garanties Archives - Page 13 sur 13 - Le Droit dans tous ses états

Réforme des sûretés: le cautionnement (présentation sous forme de tableau synthétique)

Le droit des sûretés est l’objet de toutes les attentions chez les juristes depuis la publication de l’ordonnance n° 2021-1192 du 15 septembre 2021 portant réforme du droit des sûretés.

Cette ordonnance a été prise en application l’article 60 de la loi n° 2019-486 du 22 mai 2019 relative à la croissance et la transformation des entreprises.

L’objectif poursuivi par la réforme est, selon le Rapport au Président de la République qui introduit le texte, de « simplifier le droit des sûretés et renforcer son efficacité, tout en assurant un équilibre entre les intérêts des créanciers, titulaires ou non de sûretés, et ceux des débiteurs et des garants ».

Nous nous focaliserons ici sur les dispositions de l’ordonnance portant réforme du cautionnement.

CAUTIONNEMENT		Objet de la réforme	Textes
Dispositions générales	Définitions	• Énonciation des principales définitions nécessaires à la compréhension du cautionnement. • Aussi, sont définis : - Le cautionnement - Le cautionnement légal et judiciaire - Le cautionnement simple et solidaire - La certification de caution et le sous-cautionnement	Art. 2288 à 2291-1 C. civ.
Formation et étendue du cautionnement	Objet du cautionnement	• Reconnaissance de la possibilité de cautionner une dette future pourvu qu’il s’agisse d’une obligation déterminée ou déterminable	art. 2292 C. civ.
	Caractère accessoire du cautionnement	• Réaffirmation du caractère accessoire du cautionnement, en ce que: - d'une part, il ne peut porter que sur une obligation valable - d'autre part, il ne peut excéder ce qui est dû par le débiteur ni être contracté sous des conditions plus onéreuses	art. 2293 et 2296 C. civ.
	Caractère exprès du cautionnement	• Le cautionnement doit être expressément stipulé, faute de quoi il ne peut être étendu au-delà des limites dans lesquelles il a été contracté.	art. 2294 C. civ.
	Étendue du cautionnement aux accessoires	• Le cautionnement est étendu, par principe, aux intérêts et autres accessoires de l'obligation garantie. • La règle est ici généralisée puisqu'elle s'applique, tant aux cautionnements indéfinis, qu'aux cautionnements définis, ce qui n'était pas le cas pour ces derniers sous l'empire du droit antérieur	art. 2295 C. civ.
	Mention manuscrite	• Regroupement des règles relatives à la mention manuscrite dans le Code civil • Réaffirmation de l'exigence de mention manuscrite qui demeure une condition de validité du cautionnement • La règle s'applique désormais à tous les cautionnements souscrits par des personnes physiques quelle que soit la qualité du créancier (professionnel ou non professionnel) • Abolition de la formule sacramentelle prévue par la loi. La mention doit simplement exprimer, avec suffisamment de précision, la nature et la portée de l'engagement de la caution. • Il n'est plus nécessaire que la mention soit manuscrite, la seule exigence étant qu'elle soit apposée par la caution. Il en résulte que le cautionnement peut être conclu par voie électronique.	art. 2297 C. civ.
	Opposabilité des exceptions	• La caution peut désormais peut opposer toutes les exceptions appartenant au débiteur principal, qu'elles soient inhérentes à la dette, ou personnelles à ce dernier, abstraction faite de l'incapacité • Par dérogation au principe, la caution ne peut se prévaloir des mesures légales ou judiciaires dont bénéficie le débiteur en conséquence de sa défaillance (les délais de grâce d'origine légale ou judiciaire, suspension des poursuites dans le cadre d'une procédure collective etc.)	art. 2298 C. civ.
	Devoir de mise en garde	• Consécration du devoir de mise en garde qui est issu d'une construction purement prétorienne. • Cette obligation qui pèse sur les créanciers professionnels, ne joue qu'au profit des seules personnes physiques, peu importe qu'elles soient ou non averties. Les personnes morales non averties sont désormais exclues du domaine de cette protection • Le devoir de mise en garde est dû au regard de la seule adéquation de l'engagement du débiteur principal avec ses capacités financières. Il n'y a donc plus lieu de vérifier l'adéquation de l'engagement de la caution avec ses ressources, cette exigence relevant du principe de proportionnalité. • Le manquement au devoir de mise en garde est sanctionné, non plus par la mise en jeu de la responsabilité du créancier, mais par la déchéance de son droit contre la caution à hauteur du préjudice subi par celle-ci.	art. 2299 C. civ.
	Principe de proportionnalité	• Regroupement des règles relatives à l'exigence de proportionnalité de l'engagement de la caution dans le Code civil • Réaffirmation de l'application de l'exigence de proportionnalité aux cautionnements souscrits par une personne physique, qu'elle soit avertie ou non, envers un créancier professionnel • Le principe de proportionnalité ne s'applique pas seulement au cautionnement conventionnel, il joue également pour le cautionnement judiciaire ou légal • Appréciation de la proportionnalité au jour de la conclusion du cautionnement. • Suppression de la possibilité pour le créancier de se départir de l'exigence de proportionnalité en cas de retour à meilleure fortune de la caution • Le manquement au principe de proportionnalité du cautionnement est sanctionné, non plus par la décharge totale de la caution, mais par la réduction du cautionnement au montant à hauteur duquel la caution pouvait s'engager au regard de son patrimoine et de ses revenus.	art. 2300 et 2301 C. civ.
Effets du cautionnement	Obligation d'information annuelle	• Regroupement dans le Code civil des règles relatives à l'obligation d'information annuelle pesant sur le créancier professionnel • Maintien du domaine de l'obligation: elle s'applique à tous les cautionnements souscrits - Par une personne physique envers un créancier professionnel - Par une personne morale envers un établissement de crédit ou une société de financement en garantie d'un concours financier accordée à une entreprise • Le coût de délivrance de l'information à la caution est désormais supporté par le seul créancier professionnel, ce qui implique qu'il ne peut facturer ce coût, ni à la caution, ni au débiteur principal • Le manquement à l'obligation d'information annuelle est sanctionné par la déchéance de la garantie des intérêts et pénalités échus depuis la date de la précédente information et jusqu'à celle de la communication de la nouvelle information.	art. 2302 C. civ.
	Obligation d'information de la défaillance du débiteur principal	• Regroupement dans le Code civil des règles relatives à l'obligation d'information de la défaillance du débiteur principal • Cette obligation s'applique aux seuls cautionnements souscrits par une personne physique, qu'elle soit ou non avertie, envers un créancier professionnel • Le manquement à cette obligation d'information est sanctionné par la déchéance de la garantie des intérêts et pénalités échus entre la date du premier incident de paiement non régularisé et celle à laquelle la caution en a été informée.	art. 2303 C. civ.
	Obligation d'information due à la sous-caution	• Extension des obligations d'information (information annuelle et défaillance du débiteur principal) au sous-cautionnement souscrit par une personne physique • Cette obligation d'information pèse sur la caution qui communique à ses frais à la sous-caution personne physique les informations qu'elle a reçues en application des articles 2302 et 2303.	art. 2304 C. civ.
	Bénéfice de discussion	• Reprise de la règle subordonnant l'appel en garantie de la caution à la poursuite préalable du débiteur principal • L'exigence d'avance par la caution des frais de la discussion est supprimée.	art. 2305 et 2305-1 C. civ.
