur les éléments de droit et/ou de fait à partir desquels l’on peut normalement déduire une influence de fait, en l’absence d’indices contraires.

Ces contextes peuvent être analysés et classés selon les trois catégories de situations

suivantes, qui permettent d’aborder ces questions de façon systématique:

==> Responsabilité découlant d’une compétence explicitement donnée par la loi

Il s’agit notamment du cas visé dans la seconde partie de la définition, à savoir lorsque le responsable du traitement ou les critères spécifiques pour le désigner sont fixés par le droit national ou communautaire.

La désignation explicite du responsable du traitement par le droit n’est pas courante et ne présente généralement pas de grandes difficultés. Dans certains pays, le droit national prévoit que les pouvoirs publics assument la responsabilité du traitement des données à caractère personnel effectué dans le cadre de leurs fonctions

Il est cependant plus fréquent que la législation, plutôt que de désigner directement le responsable du traitement ou de fixer les critères de sa désignation, charge une personne, ou lui impose, de collecter et traiter certaines données.

Cela pourrait être le cas d’une entité qui se voit confier certaines missions publiques (par exemple, la sécurité sociale) ne pouvant être réalisées sans collecter au moins quelques données à caractère personnel, et qui crée un registre afin de s’en acquitter.

Dans ce cas, c’est donc le droit qui détermine le responsable du traitement. De façon plus générale, la loi peut obliger des entités publiques ou privées à conserver ou fournir certaines données. Ces entités seraient alors normalement considérées comme responsables de tout traitement de données à caractère personnel intervenant dans ce cadre.

==> Responsabilité découlant d’une compétence implicite

Il s’agit du cas où le pouvoir de déterminer n’est pas explicitement prévu par le droit, ni la conséquence directe de dispositions juridiques explicites, mais découle malgré tout de règles juridiques générales ou d’une pratique juridique établie relevant de différentes matières (droit civil, droit commercial, droit du travail, etc.).

Dans ce cas, les rôles traditionnels qui impliquent normalement une certaine responsabilité permettront d’identifier le responsable du traitement: par exemple, l’employeur pour les informations sur ses salariés, l’éditeur pour les informations sur ses abonnés, l’association pour les informations sur ses membres ou adhérents.

Dans tous ces exemples, le pouvoir de déterminer les activités de traitement peut être considéré comme naturellement lié au rôle fonctionnel d’une organisation (privée), entraînant au final également des responsabilités en matière de protection des données.

Du point de vue juridique, peu importe que le pouvoir de déterminer soit confié aux entités juridiques mentionnées, qu’il soit exercé par les organes appropriés agissant pour leur compte, ou par une personne physique dans le cadre de fonctions similaires.

==> Responsabilité découlant d’une influence de fait

Il s’agit du cas où la responsabilité du traitement est attribuée après une évaluation des circonstances factuelles. Un examen des relations contractuelles entre les différentes parties concernées sera bien souvent nécessaire.

Cette évaluation permet de tirer des conclusions externes, attribuant le rôle et les obligations de responsable du traitement à une ou plusieurs parties.

Il peut arriver qu’un contrat ne désigne aucun responsable du traitement mais qu’il contienne suffisamment d’éléments pour attribuer cette responsabilité à une personne qui exerce apparemment un rôle prédominant à cet égard. Il se peut également que le contrat soit plus explicite en ce qui concerne le responsable du traitement.

S’il n’y a aucune raison de penser que les clauses contractuelles ne reflètent pas exactement la réalité, rien ne s’oppose à leur application. Les clauses d’un contrat ne sont toutefois pas toujours déterminantes, car les parties auraient alors la possibilité d’attribuer la responsabilité à qui elles l’entendent.

Le fait même qu’une personne détermine comment les données à caractère personnel sont traitées peut entraîner la qualification de responsable du traitement, même si cette qualification sort du cadre d’une relation contractuelle ou si elle est expressément exclue par un contrat.

b) Les finalités et les moyens du traitement

La détermination des finalités et des moyens revient à établir respectivement le «pourquoi» et le «comment» de certaines activités de traitement.

Dans cette optique, et puisque ces deux éléments sont indissociables, il est nécessaire de donner des indications sur le degré d’influence qu’une entité doit avoir sur le «pourquoi» et le «comment» pour être qualifiée de responsable du traitement.

Lorsqu’il s’agit d’évaluer la détermination des finalités et des moyens en vue d’attribuer le rôle de responsable du traitement, la question centrale qui se pose est donc le degré de précision auquel une personne doit déterminer les finalités et les moyens afin d’être considérée comme un responsable du traitement et, en corollaire, la marge de manœuvre que la directive laisse à un sous-traitant.

Ces définitions prennent tout leur sens lorsque divers acteurs interviennent dans le traitement de données à caractère personnel et qu’il est nécessaire de déterminer lesquels d’entre eux sont responsables du traitement (seuls ou conjointement avec d’autres) et lesquels sont à considérer comme des sous-traitants, le cas échéant.

L’importance à accorder aux finalités ou aux moyens peut varier en fonction du contexte particulier dans lequel intervient le traitement.

Il convient d’adopter une approche pragmatique mettant davantage l’accent sur le pouvoir discrétionnaire de déterminer les finalités et sur la latitude laissée pour prendre des décisions.

Les questions qui se posent alors sont celle du motif du traitement et celle du rôle d’éventuels acteurs liés, tels que les sociétés d’externalisation de services: la société qui a confié ses services à un prestataire extérieur aurait-elle traité les données si le responsable du traitement ne le lui avait pas demandé, et à quelles conditions?

Un sous-traitant pourrait suivre les indications générales données principalement sur les finalités et ne pas entrer dans les détails en ce qui concerne les moyens.

S’agissant de la détermination des «moyens», ce terme comprend de toute évidence des éléments très divers, ce qu’illustre d’ailleurs l’évolution de la définition.

En effet, «moyens» ne désigne pas seulement les moyens techniques de traiter des données à caractère personnel, mais également le «comment» du traitement, qui comprend des questions comme «quelles données seront traitées», «quels sont les tiers qui auront accès à ces données», «à quel moment les données seront-elles effacées», etc.

La détermination des «moyens» englobe donc à la fois des questions techniques et d’organisation, auxquelles les sous-traitants peuvent tout aussi bien répondre (par exemple, «quel matériel informatique ou logiciel utiliser?»), et des aspects essentiels qui sont traditionnellement et intrinsèquement réservés à l’appréciation du responsable du traitement, tels que «quelles sont les données à traiter?», «pendant combien de temps doivent-elles être traitées?», «qui doit y avoir accès», etc.

Dans ce contexte, alors que la détermination de la finalité du traitement emporterait systématiquement la qualification de responsable du traitement, la détermination des moyens impliquerait une responsabilité uniquement lorsqu’elle concerne les éléments essentiels des moyens.

Dans cette optique, il est tout à fait possible que les moyens techniques et d’organisation soient déterminés exclusivement par le sous-traitant des données.

Dans ce cas, lorsque les finalités sont bien définies mais qu’il existe peu, voire aucune indication sur les moyens techniques et d’organisation, les moyens devraient représenter une façon raisonnable d’atteindre la ou les finalités, et le responsable du traitement devrait être parfaitement informé des moyens utilisés.

Si un contractant avait une influence sur la finalité et qu’il procédait au traitement (également) à des fins personnelles, par exemple en utilisant les données à caractère personnel reçues en vue de créer des services à valeur ajoutée, il deviendrait alors responsable du traitement (ou éventuellement coresponsable du traitement) pour une autre activité de traitement et serait donc soumis à toutes les obligations prévues par la législation applicable en matière de protection des données.

B) La notion de sous-traitant

Alors que la notion de sous-traitant n’était pas définie dans la convention 108, elle figure désormais en bonne place dans le RGPD.

L’article 4 de ce texte prévoit que le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

Selon le G29 tout comme la définition du responsable du traitement, celle du sous-traitant envisage un large éventail d’acteurs pour tenir ce rôle («… une personne physique ou morale, une autorité publique, un service ou tout autre organisme …»).

L’existence d’un sous-traitant dépend du responsable du traitement, qui peut décider :

  • soit de traiter les données au sein de son organisation, par exemple en habilitant des collaborateurs à traiter les données sous son autorité directe
  • soit de déléguer tout ou partie des activités de traitement à une organisation extérieure, comme l’indique l’exposé des motifs de la proposition modifiée de la Commission, par «une personne juridiquement distincte du responsable mais agissant pour son compte»

Par conséquent, les deux conditions fondamentales pour agir en qualité de sous-traitant sont :

  • d’une part, d’être une entité juridique distincte du responsable du traitement
  • d’autre part, de traiter les données à caractère personnel pour le compte de ce dernier.

L’activité de traitement peut se limiter à une tâche ou un contexte bien précis, ou être plus générale et étendue.

En outre, le rôle de sous-traitant ne découle pas de la nature de l’entité traitant des données mais de ses activités concrètes dans un cadre précis.

En d’autres termes, la même entité peut agir à la fois en qualité de responsable du traitement pour certaines opérations de traitement et en tant que sous-traitant pour d’autres opérations, et la qualification de responsable ou de sous-traitant doit être évaluée au regard d’un ensemble spécifique de données ou d’opérations.

L’aspect le plus important est l’exigence que le sous-traitant agisse «…pour le compte du responsable de traitement…». «Agir pour le compte de» signifie servir les intérêts d’un tiers et renvoie à la notion juridique de délégation.

Dans le cas de la législation relative à la protection des données, un sous-traitant est amené à exécuter les instructions données par le responsable du traitement, au moins en ce qui concerne la finalité du traitement et les éléments essentiels des moyens.

Dans cette perspective, la licéité de l’activité de traitement de données du sous-traitant est déterminée par le mandat donné par le responsable du traitement. Un sous-traitant qui outrepasse son mandat et acquiert un rôle important dans la détermination des finalités ou des moyens essentiels du traitement est davantage un (co)responsable qu’un sous-traitant.

A cet égard, l’article 35 de la loi informatique et libertés prévoit que « le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. »

Ainsi, est-il fait obligation pour le responsable du traitement de définir contractuellement la mission confiée au sous-traitant.

II) Les conditions de recours à la sous-traitance

Deux conditions doivent être remplies pour que le responsable d’un traitement de données à caractère personnel puisse avoir recours à un sous-traitant.

Une condition additionnelle s’ajoute lorsque c’est le sous-traitant qui souhaite sous-traiter tout ou partie de la mission qui lui est confiée.

==> Première condition : la présentation de garanties suffisantes

L’article 28, §1 du RGPD prévoit que lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.

Le considérant 81 précise que le responsable du traitement ne doit faire appel qu’à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisferont aux exigences du présent règlement, y compris en matière de sécurité du traitement.

Pratiquement, afin de fournir au responsable du traitement les garanties suffisantes, cela signifie pour le sous-traitant que :

  • Dès la conception de ses outils, applications et services ils intègrent de façon effective les principes relatifs à la protection des données
  • Par défaut ses outils, applications et services garantissent que seules sont traitées les données nécessaires à la finalité du traitement au regard de la quantité de données collectées, de l’étendue de leur traitement, de la durée de conservation et du nombre de personnes qui y a accès.

Selon la CNIL, la constitution de ces garanties peut, par exemple, impliquer :

  • De permettre au responsable du traitement de paramétrer par défaut et a minima la collecte de données et ne pas rendre techniquement obligatoire le renseignement d’un champ facultatif
  • De ne collecter que les données strictement nécessaires à la finalité du traitement (minimisation des données) de purger automatiquement et sélectivement les données d’une base active à l’issue d’une certaine durée
  • De gérer des habilitations et droits d’accès informatiques « donnée par donnée » ou sur demande des personnes concernées (pour les réseaux sociaux par exemple)

Le §5 de l’article 28 ajoute que l’application, par un sous-traitant, d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer l’existence des garanties suffisantes.

==> Seconde condition : l’établissement d’un contrat de sous-traitance

L’article 28, §3 du RGPD subordonne le recours à un sous-traitant au respect d’une seconde condition, soit à l’établissement d’un contrat de sous-traitance.

Cette disposition prévoit en ce sens que le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement.

Ce contrat doit définir l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées.

Il doit, en outre, se présenter sous une forme écrite, y compris au format électronique.

Le considérant 81 précise qu’il doit être tenu compte, pour ce faire, des tâches et responsabilités spécifiques du sous-traitant dans le cadre du traitement à effectuer et du risque pour les droits et libertés de la personne concernée.

A cet égard, le responsable du traitement et le sous-traitant peuvent choisir de recourir à un contrat particulier ou à des clauses contractuelles types, qui sont adoptées soit directement par la Commission soit par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence, puis par la Commission.

Outre ces informations qui doivent figurer au contrat, l’article 28, §3 dispose que le contrat de sous-traitance doit prévoir, notamment, que le sous-traitant :

  • Ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public;
  • Veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;
  • Prend toutes les mesures requises en vertu de l’article 32, soit celles relatives à la sécurité du traitement des données
  • Respecte les conditions visées aux paragraphes 2 et 4 de l’article 28 du RGPD pour recruter un autre sous-traitant, ce qui signifie notamment que le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement.
  • Tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III;
  • Aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant (sécurité du traitement, notification des violations de données et analyse d’impact) ;
  • Selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données à caractère personnel ;
  • Met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits. En ce qui concerne ce dernier point, le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données.

==> Condition additionnelle en cas de sous-traitance par un sous-traitant

L’article 28, §2 du RGPD dispose que « le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. »

Ainsi, le recours par un sous-traitant à un sous-traitant est-il subordonné à l’autorisation préalable du responsable du traitement.

Cette autorisation peut être, au choix des parties, spécifique, c’est-à-dire accordée pour un sous-traitant particulier, ou générale.

Dans ce dernier cas, un certain nombre de règles devront être observées par le sous-traitant.

L’article 28 précise, en effet, que « dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements ».

Le responsable du traitement doit dès lors, en tout état de cause, être informé de tout changement intervenant dans la sous-traitance de la mission qu’il a confiée à son sous-traitant.

Surtout, il pourra s’opposer ou poser des conditions dans l’hypothèse où le prestataire retenu par son sous-traitant pour exécuter tout ou partie de la mission confiée ne lui conviendrait pas.

III) Les obligations qui incombent au sous-traitant

Deux sortes de sous-traitant peuvent être distinguées :

  • Le sous-traitant du responsable du traitement
  • Le sous-traitant du sous-traitant

A) Les obligations qui incombent au sous-traitant du responsable du traitement

Depuis l’adoption du RGPD, l’obligation qui incombe au sous-traitant ne se limite pas seulement au respect des conditions de sécurité du traitement, comme tel était le cas sous l’empire du droit antérieur.

Désormais, les obligations qui s’imposent à lui sont bien plus nombreuses et contraignantes.

A cet égard, il ressort du RGPD que ces obligations sont au nombre de trois :

==> L’obligation de transparence et de traçabilité

L’obligation de transparence et de traçabilité qui échoit au sous-traitant s’infère de plusieurs devoirs que le RGPD met à sa charge :

  • Devoir d’établir avec le responsable du traitement un contrat ou un autre acte juridique précisant les obligations de chaque partie et reprenant les dispositions de l’article 28 du règlement européen.
  • Devoir de recenser par écrit les instructions adressées au sous-traitant afin de prouver qu’il agit « sur instruction documentée du responsable de traitement»
  • Devoir de demander l’autorisation écrite du responsable du traitement afin de déléguer la mission confiée à un sous-traitant
  • Devoir de mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations du sous-traitant et pour permettre la réalisation d’audits.
  • Devoir de tenir un registre qui recense les clients pour le compte desquels le sous-traitant opère et qui décrit les traitements effectués pour leur compte.

==> L’obligation de sécurité du traitement

L’obligation de sécurité du traitement implique, pour le sous-traitant :

  • D’assurer la confidentialité des données traitées pour le compte des responsables de traitement
  • De notifier au responsable du traitement toute violation de ses données
  • De prendre toute mesure utile pour garantir un niveau de sécurité adapté aux risques encourus par le traitement.
  • Au terme de la prestation et selon les instructions du responsable du traitement
    • De supprimer, toutes les données et les lui restituer.
    • De détruire les copies existantes sauf obligation légale de les conserver.

==> L’obligation d’assistance, d’alerte et de conseil

L’obligation d’assistance, d’alerte et de conseil implique pour le sous-traitant de :

  • Alerter le responsable du traitement si l’une de ses instructions est constitutive d’une violation des règles en matière de protection des données
  • Assister le responsable du traitement, dans la mesure du possible, quant à la prise en charge d’une demande formulée par la personne concernée d’exercice de ses droits (accès, rectification, effacement, portabilité, opposition, ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage)
  • Aider le responsable du traitement à garantir le respect des obligations en matière de sécurité du traitement, de notification de violation de données et d’analyse d’impact relative à la protection des données.

III) Les obligations qui incombent au sous-traitant du sous-traitant

L’article 28, § 4 du RGPD prévoit que « lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément au paragraphe 3, sont imposées à cet autre sous-traitant par contrat ou au moyen d’un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement ».

Ainsi, le sous-traitant du sous-traitant est-il soumis aux mêmes obligations que le sous-traitant du responsable du traitement.

Reste que lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations.

Pour rappel, il ressort des articles 82 et 83 du RGPD que toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement européen peut obtenir la réparation intégrale de son préjudice de la part, tant du responsable de traitement, que du sous-traitant.

Par ailleurs, le sous-traitant est susceptible de faire l’objet de sanctions administratives importantes pouvant s’élever, selon la catégorie de l’infraction, jusqu’à 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, jusqu’à 2% ou 4% du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu.

Il convient, dans ces conditions, pour le sous-traitant de faire preuve d’une extrêmement vigilance lorsqu’il sous-traite la mission qui lui a été confiée par le responsable du traitement. Son statut ne l’exonère pas de sa responsabilité.

(0)

L’article 6, 5° de la LIL dispose que pour faire l’objet d’un traitement, les données à caractères personnel doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».

Dans le même sens, l’article 5, e) du RGPD prévoit que « les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) »

Il ressort de ces deux textes que la durée de conservation des données à caractère personnel ne saurait être illimitée. Elle doit être proportionnée à la finalité du traitement.

Toute la question est alors de savoir comment déterminer une durée adaptée à la conservation des données à caractère personnel traitées.

A l’examen, il apparaît que le législateur a posé un principe assorti de plusieurs dérogations.

§1 : Le principe

Dans sa délibération n°2005-213 du 11 octobre 2005 la CNIL avait considéré que, au fond, « face à la mémoire de l’informatique, seul le principe du “droit” à l’oubli consacré par l’article 6-5° de la loi du 6 janvier 1978 peut garantir que les données collectées sur les individus ne soient pas conservées, dans les entreprises, pour des durées qui pourraient apparaître comme manifestement excessives ».

Aussi, la Commission a-t-elle pour mission de veiller au respect de ce principe s’agissant, en particulier, des durées de conservation relatives aux informations collectées par les entreprises, organismes ou établissements privés mais aussi des modalités de conservation de ces informations.

A l’examen, la détermination de la durée de conservation des données à caractère personnel suppose de s’interroger sur quatre points :

  • Le point de départ de la durée de conservation
  • Le cycle de conservation des données
  • Le quantum de la durée de conservation
  • Les modalités de la conservation

A) Sur le point de départ de la durée de conservation

Dans une délibération n°2013-420 du 3 janvier 2014 la CNIL a décidé que :

  • D’une part, la fixation de durées de conservation définies ne saurait avoir pour objet ni pour effet de supprimer des données des utilisateurs alors qu’eux-mêmes en auraient encore l’usage.
  • D’autre part, le point de départ d’une durée de conservation n’est pas fonction de la date de la collecte, mais de la suppression du compte utilisateur

Il en résulte, pour la Commission, que la fixation de ce point de départ autorise le responsable du traitement à conserver les données collectées des années durant, si nécessaire.

Pour le Conseil d’état, le point de départ de la durée de conservation des données est « le dernier fait enregistré », lequel « doit nécessairement être entendu comme le fait constitutif de la contravention ou tout acte postérieur interruptif de la prescription » (CE 30 juill. 2014, n°359402).

En toute hypothèse, au terme au terme de la réalisation du traitement (l’exécution d’un contrat par exemple), les données doivent être :

  • Soit effacées
  • Soit archivées
  • Soit faire l’objet d’un processus d’anonymisation, afin de rendre impossible la « ré-identification » des personnes. Ces données, n’étant plus des données à caractère personnel, peuvent ainsi être conservées librement et valorisées notamment par la production de statistiques.

B) Sur le cycle de conservation des données

Il ressort de l’analyse menée par la CNIL que le cycle de conservation des données à caractère personnel comporte trois phases successives distinctes :

  • L’archivage courant
  • L’archivage intermédiaire
  • L’archivage définitif
  1. Sur l’archivage courant

Il s’agit de la durée d’utilisation courante des données ou autrement dit, la durée nécessaire à la réalisation de la finalité du traitement.

Toutes les données qui intéressent l’exécution d’un contrat peuvent être conservées par le responsable du traitement.

Sans ces données, la réalisation de la prestation serait rendue impossible. Il apparaît donc pleinement justifié qu’elles puissent être conservées pendant toute la durée de la convention.

Des mesures techniques et organisationnelles doivent être prévues pour protéger les données archivées (destruction, perte, altération, diffusion ou accès non autorisés…). Ces mesures doivent assurer un niveau de sécurité approprié aux risques et à la nature des données.

Si des mesures de sécurité informatiques sont indispensables, il convient, en outre, de prévoir des mesures de sécurité physique, notamment lorsque des dossiers sont archivés sous format papier.

Lorsque l’archivage est confié à un sous-traitant, le responsable du fichier doit s’assurer que son prestataire présente des garanties suffisantes en matière de sécurité et la confidentialité des données qui lui sont confiées.

2. Sur l’archivage intermédiaire

==> Les cas d’archivage intermédiaire

La CNIL a énoncé plusieurs cas au titre desquels il apparaît justifié que les données à caractère personnel soient conservées pour des durées plus longues que l’exécution du contrat : on parle alors d’archivage intermédiaire.

Au nombre des cas visés par la CNIL figurent :

  • L’hypothèse où il existence une obligation légale de conservation de données pendant une durée fixée ;
  • L’hypothèse où en l’absence d’obligation de conservation, ces données présentent néanmoins un intérêt administratif, notamment en cas de contentieux, justifiant de les conserver le temps des règles de prescription/forclusion applicables, notamment en matière commerciale, civile et fiscale ;
  • L’hypothèse où, sous réserve de garanties appropriées pour les droits et libertés des personnes concernées, certaines données peuvent être traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques.

==> La limitation de l’archivage

La Commission a eu l’occasion de préciser que, en cas d’archivage intermédiaire, le responsable du fichier doit veiller à ne conserver que les données nécessaires au respect de l’obligation prévue ou lui permettant de faire valoir un droit en justice : un tri doit donc être effectué parmi la totalité des données collectées pour ne garder que les seules données indispensables.

Les données ainsi archivées ne sont conservées que le temps nécessaire à l’accomplissement de l’objectif poursuivi : elles doivent donc être supprimées lorsque le motif justifiant leur archivage n’a plus raison d’être.

Par exemple, des données archivées pour se prémunir d’une action en justice durant le temps d’une prescription ou d’une forclusion doivent être supprimées lorsque cette action est prescrite forclose.