	Bénéfice de division	• Reprise des règles relatives au bénéfice de division et notamment celle aux termes de laquelle, lorsque plusieurs personnes se sont portées cautions de la même dette, elles sont chacune tenues pour le tout.	art. 2306 à 2306-2 C. civ.
	Reste à vivre de la caution	• Reprise de la règle posant l'obligation pour le créancier de laisser à la caution actionnée en garantie un minimum de ressources pour vivre.	art. 2307 C. civ.
	Recours de la caution contre le débiteur principal	• S'agissant du recours après paiement - Reprise et précision des conditions du recours personnel de la caution. - La caution qui a payé tout ou partie de la dette a un recours personnel contre le débiteur tant pour les sommes qu'elle a payées que pour les intérêts et les frais. - S'agissant du recours subrogatoire de la caution, si elle ne réalise qu'un paiement partiel, la subrogation ne sera également que partielle, conformément au droit commun de la subrogation personnelle • S'agissant du recours avant paiement de la caution - Ce recours est purement et simplement supprimé, le législateur ayant estimé qu'il était couvert par les mesures conservatoires susceptibles d'être sollicitées par la caution auprès du Juge de l'exécution - Cette suppression ne remet pas en cause la possibilité pour la caution de déclarer sa créance à la procédure collective du débiteur principal, alors même qu'elle n'aurait pas encore payé le créancier	art. 2308 à 2310 C. civ.
	Perte du recours de la caution contre le débiteur principal	• Reprise et précision de la règle selon laquelle la caution perd son recours contre le débiteur principal si elle a payé la dette sans l'en avertir et si celui-ci l'a acquittée ultérieurement ou disposait, au moment du paiement, des moyens de la faire déclarer éteinte. • Sous l'empire du droit antérieur, la perte du recours n'était encourue que si la caution avait payé sans être poursuivie par le créancier. Désormais, il est indifférent qu'elle ait ou non été actionnée en paiement par le créancier. Avant de payer, elle doit systématiquement prévenir le débiteur principal.	art. 2311 C. civ.
	Effets du cautionnement entre les cautions	• Reprise de la règle selon laquelle en cas de pluralité de cautions, celle qui a payé a un recours contre les autres, chacune pour sa part. • Le texte vise expressément le recours personnel et le recours subrogatoire, ce qui met fin à la thèse défendue par certains auteurs qui soutenaient que le domaine de la règle était cantonné au seul recours personnel.	art. 2312 C. civ.
Extinction du cautionnement	Causes d'extinction	• Réaffirmation la règle selon laquelle le cautionnement peut s'éteindre - soit par voie principale, c'est-à-dire pour une cause qui trouve sa source dans les relations entre le créancier et la caution - soit par voie accessoire, du fait de l'extinction de l'obligation principale	art. 2313 C. civ.
	Bénéfice de subrogation	• Reprise et clarification du bénéfice de subrogation, qui constitue une cause spécifique d'extinction de l'obligation de règlement de la caution. • Il est désormais prévu par le texte que si, par sa faute, le créancier a perdu un droit sur lequel la caution pouvait compter dans l'exercice de son recours subrogatoire, celle-ci est déchargée à concurrence du préjudice qu'elle subit • S'agissant des droits dans lesquels la caution aurait dû être subrogée, le texte ne se limite plus à viser l'hypothèque et les privilèges comme c'était le cas sous l'empire du droit antérieur. Est ainsi consacrée la jurisprudence qui avait admis que tous les droits étaient concernés par la règle. • L'ordonnance contredit la jurisprudence en prévoyant que la caution ne peut reprocher au créancier son choix du mode de réalisation d'une sûreté.	art. 2314 C. civ.
	Résiliation du cautionnement à durée indéterminée	• Réaffirmation de la faculté pour la caution de résilier unilatéralement un cautionnement souscrit pour une durée indéterminée, conformément au droit commun des contrats et plus généralement au principe de prohibition des engagements perpétuels	art. 2315 C. civ.
	Extinction de l'obligation de couverture	• L'ordonnance précise l'étendue de la couverture pour les cautionnements de dettes futures, en distinguant l'obligation de couverture de l'obligatoire de règlement. • Pratiquement, le texte prévoit qu'il y a lieu de distinguer selon que la dette future est née antérieurement ou postérieurement à la fin du cautionnement - Les dettes nées antérieurement à l'événement marquant la fin du cautionnement (résiliation, survenance du terme, etc.) demeurent couvertes par le cautionnement, de sorte que pèse toujours sur la caution une obligation de règlement, quand bien même la dette serait exigible postérieurement - Les dettes nées postérieurement à la fin du cautionnement ne sont plus couvertes, de sorte que plus aucune obligation de règlement ne pèse sur la caution. • Afin de déterminer si la dette est couverte par le cautionnement, la date à prendre en compte c'est la date de naissance de la créance et non sa date d'exigibilité.	art. 2316 C. civ.
	Décès de la caution	• Consécration de la jurisprudence en prévoyant que Les héritiers de la caution ne sont tenus que des dettes nées avant le décès. • Autrement dit, le décès de la caution ne met fin, pour ses héritiers, qu'à l'obligation de couverture de la dette. L'obligation de règlement est maintenue.	art. 2317 C. civ.
	Transmission universelle de patrimoine	• L'ordonnance précise le sort du cautionnement en cas de dissolution entraînant la transmission universelle du patrimoine de la personne morale du créancier, du débiteur principal ou de la caution. - S'agissant de la fusion du débiteur principal, elle entraîne l'extinction de l'obligation de couverture de la caution, sauf à ce qu'elle consente à maintenir son engagement au moment de l'opération. - S'agissant de la fusion du créancier, elle entraîne l'extinction de l'obligation de couverture de la caution, sauf à ce qu'elle consente à maintenir son engagement, soit au moment de l'opération, soit par avance. - S'agissant de la fusion de la caution, elle est sans incidence sur le cautionnement.	art. 2318 C. civ.
	Cautionnement du solde d'un compte courant	• S'agissant du cautionnement du solde d'un compte courant ou de dépôt, l'ordonnance prévoit que l'obligation de couverture s'éteint au jour de la fin du cautionnement, de sorte que la caution ne couvre pas les avances consenties postérieurement par l'établissement de crédit créancier au débiteur principal client. . • C'est donc le solde provisoire au moment de l'extinction du cautionnement qui constitue le maximum de ce que la caution peut être condamnée à payer. • Quant à l'obligation de règlement son terme est fixé à 5 ans après la fin du cautionnement.	art. 2319 C. civ.
	Prorogation du terme de l'obligation principale	• Réaffirmation de la règle selon laquelle la prorogation du terme de l'obligation principale ne libère pas la caution. • La faculté pour la caution d'exercer un recours contre le débiteur principal en cas de prorogation du terme est supprimée. • En contrepartie, en conformément au principe de l'accessoire, le texte prévoit que la caution peut se prévaloir de cette prorogation pour refuser de payer le créancier avant l'échéance ainsi reportée. • Par ailleurs, il est rappelé que la caution dispose toujours de la faculté de solliciter la constitution d'une sûreté judiciaire sur tout bien du débiteur à hauteur des sommes garanties, à la condition qu'elle justifie de circonstances susceptibles de menacer le recouvrement de sa créance.	art. 2320 C. civ.

Réforme du droit des sûretés (ordonnance n° 2021-1192 du 15 septembre 2021): vue générale

Le droit des sûretés est l’objet de toutes les attentions chez les juristes depuis la publication de l’ordonnance n° 2021-1192 du 15 septembre 2021 portant réforme du droit des sûretés.

Cette ordonnance a été prise en application l’article 60 de la loi n° 2019-486 du 22 mai 2019 relative à la croissance et la transformation des entreprises.

I) Réforme inachevée du droit des sûretés entreprise par l’ordonnance du 23 mars 2006

L’ordonnance du 15 septembre 2021 s’inscrit dans le droit fil d’une précédente réforme opérée, 15 ans plus tôt, par l’ordonnance n°2006-346 du 23 mars 2006, ratifiée, par suite, par la loi n°2007-212 du 20 février 2007.

Cette ordonnance marqua incontestablement la première évolution majeure que le droit des sûretés ait connue depuis l’adoption du Code civil.

Elle était issue d’un groupe de travail présidé par le professeur Michel Grimaldi institué dans le cadre de la loi n° 2005-842 du 26 juillet 2005 qui avait habilité le gouvernement à réformer le droit des sûretés.

L’objectif affiché par le législateur à l’époque était sensiblement le même que celui visé aujourd’hui par la réforme entreprise par l’ordonnance du 15 septembre 2021.

L’ambition du texte était, en effet, de « moderniser les sûretés afin de les rendre lisibles et efficaces tant pour les acteurs économiques que pour les citoyens tout en préservant l’équilibre des intérêts en présence ».

La réforme avait, en outre, pour finalité d’édicter des règles innovantes qui, d’une part, simplifieraient la constitution des sûretés, élargiraient leur assiette, et faciliteraient leur mode de réalisation, tout en prévoyant, d’autre part, des règles protectrices en faveur de ceux qui ont recours au crédit.

Avec le recul, les auteurs s’accordent à dire que, bien qu’ambitieuse, la réforme entreprise par l’ordonnance n°2006-346 du 23 mars 2006 a laissé un goût d’inachevé. L’intention était bonne, mais le résultat décevant.

Les principaux griefs formulés à l’encontre le texte sont :

D’une part, l’absence de traitement des sûretés personnelles et notamment du cautionnement, alors même qu’elles sont les plus abondamment pratiquée par les opérateurs économiques.
D’autre part, le renoncement à adopter des dispositions qui formeraient le socle d’une théorie générale des sûretés, soit de principes directeurs qui transcenderaient les sûretés personnelles et les sûretés réelles en s’appliquant indistinctement à ces deux catégories de sûretés.
Enfin, le cantonnement de la réforme aux seules sûretés régies par le Code civil, à l’exclusion de celles envisagées par des corpus normatifs spéciaux, tels que le Code de commerce ou le Code de la consommation.

Au bilan, l’objectif poursuivi par l’ordonnance du 23 mars 2006 n’a pas été totalement atteint. Est-ce à dire qu’il s’agit d’un échec ? Sans doute pas. Ce texte a engagé une profonde rénovation du droit des sûretés qui peut difficilement être contestée.

Elle a néanmoins omis de moderniser un certain nombre de règles qui étaient devenues soit obsolètes, soient trop complexes.

Fort de ce constat, le législateur en a tiré la conséquence, 15 ans plus tard, qu’il y avait lieu de parachever la réforme intervenue en 2006.

C’est d’ailleurs là l’un des motifs énoncés par le Rapport au Président de la République relatif à l’ordonnance du 15 septembre 2021 portant réforme du droit des sûretés.

II) Le parachèvement de la réforme de 2006 opéré par l’ordonnance du 15 septembre 2021

Considérant qu’une nouvelle réforme du droit des sûretés était nécessaire, compte tenu des insuffisantes de la réforme entreprise en 2006 dénoncées par la doctrine, la direction des affaires civiles et du sceau du ministère de la justice a confié au professeur Michel Grimaldi, sous l’égide de l’association Henri Capitant, le soin de réunir un groupe de travail, qui a rendu publiques ses propositions en septembre 2017.

Ces propositions ont, ensuite, fait l’objet d’une vaste consultation publique en 2019 qui est venue alimenter la réflexion du législateur.

Il s’en est suivi l’adoption de la loi du 22 mai 2019, dite PACTE, qui, en son article 60, a autorisé le Gouvernement à prendre par voie d’ordonnance, dans un délai de deux ans à compter de son entrée en vigueur, les mesures nécessaires pour simplifier le droit des sûretés et renforcer son efficacité.