==> Les modalités de l’archivage

Pour les archives intermédiaires, le choix du mode d’archivage est laissé à l’appréciation du responsable du fichier. Des données peuvent ainsi être archivées :

  • Dans une base d’archive spécifique, distincte de la base active, avec des accès restreints aux seules personnes ayant un intérêt à en connaitre en raison de leurs fonctions (par exemple, le service du contentieux)
  • Dans la base active, à condition de procéder à un isolement des données archivées au moyen d’une séparation logique (gestion des droits d’accès et des habilitations) pour les rendre inaccessibles aux personnes n’ayant plus d’intérêt à les traiter

En tout état de cause, l’accès aux données faisant l’objet d’un archivage intermédiaire doit être limité.

==> Sur l’archivage définitif

L’intérêt public (historique, scientifique ou statistique) peut parfois justifier que certaines données ne fassent l’objet d’aucune destruction : c’est l’archivage définitif.

Les archives sont l’ensemble des documents, y compris les données, quels que soient leur date, leur lieu de conservation, leur forme et leur support, produits ou reçus par toute personne physique ou morale et par tout service ou organisme public ou privé dans l’exercice de leur activité.

La conservation des archives est organisée dans l’intérêt public tant pour les besoins de la gestion et de la justification des droits des personnes physiques ou morales, publiques ou privées, que pour la documentation historique de la recherche.

S’agissant des modalités de conservation des archives définitives, la CNIL préconise de les conserver sur un support physique indépendant, non accessible par les systèmes de production, n’autorisant qu’un accès distinct, ponctuel et précisément motivé auprès d’un service spécifique seul habilité à les consulter (par exemple, la direction des archives lorsqu’elle existe).

C) Sur le quantum de la durée de conservation des données

Afin de déterminer le quantum de la durée de conservation des données à caractère personnel, il convient de se reporter

  • Soit aux textes légaux et réglementaires
  • Soit aux délibérations de la CNIL
  1. Sur les textes légaux et réglementaires

Il convient de se reporter aux textes qui :

  • Soit posent des durées de conservation des données à caractère personnel
  • Soit posent des délais de prescription/forclusion applicable en matière civile, commerciale ou fiscale

==> Sur les textes posant des durées de conservation des données à caractère personnel

  • Les données relatives à la gestion du personnel d’une entreprise (5 ans)
    • L’article R. 1221-26 du Code du travail dispose que « les mentions portées sur le registre unique du personnel sont conservées pendant cinq ans à compter de la date à laquelle le salarié ou le stagiaire a quitté l’établissement»
  • Les données relatives aux bulletins de paie et aux reçus pour solde de tout compte (5 ans)
    • L’article L. 3243-4 du Code du travail prévoit que « l’employeur conserve un double des bulletins de paie des salariés ou les bulletins de paie remis aux salariés sous forme électronique pendant cinq ans»
  • Les documents comptables des commerçants (10 ans)
    • L’article L. 123-22 du Code de commerce dispose que « les documents comptables et les pièces justificatives sont conservés pendant dix ans. »
  • Les documents fiscaux (6 ans)
    • L’article L. 102 B du Livre des procédures fiscales prévoit que les livres, registres, documents ou pièces sur lesquels peuvent s’exercer les droits de communication, d’enquête et de contrôle de l’administration doivent être conservés pendant un délai de six ans à compter de la date de la dernière opération mentionnée sur les livres ou registres ou de la date à laquelle les documents ou pièces ont été établis.
  • Les contrats conclus par voie électronique (10 ans)
    • L’article L. 213-1 du Code de la consommation prévoit que lorsque le contrat est conclu par voie électronique et qu’il porte sur une somme égale ou supérieure à 120 euros, le contractant professionnel assure la conservation de l’écrit qui le constate pendant un délai déterminé et en garantit à tout moment l’accès à son cocontractant si celui-ci en fait la demande.
    • L’article D. 213-2 précise que ce délai est fixé à dix ans à compter de la conclusion du contrat lorsque la livraison du bien ou l’exécution de la prestation est immédiate.
    • Dans le cas contraire, le délai court à compter de la conclusion du contrat jusqu’à la date de livraison du bien ou de l’exécution de la prestation et pendant une durée de dix ans à compter de celle-ci.
  • Les données de trafic collectées pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales (1 an)
    • L’article R. 10-13 du Code des postes et communications électroniques prévoit que leur durée de conservation est d’un an à compter du jour de l’enregistrement.
    • A cet égard, sont conservées :
      • Les informations permettant d’identifier l’utilisateur ;
      • Les données relatives aux équipements terminaux de communication utilisés ;
      • Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
      • Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
      • Les données permettant d’identifier le ou les destinataires de la communication.
  • Le dossier médical dans les établissements de santé publics et privés (20 ans)
    • L’article R. 1112-7 du Code de la santé publique prévoit que le dossier médical mentionné à l’article R. 1112-2 est conservé pendant une durée de vingt ans à compter de la date du dernier séjour de son titulaire dans l’établissement ou de la dernière consultation externe en son sein.
    • Lorsqu’en application des dispositions qui précèdent, la durée de conservation d’un dossier s’achève avant le vingt-huitième anniversaire de son titulaire, la conservation du dossier est prorogée jusqu’à cette date.
    • Dans tous les cas, si la personne titulaire du dossier décède moins de dix ans après son dernier passage dans l’établissement, le dossier est conservé pendant une durée de dix ans à compter de la date du décès.
    • Ces délais sont suspendus par l’introduction de tout recours gracieux ou contentieux tendant à mettre en cause la responsabilité médicale de l’établissement de santé ou de professionnels de santé à raison de leurs interventions au sein de l’établissement.
    • A l’issue du délai de conservation mentionné à l’alinéa précédent et après, le cas échéant, restitution à l’établissement de santé des données ayant fait l’objet d’un hébergement en application de l’article L. 1111-8, le dossier médical peut être éliminé.
    • La décision d’élimination est prise par le directeur de l’établissement après avis du médecin responsable de l’information médicale.
    • Dans les établissements publics de santé et les établissements de santé privés participant à l’exécution du service public hospitalier, cette élimination est en outre subordonnée au visa de l’administration des archives, qui détermine ceux de ces dossiers dont elle entend assurer la conservation indéfinie pour des raisons d’intérêt scientifique, statistique ou historique.
  • Les données issues d’un dispositif de vidéosurveillance (1 mois)
    • L’article L. 252-3 du Code de la sécurité intérieure prévoit que « les modalités de transmission des images et d’accès aux enregistrements ainsi que la durée de conservation des images, dans la limite d’un mois à compter de cette transmission ou de cet accès, sans préjudice des nécessités de leur conservation pour les besoins d’une procédure pénale. »

==> Sur les textes posant des délais de prescription/forclusion applicable en matière civile, commerciale ou fiscale

  • Délai de prescription de droit commun en matière en matière civile (5 ans)
    • L’article 2224 prévoit que les actions personnelles ou mobilières se prescrivent par cinq ans à compter du jour où le titulaire d’un droit a connu ou aurait dû connaître les faits lui permettant de l’exercer.
  • Délai de prescription en matière commerciale (5 ans)
    • L’article L. 110-4 du Code de commerce prévoit que les obligations nées à l’occasion de leur commerce entre commerçants ou entre commerçants et non-commerçants se prescrivent par cinq ans si elles ne sont pas soumises à des prescriptions spéciales plus courtes.
  • Délai de prescription en matière de droit de la consommation (2 ans)
    • L’article L. 218-2 du Code de la consommation dispose que l’action des professionnels, pour les biens ou les services qu’ils fournissent aux consommateurs, se prescrit par deux ans.

2. Sur les délibérations de la CNIL

  • Prospection commerciale
    • La CNIL s’est prononcée sur la durée de conservation des données à caractère personnel en matière de prospection commerciale dans une délibération n° 2016-264 du 21 juillet 2016 portant modification d’une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects
    • A cet égard, il a estimé que les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant un délai de trois ans à compter de la fin de la relation commerciale (par exemple, à compter d’un achat, de la date d’expiration d’une garantie, du terme d’un contrat de prestations de services ou du dernier contact émanant du client).
    • Les données à caractère personnel relatives à un prospect non client peuvent, quant à elles, être également conservées pendant un délai de trois ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect (par exemple, une demande de documentation ou un clic sur un lien hypertexte contenu dans un courriel ; en revanche, l’ouverture d’un courriel ne peut être considérée comme un contact émanant du prospect).
    • Au terme de ce délai de trois ans, le responsable de traitement peut reprendre contact avec la personne concernée afin de savoir si elle souhaite continuer à recevoir des sollicitations commerciales.
    • En l’absence de réponse positive et explicite de la personne, les données devront être supprimées ou archivées conformément aux dispositions en vigueur, et notamment celles prévues par le code de commerce, le code civil et le code de la consommation.
  • Données contenues dans les badges détenus par les salariés sur leur lieu de travail
    • Dans une délibération n°02-001 du 08 janvier 2002 la CNIL a considéré que les éléments d’identification des salariés ou des agents publics ne doivent pas être conservés au-delà de 5 ans après le départ du salarié ou de l’agent de l’entreprise ou de l’administration.
    • S’agissant des éléments relatifs aux déplacements des personnes, ils ne doivent pas être conservés plus de trois mois.
    • Toutefois, les informations relatives aux salariés ou aux agent publics peuvent être conservés pendant 5 ans lorsque le traitement a pour finalité le contrôle du temps de travail.
    • Quant à la conservation des données relatives aux motifs d’absence, elle est limitée à une durée de cinq ans sauf dispositions législatives contraires.
    • En cas de paiement direct ou de pré-paiement des repas, les données monétiques ne peuvent être conservées plus de trois mois. En cas de paiement par retenue sur le salaire, la durée de conservation est de 5 ans.
  • Données résultant de l’évaluation et de la sélection des risques en matière d’octroi de crédit (scoring)
    • La CNIL a affirmé, dans une délibération 2006-019 du 02 février 2006 que, en cas de rejet de la demande de crédit, les informations spécialement collectées pour son instruction sont conservées au maximum pendant une période de six mois à compter du dépôt de la demande, lorsque le demandeur n’est pas par ailleurs client de l’établissement de crédit.
    • Elles ne peuvent être utilisées qu’aux fins de l’instruction de nouvelles demandes de crédit.
  • Les cookies
    • La CNIL s’est prononcée sur la durée de vie des cookies dans une délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs.
    • Relevant que le consentement à être suivi peut être oublié par les personnes qui l’ont manifesté à un instant donné, la commission a estimé nécessaire de limiter dans le temps la portée de ce dernier.
    • Aussi, recommande-elle que le délai de validité du consentement au dépôt des cookies soit porté à treize mois au maximum.
    • A l’expiration de ce délai, le consentement devra être à nouveau recueilli.
    • En conséquence, les cookies doivent donc avoir une durée de vie limitée à treize mois après leur premier dépôt dans l’équipement terminal de l’utilisateur (faisant suite à l’expression du consentement) et leur durée de vie ne doit pas être prolongée lors de nouvelles visites sur le site.

D) Les modalités de conservation

Quel que soit le type d’archivage effectué par le responsable du traitement, celui-ci doit mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les données archivées contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.

Ces mesures doivent assurer un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger.

Le non-respect de l’obligation de sécurité est sanctionné par l’article 226-17 du code pénal ( cinq ans d’emprisonnement et de 300 000 euros d’amende).

L’article 35 de la loi du 6 janvier 1978 prévoit, par ailleurs que le responsable du traitement, lorsque l’archivage est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer et qu’il doit veiller au respect de ces mesures.

La réalisation de traitements en sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable de traitement et qui prévoit notamment que le sous-traitant n’agit que sur la seule instruction du responsable de traitement et que les obligations en matière de sécurité incombent également à celui-ci.

Pratiquement, dans sa délibération n°2005-213 du 11 octobre 2005, la CNIL a préconisé plusieurs modalités de conservation selon le type d’archive concernée :

  • S’agissant des archives intermédiaires, il est recommandé que l’accès à celles-ci soit limité à un service spécifique (par exemple un service du contentieux) et qu’il soit procédé, a minima, à un isolement des données archivées au moyen d’une séparation logique (gestion des droits d’accès et des habilitations).
  • S’agissant des archives définitives, il est recommandé qu’elles soient conservées sur un support indépendant, non accessible par les systèmes de production, n’autorisant qu’un accès distinct, ponctuel et précisément motivé auprès d’un service spécifique seul habilité à consulter ce type d’archives (par exemple la direction des archives de l’entreprise).

La CNIL recommande, en outre, afin de garantir l’intégrité des données archivées, de mettre en œuvre des dispositifs sécurisés lors de tout changement de support de stockage des données archivées ainsi que des dispositifs de traçabilité des consultations des données archivées.

§2 : Les dérogations

L’article 36 de la LIL dispose que « les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue au 5° de l’article 6 qu’en vue d’être traitées à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques »

Ainsi, est autorisée la conservation de données à caractères personnel pour une durée qui excède la finalité initiale du traitement lorsqu’elles sont traitées à des fins historiques, statistiques ou scientifiques.

Dans le même sens, l’article 5, e) du RGPD prévoit que « les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) ».

Si, le RGPD ne semble pas distinguer selon la nature des archives conservées, tel n’est pas le cas de la LIL qui renvoie à l’article L. 212-3 du Code du patrimoine.

Cette disposition ne concerne, en effet, que les seules archives publiques.

Par archives publiques, il faut entendre, au sens de l’article L. 211-4 du Code du patrimoine :

  • Les documents qui procèdent de l’activité de l’Etat, des collectivités territoriales, des établissements publics et des autres personnes morales de droit public. Les actes et documents des assemblées parlementaires sont régis par l’ordonnance n° 58-1100 du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires ;
  • Les documents qui procèdent de la gestion d’un service public ou de l’exercice d’une mission de service public par des personnes de droit privé ;
  • Les minutes et répertoires des officiers publics ou ministériels et les registres de conventions notariées de pacte civil de solidarité.

L’article 89 du RGPD précise que le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques est soumis, conformément au présent règlement, à des garanties appropriées pour les droits et libertés de la personne concernée.

Ces garanties doivent garantir la mise en place de mesures techniques et organisationnelles, en particulier pour assurer le respect du principe de minimisation des données. Ces mesures peuvent comprendre la pseudonymisation, dans la mesure où ces finalités peuvent être atteintes de cette manière.

Chaque fois que ces finalités peuvent être atteintes par un traitement ultérieur ne permettant pas ou plus l’identification des personnes concernées, il convient de procéder de cette manière.

Le considérant n°158 du RGPD précise que lorsque les données à caractère personnel sont traitées à des fins archivistiques, les autorités publiques ou les organismes publics ou privés qui conservent des archives dans l’intérêt public doivent être des services qui, en vertu du droit de l’Union ou du droit d’un État membre, ont l’obligation légale de collecter, de conserver, d’évaluer, d’organiser, de décrire, de communiquer, de mettre en valeur, de diffuser des archives qui sont à conserver à titre définitif dans l’intérêt public général et d’y donner accès.

(1)

==> Reconnaissance du principe

L’article 6, 2° de la loi informatique et libertés prévoit que les données à caractère personnel « sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ».

Dans la première version de la loi, le principe de finalité n’avait pas explicitement été érigé au rang de principe, à tout le moins pas directement. Ce principe n’était qu’évoqué en ce que le détournement de la finalité du traitement était sanctionné.

En 2004, lors de la transposition – tardive – de la directive du 24 octobre 1995, le législateur s’est saisi de l’occasion pour préciser que les données doivent être collectées « pour des finalités déterminées » et ne peuvent être « traitées ultérieurement de manière incompatible avec ces finalités ».

Ce complément majeur résulte du point b) du paragraphe 1) de l’article 6 de la directive. Il figurait déjà presque dans les mêmes termes dans la convention n° 108 du Conseil de l’Europe.

Le principe de finalité a été réaffirmé par le RGPD qui prévoit en son article 5, 1, b) que « les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités »

==> Signification du principe

Le principe de finalité est, sans aucun doute, la pierre angulaire de la loi informatique et libertés. Il signifie que, pour être licite, un traitement de données à caractère personnel doit être assorti d’une finalité.

Autrement dit, la collecte de données à caractère personnel ne peut jamais être une fin en soi. Pour être mise en œuvre, elle doit être justifiée par la poursuite d’un but déterminé. On ne peut pas se livrer à une collecte de données « au cas où ».

Lorsqu’il est procédé à un traitement de données, celui-ci doit poursuivre une finalité, laquelle finalité doit être portée à la connaissance de la personne concernée. Ainsi, le principe de finalité est étroitement lié à l’exigence de consentement qui préside au traitement de données à caractère personnel. Pour consentir à un traitement de données, encore faut-il avoir été informé de sa finalité.

Le considérant 42 du RGPD énonce en ce sens que « pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l’identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».

Dans son avis n°03/2013 du 2 avril 2013, le groupe de l’article 29 justifie le principe de finalité en indiquant qu’il répond à trois impératifs :

  • Un impératif de transparence
    • La personne dont les données sont collectées doit être informée de la finalité du traitement afin d’être en capacité d’y consentir.
    • Autrement dit, la transparence garantit la prévisibilité et permet ainsi à la personne concernée de contrôler l’usage de ses données
  • Un impératif de prévisibilité
    • Pour le groupe de l’article 29, dès lors que la finalité du traitement est déterminée, les personnes concernées peuvent savoir à quoi s’attendre, en ce sens qu’elles connaissent le traitement dont est susceptible de faire l’objet leurs données ainsi que l’étendue de ce traitement.
  • Un impératif de sécurité juridique
    • L’exigence de détermination de la finalité du traitement apporte aux personnes concernées une sécurité juridique dans la mesure où elles sont en mesure de contrôler l’usage de leurs données, notamment en exerçant leurs droits, d’accès, d’opposition, de suppression, de rectification etc.

Pratiquement, il ressort de l’article 6 de la LIL que le principe de finalité met à la charge du responsable du traitement, deux séries d’obligations qui interviennent à deux stades bien distincts du traitement :

  • Au stade de la collecte des données
  • Au stade du traitement ultérieur des données

§1 : L’exigence d’une finalité déterminée, explicite et légitime au stade de la collecte des données

Si, pour être licite, une collecte de données à caractère personnel doit être assortie d’une finalité, la satisfaction de cette condition n’est pas suffisante.

L’article 6 de la LIL exige que la finalité de la collecte soit :

  • Déterminée
  • Explicite
  • Légitime

==> Une finalité déterminée

Les données à caractère personnel doivent être collectées à des fins déterminées. Aussi, appartient-il au responsable du traitement de soigneusement analyser, le ou les buts pour lesquelles les données seront collectées.

Cette analyse doit se faire en amont de la collecte. À cet égard, le responsable du traitement, doit documenter sa démarche et être en mesure de justifier la finalité communiquée à la personne visée.

Il devra notamment veiller à ce que la finalité retenue ne soit pas trop large. Elle doit donc être clairement et précisément identifiée. Plus encore, la finalité doit être suffisamment précise pour que la personne concernée soit en mesure de savoir quelles sont les utilisations incluses et exclues de ses données par le responsable du traitement.

Le G29 considère, par exemple, qu’une finalité est très vague ou générale lorsqu’elle est présentée comme consistant à « améliorer l’expérience utilisateur » ou qu’elle est exposée sous le terme « finalité marketing » ou encore « finalité sécurité IT ».

Au vrai, le degré de précision de la finalité annoncée dépend du contexte particulier dans lequel les données sont collectées et de la complexité du traitement.

==> Une finalité explicite

En plus d’être déterminée, la finalité du traitement doit être explicite. Elle doit, autrement dit, être clairement révélée et exprimée de façon intelligible.

L’explicitation de la finalité doit intervenir, selon le Groupe de l’article 69, au plus tard, au moment de la collecte des données.

L’objectif de cette exigence est de garantir la bonne compréhension du but poursuivi par le responsable du traitement, lequel ne saurait être imprécis ou ambiguë.

La finalité annoncée doit, en somme, être suffisamment explicite pour que la personne concernée comprenne l’intention du responsable du traitement.

==> Une finalité légitime

Selon le Groupe de l’article 29 pour que la finalité d’un traitement de données soit légitime, il est nécessaire que, à tous les stades et à tout moment, celui-ci repose :

  • Soit sur le consentement de la personne concernée
  • Soit sur l’un des cas prévus par dérogation à l’exigence de consentement (art. 7 de la LIL)

L’exigence de légitimité signifie encore que les finalités du traitement soient conformes à la loi. Il peut donc s’agir de respecter une réglementation différente de celle posée par la LIL.

Pour apprécier la légitimité de la finalité, pourront ainsi être pris en compte, le droit du travail, le droit de la consommation, la jurisprudence, la coutume, la déontologie.

§2 : L’exigence de compatibilité du traitement ultérieur avec la finalité initiale de la collecte des données

Le principe de finalité n’a pas seulement vocation à s’appliquer au stade de la collecte des données à caractère personnel, il doit également être respecté en cas de traitement ultérieur.

Plus précisément, l’article 6 de la LIL pose une exigence de compatibilité entre la finalité de la collecte et celle des traitements futurs.

Pour écarter le risque d’un usage injustifié, même décalé dans le temps, ce texte pose ainsi un principe d’interdiction de tout traitement ultérieur des données « incompatible avec les finalités pour lesquelles elles ont été collectées ».

Une exception est néanmoins prévue au profit des traitements réalisés à des fins statistiques ou scientifiques ou historiques, sous réserve qu’ils respectent les conditions de licéité.

I) Le principe

C’est donc l’interdiction de tout traitement ultérieur des données « incompatible avec les finalités pour lesquelles elles ont été collectées ».

On peut en déduire que le traitement de données à caractère personnel pour d’autres finalités que celles pour lesquelles les données à caractère personnel ont été collectées initialement n’est autorisé que s’il est compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement.

Dans ce cas, aucune base juridique distincte de celle qui a permis la collecte des données à caractère personnel n’est requise.

Lorsque, en revanche, le traitement ultérieur incompatible, il conviendra de fonder le traitement sur un nouveau fondement juridique, ce qui pourrait consister, par exemple, à solliciter le consentement de la personne visée.

La question qui immédiatement se pose est alors de savoir ce que l’on doit entendre par la notion de compatibilité du traitement ultérieur avec les finalités initiales de la collecte.

Pour le déterminer, il convient de se reporter au test de compatibilité établi par le Groupe de l’article 29 et aux critères posés par le RGPD

A) Le test de compatibilité établir par le Groupe de l’article 29

  1. La méthode

Afin de déterminer si un traitement ultérieur de données est compatible avec la finalité initiale de leur collecte, le Groupe de l’article 29 suggère de procéder à deux sortes d’évaluations :

  • Une évaluation formelle
    • Elle consistera à comparer les finalités initialement déclarées par le responsable du traitement dans le cadre de l’information fournie à la personne concernée, à celles poursuivies ultérieurement et vérifier que ces dernières sont couvertes implicitement ou explicitement.
    • Cette première méthode peut sembler, à première vue, des plus objectives et neutres.
    • Toutefois, elle risque d’être trop rigide, en ce qu’elle se limite à une analyse seulement textuelle des finalités poursuivies.
  • Une évaluation matérielle
    • Il conviendra ici d’aller au-delà des déclarations officielles pour identifier à la fois nouvelles finalités et celles initialement poursuivies, en tenant compte de la manière dont elles ont été effectivement comprises par la personne concernée.
    • Cette seconde méthode est, de toute évidence, plus souple et pragmatique que la première, mais aussi plus efficace.
    • Elle permet de s’adapter aux évolutions futures de la finalité du traitement, tout en continuant à protéger efficacement la protection des données à caractère personnel.

Plusieurs exemples sont fournis par le Groupe de l’article 29 :

==> Exemple 1 : la compatibilité est évidente à première vue

Un client effectue une commande en ligne auprès d’un commerçant en vue de se faire livrer chaque semaine des paniers de légumes bio.