L’habilitation ne visait pas moins de 17 points à réformer au nombre desquels figuraient notamment :

La rénovation du droit du cautionnement, afin de rendre son régime plus lisible et d’en améliorer l’efficacité, tout en assurant la protection de la caution personne physique
La simplification des règles relatives aux sûretés mobilières spéciales dans le code civil, le code de commerce et le code monétaire et financier
L’harmonisation des règles de publicité des sûretés mobilières
La modernisation des règles du code civil relatives à la conclusion par voie électronique des actes sous signature privée relatifs à des sûretés réelles ou personnelles afin d’en faciliter l’utilisation
La simplification, la clarification et la modernisation des règles relatives aux sûretés et aux créanciers titulaires de sûretés dans le livre VI du code de commerce, en particulier dans les différentes procédures collectives

Une fois habilité à réformer en profondeur le droit des sûretés, le Gouvernement a élaboré un avant-projet d’ordonnance qu’il a soumis à consultation publique à la fin de l’année 2020.

C’est sur la base de cet avant-projet, nourri par les nombreux commentaires formulés par des professionnels du droit et des opérateurs économiques, que l’ordonnance du 15 septembre 2021 a été adoptée.

III) Les objectifs poursuivis par l’ordonnance du 15 septembre 2021 réformant le droit des sûretés

Comme observé par Dominique Legeais, la réforme entreprise par l’ordonnance du 15 septembre 2021 « est plus ambitieuse que la précédente dans la mesure où, cette fois, toutes les sûretés sont affectées »[1].

Elle est d’autant plus ambitieuse que le législateur en a profité pour moderniser le droit des procédures collectives et plus précisément modifier les dispositions du livre VI du code de commerce relatives aux sûretés et aux créanciers titulaires de sûretés.

À cette fin, a été adopté, le même jour que l’ordonnance portant réforme du droit des sûretés, l’ordonnance n° 2021-1193 du 15 septembre 2021 portant modification du livre VI du code de commerce.

Cette ordonnance vise notamment à améliorer la lisibilité des droits des créanciers titulaires de sûretés en procédure collective et renforcer l’efficacité des sûretés nouvellement consacrées telles que la cession de créance et la cession de sommes d’argent à titre de garantie.

À l’analyse, les deux réformes entreprises par les ordonnances adoptées le 15 septembre 2021 doivent être combinées : celle rénovant le droit des sûretés vient, au fond, irriguer la réforme du droit des procédures collectives.

Si l’on se focalise spécifiquement sur l’ordonnance réformant le droit des sûretés, elle poursuit trois finalités principales :

==> Première finalité : renforcer la sécurité juridique

Le premier objectif poursuivi par l’ordonnance du 15 septembre 2021 est donc de renforcer la sécurité juridique en rendant plus lisible et plus accessible le droit des sûretés.

À cette fin, trois axes ont été retenus par le législateur :

Réécriture des dispositions issues du Code civil de 1804
- Certaines dispositions régissant le droit des sûretés n’ont jamais été modifiées depuis l’adoption du Code civil en 1804.
- Tel que relevé par le Rapport au Président de la République, non seulement, ces dispositions ne rendent plus compte du droit positif, mais encore leur style rédactionnel – désuet – est de nature à nuire à la compréhension des règles par les citoyens et les agents de la vie économique et notamment les opérateurs étrangers.
- Pour remédier à cette situation, l’ordonnance procède à une réécriture d’un certain nombre de dispositions en recourant à un « style de vocabulaire plus adapté».

Précisions de certaines notions juridiques
- L’ordonnance du 15 septembre 2021 est venue préciser plusieurs notions et règles juridiques existantes afin de clarifier, voire unifier leur régime.
- À cet égard, l’une des principales innovations de la réforme qui marquera le juriste est d’avoir mis fin à l’éparpillement de certaines dispositions régissant le cautionnement (obligation d’information, mention manuscrite, principe de proportionnalité) entre notamment le Code de commerce, le Code monétaire et financier et des lois non codifiées, en les regroupant dans un seul et même corpus normatif : le Code civil.
- Dans un autre registre, on peut également relever le toilettage des règles relatives aux privilèges mobiliers, ce qui s’est notamment traduit par l’inscription dans le code civil de l’affirmation de l’existence d’un droit de préférence et de l’absence de droit de suite.

Codification et clarification de certaines solutions jurisprudentielles
- Les codifications
  - L’ordonnance du 15 septembre 2021 a répondu aux attentes de la doctrine qui réclamait la codification de certains principes désormais bien établis en jurisprudence.
  - Ainsi, le devoir de mise en garde en matière de cautionnement, le classement du droit de préférence du créancier gagiste ou l’absence de droit de rétention en matière de nantissement de bien incorporel sont intégrés dans le code civil.
- Les clarifications
  - Le législateur ne s’est pas cantonné à retranscrire les solutions jurisprudentielles en vigueur.
  - Il a également saisi l’occasion de la réforme pour mettre un terme à certaines d’entre elles, considérant qu’elles pouvaient être source d’insécurité juridique.
  - L’ordonnance consacre ainsi – et c’est là une innovation majeure – la possibilité pour la caution d’opposer toutes les exceptions appartenant au débiteur principal, qu’elles soient inhérentes à la dette ou personnelles au débiteur.

==> Deuxième finalité : renforcer l’efficacité des sûretés

L’ordonnance du 15 septembre 2021 vise à renforcer « l’efficacité du droit des sûretés, tout en maintenant un niveau de protection satisfaisant des constituants et des garants. »

Tant les sûretés personnelles que les sûretés réelles sont comprises dans cet objectif :

S’agissant des sûretés personnelles
- C’est le cautionnement qui, pour l’essentiel, a retenu l’attention du législateur.
- Ainsi que le relève un auteur « c’est même l’une des pièces maîtresses de la réforme du droit des sûretés entreprise»[2].
- À cet égard, la Gouvernement a été autorisé à réformer le droit du cautionnement « afin de rendre son régime plus lisible et d’en améliorer l’efficacité, tout en assurant la protection de la caution personne physique».
- Le cautionnement était le grand oublié de la réforme de 2006.
- L’ordonnance du 15 septembre 2021 remédie à cette anomalie en réformant son régime en profondeur.
- Tout d’abord, les dispositions régissant le cautionnement, qui étaient éparpillées entre plusieurs corpus normatifs (Code de la consommation, Code monétaire et financier, textes de loi non codifiées) sont rassemblées au sein du Code civil.
- Ensuite, le législateur a cherché à rééquilibrer le rapport existant entre le créancier et la caution.
- Si la disproportion du cautionnement n’est désormais plus sanctionnée par la déchéance totale de la garantie, la protection des garants n’en est pas moins maintenue par le jeu, notamment de l’exigence de la mention manuscrite qui est maintenue.
- Enfin, le devoir de mise en garde qui avait été mis à la charge des créanciers professionnels par la jurisprudence devient une règle légale insérée dans le Code civil.

S’agissant des sûretés réelles
- À l’instar du cautionnement, les sûretés font également l’objet d’un renforcement de leur efficacité.
- Ainsi, est-il désormais admis qu’un gage puisse porter sur des immeubles par destination, ce qui n’était pas permis sous l’empire du droit antérieur, alors même qu’il s’agit là de biens présentant une valeur économique et, à ce titre, susceptible de constituer l’assiette d’une garantie.
- Il peut également être observé qu’une hypothèque peut désormais être constituée sur un bien futur.
- Toujours dans un objectif de renforcement de l’efficacité des sûretés, l’ordonnance du 15 février 2021 assouplit le formalisme de constitution de la fiducie sûreté.
- Elle lève également la sanction de la nullité en cas de défaut d’inscription du nantissement de fonds de commerce dans le délai préfix requis.

==> Troisième finalité : renforcer l’attractivité du droit français

Le renforcement de l’attractivité du droit français, notamment sur le plan économique, constitue le troisième objectif poursuivi par la réforme entreprise par l’ordonnance du 15 septembre 2021.

Pour ce faire, elle autorise notamment la dématérialisation de l’ensemble des sûretés, qui, sous l’empire du droit antérieur, n’était possible que pour les sûretés constituées par une personne pour les besoins de sa profession.

Comme indiqué par le Rapport au Président de la République, « lever ce frein, injustifié à l’ère du numérique, est indispensable pour inciter les opérateurs économiques internationaux à utiliser le droit français.»

La prohibition posée par l’article 1175 du Code civil est donc abolie.

IV) Date d’entrée en vigueur de la réforme

==> Principe

L’article 37 de l’ordonnance du 15 septembre 2021 prévoit que ses dispositions entrent en vigueur à compter du 1^er janvier 2022.

La raison de cette application différée du texte, tient à la volonté du législateur de laisser aux opérateurs économiques le temps de se mettre en conformité avec le droit nouveau.

À cet égard, le texte précise que:

D’une part, les cautionnements conclus avant cette date demeurent soumis à la loi ancienne, y compris pour leurs effets légaux et pour les dispositions d’ordre public.
D’autre part, les privilèges immobiliers spéciaux nés avant l’entrée en vigueur de l’ordonnance sont pour l’avenir assimilés à des hypothèques légales, sans préjudice le cas échéant de la rétroactivité de leur rang. Ceux qui n’ont pas fait l’objet des formalités de publicité foncière à la date d’entrée en vigueur de l’ordonnance seront inscrits au fichier immobilier selon les dispositions applicables avant cette date.

==> Exceptions

Exception au principe de survie de la loi ancienne pour certaines dispositions
- L’ordonnance prévoit une exception au principe de survie de la loi ancienne pour les obligations d’information (information annuelle, information sur la défaillance du débiteur principal, information de la sous-caution) qui s’appliqueront immédiatement le 1er janvier 2022 aux cautionnements et sûretés réelles pour autrui constituées avant l’entrée en vigueur de l’ordonnance.

Entrée en vigueur subordonnée à l’adoption de décret pris au plus tard le 1^er janvier 2023
- La date d’entrée en vigueur des dispositions relatives au registre des sûretés mobilières et au gage automobile, lesquelles requièrent à la fois des mesures réglementaires d’application et des développements informatiques, sera fixée par décret, sans pouvoir être postérieure au 1er janvier 2023.

[1] D. Legeais, Droit des sûretés et garanties du crédit, éd. LGDJ, 2021, n°17, p. 27.

[2] D. Legeais, « La réforme du cautionnement », JCP E, n°43-44, 18 oct. 2021, 1474.

Assurance de dommages : le cumul d’assurances

Principe indemnitaire. Le contrat d’assurance a pour objet de garantir à l’assuré, en cas de réalisation du risque couvert, la compensation économique du dommage éprouvé. En toute hypothèse, le principe indemnitaire interdit à l’assureur de servir une prestation qui dépasserait le montant de la valeur de la chose assuré au moment du sinistre (C. assur., art. L. 121-1, al. 1er). Le bénéficiaire de l’assurance ne saurait être replacé dans une situation meilleure que celle qui aurait été la sienne si le sinistre ne s’était pas produit. Le texte est d’ordre public. Autrement dit, la valeur assurée ne peut en aucun cas être supérieur à la valeur assurable. Aucune clause de la police ne peut y faire obstacle. Une solution inverse inciterait l’assuré à l’imprudence, voire le conduirait à provoquer le dommage. L’article L. 121-1 C. assur. prohibe l’assurance-risque et la spéculation (voy. l’article : “L’intérêt d’assurance : Notion et fonctions”). Au vrai, la pratique des franchises et des plafonds atteste que l’assureur accepte rarement de couvrir la valeur totale du préjudice souffert. Quant à l’assuré, qui est libre – sauf cas d’assurance obligatoire – de souscrire un contrat d’assurance, il est en droit de ne faire garantir par l’assureur qu’un capital inférieur au montant du dommage susceptible de le frapper. Il est alors en situation dite de sous-assurance (terme issu de la pratique).

Excès d’assurance. Si la valeur assurée se révélait supérieure à la valeur assurable, l’assurance serait dite excessive. Dans le langage courant des assurances, on parle de surassurance (terme générique).

L’excès d’assurance peut résulter de la souscription d’un unique contrat pour une somme supérieure à la valeur du sinistre possible. C’est ce que l’on appelle, la surassurance simple (v. article « Assurance de dommages : la surassurance simple). Il peut également être provoqué par la souscription au profit d’un même assuré de plusieurs contrats garantissant le même risque. C’est ce que l’on appelle les assurances cumulatives.

Cumul d’assurances. Il y a cumul d’assurances, au sens de l’article L. 121-4, al. 1er, C. assur., dès lors qu’une personne est assurée « auprès de plusieurs assureurs, par plusieurs polices, pour un même intérêt et contre un même risque ».

Un pareil cumul résulte, dans la plupart des cas (sauf le cas de figure de l’assuré qui souscrit une assurance pour le même objet auprès de plusieurs assureurs qui garantissent chacun une fraction de la valeur dudit objet) d’un excès d’assurance susceptible de porter atteinte au principe indemnitaire pour peu que le souscripteur entende tirer profit simultanément de l’ensemble des contrats conclus. Obtenant plusieurs indemnisations à l’occasion de la survenance d’un dommage unique, l’intéressé serait injustement enrichi.