Après avoir collecté, lors de la conclusion du contrat, l’adresse et les coordonnées bancaires du client, ces données sont traitées ultérieurement par le commerçant les semaines suivantes pour les besoins de la livraison et du paiement.

Ici, il ne fait aucun doute que le traitement ultérieur des données est conforme à la finalité de la collecte initiale.

==> Exemple 2 : La compatibilité n’est pas évidente et nécessite une analyse plus approfondie

Le commerçant souhaite, dans ce scénario utiliser l’adresse e-mail du client afin de lui adresser des offres personnalisées et des bons de réductions pour des produits similaires, y compris sa gamme de produits laitiers biologiques.

Il souhaite également communiquer les données du client, dont son nom, adresse électronique, numéro de téléphone et historique des achats à un autre commerçant qui a ouvert une boucherie biologique dans le même quartier.

Dans les deux cas, ici le commerçant ne peut pas considérer que ce traitement ultérieur est compatible avec la finalité initiale de la collecte de données, de sorte que des analyses approfondies devront être menées par le responsable du traitement.

Pour le groupe de l’article 29, plus la différence entre la finalité initiale de la collecte et celle du traitement ultérieur est grande, plus le test de compatibilité doit être détaillé, ce qui pourra conduire à adopter des mesures supplémentaires pour compenser le changement de finalité, comme, par exemple, fournir des informations supplémentaires à la personne concernée.

==> Exemple 3 : L’incompatibilité est évidente

En plus d’acheter un panier de légumes bio le client commande une gamme d’autres produits biologiques sur le site web du commerçant, dont certains à prix réduit.

Le commerçant, sans informer le client, a mis en place une solution logicielle de personnalisation des prix prête à l’emploi, qui – entre autres choses – détecte si le client utilise un ordinateur Apple ou un PC Windows.

Le commerçant offre alors automatiquement des rabais plus importants aux utilisateurs de Windows.

Dans ce cas, le traitement ultérieur des données est clairement incompatible avec la finalité de la collecte initiale.

Si les données sont traitées de telle manière qu’une personne raisonnable trouverait le traitement, non seulement inattendu, mais égalent inapproprié, il est fort probable que celui-ci puisse être considéré comme incompatible.

2. Les critères

Afin d’évaluer la compatibilité d’un traitement ultérieur de données, le Groupe de l’article 29 a posé un certain nombre de critères

==> La relation entre les finalités pour lesquelles les données ont été collectées et les finalités du traitement ultérieur

Ce facteur est peut-être le plus évident car l’évaluation de la compatibilité repose, d’abord, sur la relation entre la finalité initiale de la collecte et la finalité du traitement ultérieur.

Ce critère peut couvrir des situations où le traitement ultérieur était déjà plus ou moins compris implicitement dans les finalités initiales, ou supposées comme l’étape logique suivante du traitement selon ces fins.

En tout état de cause, plus la différence entre les finalités de la collecte et celles du traitement ultérieur est grande plus l’évaluation de la compatibilité est problématique.

Afin de procéder à cette évaluation, il sera nécessaire de toujours se reporter au contexte factuel et à la finalité telle qu’elle a été comprise par la personne visée.

==> Le contexte dans lequel les données ont été collectées et les attentes raisonnables de la personne concernée quant à leur utilisation ultérieure

Ce deuxième critère est axé sur le contexte spécifique dans lequel les données ont été collectées et sur les attentes raisonnables des personnes concernées quant à l’utilisation de leurs données dans ce contexte.

En d’autres termes, la question ici est de savoir à quoi une personne raisonnable, qui se trouverait dans la situation de la personne concernée, s’attendrait s’agissant du traitement ultérieur de ses données.

A priori, plus le traitement ultérieur des données est inattendu ou surprenant, plus il est probable qu’il soit considéré comme incompatible.

==> La nature des données et l’impact du traitement ultérieur sur les personnes concernées

Le groupe de l’article 29 recommande ici de prendre en compte la nature des données collectées.

Au fond, l’idée sous-jacente est que plus les informations en cause sont sensibles, plus la marge de compatibilité est étroite.

À cela s’ajoute la prise en compte de l’incidence du traitement ultérieur sur les libertés de la personne concernée.

==> Les critères du RGPD

Selon l’article 6, 4 du RGPD, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, le responsable du traitement tient compte, entre autres:

  • de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé;
  • du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement;
  • de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10;
  • des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées;
  • de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.

De toute évidence, les critères ici énoncés par le RGPD sont directement issus de l’avis formulé par le Groupe de l’article 29.

B) Les exceptions

Le principe d’interdiction du traitement ultérieur des données incompatible avec les finalités pour lesquelles elles ont été collectées est assorti de deux exceptions : la première est générale, la seconde spécifique

  1. L’exception générale

Il ressort de l’article 6, 4° du RGPD que, en cas d’incompatibilité du traitement ultérieur avec les finalités poursuivies initialement au stade de la collecte, celui-ci est, malgré tout, autorisé :

  • Si la personne concernée a exprimé son consentement
  • Si le traitement est fondé sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1
    • Au nombre de ces objectifs figurent :
      • la sécurité nationale;
      • la défense nationale;
      • la sécurité publique;
      • la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;
      • d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale;
      • la protection de l’indépendance de la justice et des procédures judiciaires;
      • la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;
      • une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique, dans les cas visés aux points a) à e) et g);
      • la protection de la personne concernée ou des droits et libertés d’autrui;
      • l’exécution des demandes de droit civil.

2. L’exception spécifique

Par exception au principe d’interdiction du traitement incompatible, l’article 6 de la LIL pose une exception pour les traitements ultérieurs de données :

  • à des fins statistiques
  • à des fins de recherche scientifique
  • à des fins de recherche historique

Selon le Groupe de l’article 29, ce texte ne doit pas être interprété comme instituant une exception générale à l’exigence de compatibilité.

Il ne saurait s’agir d’une règle qui vise à autoriser, en toutes circonstances, le traitement des données à des fins historiques, statistiques ou scientifiques.

Comme dans tout autre cas de traitement ultérieur, toutes les circonstances et tous les facteurs pertinents doivent être pris en compte pour décider quelles garanties peuvent être considérées comme appropriées et suffisantes.

(0)

==> Les textes

Aux termes de l’article 6, 1° de la loi informatique et libertés, « un traitement ne peut porter que sur des données à caractère personnel qui […] sont collectées et traitées de manière loyale et licite ».

Les principes de loyauté et de licéité sont également énoncés par la Charte européenne des droits fondamentaux en son article 8(2).

Le texte prévoit que les données à caractère personnel « doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. »

Les principes directeurs de l’ONU prévoient encore que « les données concernant les personnes ne doivent pas être obtenues ou traitées à l’aide de procédés illicites ou déloyaux, ni utilisées à des fins contraires aux buts et aux principes de la Charte des Nations Unies. »

Selon le RGPD, les principes de loyauté et de licéité répondent à un impératif de transparence.

À cet égard, le considérant 39 énonce que, « le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées ».

==> Distinction entre les principes de loyauté et de licéité

Il convient d’observer que le principe de loyauté se distingue du principe de licéité.

  • Un traitement de données peut parfaitement être licite, car autorisé par la loi, mais déloyale car ne répondant pas aux exigences de transparence dictées par le principe de loyauté
  • À l’inverse, un traitement peut être illicite, car prohibé par les textes, mais loyal car effectué en toute transparence pour la personne concernée

Tandis que le respect du principe de licéité s’apprécie au regard d’un seul critère, le respect de la règle de droit, l’observation du principe de loyauté est plus délicate à établir.

Il s’infère, en effet, du principe de loyauté plusieurs obligations pour le responsable du traitement :

  • Une obligation d’information
  • Une obligation de garantir l’exercice des droits d’accès et d’opposition
  • Une obligation de garantir la conservation limitée des données traitées
  • Une obligation de garantir la confidentialité et la sécurité des données traitées

I) Sur l’obligation d’information

A) Sur les modalités d’exécution de l’obligation d’information

Selon le RGPD, le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples.

Autrement dit, il appartient au responsable du traitement de rendre facilement accessible les informations qu’il lui appartient de communiquer aux personnes dont les données à caractère personnel sont collectées.

Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur :

  • l’identité du responsable du traitement
  • les finalités du traitement
  • leur droit d’obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l’objet d’un traitement.

B) Sur le contenu de l’obligation d’information

Le responsable du traitement est tenu de communiquer à la personne concernée un certain nombre d’informations.

  1. Informations relatives à la collecte de données à caractère personnel

a) L’exigence de collecte directe

L’obligation de loyauté, suppose que les données soient collectées directement auprès de la personne concernée

Par nature un traitement de données à caractère personnel est regardé comme déloyal, dès lors qu’il est effectué à l’insu de la personne concernée.

Aussi, appartient-il au responsable du traitement d’informer la personne dont les données sont collectées de l’existence d’un traitement.

Dans un arrêt du 14 mars 2006, la Cour de cassation a qualifié de déloyal la collecte d’adresses électroniques, « en ce qu’elles ont été utilisées sans rapport avec l’objet de leur mise en ligne »[1].

Dans une décision du n°2016-007 du 26 janvier 2016, la CNIL a encore considéré que la collecte de données relatives à la navigation d’internautes au moyen de cookies sans les en avertir constituait un manquement à la règle aux termes de laquelle les données à caractère personnel sont collectées et traitées de manière loyale et licite.

 Ainsi, pour qu’un traitement de données à caractère personnel soit loyal, la personne concernée doit être informée de l’existence du traitement.

b) La prohibition de la collecte indirecte

==> Notion

La collecte est indirecte lorsqu’elle n’est pas directement réalisée auprès de la personne concernée, soit lorsqu’elle intervient par l’entremise d’une tierce personne.

Il en va ainsi en cas d’achat d’un fichier de données ou de collecte sur une plateforme numérique.

En effet, de nombreuses entreprises achètent, cèdent ou revendent des fichiers de données à caractère personnel, qui sont ainsi collectées de façon indirecte.

Dans cette hypothèse, pour ne pas être considérée comme déloyale, la collecte indirecte doit nécessairement s’accompagner d’une information à la personne concernée de l’existence d’un traitement de ses données ainsi que de ses droits qui en découlent (droit d’accès, d’opposition etc.).

Le fait que la personne dont les données sont collectées indirectement ait déjà consenti au traitement de ses données ne dispense pas l’auteur d’une collecte indirecte de satisfaire à son obligation d’information.

==> Droit antérieur

Il peut être observé que, avant l’entrée en vigueur de la loi du 6 août 2004 transposant la directive du 24 octobre 1995, cette obligation n’existait pas.

À cet égard, dans un arrêt du 25 octobre 1995, la Cour de cassation avait explicitement considéré que « la loi du 6 janvier 1978 ne fait nulle obligation au responsable du fichier, qui recueille auprès de tiers des informations nominatives aux fins de traitement, d’en avertir la personne concernée »[2].

==> Droit positif

  • Principe
    • La loi du 6 août 2004 a pris le contre-pied de la Cour de cassation en posant à l’article 32 de la loi informatique et libertés que « lorsque les données à caractère personnel n’ont pas été recueillies auprès de la personne concernée, le responsable du traitement ou son représentant doit fournir à cette dernière les informations énumérées au I dès l’enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données»
    • Ainsi, le principe est désormais la prohibition de la collecte de données à caractère personnel, sauf à en informer la personne concernée.
  • Exceptions
    • La prohibition de la collecte indirecte de données a été assortie par le législateur de 5 exceptions énoncées aux articles 26, 27 et 32, III de la loi informatique et libertés :
      • Première exception (art. 32 LIL)
        • Lorsque les données à caractère personnel ont été initialement recueillies pour un autre objet, les dispositions de l’alinéa précédent ne s’appliquent pas aux traitements nécessaires à la conservation de ces données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues au livre II du code du patrimoine ou à la réutilisation de ces données à des fins statistiques dans les conditions de l’article 7 bis de la loi n° 51-711 du 7 juin 1951 sur l’obligation, la coordination et le secret en matière de statistiques.
        • Ainsi, dès lors qu’il s’agit d’exploiter les données collectées à des fins historiques, statistiques ou scientifiques, il n’est pas nécessaire d’en informer la personne concernée.
      • Seconde exception (art. 32 LIL)
        • Il est encore fait exception à la prohibition de la collecte indirecte de données lorsque la personne concernée est déjà informée ou quand son information se révèle impossible ou exige des efforts disproportionnés par rapport à l’intérêt de la démarche.
        • Dans l’hypothèse où l’information de la personne dont les données sont collectées est matériellement difficile à mettre en œuvre, voire impossible, alors l’auteur de la collecte indirecte s’en trouve dispensé.
      • Troisième exception (art. 26 LIL)
        • La collecte indirecte est autorisée lorsque les données recueillies indirectement sont utilisées au profit d’un traitement dit « de souveraineté » mis en œuvre pour l’Etat (intéressant la sûreté de l’Etat, la défense ou la sécurité publique ou ayant pour objet l’exécution de condamnations pénales ou de mesures de sûreté)
        • Reste que cette collecte est subordonnée à autorisation par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés
      • Quatrième exception (art. 26 LIL)
        • La collecte indirecte de données est encore autorisée lorsqu’elle a pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté.
        • Là encore, l’autorisation est soumise à l’édiction d’un arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés
      • Cinquième exception (art. 27 LIL)
        • Il est prévu que la collecte indirecte de données est autorisée pour les traitements de données à caractère personnel mis en œuvre pour le compte de l’Etat, agissant dans l’exercice de ses prérogatives de puissance publique, qui portent sur des données génétiques ou sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes.
        • L’autorisation ne peut résulter que d’un décret en Conseil d’Etat, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés.

Au bilan, sauf à s’inscrire dans l’une des exceptions prévues par le législateur, la collecte indirecte de données à caractère personnel est prohibée.

Dans un arrêt du 12 mars 2014, le Conseil d’État a considéré en ce sens que le responsable d’un traitement de données n’est pas exonéré de ses obligations « du fait du caractère indirect de la collecte des données »[3].

En l’espèce, la juridiction administrative relève que :

  • D’une part, les personnes dont les données à caractère personnel étaient extraites de réseaux sociaux pour être agrégées au service d’annuaire ” Pages Blanches ” n’étaient informées de leur droit d’opposition que si elles consultaient ce service
  • D’autre part, le droit d’opposition ne pouvait être exercé de manière effective et durable, eu égard à la complexité de la procédure et à la circonstance que les demandes imprécises ou incomplètes n’étaient pas traitées
  • Enfin, que l’exercice du droit de rectification n’était pas garanti, le responsable du traitement estimant qu’il en était exonéré du fait du caractère indirect de la collecte des données ; qu’ainsi, la formation restreinte de la CNIL, qui est légalement tenue de garantir

Le Conseil d’État en déduit que la collecte ainsi réalisée présentait un caractère déloyal.

2. Informations relatives aux droits de la personne concernée

L’information de la personne dont les données sont collectées de l’existence d’un traitement ne suffit pas, elle doit être complétée par la fourniture d’informations relatives aux droits qui lui sont conférés par la loi informatique et libertés.

Plus précisément, l’information doit porter sur 3 éléments :

  • Les risques, règles, garanties et droits liés au traitement des données à caractère personnel
  • Les modalités d’exercice de leurs droits en ce qui concerne le traitement dont les personnes concernées font l’objet
  • Les finalités spécifiques du traitement qui doit être explicite et légitime et déterminée lors de la collecte des données à caractère personnel

II) Une obligation de garantir la conservation limitée des données traitées

==> La conservation des données

Selon le considérant 39 du RGPD, le respect du principe de loyauté exige que le responsable du traitement garantisse la durée de conservation des données soit limitée au strict minimum.

Aussi, afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique.

Par ailleurs, la garantie tenant à la conservation des données suppose qu’elles soient conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées;

Dans sa décision du 11 octobre 2005, la CNIL a eu l’occasion d’affirmer que « face à la mémoire de l’informatique, seul le principe du “droit” à l’oubli consacré par l’article 6-5° de la loi du 6 janvier 1978 peut garantir que les données collectées sur les individus ne soient pas conservées, dans les entreprises, pour des durées qui pourraient apparaître comme manifestement excessive »[4].

À cet égard, le droit à l’oubli a été consacré par le RGPD qui prévoit que « la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais ».

==> La durée de conservation

La durée de conservation doit être établie en fonction de la finalité de chaque traitement.

Le responsable de traitement la fixe de façon “raisonnable” en fonction de l’objectif du traitement.

La détermination de la durée de conservation doit s’appuyer sur le critère « une donnée vivante est une donnée dont on a régulièrement besoin ». Cette durée correspond à la durée de vie des archives courantes.

Au-delà, les données peuvent être faire l’objet d’archives intermédiaires, voire d’archives définitives.

III) Sur l’obligation de garantir la confidentialité et la sécurité des données traitées

Autre obligation qui participe du respect du principe de loyauté, celle qui commande au responsable du traitement d’assurer la confidentialité et la sécurité des données traitées.

Autrement dit, les données à caractère personnel doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur traitement ainsi que l’utilisation non autorisée de ces données et de cet équipement.

Le niveau de sécurité attendu est fixé par l’article 32 du RGPD.

Cette disposition prévoit que compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

  • La pseudonymisation et le chiffrement des données à caractère personnel;
  • Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
  • Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
  • Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

De son côté, l’article 34 de la loi informatique et libertés dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

Afin de garantir un niveau de sécurité satisfaisant, le chiffrement des données est fortement encouragé par la CNIL.

Dans son rapport annuel de 2017, elle a ainsi souligné que « dans un contexte de numérisation croissante de nos sociétés et d’accroissement exponentiel des cybermenaces, le chiffrement est un élément vital de notre sécurité. Il contribue aussi à la robustesse de notre économie numérique et de ses particules élémentaires que sont les données à caractère personnel, dont la protection est garantie par l’article 8 de la Charte des droits fondamentaux de l’Union européenne ».

Le Conseil national du numérique, dans son avis de septembre 2017, a, pris une position similaire, rappelant que « le chiffrement est un outil vital pour la sécurité en ligne ; en conséquence, il doit être diffusé massivement auprès des citoyens, des acteurs économiques et des administrations ».

[1] Cass. crim., 14 mars 2006, n° 05-83423

[2] Cass., ch. crim., 25 oct. 1995, n° 94-85781

[3] CE, 12 mars 2014, n° 353193, Sté Pages Jaunes

[4] Délibération n°2005-213 du 11 octobre 2005

(0)

Selon le groupe de l’article 29 la notion de responsable du traitement des données et son interaction avec la notion de sous-traitant des données jouent un rôle central dans l’application du RGPD, car elles déterminent la ou les personnes chargées de faire respecter les règles en matière de protection des données et la manière dont les personnes concernées peuvent exercer leurs droits dans la pratique.

Ainsi, en présence d’un traitement de données à caractère personnel il convient de déterminer le responsable à qui il échoit de respecter les règles de protection des droits et libertés et de supporter d’éventuelles sanctions administratives, civiles voire pénales.

Le rôle premier de la notion de responsable du traitement est donc de déterminer qui est chargé de faire respecter les règles de protection des données, et comment les personnes concernées peuvent exercer leurs droits dans la pratique. En d’autres termes, il s’agit d’attribuer les responsabilités.

L’article 3 de la loi informatique et libertés définit le responsable du traitement comme « la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ».

Dans une approche plus restrictive, la convention 108 désigne le responsable du traitement comme le « «maître du fichier» lequel est « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui est compétent selon la loi nationale, pour décider quelle sera la finalité du fichier automatisé, quelles catégories de données à caractère personnel doivent être enregistrées et quelles opérations leur seront appliquées. »

Cette définition n’a pas été retenue par le RGPD qui prévoit, en son article 4, 7), que le responsable du traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ».

À l’examen, la définition du responsable du traitement énoncée dans la directive s’articule, selon le G29, autour de trois composantes principales :

  • L’aspect individuel: « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme »
  • La possibilité d’une responsabilité pluraliste: « qui seul ou conjointement avec d’autres »
  • Les éléments essentiels qui permettent de distinguer le responsable du traitement des autres acteurs: « détermine les finalités et les moyens du traitement de données à caractère personnel »

Afin de déterminer la ou les personnes responsables d’un traitement de données à caractère personne, il convient de se reporter à la méthodologie élaborée par le G29 dans son avis 1/2010 sur les notions de «responsable du traitement» et de «sous-traitant».

I) L’aspect personnel

Le premier élément de la définition a trait à l’aspect personnel: qui peut être responsable du traitement, et donc considéré comme responsable en dernier ressort des obligations découlant de la directive.

La définition reproduit exactement le libellé de l’article 2 de la convention 108 et n’a fait l’objet d’aucun débat particulier lors du processus d’adoption de la directive. Elle renvoie à un vaste éventail de sujets susceptibles de jouer le rôle de responsable du traitement, de la personne physique à la personne morale, en passant par «tout autre organisme».

Il importe que l’interprétation de ce point garantisse la bonne application de la directive, en favorisant autant que possible une identification claire et univoque du responsable du traitement en toutes circonstances, même si aucune désignation officielle n’a été faite et rendue publique.

Il convient avant tout de s’écarter le moins possible de la pratique établie dans les secteurs public et privé par d’autres domaines du droit, tels que le droit civil, le droit administratif et le droit pénal.

Dans la plupart des cas, ces dispositions indiqueront à quelles personnes ou à quels organismes les responsabilités doivent être attribuées et permettront, en principe, d’identifier le responsable du traitement.

==> Principe : le responsable du traitement est une personne morale

Dans la perspective stratégique d’attribution des responsabilités, et afin que les personnes concernées puissent s’adresser à une entité plus stable et plus fiable lorsqu’elles exercent les droits qui leur sont conférés par la directive, il est préférable de considérer comme responsable du traitement la société ou l’organisme en tant que tel, plutôt qu’une personne en son sein.

C’est en effet la société ou l’organisme qu’il convient de considérer, en premier ressort, comme responsable du traitement des données et des obligations énoncées par la législation relative à la protection des données, à moins que certains éléments précis n’indiquent qu’une personne physique doive être responsable.

D’une manière générale, on partira du principe qu’une société ou un organisme public est responsable en tant que tel des opérations de traitement qui se déroulent dans son domaine d’activité et de risques.

Parfois, les sociétés et les organismes publics désignent une personne précise pour être responsable de l’exécution des opérations de traitement.

Cependant, même lorsqu’une personne physique est désignée pour veiller au respect des principes de protection des données ou pour traiter des données à caractère personnel, elle n’est pas responsable du traitement mais agit pour le compte de la personne morale (société ou organisme public), qui demeure responsable en cas de violation des principes, en sa qualité de responsable du traitement.

==> Exception : le responsable du traitement peut être une personne physique

Une analyse distincte s’impose dans le cas où une personne physique agissant au sein d’une personne morale utilise des données à des fins personnelles, en dehors du cadre et de l’éventuel contrôle des activités de la personne morale.

Dans ce cas, la personne physique en cause serait responsable du traitement décidé, et assumerait la responsabilité de cette utilisation de données à caractère personnel. Le responsable du traitement initial pourrait néanmoins conserver une certaine part de responsabilité si le nouveau traitement a eu lieu du fait d’une insuffisance des mesures de sécurité.

Ainsi, le rôle du responsable du traitement est décisif et revêt une importance particulière lorsqu’il s’agit de déterminer les responsabilités et d’infliger des sanctions.

Même si celles-ci varient d’un État membre à l’autre parce qu’elles sont imposées selon les droits nationaux, la nécessité d’identifier clairement la personne physique ou morale responsable des infractions à la législation sur la protection des données est sans nul doute un préalable indispensable à la bonne application de la loi informatique et libertés.

II) La possibilité d’une personne pluraliste

La possibilité que le responsable du traitement agisse «seul ou conjointement avec d’autres» n’avait pas été prévue initialement par les textes.