Division. Les critères du cumul d’assurances (1). Le régime du cumul d’assurances (2)

1.- Les critères du cumul d’assurances

Pluralité de polices et d’assureurs. L’article L. 121-4 C. assur. pose la condition d’une multiplicité de polices. On ne saurait parler de cumul sans que plusieurs assurances n’aient été souscrites. La loi conditionne également la nullité de la garantie à la multiplicité des assureurs. Pour cause : si les polices, dont les garanties se recoupent, sont stipulées auprès d’un seul assureur, le risque de cumul est des plus hypothétiques. Avisé de l’ensemble des garanties souscrites, l’assureur refusera de les faire jouer au-delà du montant des dommages effectivement soufferts par l’assuré. La situation est comparable à celle qui résulte d’une assurance simple. En l’occurrence, c’est bien plutôt l’article L. 121-3 C. assur. qui doit recevoir application (régime de la surassurance).

Excès d’assurance. L’article L. 121-4 C. assur. n’envisage pas expressément l’excès d’assurance au nombre des critères de l’assurance cumulative. Pourtant, il va sans dire que le régime du cumul est subordonné à cette condition. La somme des indemnités que chacun des assureurs est susceptible de verser doit excéder le montant du dommage possible. Pour mémoire, la réglementation du cumul entend empêcher la violation du principe indemnitaire (v. supra).

L’excès d’assurance permet de distinguer les assurances cumulatives d’autres formes d’assurances multiples. Ainsi, lorsque plusieurs assureurs couvrent ensemble un même risque, ce que l’on appelle la coassurance, chacun garantit une fraction déterminée du sinistre. Intégralement indemnisé, mais sans enrichissement indu ; le principe indemnitaire est sauf. Il en va de même en cas d’assurances dites par lignes, dans lesquelles chacun des assureurs prend en charge un même risque mais ne couvre qu’une tranche déterminée du dommage. Le premier assureur couvre la 1ère tranche du sinistre jusqu’à un certain montant, et le second n’intervient qu’à la condition que le coût du sinistre dépasse le plafond fixé par le 1er contrat.

Simultanéité des garanties. L’excès d’assurances suppose nécessairement l’existence d’un cumul d’assurances. Si l’un des contrats est suspendu (C. assur., art. L. 113-3, al. 2) ou résilié (C. assur., art. L. 113-3, al. 3), le risque d’enrichissement de l’assuré est forcément exclu. Il ne saurait y avoir d’atteinte portée au principe indemnitaire.

Identité de risque. Le cumul d’assurances suppose que les différentes assurances en présence aient pour objet la couverture d’un même risque. C’est l’exemple du chef de famille qui souscrit auprès de plusieurs assureurs, par des contrats distincts, une garantie responsabilité civile pour les dommages causés par ses enfants dans le cadre d’activités de loisir (v. C. assur., art. L. 121-2). Bien souvent, ce risque est garanti par au moins trois contrats souscrits auprès d’assureurs différents : assurance multirisques habitation ou vie privée, assurance scolaire et extrascolaire, assurance de l’activité sportive ou de loisirs concernée. C’est encore l’exemple de l’assurance de responsabilité civile individuelle souscrite par un chasseur et l’assurance de responsabilité civile souscrite par une société de chasse au profit de ses membres.

À noter qu’en l’absence d’identité de risque, les assurances ne sont pas cumulatives, mais alternatives.

Identité d’intérêt. L’identité d’intérêt est une condition expresse d’existence du cumul d’assurances. Dispose d’un tel intérêt, la personne dont le patrimoine est susceptible d’être atteint par la réalisation du risque garanti et qui est susceptible de recueillir l’indemnité due par l’assureur en cas de sinistre.

Identité de souscripteur. L’identité de souscripteur est une condition distincte et autonome de l’identité d’intérêt. Dans sa rédaction antérieure à la loi du 13 juillet 1982, l’article L. 121-4 C. assur. visait « celui qui s’assure », non pas celui qui est assuré. En droit québécois, l’article 2496 C.civ. dispose que « celui qui, sans fraude, est assuré auprès de plusieurs assureurs, par plusieurs polices, pour un même intérêt et contre un même risque, de telle sorte que le calcul des indemnités qui résulterait de leur exécution indépendante dépasse le montant du préjudice subi, peut se faire indemniser par le ou les assureurs de son choix n’étant tenu que pour le montant auquel il s’est engagé ». Interprété à la lettre, le texte faisait de l’identité du souscripteur une condition d’existence du cumul. La jurisprudence retenait cependant le cumul d’une assurance pour compte et d’une assurance de chose prises contre un même risque et dans l’intérêt d’un unique assuré par deux souscripteurs différents (v. par ex. les comm. sous c.assur. Litec, art. L. 121-3). L’exemple type est celui du transporteur de marchandises qui souscrit, en sus de sa propre assurance de responsabilité, une assurance de biens pour le compte du propriétaire de marchandises, lequel a bien souvent souscrit une assurance pour garantir la perte éventuelle de ses marchandises. Dans sa rédaction actuelle, l’article précité mentionne « celui qui est assuré auprès de plusieurs assureurs ». Par ce changement de formulation, le législateur entendait viser les assurances pour compte et prendre acte de la jurisprudence développée sous l’empire de l’ancien texte. Pourtant, la Cour de cassation affirme depuis lors que les dispositions de l’article L. 121-4 c.assur. ne sont applicables que si un même souscripteur a souscrit auprès de plusieurs assureurs des contrats d’assurance pour un même intérêt et contre un même risque (Cass. 1ère civ., 21 nov. 2000, Bull. civ. I, n° 292, Resp. civ. et assur. 2001, comm. 63 et note 5, H. Groutel – 29 oct. 2002, Bull. civ. I, n° 242, Resp. civ. et assur. 2003, comm.. 57, note H. Groutel – 17 févr. 2005, Resp. civ. et assur. 2005, comm.. 171, note H. Groutel). Exit toute possibilité de cumul entre assurance pour compte et assurance de chose. De ce point de vue, on peut légitimement regretter le risque d’enrichissement du propriétaire encouru, du reste, en raison d’une interprétation extra legem (voire contra legem) de l’article L. 121-4 C. assur. (« celui qui est assuré auprès de plusieurs assureurs (…) »).