Ainsi, n’était-il pas envisagé le cas où tous les responsables du traitement décident de façon égale et sont responsables de façon égale d’un même traitement.

Pourtant, la réalité montre qu’il ne s’agit là que d’une des facettes de la «responsabilité pluraliste». Dans cette optique, «conjointement» doit être interprété comme signifiant «ensemble avec» ou «pas seul», sous différentes formes et associations.

Il convient tout d’abord de noter que la probabilité de voir de multiples acteurs participer au traitement de données à caractère personnel est naturellement liée à la multiplicité des activités qui, selon la loi, peuvent constituer un «traitement» devenant, au final, l’objet de la «coresponsabilité».

La définition du traitement énoncée à l’article 2 de la loi informatique et libertés n’exclut pas la possibilité que différents acteurs participent à plusieurs opérations ou ensembles d’opérations appliquées à des données à caractère personnel.

Ces opérations peuvent se dérouler simultanément ou en différentes étapes.

Dans un environnement aussi complexe, il importe d’autant plus que les rôles et les responsabilités puissent facilement être attribués, pour éviter que les complexités de la coresponsabilité n’aboutissent à un partage des responsabilités impossible à mettre en œuvre, qui compromettrait l’efficacité de la législation sur la protection des données.

Ainsi, une coresponsabilité naît lorsque plusieurs parties déterminent, pour certaines opérations de traitement :

  • soit la finalité
  • soit les éléments essentiels des moyens qui caractérisent un responsable du traitement

Cependant, dans le cadre d’une coresponsabilité, la participation des parties à la détermination conjointe peut revêtir différentes formes et n’est pas nécessairement partagée de façon égale.

En effet, lorsqu’il y a pluralité d’acteurs, ils peuvent entretenir une relation très proche (en partageant, par exemple, l’ensemble des finalités et des moyens d’une opération de traitement) ou, au contraire, plus distante (en ne partageant que les finalités ou les moyens, ou une partie de ceux-ci).

Dès lors, un large éventail de typologies de la coresponsabilité doit être examiné, et leurs conséquences juridiques évaluées, avec une certaine souplesse pour tenir compte de la complexité croissante de la réalité actuelle du traitement de données.

Par exemple, le simple fait que différentes parties coopèrent dans le traitement de données à caractère personnel, par exemple dans une chaîne, ne signifie pas qu’elles sont coresponsables dans tous les cas. En effet, un échange de données entre deux parties, sans partage des finalités ou des moyens dans un ensemble commun d’opérations, doit être considéré uniquement comme un transfert de données entre des responsables distincts.

L’appréciation peut toutefois être différente si plusieurs acteurs décident de créer une infrastructure commune afin de poursuivre leurs propres finalités individuelles. En créant cette infrastructure, ces acteurs déterminent les éléments essentiels des moyens à utiliser et deviennent coresponsables du traitement des données, du moins dans cette mesure, même s’ils ne partagent pas nécessairement les mêmes finalités.

À cet égard, l’article 26 du RGPD prévoit que :

  • D’une part, lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d’accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord.
  • D’autre part, l’accord visé au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.
  • Enfin, indépendamment des termes de l’accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement.

III) Les éléments essentiels qui permettent de distinguer le responsable du traitement des autres acteurs

Le responsable du traitement est celui qui « détermine les finalités et les moyens du traitement de données à caractère personnel ».

Cette composante comporte deux éléments qu’il convient d’analyser séparément :

  • Détermine
  • Les finalités et les moyens du traitement

A) Détermine

La notion de responsable du traitement est une notion fonctionnelle, visant à attribuer les responsabilités aux personnes qui exercent une influence de fait, et elle s’appuie donc sur une analyse factuelle plutôt que formelle.

Par conséquent, un examen long et approfondi sera parfois nécessaire pour déterminer cette responsabilité. L’impératif d’efficacité impose cependant d’adopter une approche pragmatique pour assurer une prévisibilité de la responsabilité.

À cet égard, des règles empiriques et des présomptions concrètes sont nécessaires pour guider et simplifier l’application de la législation en matière de protection des données.

Ceci implique une interprétation de la directive garantissant que «l’organisme qui détermine» puisse être facilement et clairement identifié dans la plupart des cas, en s’appuyant sur les éléments de droit et/ou de fait à partir desquels l’on peut normalement déduire une influence de fait, en l’absence d’indices contraires.

Ces contextes peuvent être analysés et classés selon les trois catégories de situations suivantes, qui permettent d’aborder ces questions de façon systématique:

==> Responsabilité découlant d’une compétence explicitement donnée par la loi

Il s’agit notamment du cas visé dans la seconde partie de la définition, à savoir lorsque le responsable du traitement ou les critères spécifiques pour le désigner sont fixés par le droit national ou communautaire.

La désignation explicite du responsable du traitement par le droit n’est pas courante et ne présente généralement pas de grandes difficultés. Dans certains pays, le droit national prévoit que les pouvoirs publics assument la responsabilité du traitement des données à caractère personnel effectué dans le cadre de leurs fonctions

Il est cependant plus fréquent que la législation, plutôt que de désigner directement le responsable du traitement ou de fixer les critères de sa désignation, charge une personne, ou lui impose, de collecter et traiter certaines données.

Cela pourrait être le cas d’une entité qui se voit confier certaines missions publiques (par exemple, la sécurité sociale) ne pouvant être réalisées sans collecter au moins quelques données à caractère personnel, et qui crée un registre afin de s’en acquitter.

Dans ce cas, c’est donc le droit qui détermine le responsable du traitement. De façon plus générale, la loi peut obliger des entités publiques ou privées à conserver ou fournir certaines données. Ces entités seraient alors normalement considérées comme responsables de tout traitement de données à caractère personnel intervenant dans ce cadre.

==> Responsabilité découlant d’une compétence implicite

Il s’agit du cas où le pouvoir de déterminer n’est pas explicitement prévu par le droit, ni la conséquence directe de dispositions juridiques explicites, mais découle malgré tout de règles juridiques générales ou d’une pratique juridique établie relevant de différentes matières (droit civil, droit commercial, droit du travail, etc.).

Dans ce cas, les rôles traditionnels qui impliquent normalement une certaine responsabilité permettront d’identifier le responsable du traitement: par exemple, l’employeur pour les informations sur ses salariés, l’éditeur pour les informations sur ses abonnés, l’association pour les informations sur ses membres ou adhérents.

Dans tous ces exemples, le pouvoir de déterminer les activités de traitement peut être considéré comme naturellement lié au rôle fonctionnel d’une organisation (privée), entraînant au final également des responsabilités en matière de protection des données.

Du point de vue juridique, peu importe que le pouvoir de déterminer soit confié aux entités juridiques mentionnées, qu’il soit exercé par les organes appropriés agissant pour leur compte, ou par une personne physique dans le cadre de fonctions similaires.

==> Responsabilité découlant d’une influence de fait

Il s’agit du cas où la responsabilité du traitement est attribuée après une évaluation des circonstances factuelles. Un examen des relations contractuelles entre les différentes parties concernées sera bien souvent nécessaire.

Cette évaluation permet de tirer des conclusions externes, attribuant le rôle et les obligations de responsable du traitement à une ou plusieurs parties.

Il peut arriver qu’un contrat ne désigne aucun responsable du traitement mais qu’il contienne suffisamment d’éléments pour attribuer cette responsabilité à une personne qui exerce apparemment un rôle prédominant à cet égard. Il se peut également que le contrat soit plus explicite en ce qui concerne le responsable du traitement.

S’il n’y a aucune raison de penser que les clauses contractuelles ne reflètent pas exactement la réalité, rien ne s’oppose à leur application. Les clauses d’un contrat ne sont toutefois pas toujours déterminantes, car les parties auraient alors la possibilité d’attribuer la responsabilité à qui elles l’entendent.

Le fait même qu’une personne détermine comment les données à caractère personnel sont traitées peut entraîner la qualification de responsable du traitement, même si cette qualification sort du cadre d’une relation contractuelle ou si elle est expressément exclue par un contrat.

B) Les finalités et les moyens du traitement

La détermination des finalités et des moyens revient à établir respectivement le «pourquoi» et le «comment» de certaines activités de traitement.

Dans cette optique, et puisque ces deux éléments sont indissociables, il est nécessaire de donner des indications sur le degré d’influence qu’une entité doit avoir sur le «pourquoi» et le «comment» pour être qualifiée de responsable du traitement.

Lorsqu’il s’agit d’évaluer la détermination des finalités et des moyens en vue d’attribuer le rôle de responsable du traitement, la question centrale qui se pose est donc le degré de précision auquel une personne doit déterminer les finalités et les moyens afin d’être considérée comme un responsable du traitement et, en corollaire, la marge de manœuvre que la directive laisse à un sous-traitant.

Ces définitions prennent tout leur sens lorsque divers acteurs interviennent dans le traitement de données à caractère personnel et qu’il est nécessaire de déterminer lesquels d’entre eux sont responsables du traitement (seuls ou conjointement avec d’autres) et lesquels sont à considérer comme des sous-traitants, le cas échéant.

L’importance à accorder aux finalités ou aux moyens peut varier en fonction du contexte particulier dans lequel intervient le traitement.

Il convient d’adopter une approche pragmatique mettant davantage l’accent sur le pouvoir discrétionnaire de déterminer les finalités et sur la latitude laissée pour prendre des décisions.

Les questions qui se posent alors sont celle du motif du traitement et celle du rôle d’éventuels acteurs liés, tels que les sociétés d’externalisation de services: la société qui a confié ses services à un prestataire extérieur aurait-elle traité les données si le responsable du traitement ne le lui avait pas demandé, et à quelles conditions?

Un sous-traitant pourrait suivre les indications générales données principalement sur les finalités et ne pas entrer dans les détails en ce qui concerne les moyens.

S’agissant de la détermination des «moyens», ce terme comprend de toute évidence des éléments très divers, ce qu’illustre d’ailleurs l’évolution de la définition.

En effet, «moyens» ne désigne pas seulement les moyens techniques de traiter des données à caractère personnel, mais également le «comment» du traitement, qui comprend des questions comme «quelles données seront traitées», «quels sont les tiers qui auront accès à ces données», «à quel moment les données seront-elles effacées», etc.

La détermination des «moyens» englobe donc à la fois des questions techniques et d’organisation, auxquelles les sous-traitants peuvent tout aussi bien répondre (par exemple, «quel matériel informatique ou logiciel utiliser?»), et des aspects essentiels qui sont traditionnellement et intrinsèquement réservés à l’appréciation du responsable du traitement, tels que «quelles sont les données à traiter?», «pendant combien de temps doivent-elles être traitées?», «qui doit y avoir accès», etc.

Dans ce contexte, alors que la détermination de la finalité du traitement emporterait systématiquement la qualification de responsable du traitement, la détermination des moyens impliquerait une responsabilité uniquement lorsqu’elle concerne les éléments essentiels des moyens.

Dans cette optique, il est tout à fait possible que les moyens techniques et d’organisation soient déterminés exclusivement par le sous-traitant des données.

Dans ce cas, lorsque les finalités sont bien définies mais qu’il existe peu, voire aucune indication sur les moyens techniques et d’organisation, les moyens devraient représenter une façon raisonnable d’atteindre la ou les finalités, et le responsable du traitement devrait être parfaitement informé des moyens utilisés.

Si un contractant avait une influence sur la finalité et qu’il procédait au traitement (également) à des fins personnelles, par exemple en utilisant les données à caractère personnel reçues en vue de créer des services à valeur ajoutée, il deviendrait alors responsable du traitement (ou éventuellement coresponsable du traitement) pour une autre activité de traitement et serait donc soumis à toutes les obligations prévues par la législation applicable en matière de protection des données.

(0)

Lorsqu’une entreprise rencontre des difficultés financières, bien souvent elle peine à convaincre les investisseurs, fournisseurs et autres partenaires commerciaux de lui apporter leurs concours, à plus forte raison si elle fait l’objet d’une procédure collective.

La poursuite de son exploitation dépend pourtant de sa capacité à mobiliser des ressources financières, matérielles et humaines.

C’est la raison pour laquelle, afin de faciliter le redressement de l’entreprise en difficulté, le législateur a décidé de favoriser les créanciers qui, après l’ouverture d’une procédure collective, consentent à cette dernière la fourniture, soit d’un crédit, soit d’une prestation destinée à la poursuite de son activité pendant la période d’observation.

L’article L. 622-17 du Code de commerce prévoit en ce sens que « les créances nées régulièrement après le jugement d’ouverture pour les besoins du déroulement de la procédure ou de la période d’observation, ou en contrepartie d’une prestation fournie au débiteur pendant cette période, sont payées à leur échéance. »

Cette disposition confère de la sorte aux créanciers, dits privilégiés, un droit de priorité, en ce que, à la différence des autres créanciers, ils pourront être payés à l’échéance. Le principe d’interdiction des paiements ne leur est donc pas applicable.

Toutefois, pour bénéficier de ce régime de faveur, la créance invoquée doit répondre à un certain nombre de critères.

Quant au privilège dont elle est assortie, le législateur l’a strictement encadré. Il lui a fallu, en effet, envisager l’hypothèse où plusieurs créances nées postérieurement au jugement d’ouverture entreraient en concours.

Aussi, afin de régler les conflits priorité susceptibles de naître entre plusieurs créances privilégiées, un ordre de paiement a été institué au sein de cette catégorie de créances.

I) Le domaine des créances privilégiées

Il ressort de l’article L. 622-17 du Code de commerce que pour être qualifiée de privilégiée la créance doit répondre à trois critères cumulatifs qui tiennent

  • D’abord, à la date de naissance de la créance
  • Ensuite, à la régularité de la créance
  • Enfin, à l’utilité de la créance

A) La date de naissance de la créance

Seules les créances nées postérieurement au jugement d’ouverture peuvent bénéficier du régime de faveur.

Dans ces conditions, la détermination de la date de naissance de la créance présente un intérêt essentiel.

La question qui immédiatement se pose est alors de savoir ce que l’on doit entendre par créance postérieure ?

Si l’on est légitimement en droit de penser qu’une créance peut être qualifiée de postérieure dès lors que son fait générateur se produit après le prononcé du jugement d’ouverture, plusieurs difficultés sont nées :

  • tantôt quant à l’opportunité de retenir comme critère de la créance postérieure son fait générateur
  • tantôt quant à la détermination du fait générateur de la créance en lui-même

1) Sur l’opportunité de retenir le fait générateur comme critère de la créance postérieure

Si, en première intention, l’on voit mal pourquoi le fait générateur d’une créance ne pourrait-il pas être retenu pour déterminer si elle est ou non antérieure au jugement d’ouverture, une difficulté est née de l’interprétation de l’ancien article L. 621-43 du Code de commerce.

Cette disposition prévoyait, en effet, que « à partir de la publication du jugement, tous les créanciers dont la créance a son origine antérieurement au jugement d’ouverture, à l’exception des salariés, adressent la déclaration de leurs créances au représentant des créanciers. »

Seules les créances « ayant une origine antérieure au jugement d’ouverture » étaient donc soumises au régime de la déclaration, les créances privilégiées en étant exclues.

La formule choisie par le législateur n’était pas dénuée d’ambiguïté : fallait-il prendre pour date de référence, afin de déterminer l’antériorité d’une créance, sa date de naissance ou sa date d’exigibilité ?

Cette question s’est en particulier posée pour les créances nées antérieurement au jugement d’ouverture mais dont l’exigibilité intervenait postérieurement.

Le contentieux relatif aux créances à déclarer selon leur date de naissance a été très important.

L’enjeu était, jusqu’à l’entrée en vigueur de la loi de sauvegarde du 27 juillet 2005, de savoir si le créancier pouvait ou non se faire payer à échéance.

L’arrêt rendu en date du 20 février 1990 par la Cour de cassation est une illustration topique de cette problématique.

Cass. com. 20 févr. 1990
Attendu, selon l'arrêt attaqué, que la société Service agricole industriel du Clairacais (la société) a été mise en redressement judiciaire le 17 juin 1986, puis en liquidation judiciaire le 15 juillet 1986 et que le personnel a été licencié le 8 août 1986, avec dispense d'accomplir le préavis légal ; que l'Union de recouvrement des cotisations de sécurité sociale et d'allocations familiales du Lot-et-Garonne (l'URSSAF) n'a été inscrite sur la liste des créances bénéficiant des dispositions de l'article 40 de la loi du 25 janvier 1985 que pour les cotisations afférentes aux salaires de la période postérieure à l'ouverture de la procédure collective ; que la contestation par elle formée en vue d'obtenir son admission sur la liste précitée pour les cotisations relatives aux salaires de la période du 1er mai au 17 juin 1986, ainsi qu'aux indemnités de congés payés et de préavis consécutives aux licenciements, a été rejetée par le tribunal, dont la cour d'appel a infirmé la décision ;.

Sur le moyen unique, pris en sa seconde branche :

Attendu que le liquidateur fait grief à l'arrêt d'avoir accueilli la demande de l'URSSAF en ce qui concerne les cotisations sur les indemnités de congés payés et de préavis, alors, selon le pourvoi, qu'en application de l'article 40 de la loi du 25 janvier 1985, le paiement prioritaire des créances nées après le jugement d'ouverture ne peut être obtenu pour des créances nées après le jugement de liquidation ; qu'en déclarant prioritaires des créances sociales afférentes aux indemnités de rupture, la cour d'appel, qui a relevé que les licenciements, fait générateur de la créance, étaient postérieurs au jugement d'ouverture, mais n'a pas constaté qu'ils étaient antérieurs au jugement de liquidation, a violé par fausse application la disposition susvisée ;

Mais attendu que l'article 40 de la loi du 25 janvier 1985 étant applicable aux créances nées régulièrement après l'ouverture du redressement judiciaire, c'est à bon droit que la cour d'appel a considéré que devait bénéficier des dispositions de ce texte la créance de cotisations de l'URSSAF relative aux indemnités de congés payés et de préavis consécutives aux licenciements opérés après le prononcé de la liquidation judiciaire ; que le moyen est donc sans fondement ;

Mais sur la première branche du moyen :

Vu les articles 40 et 47, premier alinéa, de la loi du 25 janvier 1985 ;

Attendu que, pour accueillir la demande de l'URSSAF relative aux cotisations sur les salaires de la période du 1er mai au 17 juin 1986, l'arrêt retient que ces salaires ont été versés après l'ouverture du redressement judiciaire, en sorte que la créance de l'URSSAF, qui n'a pris naissance que lors du versement ainsi effectué, bénéficie de la priorité de paiement prévue à l'article 40 de la loi du 25 janvier 1985 ;

Attendu qu'en se prononçant ainsi, alors qu'elle constatait que les cotisations dont le paiement était poursuivi se rapportaient à des salaires perçus pour une période de travail antérieure au jugement d'ouverture du redressement judiciaire, ce dont il résultait que la créance de l'URSSAF avait son origine antérieurement à ce jugement, la cour d'appel a violé les textes susvisés ;

PAR CES MOTIFS :

CASSE ET ANNULE, mais seulement en ce qu'il a accueilli la demande de l'URSSAF relative aux cotisations sur les salaires de la période du 1er mai au 17 juin 1986, l'arrêt rendu le 16 juin 1988, entre les parties, par la cour d'appel d'Agen ; remet, en conséquence, quant à ce, la cause et les parties dans l'état où elles se trouvaient avant ledit arrêt et, pour être fait droit, les renvoie devant la cour d'appel de Toulouse

  • Faits
    • Une société est placée en liquidation judiciaire
    • son personnel est licencié
    • L’URASSAF est éligible au rang de créancier privilégié seulement pour les créances postérieures au jugement d’ouverture
  • Demande
    • L’URSAFF demande à ce que l’ensemble de ces créances soient admises au rang de créances privilégiées
  • Procédure
    • Par un arrêt du 16 juin 1988, la Cour d’appel d’Agen fait droit à la demande de l’URSAFF
    • Les juges du fond estiment que dans la mesure où les salaires sur lesquels portent les cotisations impayées ont été versés postérieurement à l’ouverture de la procédure, ils n’endossent pas la qualification de créance antérieure.
  • Solution
    • Par un arrêt du 20 février 1990, la Cour de cassation casse et annule l’arrêt de la Cour d’appel
    • Elle reproche à la Cour d’appel d’avoir accédé à la demande de l’URSAFF en qualifiant la créance invoquée de postérieure « alors qu’elle constatait que les cotisations dont le paiement était poursuivi se rapportaient à des salaires perçus pour une période de travail antérieure au jugement d’ouverture du redressement judiciaire, ce dont il résultait que la créance de l’URSSAF avait son origine antérieurement à ce jugement»
    • Les créances dont se prévalait l’URSAFF devaient donc être soumises au régime juridique, non pas des créances postérieures, mais à celui des créances antérieures.
    • S’agissant des autres créances invoquées par l’organisme social, lesquels portaient sur des salaires perçus postérieurement au jugement d’ouverture, la chambre commerciale estime à l’inverse que « l’article 40 de la loi du 25 janvier 1985 étant applicable aux créances nées régulièrement après l’ouverture du redressement judiciaire, c’est à bon droit que la cour d’appel a considéré que devait bénéficier des dispositions de ce texte la créance de cotisations de l’URSSAF relative aux indemnités de congés payés et de préavis consécutives aux licenciements opérés après le prononcé de la liquidation judiciaire»
  • Analyse
    • Cette solution adoptée par la Cour de cassation intervient à la suite d’un long débat portant sur le régime juridique des créances de sécurité sociale
    • Très tôt s’est posée la question de la qualification des cotisations sociales qui se rattachaient à des salaires payés après le jugement d’ouverture mais se rapportant à une période de travail antérieure à ce jugement.
    • Deux conceptions s’opposaient sur cette question
      • Première conception
        • On considère que le régime juridique des créances de sécurité sociale est autonome et ne doit pas être influencé par les dispositions relatives au redressement et à la liquidation judiciaires des entreprises
        • Selon cette conception, les créances doivent donc être réglées à la date normale d’exigibilité dès lors qu’elles sont postérieures au jugement d’ouverture quand bien même les cotisations seraient calculées sur un salaire rémunérant une période d’emploi antérieure au jugement.
      • Seconde conception
        • On peut estimer, à l’inverse, que le fait générateur des cotisations sociales réside dans le travail fourni par le salarié et non le paiement des salaires, quand bien même leur versement constitue une condition de leur exigibilité.
        • Selon cette conception, les cotisations sociales doivent donc être regardées comme des créances antérieures.
    • De toute évidence, la Cour de cassation a opté dans l’arrêt en l’espèce pour la seconde conception.
    • Pour la chambre commerciale, le fait générateur du salaire c’est le travail effectué.
    • Or les cotisations sociales sont afférentes au salaire dû au salarié
    • Par conséquent, leur fait générateur c’est bien le travail du salarié et non la date d’exigibilité du salaire.
    • La Cour de cassation reproche ainsi à la Cour d’appel d’avoir confondu la naissance de la créance et son exigibilité.
    • C’est donc au jour du travail effectué qu’il faut remonter pour déterminer si l’on est en présence d’une créance antérieure ou postérieure au jugement d’ouverture.

On peut en déduire que le critère de rattachement d’une créance à la catégorie des créances postérieure est donc celui de la date de sa naissance.

L’adoption de la date de naissance de la créance comme critère de rattachement à la catégorie des créances postérieure exclut dès lors tout rôle que pourrait jouer la date d’exigibilité de la créance dans ce rattachement.

La date d’exigibilité n’est que celle à laquelle le créancier peut prétendre au paiement.

Elle est, par conséquent, naturellement distincte de la date de naissance qui, en principe, interviendra antérieurement.

Tandis que la date de naissance de la créance se rapporte à sa création, sa date d’exigibilité se rapporte quant à elle à son exécution.

Le débat est définitivement clos depuis l’adoption de la loi de sauvegarde du 26 juillet 2005 qui a remplacé la formule « ayant une origine antérieure au jugement d’ouverture » par l’expression « est née » qui apparaît plus précise.

C’est donc le fait générateur de la créance dont il doit être tenu compte et non la date d’exigibilité afin de savoir si une créance est soumise au régime de la déclaration ou si, au contraire, elle peut faire l’objet d’un paiement à l’échéance.

2) Sur la détermination du fait générateur de la créance en lui-même

La détermination du fait générateur d’une créance n’est pas toujours simple.

Pour ce faire, il convient de distinguer les créances contractuelles des créances extracontractuelles.

a) Les créances extracontractuelles

La postériorité d’une créance extracontractuelle au jugement d’ouverture n’est pas toujours aisée à déterminer.

La détermination de la date de naissance de cette catégorie de créances soulève parfois, en effet, des difficultés.

Bien que la jurisprudence soit guidée, le plus souvent, par une même logique, on ne saurait se livrer à une systématisation des critères adoptés.

Aussi, est-ce au cas par cas qu’il convient de raisonner en ce domaine, étant précisé que les principales difficultés se sont concentrées sur certaines créances en particulier :

i) Les créances de condamnation

Deux sortes de créances doivent être ici distinguées : la créance principale de condamnation et les créances accessoires à la condamnation

==> La créance principale de condamnation

Il s’agit de la créance qui a pour effet générateur l’événement à l’origine du litige.

La créance de réparation naît, par exemple, au jour de la survenance du dommage.

Si donc le dommage survient antérieurement au jugement d’ouverture de la procédure, quand bien même la décision de condamnation serait rendue postérieurement, la créance de réparation endossera la qualification de créance antérieure (V. en ce sens com., 9 mai 1995; Cass. com., 4 oct. 2005, n° 03-19.367)

==> Les créances accessoires à la condamnation

Son notamment ici visées les créances de dépens et d’article 700

La particularité de ces créances est qu’elles sont attachées, moins au fait générateur du litige, qu’à la décision de condamnation

Aussi, toute la difficulté est de déterminer la date de naissance de cette catégorie singulière de créances

La jurisprudence a connu une évolution sur ce point :

  • Première étape
    • Dans un premier temps, la Cour de cassation a estimé que, en raison du caractère accessoire des créances de dépens ou d’article 700, leur qualification dépendait de la date de naissance de la créance principale de condamnation.
    • Telle a été la solution retenue par la chambre commerciale dans un arrêt du 24 novembre 1998

Cass. Com. 24 nov. 1998
Sur le moyen unique, pris en ses deux branches :
Attendu, selon l'arrêt déféré (Rennes, 22 juin 1994) et les productions, que le groupement agricole d'exploitation en commun de la Morinais (le GAEC), qui a subi des dommages à la suite de la pollution d'une rivière, a engagé diverses procédures en vue de rechercher la responsabilité de la société Entreprise redonnaise de réparations électriques (société ERRE) et d'obtenir réparation de son préjudice ; qu'après la mise en redressement judiciaire de la société ERRE devenue la Société européenne de transformateurs (la SET), le Tribunal, qui a constaté l'intervention volontaire de l'administrateur du redressement judiciaire de la SET et du représentant de ses créanciers, a déclaré cette société et son dirigeant, M. X..., pris à titre personnel, responsables du préjudice subi par le GAEC, a fixé la créance de ce dernier à l'égard de la SET, a fixé à 10 000 francs la somme due au titre de l'article 700 du nouveau Code de procédure civile et a dit que les dépens seront supportés in solidum par la SET et M. X... ; que la cour d'appel, statuant sur le recours formé contre ce jugement, l'a confirmé en toutes ses dispositions et, y ajoutant, a dit que les dépens d'appel seront supportés in solidum par l'administrateur du redressement judiciaire de la SET et M. X... ; que le GAEC a demandé que les dépens de première instance et d'appel ainsi que la somme due au titre de l'article 700 du nouveau Code de procédure civile lui soient payés par l'administrateur du redressement judiciaire de la SET en application de l'article 40 de la loi du 25 janvier 1985 ;

Attendu que le GAEC reproche à l'arrêt d'avoir rejeté sa demande, alors, selon le pourvoi, d'une part, que les créances de dépens et celles résultant de la mise en oeuvre de l'article 700 du nouveau Code de procédure civile nées régulièrement après le jugement d'ouverture au sens de l'article 40 de la loi du 25 janvier 1985 bénéficient du régime instauré par ledit article, spécialement lorsque le ou les instances en cause ont été reprises par l'administrateur de la procédure collective ; que tel était le cas en l'espèce, ainsi que le GAEC, appelant, le faisait valoir dans ses écritures circonstanciées ; qu'en refusant de dire et juger que les frais de dépens litigieux bénéficieraient du privilège de l'article 40 précité, au motif qu'il n'y a pas lieu de distinguer les frais engagés postérieurement au jugement d'ouverture pouvant bénéficier du rang des dettes de l'article 40 et des autres, en sorte que l'ensemble des frais engagés pour parvenir à rendre la décision définitive est à inclure dans la déclaration de créance à inscrire au passif, excepté les frais engagés par les mandataires judiciaires depuis leur nomination, la cour d'appel a statué sur le fondement de motifs erronés et a ainsi violé, par refus d'application, l'article 40 de la loi du 25 janvier 1985 ; et alors, d'autre part, que la cour d'appel devait, à tout le moins, faire le départ entre les frais et dépens visés antérieurement et ceux visés postérieurement au jugement déclaratif, les organes de la procédure collective ayant repris à leur compte la procédure pendante devant le tribunal de grande instance, puis la cour d'appel, pour se prononcer pertinemment sur ceux susceptibles de bénéficier du régime de l'article 40 de la loi du 25 janvier 1985 ; qu'en refusant de procéder de la sorte, la cour d'appel a violé par refus d'application l'article précité ;

Mais attendu que la créance de dépens et les sommes allouées au GAEC en application de l'article 700 du nouveau Code de procédure civile ont, comme la créance principale elle-même, leur origine antérieurement au jugement d'ouverture dès lors qu'elles sont nées de l'action engagée avant ce jugement et poursuivie après lui contre la SET et les organes de la procédure collective en vue de faire constater cette créance principale et d'en fixer le montant ; qu'ainsi la cour d'appel, qui a exactement énoncé qu'il n'y avait pas lieu de distinguer selon que les frais avaient été engagés avant ou après le jugement d'ouverture, n'a pas violé l'article 40 de la loi du 25 janvier 1985, inapplicable en la cause ; que le moyen n'est fondé en aucune de ses branches ;

PAR CES MOTIFS :

REJETTE le pourvoi.

  • Faits
    • Un groupement agricole a subi un préjudice suite à la pollution d’une rivière par une société qui, par suite, fera l’objet d’une procédure de redressement judiciaire
    • Cette société est déclarée responsable du préjudice causé au groupement agricole
    • Elle est notamment condamnée aux dépens et à l’article 700 (frais irrépétibles)
  • Demande
    • Le groupement agricole demande à l’administrateur que les dépens de première instance et d’appel ainsi que la somme due au titre de l’article 700 soient admis au rang des créances postérieures
  • Procédure
    • Par un arrêt du 21 juin 1994, la Cour d’appel de Rennes déboute l’administrateur de sa demande
    • Pour les juges du fond, il n’y a pas lieu de distinguer selon que les dépens et l’article 700 ont été octroyés avant ou après l’ouverture de la procédure, dans la mesure où leur fait générateur se situe antérieurement au jugement d’ouverture, soit au moment où l’action a été introduite par le groupement
  • Moyens
    • L’auteur du pourvoi soutient que la créance de dépens et d’article 700 est née postérieurement à l’ouverture de la procédure soit au moment du prononcé du jugement dans lequel ils sont octroyés au groupement agricole.
    • Or le jugement a bien été prononcé postérieurement à l’ouverture de la procédure
  • Solution
    • Par un arrêt du 24 novembre 1998, la Cour de cassation rejette le pourvoi formé par le créancier
    • Elle estime que « la créance de dépens et les sommes allouées au GAEC en application de l’article 700 du nouveau Code de procédure civile ont, comme la créance principale elle-même, leur origine antérieurement au jugement d’ouverture dès lors qu’elles sont nées de l’action engagée avant ce jugement et poursuivie après lui contre la SET et les organes de la procédure collective en vue de faire constater cette créance principale et d’en fixer le montant»
    • Autrement dit, pour la chambre commerciale, la qualification de la créance de dépens et d’article 700 est adossée à celle de la créance principale.
    • Si cette dernière naît avant le jugement d’ouverture, les créances de dépens et de frais irrépétibles sont soumises au régime des créances antérieures.
    • Dans le cas contraire, elles endossent la qualification de créances postérieures.
  • Seconde étape
    • Dans un arrêt remarqué du 12 juin 2002, la Cour de cassation a opéré un revirement de jurisprudence en considérant que « la créance des dépens et des frais résultant de l’application de l’article 700 du nouveau Code de procédure civile, mis à la charge du débiteur, trouve son origine dans la décision qui statue sur ces dépens et frais et entrent dans les prévisions de l’article L. 621-32 du Code de commerce lorsque cette décision est postérieure au jugement d’ouverture de la procédure collective»
    • Ainsi, pour la chambre commerciale, la qualification des créances de dépens et d’article 700 ne doit plus être déterminée en considération de la date de naissance de la créance de condamnation principale
    • Les créances accessoires à la condamnation doivent, en toute hypothèse, échapper à la qualification de créances antérieures, dès lors que la décision de condamnation est rendue postérieurement au jugement d’ouverture.
    • Dans un arrêt du 7 octobre 2009, la Cour de cassation a confirmé cette solution en précisant que « la créance de dépens et des frais résultant de l’application de l’article 700 du code de procédure civile mise à la charge du débiteur trouve son origine dans la décision qui statue sur ces frais et dépens et entre dans les prévisions de l’article L. 622 17 du code de commerce (ancien article L. 621 32), lorsque cette décision est postérieure au jugement d’ouverture de la procédure collective» ( com. 7 oct. 2009)

Cass. com. 12 juin 2002
Attendu, selon l'arrêt déféré (Colmar, 14 décembre 1999), que la société Schwind (la société) ayant été mise en redressement judiciaire le 4 juin 1996, l'URSSAF du Bas-Rhin a déclaré une créance qui a été contestée ;

Et sur les deuxième et troisième moyens réunis :

Attendu que la société reproche à l'arrêt, qui l'a condamnée à payer à l'URSAFF une somme de 3 000 francs au titre de l'article 700 du nouveau Code de procédure civile et aux dépens, d'avoir dit que cette indemnité et les dépens de l'URSSAF seraient employés en frais privilégiés de procédure collective, alors, selon le moyen, que les créances de dépens obtenues à l'issue d'une action tendant à faire admettre une créance antérieure au jugement d'ouverture de la procédure collective, sont des créances antérieures car elles se rattachent à la créance contestée par l'action, de sorte qu'elles peuvent seulement être admises au passif du débiteur et à la condition qu'elles aient fait l'objet d'une déclaration régulière ; qu'en condamnant la procédure collective à payer les dépens, la cour d'appel a violé les articles 47 et 50 de la loi du 25 janvier 1985 ;

Mais attendu que la créance des dépens et des frais résultant de l'application de l'article 700 du nouveau Code de procédure civile, mis à la charge du débiteur, trouve son origine dans la décision qui statue sur ces dépens et frais et entrent dans les prévisions de l'article L. 621-32 du Code de commerce lorsque cette décision est postérieure au jugement d'ouverture de la procédure collective ; que le moyen n'est pas fondé ;

Par ces motifs :

REJETTE le pourvoi.

ii) Les créances sociales

La qualification des créances sociales a fait l’objet d’un abondant contentieux, notamment en ce qui concerne la détermination du fait générateur de l’indemnité de licenciement.

Dans un arrêt du 16 juin 2010, la chambre sociale a considéré que le fait générateur de l’indemnité de licenciement résidait, non pas dans la conclusion du contrat de travail, mais dans la décision de licenciement.

Cass. soc. 16 juin 2010
Sur le moyen unique :

Attendu, selon l'arrêt attaqué (Versailles, 2 juin 2008), que M. X..., employé par la société Cider santé (la société) a été licencié le 14 mai 2007 pour motif économique par le liquidateur, la société ayant fait l'objet d'une procédure de sauvegarde puis de liquidation judiciaire par jugements successifs du tribunal de commerce des 17 janvier et 2 mai 2007 ; que les sommes représentant les droits du salarié au jour de la rupture de son contrat de travail n'ayant été garanties par l'assurance générale des salaires qu'en partie, le salarié a saisi le juge de l'exécution, qui a autorisé par ordonnances du 16 juillet 2007 deux saisies conservatoires entre les mains des sociétés Repsco promotion et Codepharma ; que Mme Y..., liquidateur de la société, a assigné le 12 septembre 2007 M. X..., la société Repsco promotion et la société Codepharma, devant le juge de l'exécution aux fins d'obtenir la rétractation de ces deux ordonnances ;

Attendu que le liquidateur fait grief à l'arrêt confirmatif de rejeter sa demande de mainlevée des saisies conservatoires pratiquées par M. X... entre les mains des sociétés Codepharma et Repso promotion alors, selon le moyen :

1°/ que l'article L. 641-13-I du code de commerce ne vise ni les créances nées pour les besoins de la procédure, ni les créances nées pour les besoins de la liquidation judiciaire parmi les créances assorties d'un privilège de procédure ; qu'en qualifiant l'indemnité due au salarié licencié postérieurement au prononcé de la liquidation judiciaire de son employeur de «créance née régulièrement pour les besoins de la procédure» pour affirmer que cette créance devait bénéficier d'un traitement préférentiel, la cour d'appel a violé le texte susvisé ;

2°/ que seules les créances nées pendant la poursuite provisoire de l'activité en liquidation judiciaire pour les besoins du déroulement de la procédure ou en contrepartie d'une prestation fournie au débiteur pendant cette période bénéficient d'un privilège de procédure ; que tel n'est pas le cas de l'indemnité due au salarié, licencié pour motif économique en raison du prononcé, sans poursuite d'activité, de la liquidation judiciaire de son employé ; qu'en élisant néanmoins une telle créance à un rang privilégié aux motifs erronés qu' «il n'y avait pas lieu de distinguer entre créance indemnitaire liée à la rupture du contrat de travail et créance de salaire lorsque ces créances sont nées après l'ouverture de la procédure collective», la cour d'appel a de nouveau violé l'article L. 641-13-I du code de commerce ;

Mais attendu que relèvent notamment du privilège institué par l'article L. 641-13-I du code de commerce, dans sa rédaction en vigueur au jour du licenciement, les créances nées régulièrement après le jugement qui ouvre ou prononce la liquidation judiciaire, pour les besoins du déroulement de la procédure ;

Et attendu que la cour d'appel, qui a retenu que le licenciement de M. X... avait été prononcé par le liquidateur conformément à ses obligations dans le cadre de la procédure collective en cours, en a exactement déduit que les créances indemnitaires résultant de la rupture du contrat de travail étaient nées régulièrement après le jugement prononçant la liquidation judiciaire pour les besoins du déroulement de cette procédure, et qu'en conséquence, elles relevaient de l'article L. 641-13-I du code de commerce, peu important que l'activité ait cessé immédiatement ;

D'où il suit que le moyen n'est pas fondé ;

PAR CES MOTIFS :

REJETTE le pourvoi ;

  • Faits
    • Un salarié est licencié pour motif économique par le liquidateur de la société qui l’employait.
    • Cette société faisait l’objet, au moment du licenciement, d’une procédure de liquidation judiciaire
    • Afin d’obtenir le paiement de ses indemnités, non garanties par l’AGS, le salarié demande au JEX l’autorisation de pratiquer deux saisies conservatoires sur les comptes de son ex-employeur
  • Demande
    • Le liquidateur de la société demande la rétractation des deux ordonnances autorisant la réalisation des saisies demandées par le salarié
  • Procédure
    • Par un arrêt du 2 juin 2008, la Cour d’appel de Versailles déboute le liquidateur de sa demande
    • Pour les juges du fond, dans la mesure où le licenciement a été prononcé dans le cadre de la procédure collective, soit postérieurement au jugement d’ouverture, la créance d’indemnité de licenciement pouvait être admise au rang des créances privilégiées.
  • Solution
    • Par un arrêt du 16 juin 2010, la Cour de cassation rejette le pourvoi formé par le liquidateur
    • La chambre sociale considère que « relèvent notamment du privilège institué par l’article L. 641-13-I du code de commerce, dans sa rédaction en vigueur au jour du licenciement, les créances nées régulièrement après le jugement qui ouvre ou prononce la liquidation judiciaire, pour les besoins du déroulement de la procédure»
    • Or elle constate que le licenciement du salarié a été prononcé dans le cadre de la procédure collective en cours.
    • Il en résulte pour elle que « les créances indemnitaires résultant de la rupture du contrat de travail étaient nées régulièrement après le jugement prononçant la liquidation judiciaire pour les besoins du déroulement de cette procédure, et qu’en conséquence, elles relevaient de l’article L. 641-13-I du code de commerce, peu important que l’activité ait cessé immédiatement ».
    • Ainsi, pour la Cour de cassation, dès lors que les créances indemnitaires résultant de la rupture du contrat de travail étaient nées régulièrement après le jugement prononçant la liquidation judiciaire pour les besoins du déroulement de cette procédure, elles échappaient à la qualification de créance antérieure, à la faveur du régime des créances privilégiées.

 iii) Les créances fiscales

Le fait générateur d’une créance fiscale est différent selon le type d’impôt auquel est assujetti le débiteur.

En toute hypothèse, la date qui est le plus souvent retenue pour déterminer si une créance fiscale endosse ou non la qualification de créance antérieure est le jour de son exigibilité.

  • S’agissant de l’impôt sur le revenu
    • La Cour de cassation a estimé que la date qui doit être prise en compte, ce n’est pas le jour de perception du revenu, mais l’expiration de l’année au cours de laquelle ces revenus ont été perçus.

Cass. com. 14 janv. 2004
Attendu, selon l'arrêt attaqué (Versailles, 18 janvier 2001), que par jugement du 21 juillet 1994, M. X... a été mis en liquidation judiciaire ; que le trésorier principal de Bagneux a décerné le 15 février 1996 à l'employeur de Mme X... un avis à tiers détenteur relatif à l'impôt sur les revenus de l'année 1994 des époux X..., dont ceux-ci ont demandé la mainlevée au juge de l'exécution ;

Et sur le moyen unique du pourvoi formé par Mme X..., pris en ses deux branches :

Attendu que Mme X... fait grief à l'arrêt d'avoir rejeté sa demande d'annulation et de mainlevée de l'avis à tiers détenteur, alors, selon le moyen :

1 / qu'en estimant que la créance du trésorier principal de Bagneux au titre de l'impôt sur le revenu dû par les époux X... pour l'année 1994 était postérieure à l'ouverture de la procédure collective ouverte le 21 juin 1994 à l'encontre de M. X..., dès lors que les impositions n'avaient été mises en recouvrement que le 31 juillet 1995, sans rechercher si le Trésor public n'était pas tenu de déclarer à titre provisionnel sa créance au passif de la procédure collective, la cour d'appel a privé sa décision de tout fondement légal au regard des articles 47 et 50 de la loi du 25 janvier 1985, devenus les articles L. 621-40 et L. 621-43 du Code du commerce ;

2 / que dans leurs conclusions signifiées le 2 février 2000, M. et Mme X... faisaient valoir que le dessaisissement de M. X... consécutif à la liquidation judiciaire de ses biens interdisait toute poursuite exercée sur les biens communs des époux, soit en l'occurrence sur les gains et salaires de Mme X... ; qu'en estimant que la procédure collective ouverte à l'égard de M. X... laissait subsister l'obligation distincte pesant sur son épouse, codébitrice solidaire de l'impôt sur le revenu, sans répondre aux conclusions des époux X... faisant valoir que les biens communs des époux ne pouvaient en toute hypothèse faire l'objet de poursuite, la cour d'appel a violé l'article 455 du nouveau Code de procédure civile ;

Mais attendu que, le fait générateur de l'impôt sur les revenus résultant de l'expiration de l'année au cours de laquelle ces revenus ont été perçus, l'arrêt, répondant aux conclusions prétendument délaissées, retient exactement que la créance du Trésor public au titre de l'impôt sur les revenus perçus par les époux X... au cours de l'année 1994 était postérieure à l'ouverture, le 21 juin 1994, de la procédure collective de M. X... et que le comptable du Trésor chargé du recouvrement pouvait poursuivre individuellement le débiteur sur ses biens ; que la cour d'appel, qui n'avait pas à se livrer à la recherche inopérante visée à la première branche, a légalement justifié sa décision ; que le moyen n'est fondé en aucune de ses branches ;

PAR CES MOTIFS :

DECLARE irrecevable le pourvoi formé par M. X... ;

REJETTE le pourvoi formé par Mme X... ;

  • S’agissant de l’impôt sur les sociétés
    • La Cour de cassation a statué dans le même sens, en considérant que « le fait générateur de l’impôt sur les sociétés et la taxe y afférente résulte, en application des articles 36, 38 et 209 du CGI, de la clôture de l’exercice comptable et non pas de la perception des impôts »

Cass. com., 16 déc. 2008
Sur le moyen unique :

Attendu, selon l'arrêt attaqué (Versailles, 11 décembre 2007), rendu sur renvoi après cassation (chambre commerciale, 28 novembre 2006, pourvoi n° 05-13.708 ) que la société à responsabilité limitée Network music group (la société) a fait l'objet, le 20 août 1997, d'un jugement de redressement judiciaire, puis, le 5 mai 1998, d'un plan de continuation ; qu'à la suite de la mise en recouvrement, les 31 août et 30 novembre 1998, de l'impôt sur les sociétés au titre de l'année 1997 et de la contribution de 10 % y afférente, le trésorier principal de Boulogne-Billancourt (le trésorier) a, en application des dispositions de l'article L. 621-32 du code de commerce, demandé à l'administrateur le règlement de cette créance fiscale due par la société ; que contestant le caractère privilégié de la créance du Trésor, la société a assigné le trésorier et le commissaire à l'exécution du plan ès qualités devant le tribunal de commerce, pour en obtenir le remboursement, motif pris de ce qu'elle était née antérieurement au jugement d'ouverture de la procédure collective ;

Attendu que la société fait grief à l'arrêt d'avoir rejeté sa demande de remboursement de l'impôt sur les sociétés et de la contribution de 10 % y afférente, alors, selon le moyen :

1°/ qu'en application des articles 1668 et 1668 B du code général des impôts et des articles 358 à 366 I de l'annexe III à ce code, dans leur rédaction alors en vigueur, l'impôt sur les sociétés et la contribution supplémentaire y afférente, dus au titre d'un exercice donné, lequel correspond à une période de 12 mois mais ne coïncide pas nécessairement avec l'année civile, sont réglés spontanément par le contribuable sous forme d'acomptes trimestriels et sans émission d'un avis d'imposition, au plus tard le 20 février, le 20 mai, le 20 août et le 20 novembre de cet exercice et ce, à compter de la date de clôture de l'exercice précédent; que le solde de cet impôt et de son complément doit lui-même être acquitté spontanément par le redevable en même temps qu'il souscrit sa déclaration de résultats de l'exercice considéré c'est-à-dire, dans les trois mois de la clôture de l'exercice ou si aucun exercice n'est clos au cours d'une année, avant le 1er avril de l'année suivante ; qu'en considérant que le fait générateur de l'impôt sur les sociétés résulte de l'expiration de l'année au cours de laquelle les bénéfices sont perçus, bien qu'il soit exigible trimestriellement dans les conditions susvisées et que la date de son fait générateur ne puisse être postérieure à sa date d'exigibilité, les juges d'appel ont purement et simplement violé les textes susvisés ;