2.- Le régime du cumul d’assurances

Obligation de déclaration. L’article L. 121-4, al. 1er, c.assur. oblige l’assuré en situation de cumul d’assurances à « donner immédiatement à chaque assureur connaissance des autres assureurs ». L’assuré doit donc déclarer ses assurances cumulatives multiples, et ce dès la souscription du second contrat, qui fait naître le cumul ou bien dès que le tiers assuré aura pris connaissance de l’existence d’une deuxième assurance souscrite à son profit. Une pareille déclaration a pour objet de prévenir toute atteinte au principe indemnitaire. À certains égards, il va de l’intérêt de l’assuré qui se dispensera du paiement d’une prime excessive (faculté de demander au surplus une réduction proportionnelle des assurances). La loi et les tribunaux n’imposent aucune forme particulière. L’article L. 121-4, al. 2, C.assur. se contente, dans une formule lapidaire, d’exiger que l’assuré, lors de cette communication, fasse connaître le nom de l’assureur avec lequel une autre assurance a été contractée et qu’il indique la somme assurée. Pour des raisons évidentes de preuve, ladite communication doit être adressée par lettre recommandée avec demande d’avis de réception.

En pratique, l’efficacité de cette obligation de déclaration est douteuse : l’omission est fréquente. Tantôt, les assurés ignorent être bénéficiaires d’assurances cumulatives, tantôt les assurés ignorent l’existence de cette obligation. Du reste, l’omission n’est pas sanctionnée. L’assuré n’est pas constitué en faute ; la loi n’édicte à son encontre aucune présomption de mauvaise foi. Mais, en toutes hypothèses, les assurances cumulatives frauduleuses seront sanctionnées.

Assurances cumulatives frauduleuses. Quand plusieurs assurances contre un même risque sont contractées de manière dolosive ou frauduleuse, la nullité est encourue (c.assur., art. L. 121-4, al. 3). En outre, des dommages et intérêts peuvent être réclamés (c.assur., art. L. 121-3, al. 1, in fine).

La fraude consiste pour l’assuré à souscrire plusieurs contrats d’assurance avec l’intention, en cas de réalisation du risque garanti, de percevoir une pluralité d’indemnités. Conformément au droit de la preuve, il appartient à l’assureur de rapporter les faits nécessaires au succès de sa prétention (C. proc. civ., art. 9). Autrement dit, l’assureur doit prouver la mauvaise foi de l’assuré ; la chose est peu aisée. On sait pourtant combien « la preuve est la rançon des droits ». L’absence de déclaration de cumul ne constitue pas ipso facto l’assuré en faute. En pratique, la fraude apparaîtra à l’occasion de la réalisation du risque, lorsque l’assuré, ayant déclaré le sinistre à plusieurs assureurs, tentera de percevoir des indemnités dont le montant cumulé dépasse la valeur du dommage subi.

Conformément au droit commun, le domaine de la nullité est circonscrit. L’article L. 121-4 c.assur. suppose une fraude commise au moment de la conclusion du contrat. La preuve est diabolique : il est fréquent que les éléments de preuve dont dispose l’assureur établissent l’intention malhonnête de l’assuré une fois seulement le sinistre réalisé, et non au jour de la souscription des polices. Du reste, il est possible que l’intention frauduleuse ne naisse dans l’esprit de l’assuré qu’au jour de la réalisation du sinistre, lequel succombe à la tentation de percevoir une indemnité double voire triple, alors qu’il avait souscrit les différents contrats en toute bonne foi. Un dicton : l’occasion fait le larron ! Dans cette hypothèse, c’est la déchéance pour exagération frauduleuse des conséquences du sinistre qu’il convient de faire jouer et non pas la sanction de l’article L. 121-4 c.assur. La déchéance n’étant toutefois pas, à proprement parler, une sanction légale mais conventionnelle, une clause spéciale de la police d’assurance doit encore l’avoir prévue (c.assur., art. L. 112-4).

La sanction de la fraude est la nullité de l’ensemble des assurances cumulatives frauduleusement contractées (c.assur., art. L. 121-4, al. 3). On aura garde de noter que contre la lettre de la loi (c.assur., art. L. 112-4), la jurisprudence décide qu’il est indifférent que la police n’ait pas prévu cette sanction (Cass. 1ère civ., 9 nov. 1981, D. 1983, p. 303, note Cl. Berr et H. Groutel). La sanction est lourde : l’assuré est privé de toute garantie. Le cas échéant, il doit restituer les indemnités perçues à l’occasion d’un précédent sinistre. Le droit à des dommages et intérêts fonde l’assureur à conserver les indemnités perçues en vertu du contrat annulé.

Assurances cumulatives non frauduleuses (ou faute de preuve de l’intention dolosive). Les assurances cumulatives, dont le caractère frauduleux n’est pas avéré, sont valables (c.assur., art. L. 121-4, al. 4). « Le bénéficiaire du contrat peut obtenir l’indemnisation de ses dommages en s’adressant à l’assureur de son choix ». La loi dispose que l’assuré, qui donne avis à l’assureur d’un sinistre de nature à entraîner la garantie de son assureur ( c.assur., art. L. 113-2, 4°), oblige ce dernier à la dette d’indemnité. Autrement dit, l’assureur ne peut pas refuser de payer en opposant à son assuré l’existence des autres contrats. Toute clause, qui subordonnerait la mise en œuvre du contrat qui la contient à l’absence, l’insuffisance ou la défaillance d’une autre assurance, est prohibée (Cass. 1ère civ. 16 juin 1987, Bull. civ. I, n° 193). L’assuré n’est plus obligé de diviser ses poursuites (ce qui était le cas avant la loi du 13 juill. 1982) et d’assigner l’ensemble des assureurs pour obtenir l’indemnisation totale à laquelle il a droit. Par ailleurs, il ne s’agirait pas que l’assuré espérât s’enrichir. Si le cumul ne doit pas lui nuire, il ne doit pas non plus lui profiter. La loi dispose que l’indemnité due par l’assureur à l’assuré ne doit excéder le montant de la garantie promise ni ne doit dépasser le montant de la valeur de la chose assurée au moment du sinistre (C. assur., art. L. 121-1, al. 1 sur renvoi art. L. 121-4, al. 4). En pratique, l’assuré de bonne foi réclame une indemnisation à celui des assureurs qui lui offre la garantie la plus complète. S’il s’avérait que la garantie était insuffisante, il lui serait loisible de se tourner vers un autre assureur de son choix aux fins d’indemnisation complémentaire, dans la limite bien entendu de la valeur déclarée de la chose. Une fois les prestations indemnitaires servies, l’assureur solvens peut se prévaloir de l’existence des autres polices pour ne pas souffrir seul la charge finale de l’indemnisation (c.assur., art. L. 121-4, al. 5). Les recours en contribution étant relativement coûteux, il existe des conventions entre assureurs qui les écartent.