2°/ que l'impôt sur les sociétés et l'impôt sur le revenu ne sont pas dus et versés dans des conditions identiques ; que l'impôt sur les sociétés est payé spontanément, par voie d'acomptes, tandis que le paiement de l'impôt sur le revenu est précédé de l'émission d'un avis d'imposition ; que la circonstance que les bénéfices passibles de l'impôt sur les sociétés soient déterminés dans les mêmes conditions que les bénéfices passibles de l'impôt sur le revenu dans la catégorie des bénéfices industriels et commerciaux en application de l'article 209 du code général des impôts est sans incidence sur le fait générateur et les conditions d'exigibilité de l'impôt sur les sociétés qui demeurent différents de ceux de l'impôt sur le revenu ; qu'en assimilant les conditions dans lesquelles l'impôt sur les sociétés est dû avec celles de l'impôt sur le revenu sous prétexte que les modalités de calcul des bénéfices passibles de l'impôt sur les sociétés et des bénéfices passibles de l'impôt sur le revenu étaient identiques, les juges d'appel ont encore violé les dispositions des articles 12, 209, 1668 et 1668 B du code général des impôts et des articles 358 à 366 I de l'annexe III à ce code ;

3°/ que les acomptes d'impôt sur les sociétés dus au Trésor public antérieurement au jugement d'ouverture de la procédure de redressement judiciaire et non acquittés, constituent des créances nées antérieurement à cette décision, qui ne peuvent donc être réglées postérieurement et doivent donner lieu à une déclaration du Trésor public en application de l'article L. 621-43 du code de commerce ; qu'en considérant que le fait générateur de l'impôt sur les sociétés est l'expiration de l'année et non la perception des bénéfices et qu'il n'y avait pas lieu de mettre à part les sommes nées de l'activité de la société antérieure à l'ouverture de la procédure collective, bien que l'impôt sur les sociétés soit exigible au cours de l'exercice de réalisation des bénéfices et doive être réglé spontanément par voie d'acomptes, les juges d'appel ont violé les articles L. 621-24, L. 621-32 et L. 621-43 du code de commerce alors en vigueur ainsi que les articles 1668, 1668 B du code général des impôts et 358 à 366 I de l'annexe III à ce code ;

Mais attendu qu'en matière de procédure collective, la date du fait générateur de l'impôt permet de déterminer si la créance doit être déclarée au titre de l'article L. 621-43 du code de commerce ou si son recouvrement peut être poursuivi au titre de l'article L. 621-32 du même code ; que, c'est à bon droit, que la cour d'appel a retenu que le fait générateur de l'impôt sur les sociétés et la taxe y afférente résulte, en application des articles 36, 38 et 209 du CGI, de la clôture de l'exercice comptable et non pas de la perception des impôts, et, après avoir constaté que le principe de la créance des impôts en cause était né au 31 décembre 1997, soit après l'ouverture de la procédure collective, en a déduit que celle-ci relevait de l'article L. 621-32 du code de commerce ; que le moyen n'est pas fondé ;

PAR CES MOTIFS :

REJETTE le pourvoi ;

  • S’agissant de la TVA
    • L’article 269, 1, a) du Code général des impôts prévoit que le fait générateur de la TVA assise sur des prestations de service est, sauf cas particuliers, l’exécution de la prestation en cause et celui de la TVA assise sur une vente est, toujours sous réserve de situations spécifiques, la date de livraison.

iv) Créance de dépollution

Dans un arrêt du 17 septembre 2002, la Cour de cassation a estimé que la créance de dépollution naît « de l’arrêté préfectoral ordonnant la consignation, postérieur au jugement d’ouverture »

Autrement dit, cette créance dont est titulaire le Trésor a pour fait générateur la décision du préfet ordonnant qu’une somme d’argent soit consignée en vue du financement de la remise en état du site pollué.

Dans un arrêt du 19 novembre 2003, la Cour de cassation a semblé revenir sur sa décision en retenant comme fait générateur de la créance la date de fermeture du site (Cass. com. 19 nov. 2003).

La portée de cette jurisprudence est toutefois incertaine pour les auteurs.

Cass. com. 17 sept. 2002
Sur le premier moyen :

Vu les articles 40 et 50 de la loi du 25 janvier 1985, ainsi que l'article 23 de la loi du 19 juillet 1976 ;

Attendu, selon l'arrêt déféré, que la Société d'utilisation du phénol (la société SUP), exploitante d'une installation classée, a été mise en redressement judiciaire le 6 janvier 1994, puis en liquidation judiciaire ;

que le liquidateur, M. X..., n'ayant pas déféré à une mise en demeure de remettre le site en l'état, le préfet lui a ordonné le 8 septembre 1995, par application du troisième texte susvisé, de consigner une somme répondant des travaux à réaliser ; que le liquidateur a soutenu que, n'ayant pas été déclarée à la procédure collective, cette créance du Trésor était éteinte ;

Attendu que pour déclarer éteinte la créance du Trésor et accueillir la demande de restitution de la somme consignée présentée par le liquidateur de la société SUP, la cour d'appel a retenu que l'activité de celle-ci était nécessairement arrêtée le jour de la liquidation judiciaire ;

Attendu qu'en statuant ainsi, alors que la créance du Trésor était née de l'arrêté préfectoral ordonnant la consignation, postérieur au jugement d'ouverture, la cour d'appel a violé les dispositions susvisées ;

PAR CES MOTIFS, et sans qu'il y ait lieu de statuer sur le second moyen :

CASSE ET ANNULE, dans toutes ses dispositions, l'arrêt rendu le 31 mars 1999, entre les parties, par la cour d'appel de Grenoble ;

b) Les créances contractuelles

La question de la date de naissance des créances contractuelles n’est pas sans poser un certain nombre de difficultés en matière de procédures collectives.

En principe, les créances contractuelles ont pour fait générateur la date de conclusion du contrat, soit, selon le principe du consensualisme, au jour de la rencontre des volontés.

Cette conception volontariste du contrat devrait, en toute logique, conduire à ne qualifier de créances antérieures que les obligations résultant d’un contrat conclu antérieurement au jugement d’ouverture.

En raison néanmoins du caractère dérogatoire du droit des entreprises en difficulté et des objectifs spécifiques qu’il poursuit, il est des cas où cette conception du fait générateur de la créance contractuelle est remise en cause, à tout le moins est envisagée sous un autre angle.

Au fond, comme le soulignent certains auteurs, tant l’article L. 622-17, qui régit les créances antérieures, que l’article L. 622-13 relatif aux créances postérieures, se prononcent moins sur le fait générateur, que sur le régime qui leur est applicable.

Aussi, le droit des entreprises en difficulté ne remettrait nullement en cause l’approche civiliste du fait générateur des créances contractuelles.

La date du contrat permettrait donc toujours de déterminer le caractère antérieur ou postérieur de la créance et, ce faisant, le régime normalement applicable à la créance à condition toutefois, et là résiderait la particularité du droit des entreprises en difficulté, qu’aucune disposition spécifique ne vienne soumettre cette créance à un régime distinct de celui qui devrait lui être naturellement applicable.

Comme en matière de créance extracontractuelle, c’est également au cas par cas qu’il convient ici de raisonner.

i) Créance résultant d’un contrat de vente

==> Principe

Dans un arrêt du 15 février 2000, la Cour de cassation a estimé que la créance résultant d’un contrat de vente avait pour fait générateur, non pas la date de conclusion du contrat, mais le jour de son exécution.

Cass. com. 15 févr. 2000
Attendu, selon l'arrêt déféré, que, par ordonnance du 6 septembre 1994, le juge-commissaire du redressement judiciaire de la société SIAQ a admis la créance de la société Etudes et réalisations graphiques (société ERG), à titre chirographaire, pour une certaine somme, tandis que la société ERG soutenait que sa créance était née de la poursuite de l'activité et relevait de l'article 40 de la loi du 25 janvier 1985 ;
Sur le premier moyen, pris en ses deux branches : (sans intérêt) ;

Mais sur le second moyen :

Vu l'article 40 de la loi du 25 janvier 1985 ;

Attendu que pour dire que la créance de la société ERG, correspondant à une commande passée avant le redressement judiciaire de la société SIAQ et livrée à celle-ci postérieurement au jugement d'ouverture, ne relevait pas de l'article 40 de la loi du 25 janvier 1985, l'arrêt énonce que " le fait que cette prestation ait profité à la société SIAQ après l'ouverture de la procédure importe peu, dès lors que l'accord des parties sur la réalisation de la commande, qui fige les obligations respectives des parties et fait naître l'obligation au paiement, est intervenu avant la procédure collective " ;

Attendu qu'en statuant ainsi, la cour d'appel a violé le texte susvisé ;

PAR CES MOTIFS :

CASSE ET ANNULE, dans toutes ses dispositions, l'arrêt rendu le 6 mai 1996, entre les parties, par la cour d'appel d'Agen ; remet, en conséquence, la cause et les parties dans l'état où elles se trouvaient avant ledit arrêt et, pour être fait droit, les renvoie devant la cour d'appel de Toulouse.

  • Faits
    • Contrat de vente conclu entre deux sociétés
    • Entre la conclusion du contrat et la livraison de la marchandise, la société acheteuse est placée en redressement judiciaire
    • La société vendeuse n’est donc pas payée
    • Tandis que le juge-commissaire considère qu’il s’agit là d’une créance antérieure, le vendeur estime que sa créance est née de la poursuite de l’activité
  • Demande
    • Le vendeur se prévaut du bénéfice de l’article 40 de la loi du 25 janvier 85, soit du régime des créanciers privilégiés
  • Procédure
    • Par un arrêt du 6 mai 1996, la Cour d’appel d’Agen déboute le vendeur de sa demande
    • Les juges du fond estiment que le contrat de vente a été conclu antérieurement à l’ouverture de la procédure, de sorte que la créance revendiquée ne saurait être admise au rang des créances privilégiées
  • Solution
    • Par un arrêt du 15 février 2000, la Cour de cassation, casse l’arrêt de la Cour d’appel
    • La Cour de cassation considère que le fait générateur de l’obligation de paiement ce n’est pas la conclusion du contrat de vente, mais la délivrance de la chose achetée
    • Or en l’espèce, la délivrance a eu lieu postérieurement au jugement d’ouverture.
    • La créance du vendeur, peut donc bien être admise au rang des créances privilégiées
  • Analyse
    • De toute évidence, la solution retenue ici par la Cour de cassation est totalement dérogatoire au droit commun
    • Techniquement la créance nait bien, comme l’avait affirmé la Cour d’appel, au jour de la conclusion du contrat !
    • C’est la rencontre des volontés qui est créatrice d’obligations et non la délivrance de la chose
    • Tel n’est pas ce qui est pourtant décidé par la Cour de cassation
    • Pour la chambre commerciale c’est l’exécution de la prestation qui fait naître la créance
    • Le droit de revendication du vendeur de meuble dessaisi est manifestement sacrifié sur l’autel du droit des procédures collectives.
    • Cette solution est appliquée de manière générale à tous les contrats à exécution successive

==> Exceptions

  • Contrat de vente immobilière
    • Dans cette hypothèse, la qualification de la créance dépend, non pas de la remise des clés de l’immeuble, mais de son transfert de propriété.
    • Dans un arrêt du 1er février 2000, la Cour de cassation a estimé en ce sens que « le contrat de vente de l’immeuble dont l’une des clauses subordonne le transfert de propriété au paiement intégral du prix est un contrat de vente à terme n’incluant pas un prêt et que ce contrat était en cours lors de l’ouverture de la procédure collective, une partie du prix restant à payer» ( com. 1er févr. 2000).
  • Garantie des vices cachés
    • Dans l’hypothèse où le débiteur endosse la qualité, non plus de vendeur, mais d’acheteur, la créance de garantie des vices cachés a pour fait générateur la date de conclusion du contrat.
    • Cette solution a été consacrée dans un arrêt du 18 janvier 2005.
    • La Cour de cassation a considéré dans cette décision que « la créance née de la garantie des vices cachés a son origine au jour de la conclusion de la vente et non au jour de la révélation du vice» ( com. 18 janv. 2005)

ii) Créance résultant d’un contrat à exécution successive

En matière de contrat à exécution successive, la Cour de cassation considère que le fait générateur de la créance réside, non pas dans la date de conclusion du contrat, mais au jour de la fourniture de la prestation caractéristique.

  • Pour le contrat de travail
    • Le fait générateur de la créance de salaire réside dans l’exécution de la prestation de travail.
    • Dans un arrêt du 8 novembre 1988 la Cour de cassation considère, par exemple, que « après avoir retenu exactement que les dispositions relatives à l’exigibilité des cotisations ne pouvaient prévaloir sur celles de la loi du 25 janvier 1985 qui interdisent de payer toute créance née antérieurement au jugement d’ouverture du redressement judiciaire, le jugement constate que les cotisations réclamées se rapportaient à des salaires perçus pour une période de travail antérieure à l’ouverture de la procédure collective ; qu’en l’état de ces énonciations, c’est à bon droit que le tribunal a décidé qu’une telle créance était née antérieurement au jugement d’ouverture et que, par suite, peu important l’époque à laquelle les salaires correspondants avaient été payés, l’acte tendant à obtenir paiement de cette créance devait être annulé» ( com. 8 nov. 1988).
  • Pour le contrat de bail
    • Le fait générateur de la créance de loyer réside quant à elle dans la jouissance de la chose
    • Dans un arrêt du 28 mai 2002, la Cour de cassation a estimé en ce sens que « la redevance prévue par un contrat à exécution successive poursuivi par l’administrateur est une créance de la procédure pour la prestation afférente à la période postérieure au jugement d’ouverture et constitue une créance née antérieurement au jugement d’ouverture pour la prestation afférente à la période antérieure à ce jugement et soumise à déclaration au passif» ( com. 28 mai 2002)

iii) Créance résultant d’un contrat de prêt

Bien que la jurisprudence tende désormais à considérer que le contrat de prêt constitue, non plus un contrat réel, mais un contrat consensuel, en matière de procédure collective, la cour de cassation estime toujours que la qualification endossée par la créance de remboursement est déterminée par la date de déblocage des fonds.

En matière d’ouverture de crédit, la chambre commerciale a estimé que, en ce qu’elle constitue une promesse de prêt, elle « donne naissance à un prêt, à concurrence des fonds utilisés par le client » (Cass. com. 21 janv. 2004).

iv) Créance résultant d’un contrat de cautionnement

L’hypothèse visée ici est la situation où la caution, après avoir été actionnée en paiement par le créancier, se retourne contre le débiteur principal.

Elle dispose contre ce dernier de deux recours : un recours personnel et un recours subrogatoire.

  • En cas d’exercice par la caution de son recours subrogatoire
    • Dans cette hypothèse, la créance dont elle se prévaut la caution contre le débiteur n’est autre que celle dont était titulaire le créancier accipiens
    • La date de naissance de cette créance devrait, en conséquence, être déterminée selon les règles applicables à cette créance
  • En cas d’exercice par la caution de son recours personnel
    • Recours de la caution contre le débiteur
      • La détermination du fait générateur de la créance invoquée par la caution est ici plus problématique.
      • Deux approches sont envisageables
        • On peut considérer que la créance a pour fait générateur la conclusion du contrat
        • On peut également estimer que cette créance naît du paiement de la caution entre les mains du créancier accipiens.
      • Selon que l’on retient l’une ou l’autre approche, lorsque le jugement d’ouverture intervient entre la date de conclusion du contrat de caution et la date de paiement, la qualification de la créance sera différente.
      • Dans un arrêt du 3 février 2009, la Cour de cassation a opté pour la première approche.
      • Elle a, autrement dit, considéré que « la créance de la caution qui agit avant paiement contre le débiteur principal, sur le fondement de l’article 2309 du code civil, prend naissance à la date de l’engagement de caution» ( com. 3 févr. 2009)

Cass. com. 3 févr. 2009
Sur le moyen relevé d'office, après avertissement délivré aux parties :

Vu l'article 169 de la loi du 25 janvier 1985, ensemble l'article 2309 du code civil ;

Attendu, selon l'arrêt attaqué, que poursuivi en paiement des sommes dues par Mme X..., au titre d'un prêt dont il s'était rendu caution, M. de Y... (la caution), a, en application des dispositions de l'article 2309 du code civil , assigné celle-ci, qui avait été mise en liquidation judiciaire clôturée pour insuffisance d'actif, en paiement de la somme mise en recouvrement contre lui ;

Attendu que, pour déclarer l'action de la caution recevable et condamner Mme X... à lui payer une certaine somme, l'arrêt retient que l'action indemnitaire est née postérieurement à la clôture de la procédure collective de la débitrice principale puisque l'assignation en paiement de la banque à l'encontre de la caution a été délivrée le 16 novembre 1990 ;

Attendu qu'en statuant ainsi, alors que la créance de la caution qui agit avant paiement contre le débiteur principal, sur le fondement de l'article 2309 du code civil, prend naissance à la date de l'engagement de caution et que l'article 169 de la loi du 25 janvier 1985 ne permet pas aux créanciers, de recouvrer l'exercice individuel de leurs actions contre le débiteur qui a fait l'objet d'une liquidation judiciaire clôturée pour insuffisance d'actif, sauf dans les cas prévus aux articles 169, alinéa 2, et 170 de cette même loi, la cour d'appel, qui a constaté que l'engagement de caution était du 30 janvier 1984 et que la liquidation judiciaire de Mme X... avait été clôturée le 28 février 1990 pour insuffisance d'actif, a violé les textes susvisés ;


PAR CES MOTIFS, et sans qu'il y ait lieu de statuer sur les moyens du pourvoi :

CASSE ET ANNULE, dans toutes ses dispositions, l'arrêt rendu le 24 avril 2006, entre les parties, par la cour d'appel de Pau ; remet, en conséquence, la cause et les parties dans l'état où elles se trouvaient avant ledit arrêt et, pour être fait droit, les renvoie devant la cour d'appel de Toulouse ;

  • Recours de la caution contre ses cofidéjusseurs
    • Dans un arrêt du 16 juin 2004, la Cour de cassation a retenu une solution identique à celle adoptée dans l’arrêt du 3 février 2009.
      • Faits
        • Une banque consent un prêt à une société
        • En garantie, deux associés souscrivent à un cautionnement en faveur de la banque
        • L’un des associés caution cède ses parts sociales à l’autre
        • La société est par suite placée en liquidation judiciaire
        • La caution qui avait cédé ses parts règle à la banque la créance à hauteur du montant déclarée à la procédure
        • La caution se retourne alors contre le commissaire d’exécution au plan afin que lui soit réglée la part due par son ex-coassocié décédé entre-temps
      • Demande
        • La caution qui a réglé la dette principale réclame à l’administrateur le paiement de la part dû par les ayants droit de son cofidéjusseur
      • Procédure
        • Par un arrêt du 2 octobre 2001, la Cour d’appel de Besançon accède à la requête de la caution
        • Les juges du fond estiment que dans la mesure où l’action contre le cofidéjusseur ne naît qu’à partir du moment où l’un d’eux a réglé la dette principale, la créance de la caution naît au jour du paiement de la dette principale
      • Solution
        • Par un arrêt du 16 juin 2004, la Cour de cassation casse l’arrêt de la Cour d’appel
        • Elle considère que « la créance de la caution qui a payé la dette et qui agit contre son cofidéjusseur sur le fondement de l’article 2033 du Code civil, prend naissance à la date de l’engagement de caution»
        • Aussi, la Cour de cassation reproche-t-elle à la Cour d’appel d’avoir pris comme fait générateur de la créance le paiement de la dette principale par la caution.
        • Pour elle, dans la mesure où la souscription du cautionnement a eu lieu antérieurement au jugement d’ouverture, la créance de la caution n’est pas éligible au rang des créances privilégiées.
      • Analyse
        • La solution adoptée par la Cour de cassation ne s’impose pas avec évidence.
        • Car au fond, cette position revient à dire que, au moment où elle s’engage envers le créancier, la caution acquiert :
          • D’une part, la qualité de débiteur accessoire de la dette principale
          • D’autre part, la qualité de créancier chirographaire antérieur quant au recours qui lui est ouvert par le code civil contre son ou ses cofidéjusseurs
        • Au total, il semble désormais être acquis que le recours personnel de la caution, qu’il soit dirigé contre un cofidéjusseur soumis à une procédure collective ou contre le débiteur principal soumis à une procédure collective, naît au jour de la signature du contrat de cautionnement.

Cass. com. 16 juin 2004
Attendu, selon l'arrêt attaqué, que, le 15 mars 1986, l'Union des banques régionales (la banque) a consenti un prêt à la société La Lizaine (la société), avec pour garantie le cautionnement solidaire de MM. X... et Y..., associés de la société ; que, le 31 janvier 1988, M. Y... a cédé à M. X... l'ensemble de ses parts sociales ; que la société ayant été mise en redressement puis liquidation judiciaires, la banque a déclaré sa créance qui a été admise pour un certain montant ;

que M. X... a été mis en redressement judiciaire à la suite duquel un plan de cession a été arrêté, M. Z... étant nommé commissaire à l'exécution du plan ; que M. Y... ayant réglé, en sa qualité de caution, une somme de 50 000 francs pour solde de la créance de la banque, a assigné M. X... en remboursement de cette somme ; que M. Z..., ès qualités, est intervenu à l'instance ; que M. X... est décédé le 4 mars 1998 ;

Sur le premier moyen :

Attendu que M. Z... fait grief à l'arrêt de l'avoir condamné, en sa qualité de commissaire à l'exécution du plan de M. X..., décédé, à payer 25 000 francs à M. Y... alors, selon le moyen, qu'aucune des parties, à qui il appartenait de fixer les termes du litige, n'avait demandé à la cour d'appel de condamner M. Z..., ès qualités, à payer la somme de 25 000 francs à M. Y... ; qu'en prononçant cette condamnation, la cour d'appel a violé l'article 4 du nouveau Code de procédure civile ;

Mais attendu qu'il résulte des conclusions récapitulatives déposées par M. Y... le 20 mai 1999 que ce dernier a sollicité la condamnation de M. Z..., en sa qualité de commissaire à l'exécution du plan, à lui payer une somme de 50 000 francs en application de l'article 2033 du Code civil ; que le moyen manque en fait ;

Mais sur le second moyen :

Vu l'article 40 de la loi n° 85-98 du 25 janvier 1985, devenu l'article L.621-32 du Code de commerce ;

Attendu que la créance de la caution qui a payé la dette et qui agit contre son cofidéjusseur sur le fondement de l'article 2033 du Code civil, prend naissance à la date de l'engagement de caution;

Attendu que pour condamner M. Z..., commissaire à l'exécution du plan de M. X..., décédé, à payer 25 000 francs à M. Y..., l'arrêt retient que s'agissant de rapports entre deux cautions, et non entre une caution et le débiteur principal, M. Y... ne disposait d'aucune action avant d'avoir payé, ce par application de l'article 2033 du Code civil, que l'origine de sa créance est, dès lors, postérieure à l'ouverture de la procédure collective de M. X..., de telle sorte que cette créance n'était pas soumise à l'obligation de déclaration ;

Attendu qu'en statuant ainsi, après avoir relevé que l'engagement de caution de M. Y... avait été souscrit avant l'ouverture du redressement judiciaire de M. X..., la cour d'appel n'a pas tiré les conséquences légales de ses constatations ;

PAR CES MOTIFS :

CASSE ET ANNULE, dans toutes ses dispositions, l'arrêt rendu le 2 octobre 2001, entre les parties, par la cour d'appel de Besançon ; remet, en conséquence, la cause et les parties dans l'état où elles se trouvaient avant ledit arrêt et, pour être fait droit, les renvoie devant la cour d'appel de Colmar ;

B) L’exigence de régularité de la créance

L’article L. 622-17, I du Code de commerce vise les créances nées régulièrement après l’ouverture de la procédure.

Que doit-on entendre par l’expression « nées régulièrement » ?

Le législateur a entendu viser ici les créances nées conformément aux règles de répartition des pouvoirs entre les différents organes de la procédure.

Pour mémoire, selon la nature de la procédure dont fait l’objet le débiteur, l’administrateur, lorsqu’il est désigné, sera investi d’un certain nombre de pouvoirs, qu’il exercera, parfois, à titre exclusif.

En matière de procédure de sauvegarde, l’article L. 622-1 du Code de commerce prévoit par exemple que si « l’administration de l’entreprise est assurée par son dirigeant […] lorsque le tribunal désigne un ou plusieurs administrateurs, il les charge ensemble ou séparément de surveiller le débiteur dans sa gestion ou de l’assister pour tous les actes de gestion ou pour certains d’entre eux. »

Lorsqu’il s’agit d’une procédure de liquidation judiciaire, le débiteur sera complètement dessaisi de son pouvoir de gestion de l’entreprise à la faveur de l’administrateur (art. L. 641-9 C. com.)

Ainsi, la créance régulière est celle qui résulte d’un acte accompli en vertu d’un pouvoir dont était valablement investi son auteur.

A contrario, une créance sera jugée irrégulière en cas de dépassement de pouvoir par le débiteur ou l’administrateur.

Pour apprécier la régularité d’une créance il faut alors distinguer selon que la créance est d’origine contractuelle ou délictuelle

1) Les créances contractuelles

  • Pour les créances nées de la conclusion d’un contrat
    • La créance naît régulièrement si le contrat a été conclu par un organe qui était investi du pouvoir d’accomplir l’acte.
    • Pour les actes de gestion courante, le débiteur dispose de ce pouvoir en matière de procédure de sauvegarde et de redressement judiciaire.
  • Pour les créances nées de l’exécution d’un contrat en cours
    • Lorsqu’une décision de continuation a été prise
      • La créance ne peut naître régulièrement qu’à la condition que le contrat ait été poursuivi en vertu d’une décision prise par la personne habilitée
      • Il s’agira
        • soit de l’administrateur lorsqu’il est désigné
        • soit du débiteur après avis conforme du mandataire
      • En matière de liquidation judiciaire, seul le liquidateur est investi de ce pouvoir.
    • Lorsqu’aucune décision de continuation n’a été prise
      • Lorsque la créance trouve son origine dans l’exécution d’un contrat en cours pour lequel aucune décision de continuation n’a été prise, la jurisprudence considère classiquement que cette absence de décision n’entache pas la régularité de la créance.
      • Il est, par ailleurs, indifférent que la décision prise ultérieurement soit favorable ou non à une continuation du contrat en cours (V. en ce sens com. 12 juill. 1994)
  • Cas particulier de la créance de salaire
    • Si, en principe, l’irrégularité de la créance s’apprécie au regard du dépassement de pouvoir du débiteur ou de l’administrateur, il est un cas où cette règle est écartée
    • Dans un arrêt du 13 juillet 2010, la Cour de cassation a, en effet, estimé que quand bien même une créance de salaire serait née irrégulièrement dans le cadre d’une procédure de liquidation judiciaire, elle pouvait, malgré tout, bénéficier du régime des créances privilégiées.

Cass. soc. 13 juill. 2010
Sur le moyen unique :

Vu l'article L. 621-32 du code de commerce, dans sa rédaction antérieure à la loi du 26 juillet 2005 de sauvegarde des entreprises, alors applicable ;

Attendu, selon l'arrêt attaqué, que, bien que faisant l'objet d'une procédure de liquidation judiciaire, M. X... a continué d'exercer son activité et d'employer M. Y... qu'il avait engagé en qualité de manoeuvre avant l'ouverture de la procédure ; qu'ayant appris l'existence de la procédure collective, le salarié a saisi la juridiction prud'homale d'une demande en paiement des indemnités de rupture et d'un rappel de salaires ;

Attendu pour rejeter cette demande, l'arrêt, qui prononce la résiliation du contrat de travail, retient que les créances dont M. Y... poursuit le paiement, nées de la poursuite d'activité de M. X... après sa liquidation judiciaire, ou de la résiliation du contrat postérieurement à la liquidation judiciaire, ne sont pas nées régulièrement après le jugement d'ouverture au sens de l'ancien article L. 621-32 du code de commerce, qu'elles se trouvent par conséquent hors procédure et que leur montant ne peut pas être fixé dans le cadre de la procédure collective ;

Qu'en statuant ainsi alors d'une part qu'en cas de liquidation judiciaire de l'employeur, le contrat de travail du salarié se poursuit de plein droit tant que le liquidateur ne l'a pas rompu, et que, sauf en cas de fraude, est opposable à la procédure collective la créance du salarié née de la poursuite illicite de l'activité, sans que puissent lui être opposés l'usage irrégulier de ses pouvoirs par le débiteur et la méconnaissance de son dessaisissement, et alors, d'autre part, que l'article L. 621-32 du code de commerce, alors applicable, ne concernait que les modalités de paiement des créances et non les conditions de leur admission au passif salarial, la cour d'appel a violé le texte susvisé ;

PAR CES MOTIFS :

CASSE ET ANNULE, dans toutes ses dispositions, l'arrêt rendu le 10 octobre 2007, entre les parties, par la cour d'appel de Montpellier ; remet, en conséquence, la cause et les parties dans l'état où elles se trouvaient avant ledit arrêt et, pour être fait droit, les renvoie devant la cour d'appel de Nîmes ;

  • Faits
    • Une société fait l’objet d’une procédure de liquidation judiciaire
    • Alors que la procédure de liquidation est engagée, l’entreprise continue d’employer un salarié alors qu’aucune décision en ce sens n’ayant été prise par le liquidateur
  • Demande
    • Après avoir eu connaissance de la procédure de liquidation, le salarié saisit la juridiction prud’homale aux fins d’obtenir le paiement d’une indemnité de rupture de son contrat de travail et un rappel de salaire.
  • Procédure
    • Par un arrêt du 10 octobre 2007 la Cour d’appel de Montpellier déboute le salarié de sa demande
    • Les juges du fond estiment que la créance invoquée par le salarié est née irrégulièrement, de sorte qu’il ne saurait se prévaloir du privilège consenti aux créanciers postérieurs
    • Pour la Cour d’appel, il s’agit donc d’une créance hors procédure, de sorte que le salarié ne peut, ni déclarer sa créance, ni en demander le paiement à l’échéance.
  • Solution
    • Par un arrêt du 13 juillet 2010, la Cour de cassation casse et annule l’arrêt de la Cour d’appel au visa de l’article L. 621-32 du Code de commerce
    • La chambre sociale considère :
      • D’une part, qu’« en cas de liquidation judiciaire de l’employeur, le contrat de travail du salarié se poursuit de plein droit tant que le liquidateur ne l’a pas rompu, et que, sauf en cas de fraude, est opposable à la procédure collective la créance du salarié née de la poursuite illicite de l’activité, sans que puissent lui être opposés l’usage irrégulier de ses pouvoirs par le débiteur et la méconnaissance de son dessaisissement»
      • D’autre part, « que l’article L. 621-32 du code de commerce, alors applicable, ne concernait que les modalités de paiement des créances et non les conditions de leur admission au passif salarial»
    • Autrement dit, pour la haute juridiction, le salarié était parfaitement fondé à réclamer le paiement à échéance de sa créance.
    • Elle justifie sa solution en avançant deux arguments :
      • Premier argument
        • En cas de liquidation judiciaire, le contrat de travail du salarié se poursuivrait de plein droit
        • L’article L. 622-17, VI prévoit en ce sens que les contrats de travail échappent au pouvoir discrétionnaire de l’administrateur concernant la poursuite ou non des contrats en cours.
      • Second argument
        • La créance du salarié, même irrégulière, est opposable à la procédure collective car
          • D’une part, la violation en l’espèce des règles du dessaisissement du débiteur fautif n’est pas imputable au salarié
          • D’autre part, la créance invoquée par le salarié serait parfaitement régulière au regard de l’article L. 621-32 du Code de commerce applicable à la procédure de liquidation judiciaire puisque le contrat de travail n’a pas été rompu par le liquidateur.
  • Analyse
    • De toute évidence, la Cour de cassation se livre ici à une interprétation audacieuse de l’article L. 621-32.
    • En l’espèce, il y avait clairement un dépassement de pouvoir de la part du débiteur
    • Techniquement, la créance était donc bien irrégulière.
    • Aussi, en affirmant que la violation des règles de dessaisissement par le débiteur n’était pas imputable au salarié, la Cour de cassation ajouter une condition au texte.
    • L’article L. 621-32 ne prévoit nulle part qu’une créance peut être considérée comme régulière si le dépassement de pouvoir du débiteur ou de l’administrateur n’est pas imputable au créancier.
    • Lorsque, en outre, la chambre sociale ajoute que l’article L. 621-32 du Code ne concerne que les modalités de paiement des créances et non les conditions de leur admission, cette affirmation est, là encore, très critiquable.
    • Lorsque, en effet, cette disposition énonce qu’une créance doit être née régulièrement pour être opposable à la procédure et bénéficier d’un privilège de traitement, que fait-elle sinon poser une condition d’admission des créances ?
    • Ce ne sont pas des modalités de paiement dont il était question dans l’arrêt en l’espèce, mais bien de déterminer le bien-fondé du paiement d’une créance née postérieurement au jugement d’ouverture.

2) Les créances extracontractuelles

Dans la mesure où, par définition, les créances délictuelles et quasi-délictuelles naissent de faits illicites, elles ne devraient, en toute logique, jamais pouvoir être considérées comme nées régulièrement.

Animée par un souci de protection du créancier et, plus encore, d’indemnisation des victimes de dommages causés par le débiteur, la jurisprudence a admis que ces créances puissent être admises au rang des créances privilégiées.

Dans un arrêt remarqué du 13 octobre 1998, la Cour de cassation a que la nature délictuelle d’une créance ne faisait pas obstacle à ce qu’elle puisse être née régulièrement « après le jugement d’ouverture de la procédure collective, c’est-à-dire conformément aux règles gouvernant les pouvoirs du débiteur ou, le cas échéant, de l’administrateur ».

Cass. com. 13 oct. 1998
Sur le moyen unique, pris en sa troisième branche :
Attendu, selon l'arrêt déféré, que M. Michel Z... a été assigné, le 6 mai 1992, en contrefaçon et paiement de dommages-intérêts par M. Edouard Z... ; que sur l'assignation en intervention forcée délivrée à M. X..., liquidateur judiciaire de M. Michel Z... désigné par un jugement du 22 mai 1986, la cour d'appel a dit que la condamnation en paiement de dommages-intérêts portée contre M. Michel Z..., l'est contre M. Y..., son liquidateur judiciaire ;

Sur la fin de non-recevoir relevée par la défense : (sans intérêt) ;

Et sur le moyen :

Vu l'article 40 de la loi du 25 janvier 1985 ;

Attendu que pour statuer comme il a fait, l'arrêt retient que la créance délictuelle de M. Edouard Z... à l'encontre de M. Michel Z... est née postérieurement au jugement d'ouverture et entre ainsi dans les prévisions de l'article 40 de la loi du 25 janvier 1985 de sorte que M. Michel Z... étant dessaisi de ses biens par l'effet du jugement de liquidation judiciaire, la condamnation devra être prononcée contre M. Y..., ès qualités ;

Attendu qu'en statuant ainsi, sans rechercher si la créance était née régulièrement après le jugement d'ouverture de la procédure collective, c'est-à-dire conformément aux règles gouvernant les pouvoirs du débiteur ou, le cas échéant, de l'administrateur, la cour d'appel n'a pas donné de base légale à sa décision ;

PAR CES MOTIFS, et sans qu'il y ait lieu de statuer sur les autres griefs :

CASSE ET ANNULE, mais seulement en ce qu'il a dit que la condamnation pécuniaire portée par le jugement contre M. Michel Z... l'est contre M. Y..., liquidateur judiciaire de ce dernier, et en ce qu'il a condamné M. Michel Z... sur le fondement de l'article 700 du nouveau Code de procédure civile, l'arrêt rendu le 29 septembre 1995, entre les parties, par la cour d'appel de Paris ; remet, en conséquence, quant à ce, la cause et les parties dans l'état où elles se trouvaient avant ledit arrêt et, pour être fait droit, les renvoie devant la cour d'appel d'Angers.

C) L’exigence d’utilité de la créance

Pour être qualifié de créance privilégiée, l’article L. 622-17, I du Code de commerce exige que la créance soit née « pour les besoins du déroulement de la procédure ou de la période d’observation, ou en contrepartie d’une prestation fournie au débiteur pendant cette période ».

Cette exigence a été introduite par la loi de sauvegarde du 26 juillet 2005, complétée ensuite par l’ordonnance n° 2008-1345 du 18 décembre 2008.

L’objectif poursuivi par le législateur était de réduire le nombre des créances susceptibles de faire l’objet d’un paiement à échéance, les critères de postériorité et de régularité ayant été jugés insuffisamment sélectifs.

Cette restriction a notamment été suggérée par la Cour de cassation en 2002 dans son rapport annuel.

Selon elle, la priorité conférée à l’ensemble des créances postérieures au jugement d’ouverture était « de nature à rendre plus difficile le redressement de l’entreprise si trop de créanciers peuvent en profiter. Il paraît excessif que la créance fasse ainsi l’objet d’un paiement prioritaire du seul fait qu’elle est née après le jugement d’ouverture ; il serait plus favorable au redressement des entreprises que seules les créances nécessaires à la poursuite de l’activité après le jugement d’ouverture bénéficient d’un tel traitement de faveur ».

Fort de cette invitation à durcir les critères d’admission des créances privilégiées, le législateur en a créé un nouveau : le critère d’utilité.

Afin de déterminer ce que l’on doit entendre par ce nouveau critère il convient d’envisager d’abord la notion d’utilité après quoi nous aborderons l’appréciation de cette notion. Nous nous intéresserons, enfin, aux difficultés d’application qu’elle soulève.

1) La notion d’utilité de la créance

Pour être considérée comme utile au sens de l’article L. 622-17, I la créance doit être née :

  • Soit pour les besoins de la procédure en tant que telle
  • Soit pour les besoins de l’activité de l’entreprise

==> Les créances nées pour les besoins de la procédure

L’article L. 622-17, I du Code de commerce vise ici :

  • Les créances nées pour les besoins du déroulement de la procédure
    • Il s’agit essentiellement des frais de justice, des honoraires de l’administrateur, du mandataire, des avocats, des huissiers des commissaires-priseurs ou encore des frais d’expertise.
  • Les créances nées pour les besoins de la période d’observation
    • Il s’agit de tous les frais engagés par le débiteur nécessaires à la poursuite de l’activité de l’entreprise, notamment ceux engendrés par la continuation des contrats en cours.

==> Les créances nées pour les besoins de l’activité de l’entreprise

En premier lieu, il peut être observé que cette seconde catégorie de créances privilégiées tend à prendre en compte les cas dans lesquels, par exemple, une commande aurait été passée par le débiteur, donnant lieu à une prestation, mais que le mandataire judiciaire ou l’administrateur ne considérerait pas comme correspondant aux besoins de la procédure ou de la période d’observation.

Il n’y aurait là aucune justification à priver de telles créances d’un paiement prioritaire. D’où sa prise en compte par le législateur.

En second lieu, avant l’entrée en vigueur de l’ordonnance n°2008-1345 du 18 décembre 2008, l’article L. 622-17, I du Code de commerce prévoyait que, étaient éligibles au statut des créances privilégiées, les créances nées « en contrepartie d’une prestation fournie au débiteur, pour son activité professionnelle, pendant cette période, sont payées à leur échéance ».

Cette disposition vise désormais les créances nées « en contrepartie d’une prestation fournie au débiteur pendant cette période, sont payées à leur échéance. »

La précision « pour son activité professionnelle » a ainsi été supprimée de la version initiale du texte.

Cette suppression procède d’une volonté du législateur de ne pas limiter le bénéfice du privilège de priorité aux seules créances nées pour les pour besoins de l’activité professionnelles du débiteur.

Des créances nées en contrepartie d’une prestation étrangère à son activité professionnelle pourraient, en conséquence, être qualifiées de créances privilégiées.

Pour ce faire, elles n’en devront pas moins satisfaire à trois conditions cumulatives :

  • Une créance qui correspond à une prestation
    • Par prestation, il faut entendre la fourniture d’un bien ou d’un service.
    • Cette terminologie a été intégrée dans le Code civil par l’ordonnance du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations, de sorte qu’elle ne soulève dès lors plus de difficulté
  • Une créance née en contrepartie de la prestation
    • La créance doit consister en la contrepartie d’une prestation fournie au débiteur.
    • La fourniture de cette prestation doit avoir été utile
      • Soit à la procédure
      • Soit au maintien de l’activité de l’entreprise
    • En revanche, il est indifférent que le contrat à l’origine de la créance n’ait fait l’objet d’aucune décision de continuation dès lors qu’elle est née régulièrement.
  • Une créance née pendant la période d’observation
    • La créance ne peut accéder au rang de créance privilégiée que si elle est née pendant la période d’observation
    • Dès lors que la créance naît en dehors de cette période, quand bien même elle serait utile à la procédure où à la poursuite de l’activité, elle ne pourra pas bénéficier du privilège de priorité.
    • C’est là une exigence formelle posée par le texte.

2) L’appréciation de l’utilité de la créance

Une question a agité la doctrine : l’utilité de la créance doit-elle être appréciée en considération de l’acte qui en est à l’origine, ou au regard du bénéfice que le débiteur en retire ?

Les auteurs optent majoritairement pour la première option. Pour déterminer si créance utile pour la procédure ou pour le maintien de l’activité, il convient de se rapporter à son fait générateur.

Seules les circonstances de sa naissance sont à même de renseigner le juge sur l’opportunité de la décision prise par le débiteur.

Au fond, la question qui se pose est de savoir si l’acte d’où résulte la créance a été accompli dans l’intérêt de la procédure ou de l’entreprise.

3) Les difficultés d’application du critère

Les difficultés d’application du critère d’application du critère d’utilité concernent en particulier les créances fiscales et sociales.

Peut-on considérer que de telles créances présentent une utilité pour la procédure dans la mesure où elles conduisent, par nature, à aggraver la situation du débiteur ?

Dans un arrêt du 15 juin 2011, la Cour de cassation a admis qu’une créance dont se prévalait le RSI puisse bénéficier du statut de créance privilégiée.

Cass. com. 15 juin 2011
Sur le moyen unique :

Vu l'article L. 622-17 du code de commerce, dans sa rédaction antérieure à l'ordonnance du 18 décembre 2008 ;

Attendu, selon l'arrêt attaqué, que la caisse nationale du régime social des indépendants Participations extérieures (la caisse) a fait signifier à la société ARDDI (la société) le 6 octobre 2008 une contrainte datée du 12 août 2008, portant sur la contribution sociale de solidarité et des sociétés et la contribution additionnelle 2007 assises sur le chiffre d'affaires de l'année 2006 ; que la société, qui a été mise en redressement judiciaire le 20 octobre 2006, a fait opposition à cette contrainte le 7 octobre 2008 ;

Attendu que pour annuler cette contrainte, l'arrêt retient que si la créance est bien une créance dont le fait générateur est intervenu postérieurement au jugement ouvrant la procédure collective, elle ne peut être considérée comme une créance née en contrepartie d'une prestation fournie au débiteur pour son activité professionnelle pendant cette période, ni comme une créance répondant aux besoins du déroulement de la procédure ou de la période d'observation, et qu'elle aurait dû faire l'objet d'une déclaration conformément à l'article L. 622-24, alinéa 5, du code de commerce ;

Attendu qu'en statuant ainsi, alors que la contribution sociale de solidarité et la contribution additionnelle constituent pour les sociétés assujetties une obligation légale prévue par les articles L. 651-1 et L. 245-13 du code de la sécurité sociale et que les créances en résultant, qui sont inhérentes à l'activité de la société, entrent dans les prévisions de l'article L. 622-17 du code de commerce pour l'activité poursuivie postérieurement à l'ouverture de la procédure collective, la cour d'appel a violé le texte susvisé ;


PAR CES MOTIFS :

CASSE ET ANNULE, dans toutes ses dispositions, l'arrêt rendu le 6 avril 2010, entre les parties, par la cour d'appel de Nîmes ; remet, en conséquence, la cause et les parties dans l'état où elles se trouvaient avant ledit arrêt et, pour être fait droit, les renvoie devant la cour d'appel de Nîmes, autrement composée ;

  • Faits
    • Le RSI délivre une contrainte à une société en raison de cotisations sociales impayées en date du 6 octobre 2008
    • Depuis deux ans, la société faisait l’objet d’une procédure de redressement judiciaire
  • Demande
    • Le débiteur revendique l’inopposabilité de la contrainte qui lui a été notifiée
  • Procédure
    • Par un arrêt du 6 avril 2010, la Cour d’appel de Nîmes accède à la requête du débiteur
    • Les juges du fond estiment la créance dont est porteuse la contrainte est certes postérieure à l’ouverture de la procédure collective
    • Toutefois, elle ne remplit pas les critères d’une créance prioritaire dans la mesure où :
      • D’une part, elle ne constitue pas la contrepartie d’une prestation fournie par le débiteur
      • D’autre part, elle n’est pas née pour les besoins de la procédure collective
    • La Cour d’appel en conclut que cette créance aurait dû faire l’objet d’une déclaration, ce qui n’a pas été fait.
    • La créance du RSI serait donc éteinte
  • Solution
    • Par un arrêt du 15 juin 2011, la Cour de cassation casse et annule l’arrêt de la Cour d’appel
    • La Cour de cassation considère que la « contribution sociale de solidarité et la contribution additionnelle constituent pour les sociétés assujetties une obligation légale prévue par les articles L. 651-1 et L. 245-13 du code de la sécurité sociale et que les créances en résultant, qui sont inhérentes à l’activité de la société, entrent dans les prévisions de l’article L. 622-17 du code de commerce pour l’activité poursuivie postérieurement à l’ouverture de la procédure collective»
    • Autrement dit, la créance dont se prévaut le RSI répondrait, en tous points, aux critères d’éligibilité du privilège de priorité
  • Analyse
    • La solution dégagée par la Cour de cassation est, en l’espèce, parfaitement conforme à la lettre et à l’esprit de la loi.
    • Dans la mesure où le paiement des cotisations sociales est une obligation légale, il est absolument nécessaire que l’entreprise, quelle que soit sa situation, satisfasse à cette obligation à défaut de quoi elle s’expose à aggraver automatiquement son passif.
    • Rien ne justifie, en conséquence, que la créance de RSI ne puisse pas être qualifiée de créance privilégiée.

Ainsi, lorsqu’une créance résulte d’une obligation légale à laquelle est subordonné l’exercice de l’activité de l’entreprise, elle est parfaitement éligible au rang des créances privilégiées.

II) Le régime des créances privilégiées

Le législateur a consenti deux privilèges aux créanciers qui justifient d’une créance répondant aux critères de l’article L. 622-17, I du Code de commerce :

  • Le paiement à l’échéance
  • Un rang favorable dans l’ordre de paiement

A) Le paiement à l’échéance de la créance

L’article L. 622-17 du Code de commerce prévoit que les créances privilégiées « sont payées à leur échéance ».

Plusieurs conséquences découlent de cette faveur consentie au créancier privilégié :

  • Inopposabilité des principes qui président au gel du passif
    • Sont inopposables au créancier qui justifie d’une créance privilégiée
      • Le principe d’interdiction des paiements
      • Le principe d’arrêt du cours des intérêts
      • Le principe d’arrêt des poursuites individuelles
  • Inopposabilité de la procédure de déclaration et de vérification des créances
    • Le créancier privilégié n’est pas soumis aux exigences de déclaration et de vérification des créances
    • Pour se faire payer, il doit seulement justifier d’une créance exigible.
  • Inopposabilité du classement des créances privilégiées
    • Lorsque plusieurs créances privilégiées entrent en concours, l’ordre de paiement ne s’opère pas selon leur rang dans le classement légal.
    • Les créanciers sont payés par ordre de réclamation, peu importe que les fonds disponibles soient insuffisants pour régler les autres créances de rang supérieur.
    • L’article L. 622-17 du Code de commerce dispose, en effet, que le classement institué entre créances privilégiées n’est applicable que dans l’hypothèse où lesdites créances n’ont pas été payées à l’échéance.

B) Le rang privilégié de la créance

Dans l’hypothèse où une créance privilégiée n’aurait pas été payée à l’échéance, il sera procédé à son règlement selon son rang dans le classement prévu par la loi.

L’article L. 622-17, II du Code de commerce prévoit en ce sens que « lorsqu’elles ne sont pas payées à l’échéance, ces créances sont payées par privilège avant toutes les autres créances, assorties ou non de privilèges ou sûretés, à l’exception de celles garanties par le privilège établi aux articles L. 3253-2, L. 3253-4 et L. 7313-8 du code du travail, des frais de justice nés régulièrement après le jugement d’ouverture pour les besoins du déroulement de la procédure et de celles garanties par le privilège établi par l’article L. 611-11 du présent code. »

Les titulaires de créances privilégiées non payées à l’échéance doivent ainsi participer à la répartition organisée par les organes de la procédure.

L’exercice de ce privilège est toutefois subordonné à l’information de l’administrateur.

  1. La condition d’exercice du droit au paiement

L’article L. 622-17, IV du Code de commerce dispose que « les créances impayées perdent le privilège que leur confère le II du présent article si elles n’ont pas été portées à la connaissance de l’administrateur et, à défaut, du mandataire judiciaire ou, lorsque ces organes ont cessé leurs fonctions, du commissaire à l’exécution du plan ou du liquidateur, dans le délai d’un an à compter de la fin de la période d’observation. Lorsque cette information porte sur une créance déclarée pour le compte du créancier en application de l’article L. 622-24, elle rend caduque cette déclaration si le juge n’a pas statué sur l’admission de la créance. »

Ainsi, pour être éligible à la procédure de répartition, le créancier privilégié doit se manifester auprès de l’organe de la procédure compétent.

Il ne s’agira pas pour lui de procéder à une déclaration de sa créance, mais seulement d’en faire état.

Plusieurs règles édictées à l’article R. 622-15 du Code de commerce gouvernent ce processus d’information des organes de la procédure :

  • Délai d’information
    • Les créances privilégiées doivent être portées à a connaissance des organes de la procédure dans le délai d’un an à compter de la fin de la période d’observation.
  • Information du mandataire
    • L’administrateur, lorsqu’il en a été désigné, tient le mandataire judiciaire informé des créances privilégiées dont il a eu connaissance dans les conditions prévues au IV du même article.
  • Communication de la liste des créances privilégiées
    • La liste de ces créances est transmise par l’administrateur ou, à défaut, le mandataire judiciaire, dès la cessation de leurs fonctions, au commissaire à l’exécution du plan, ou au liquidateur, selon le cas, qui la complète.
  • Dépôt de la liste au greffe du Tribunal saisi
    • Le commissaire à l’exécution du plan ou le liquidateur dépose cette liste au greffe du tribunal à l’issue du délai d’un an qui suit la fin de la période d’observation, où tout intéressé peut en prendre connaissance.
    • Le greffier fait publier au Bulletin officiel des annonces civiles et commerciales une insertion indiquant ce dépôt et le délai pour présenter une contestation.
  • Contestation de la liste
    • Tout intéressé peut contester cette liste devant le juge-commissaire dans un délai d’un mois à compter de la publication.
  • Sort des créances rejetées
    • Les créances rejetées de cette liste par le juge-commissaire sont réputées avoir été déclarées dans les conditions de l’article L. 622-24.
    • Dans ce cas, le créancier adresse au mandataire judiciaire les informations prévues à l’article L. 622-25 et à l’article R. 622-23
    • si ces informations ont déjà été transmises par le créancier ou pour son compte à l’occasion d’une déclaration faite conformément à l’article L. 622-24 et sur l’admission de laquelle il n’a pas été statué, le créancier en conserve le bénéfice.
    • Toutefois, le mandataire judiciaire peut opposer au créancier les délais prévus à l’article L. 622-24 lorsque celui-ci a reçu, pour la même créance, un avertissement d’avoir à déclarer sa créance.
  • Sanction de la violation de l’obligation d’information
    • L’article L. 622-17, IV du Code de commerce prévoit que les créances qui n’ont pas été portées à la connaissance de l’organe compétent perdent purement et simplement leur privilège.

2. Le classement des créances privilégiées

Deux classements doivent être distingués : l’un externe, l’autre externe

==> Le classement externe

Le classement externe règle l’ordre des paiements entre les créances antérieures et les créances privilégiées.

  • Cas des procédures de sauvegarde et de redressement judiciaire
    • Les créances privilégiées sont payées par privilège avant toutes les autres créances, assorties ou non de privilèges ou sûretés, à l’exception trois catégories de créances :
      • Les créances salariales superprivilégiées visées aux articles L. 3253-2, 3253-4 et L. 7313-8 du code du travail, soit
        • Les rémunérations de toute nature dues aux salariés pour les soixante derniers jours de travail qui sont, déduction faite des acomptes déjà perçus, payées, nonobstant l’existence de toute autre créance privilégiée, jusqu’à concurrence d’un plafond mensuel identique pour toutes les catégories de bénéficiaires.
        • Les indemnités de congés payés qui sont, nonobstant l’existence de toute créance privilégiée, payées jusqu’à concurrence d’un plafond identique à celui établi pour une période de trente jours de rémunération par l’article L. 3253-1.
        • Les créances de l’AGS subrogé dans les droits des salariés désintéressés
      • Les frais de justice nés régulièrement après le jugement d’ouverture pour les besoins du déroulement de la procédure
        • Il s’agit notamment des honoraires dus aux mandataires, experts et administrateurs.
      • Les créances garanties par le privilège de conciliation
        • Il s’agit des créances bénéficiant du privilège de la « new money » (argent frais), établi par l’article L. 611-11 du code de commerce,
        • Rappelons qu’aux termes de cette disposition, les personnes ayant consenti, dans le cadre d’une procédure de conciliation ayant donné lieu à l’accord homologué mentionné au II de l’article L. 611-8, un nouvel apport en trésorerie au débiteur en vue d’assurer la poursuite d’activité de l’entreprise et sa pérennité, sont payées, pour le montant de cet apport, par privilège avant toutes les autres créances, selon le rang prévu au II de l’article L. 622-17 et au II de l’article L. 641-13. Les personnes qui fournissent, dans le même cadre , un nouveau bien ou service en vue d’assurer la poursuite d’activité de l’entreprise et sa pérennité bénéficient du même privilège pour le prix de ce bien ou de ce service.
  • Cas de la procédure de liquidation judiciaire
    • L’article L. 641-13 du Code de commerce prévoit que lorsqu’elles ne sont pas payées à l’échéance, les créances privilégiées sont payées avant toutes les autres créances, sans préjudice des droits de rétention opposables à la procédure collective, à l’exception
      • Des créances salariales superprivilégiées
      • Des frais de justice nés régulièrement après le jugement d’ouverture pour les besoins du déroulement de la procédure
      • Des créances garanties par le privilège de conciliation
      • Des créances antérieures garanties par des sûretés immobilières.

==> Le classement interne

Le classement interne règle l’ordre des paiements des créances privilégiées entre elles. Il n’y a ici pas de distinction à opérer entre l

  • Cas des procédures de sauvegarde et de redressement judiciaire
    • L’article L. 622-17, III du Code de commerce prévoit que les créances privilégiées sont payées dans l’ordre suivant :
      • Les créances de salaires dont le montant n’a pas été avancé en application des articles L. 3253-6, L. 3253-8 à L. 3253-12 du code du travail
        • Il s’agit là de toutes les créances qui n’ont pas été avancées par l’AGS aux salariés
      • Les prêts consentis ainsi que les créances résultant de l’exécution des contrats poursuivis conformément aux dispositions de l’article L. 622-13 et dont le cocontractant accepte de recevoir un paiement différé ;
        • Il s’agit de tous les prêts bancaires consentis au débiteur pour la poursuite de son activité
        • Sont également visées les créances résultant des contrats dont l’exécution a été poursuivie postérieurement au jugement d’ouverture
        • L’article L. 622-17, III précise toutefois que ce rang ne peut bénéficier qu’aux prêts et délais de paiement qui ont été autorisés par le juge-commissaire dans la limite nécessaire à la poursuite de l’activité pendant la période d’observation et font l’objet d’une publicité.
        • Par ailleurs, en cas de résiliation d’un contrat régulièrement poursuivi, les indemnités et pénalités sont exclues du bénéfice du présent article
      • Les autres créances, selon leur rang
        • Il en va ainsi des créances fiscales, sociales ou encore de celles nées en contrepartie d’une prestation fournie au débiteur pendant la période d’observation.
        • Elles seront payées en fonction de leur rang.
  • Cas de la procédure de liquidation judiciaire
    • Aux termes de l’article L. 641-13, III en cas de liquidation judiciaire les créances privilégiées sont payées selon l’ordre suivant :
      • Les créances de salaires dont le montant n’a pas été avancé par l’AGS
      • Les prêts bancaires consentis au débiteur pour la poursuite de son activité
      • Les créances résultant de la poursuite d’exécution des contrats en cours
      • Les créances de salariales dont le montant a été avancé par l’AGS
      • Les autres créances, selon leur rang.
(0)

Lorsqu’une entreprise rencontre des difficultés, il est un risque que ses dirigeants ne réagissent pas à temps pour les traiter, soit parce qu’ils ne prennent pas conscience de la situation, soit parce qu’ils ne souhaitent pas effrayer les créanciers ou s’exposer à la menace de poursuites.

En tout état de cause, si le dirigeant ne réagit pas rapidement, son incurie est susceptible de compromettre la continuité de l’exploitation.

Aussi, afin que le chef d’entreprise ne se retrouve pas dans cette situation, le législateur est intervenu à plusieurs reprises pour instaurer des procédures dont la vocation commune est l’appréhension des difficultés rencontrées par l’entreprise.

Tantôt cette appréhension des difficultés de l’entreprise sera préventive, tantôt elle sera curative.

==> Prévention des entreprises en difficulté / Traitement des entreprises en difficulté

Deux sortes de procédures doivent être distinguées :

  • Les procédures de prévention des entreprises en difficulté
    • Il s’agit ici d’intervenir, en amont, soit avant que l’entreprise ne soit en cessation des paiements.
    • Les deux principales procédures de prévention des entreprises en difficulté sont :
      • le mandat ad hoc
      • la conciliation
    • Elles présentent l’avantage pour le débiteur
      • d’une part, d’être confidentielles, l’objectif étant de ne pas effrayer les créanciers, ce qui produirait l’effet inverse de celui recherché
      • d’autre part, de revêtir une dimension contractuelle, en ce sens qu’elles ont pour finalité de conduire à la conclusion d’un accord amiable
  • Les procédures de traitement des entreprises en difficulté
    • Il s’agit ici d’intervenir à un stade où si, la cessation des paiements n’est pas encore constatée, elle est imminente si l’on ne réagit pas
    • Les procédures de traitement des entreprises en difficulté sont au nombre de trois :
      • La procédure de sauvegarde
      • La procédure de redressement judiciaire
      • La procédure de liquidation judiciaire
    • Contrairement aux procédures de préventions des entreprises en difficultés, les procédures de traitement des entreprises en difficulté empruntent, non pas la voie amiable, mais la voie judiciaire
    • Il en résulte inévitablement un nombre bien plus important de contraintes pour le dirigeant, susceptible d’être dépossédés de son pouvoir de gestion de son entreprise à la faveur d’un administrateur.

==> Genèse de la procédure de sauvegarde

Antérieurement à la grande réforme du droit des entreprises en difficulté engagée par la loi du 26 juillet 2005, on ne dénombrait que deux procédures de traitement des entreprises en difficultés :

  • La procédure de redressement judiciaire
  • La procédure de liquidation judiciaire

Si ces deux procédures réformées par la loi du 25 janvier 1985 poursuivaient déjà comme objectif le sauvetage des entreprises et des emplois, le législateur a cherché, en 2005, à compléter les dispositifs de traitement des entreprises en difficulté afin de permettre aux différents acteurs en présence d’agir encore plus tôt lorsqu’une entreprise est en mauvaise posture économique, sans pour autant que les droits des créanciers soient totalement lésés.

Sous l’empire de la loi du 25 janvier 1985, il peut être observé que l’ouverture d’une procédure collective était soumise à la survenance d’une cessation des paiements du débiteur.

La cessation des paiements était le seul et unique critère permettant l’ouverture d’une procédure judiciaire, à l’exception des cas exceptionnels d’« ouverture-sanction » de la procédure.

L’application de ce critère avait pour inconvénient majeur de manquer cruellement de souplesse :

  • Tant que la cessation des paiements du débiteur n’était pas constatée, il ne pouvait faire l’objet que d’une procédure de traitement amiable, alors même que les difficultés rencontrées par l’entreprise auraient pu justifier l’ouverture d’une procédure collective.
  • En revanche après la constatation de la cessation des paiements, il ne pouvait plus que faire l’objet d’une procédure judiciaire, alors que la voie amiable aurait parfaitement pu être envisagée, aux fins de résorber les difficultés traversées par l’entreprise.

En 2005, le législateur est venu mettre un terme à cette situation pour le moins absurde, en permettant l’ouverture d’une procédure collective sans qu’il soit besoin d’établir la cessation des paiements.

Pour ce faire la loi du 26 juillet 2005 a institué la procédure de sauvegarde applicable à tout débiteur « qui justifie de difficultés susceptibles de le conduire à la cessation des paiements »

Il s’agit, autrement dit, d’une procédure judiciaire qui s’ouvre avant même que le débiteur ne soit en cessation des paiements.

Cette innovation majeure tendait à répondre à la critique récurrente adressée au droit antérieur, selon laquelle la prise en charge judiciaire des difficultés des entreprises intervient, dans la majeure partie des cas, trop tardivement, à un moment où la situation du débiteur est tellement obérée que l’issue de la procédure ne peut être que la liquidation.

Aussi, la nouvelle procédure de sauvegarde, s’inspirant de dispositifs existant dans d’autres traditions juridiques – notamment le chapitre 11 du titre 11 du code fédéral américain, relatif à la faillite – a été pensée pour assurer une réorganisation de l’entreprise en lui permettant de faire face aux difficultés qu’elle traverse.

==> Finalité de la procédure de sauvegarde

Aux termes de l’article L. 620-1 du Code de commerce, la procédure de sauvegarde « est destinée à faciliter la réorganisation de l’entreprise afin de permettre la poursuite de l’activité économique, le maintien de l’emploi et l’apurement du passif. »

Ainsi poursuit-elle un triple objectif :

  • La poursuite de l’activité économique
  • Le maintien de l’emploi
  • L’apurement du passif

Ces trois objectifs poursuivis par la procédure de sauvegarde ont, indéniablement, guidé la main du législateur quant au façonnement du régime judiciaire de cette procédure.

Il en va de même des décisions adoptées par la Cour de cassation qui, pour la plupart, doivent être interprétées à l’aune de la finalité de la procédure de sauvegarde.

Pour bien comprendre où la procédure de sauvegarde se situe par rapport aux autres procédures de traitement des entreprises en difficulté, comparons-la avec les objectifs poursuivis par ces dernières.

  • La procédure de conciliation: conclusion entre le débiteur et ses principaux créanciers ainsi que, le cas échéant, ses cocontractants habituels, d’un accord amiable destiné à mettre fin aux difficultés de l’entreprise ( L. 611-7 C. com).
  • La procédure de sauvegarde: faciliter la réorganisation de l’entreprise afin de permettre la poursuite de l’activité économique, le maintien de l’emploi et l’apurement du passif ( L. 620-1 C. com)
  • La procédure de sauvegarde accélérée: restructuration de l’endettement des grandes entreprises remplissant des conditions de seuil
  • La procédure de redressement judiciaire:
    • Permettre la poursuite de l’activité de l’entreprise, le maintien de l’emploi et l’apurement du passif ( L. 631-1 C. com.)
    • Élaboration d’un plan de redressement à l’issue d’une période d’observation ( L. 631-1 C. com.)
  • La procédure de liquidation judiciaire :
    • Soit, mettre fin à l’activité de l’entreprise ou réaliser le patrimoine du débiteur par une cession globale ou séparée de ses droits et de ses biens ( L. 640-1 C. com.)
    • Soit la cession de l’entreprise ayant pour but d’assurer le maintien d’activités susceptibles d’exploitation autonome, de tout ou partie des emplois qui y sont attachés et d’apurer le passif ( L. 642-1 C. com.)

==> Parachèvement de la réforme

Instaurée par la loi du 26 juillet 2005, la procédure de sauvegarde a fait l’objet de plusieurs réformes successives en 2008, 2010 et 2014.

  • Première réforme : ordonnance n° 2008-1345du 18 décembre 2008
    • Après trois années d’application, il est apparu nécessaire de renforcer l’efficacité des dispositifs qu’elle propose et de tirer les conséquences des difficultés rencontrées par les praticiens.
    • À cette fin, l’objectif principal poursuivi par l’ordonnance du 18 décembre 2008 était triple :
      • Assouplissement des conditions d’ouverture de la procédure de sauvegarde
        • L’ordonnance adoptée en 2008, dispense le débiteur de démontrer que les difficultés rencontrées par l’entreprise sont de nature à le conduire à la cessation des paiements
        • Il est ressort de la pratique que cette preuve est trop souvent ardue à rapporter
        • Sa complexité s’accroît, qui plus est, à mesure de la précocité de sa demande d’ouverture.
      • Extension des pouvoirs du dirigeant de l’entreprise en difficulté
        • L’ordonnance étend le rôle et les prérogatives du dirigeant au moment de l’ouverture et pendant la procédure de sauvegarde.
        • Ainsi, a été introduite la possibilité pour le débiteur qui demande l’ouverture d’une sauvegarde de proposer au tribunal la désignation de l’administrateur judiciaire de son choix ( L. 621-4 C. com.).
        • Il lui est également désormais permis de procéder lui-même à l’inventaire de son patrimoine dans le délai fixé par le tribunal, sous réserve que celui-ci soit certifié par un commissaire aux comptes ou attesté par un expert-comptable ( L. 621-4 et L. 622-6-1 C. com).
      • Amélioration des conditions de réorganisation de l’entreprise
        • L’ordonnance entend faciliter la poursuite de l’activité au cours de la période d’observation et la préparation du plan de sauvegarde, notamment en aménageant les effets de certaines sûretés.
        • Elle améliore par ailleurs les règles de fonctionnement des comités de créanciers et des assemblées d’obligataires, afin de prendre en considération les enseignements de la pratique et l’apparition de nouveaux acteurs du financement des entreprises.
        • Enfin, elle s’attache à favoriser une réorganisation pérenne après l’arrêté du plan de sauvegarde.
  • Deuxième réforme : loi n° 2010-1249 du 22 octobre 2010 de régulation bancaire et financière
    • Elle est venue instituer une nouvelle procédure de sauvegarde des entreprises, intitulée « procédure de sauvegarde financière accélérée ».
    • Réservée au cercle des « créanciers financiers » des entreprises, c’est-à-dire aux établissements de crédit, la sauvegarde financière accélérée permet de dépasser l’opposition des créanciers minoritaires lorsque moins d’un tiers d’entre eux ont fait échouer la conciliation préalable.
    • Cette innovation juridique s’inscrit dans le droit de fil de la loi de 2005 sur la sauvegarde des entreprises.
    • La sauvegarde est dite « accélérée », car le délai est fixé à un mois à compter du jugement d’ouverture et n’est prorogeable qu’une fois.
    • Le régime de la déclaration de créance est précisé.
    • La majorité des deux tiers s’apprécie conformément à la procédure de sauvegarde de droit commun, c’est-à-dire en fonction du montant des créances.
  • Troisième réforme : ordonnance n° 2014-326 du 12 mars 2014 portant réforme de la prévention des difficultés des entreprises et des procédures collectives
    • L’institution d’une procédure de sauvegarde accélérée
      • Cette ordonnance a instauré une procédure de sauvegarde accélérée dont les principes sont inspirés de la procédure de sauvegarde financière accélérée prévue par la loi du 22 octobre 2010.
      • Bien qu’il s’agisse d’une procédure collective puisque les effets de l’ouverture de cette procédure concernent des catégories homogènes de créanciers auxquels est imposée une discipline collective et dont les intérêts sont représentés par un mandataire judiciaire, la sauvegarde accélérée ne peut être ouverte que si le débiteur a préalablement obtenu l’ouverture d’une procédure de conciliation, en cours à la date de la saisine du tribunal.
    • Précision du régime juridique de la procédure de sauvegarde classique
      • Première précision
        • L’ordonnance du 12 mars 2014 a supprimé l’obligation pour l’administrateur de payer sans délai le cocontractant dont le contrat est poursuivi pendant la période d’observation
          • Le texte fait néanmoins peser sur l’administrateur l’obligation de vérifier qu’en imposant la continuation du contrat il ne risque pas de créer un préjudice prévisible à l’intéressé.
          • La règle du paiement comptant demeure applicable à la procédure de redressement judiciaire et à la liquidation judiciaire, en application de l’article L. 641-11-1 du Code de commerce.
      • Deuxième précision
        • à défaut de plan adopté par les comités de créanciers et lorsque la clôture de la procédure conduirait à bref délai à la cessation des paiements, l’ordonnance autorise le Tribunal à convertir la procédure de sauvegarde en redressement judiciaire à la demande non seulement du débiteur, mais également des mandataires de justice ou du ministère public, ce qui élargit les passerelles entre les procédures.
      • Troisième précision
        • alors que le débiteur n’intervenait que pour le choix de l’administrateur judiciaire, le texte prévoit qu’il peut formuler des observations lorsqu’est envisagée la désignation de plusieurs mandataires judiciaires ou plusieurs administrateurs judiciaires, ainsi que lorsque le ministère public propose la désignation d’un ou plusieurs mandataires de justice.

==> La procédure de sauvegarde ou la procédure de droit commun

Il ressort de l’articulation des dispositions du Code de commerce consacrées au traitement des entreprises en difficulté que la procédure de sauvegarde est érigée en procédure de droit commun.

Elle constitue, autrement dit, la procédure dont les règles s’appliquent aux autres procédures collectives soit aux procédures de redressement judiciaire et de liquidation judiciaire.

Il en résulte que les Titres III et IV du Livre VI du Code de commerce ne comportent que des dispositions particulières.

Il conviendra, en conséquence, pour le praticien de se reporter au Titre II du Livre VI afin d’accéder aux dispositions générales qui régissent les procédures de traitement des entreprises en difficulté, ce qui n’est pas sans susciter l’étonnement dans la mesure où la procédure de sauvegarde est celle à laquelle il est le moins recouru dans la pratique.

(1)