Assurance de dommages Assurance risque Assurances cumulatives Assurances multiples Assurances par lignes Assureur avocat Coassurance Cumul Cumul d'assurances Excès d'assurance fraude garanties intérêt magistrat nullité Obligation de déclaration Pluralité de polices Principe indemnitaire risque Spéculation Surassurance Valeur assurable Valeur assurée

La mise en oeuvre des mesures conservatoires

Lorsque le créancier aura obtenu l’autorisation du Juge ou qu’il sera muni de l’un des titres visés à l’article L. 511-2 du CPCE, il pourra mandater un huissier de justice aux fins de faire pratiquer une mesure conservatoire sur le patrimoine de son débiteur.

Reste que pour que la mesure conservatoire soit efficace, un certain nombre de diligences doivent être accomplies par l’huissier instrumentaire, faute de quoi la mesure sera frappée de caducité.

I) Les phases de mise en œuvre des mesures conservatoires

En substance, la mise en œuvre d’une mesure conservatoire comporte quatre phases bien distinctes :

Première étape
- L’huissier mandaté par le créancier doit procéder
  - Soit à la réalisation de l’acte de saisie
  - Soit à l’accomplissement des formalités d’inscription de la sûreté

Deuxième étape
- La mesure conservatoire pratiquée par l’huissier de justice doit être dénoncée au débiteur si elle n’a pas été effectuée entre ses mains

Troisième étape
- En l’absence de titre exécutoire, le créancier poursuivant devra engager une procédure aux fins d’en obtenir un

Quatrième étape
- Lorsqu’un titre exécutoire aura été obtenu ou que la décision dont était en possession le créancier sera passée en force de chose jugée, la mesure conservatoire pratiquée pourra être convertie en mesure d’exécution forcée

II) Les délais de mise en œuvre des mesures conservatoires

Les quatre phases décrites ci-dessus sont enfermées dans des brefs délais, dont le non-respect est sanctionné par la caducité de la mesure conservatoire prise.

==> L’exécution de la mesure conservatoire dans un délai de trois mois

L’article R. 511-6 du CPCE prévoit que « l’autorisation du juge est caduque si la mesure conservatoire n’a pas été exécutée dans un délai de trois mois à compter de l’ordonnance. »

Ainsi, en cas d’inertie du créancier au-delà du délai de trois mois, l’ordonnance rendue par le Juge saisi est frappée de caducité.

Ce délai court à compter du prononcé de la décision du Juge et non de sa signification, laquelle n’a pas besoin d’intervenir dès lors que l’ordonnance est exécutoire sur minute.

À cet égard, l’article 640 du Code de procédure civile prévoit que « lorsqu’un acte ou une formalité doit être accompli avant l’expiration d’un délai, celui-ci a pour origine la date de l’acte, de l’événement, de la décision ou de la notification qui le fait courir. »

Il peut, par ailleurs, être observé que si la mesure conservatoire initiée en exécution de l’ordonnance est devenue caduque, ladite ordonnance ne peut, en aucun cas, servir de fondement pour pratiquer une nouvelle mesure conservatoire, quand bien même le délai de trois mois n’aurait pas expiré. (V. en ce sens CA Paris, 22 oct. 1999).

S’agissant, enfin, du coût de la mesure, l’article L. 512-2 du CPCE prévoit que « les frais occasionnés par une mesure conservatoire sont à la charge du débiteur, sauf décision contraire du juge. »

==> La dénonciation de la mesure conservatoire pratiquée entre les mains d’un tiers dans un délai de huit jours

Lorsque la mesure conservatoire est pratiquée entre les mains d’un tiers, il échoit au créancier de dénoncer cette mesure dans un délai de huit jours au débiteur à qui l’acte constatant la mesure conservatoire et, le cas échéant, l’ordonnance, doivent être communiquées.

Lorsque, en revanche, la mesure est accomplie directement entre les mains du débiteur, cette dénonciation est inutile puisqu’elle vise à informer le débiteur, d’une part, sur le contenu de l’ordonnance et, d’autre part, sur la réalisation de la mesure.

En cas d’inobservation de ce délai de huit jours pour dénoncer la mesure conservatoire au débiteur, elle est frappée de caducité.

==> L’engagement d’une procédure ou l’accomplissement de formalités en vue de l’obtention d’un titre exécutoire dans le délai d’un mois

Principe général
- L’article R. 511-7 du CPCE prévoit que si ce n’est dans le cas où la mesure conservatoire a été pratiquée avec un titre exécutoire, le créancier, dans le mois qui suit l’exécution de la mesure, à peine de caducité, introduit une procédure ou accomplit les formalités nécessaires à l’obtention d’un titre exécutoire.
- Ainsi, si le créancier ne possède pas de titre exécutoire lors la réalisation de la mesure conservatoire, il lui appartient d’entreprendre toutes les démarches utiles aux fins d’en obtenir un.
- La formule « accomplir les formalités nécessaires» vise le cas où un jugement a déjà été rendu mais n’a pas encore le caractère exécutoire.
- Il suffira alors d’attendre l’écoulement du délai de la voie de recours suspensive et de solliciter un certificat de non-appel.
- La formule vise encore toutes les procédures précontentieuses préalables, mais obligatoires, aux fins d’obtenir un titre exécutoire.
- En tout état de cause, le créancier dispose, pour ce faire, d’un délai d’un mois.
- La procédure sera réputée engagée, dès lors que l’acte introductif d’instance aura été signifié avant l’expiration de ce délai d’un mois
- L’examen de la jurisprudence révèle qu’il est indifférent que la procédure engagée soit introduite au fond ou en référé
- Dans un arrêt remarqué du 3 avril 2003, la Cour de cassation a encore considéré qu’en délivrant une assignation, même devant une juridiction incompétente, dans le délai d’un mois, le créancier satisfait à l’exigence de l’article R. 511-7 du CPCE ( 2^e civ. 3 avr. 2003).
- Cette incompétence ne constituera, en conséquence, pas un obstacle à la délivrance d’une nouvelle assignation au-delà du délai d’un mois, dès lors que l’action se poursuit et que le lien d’instance entre les parties n’a jamais été interrompu

L’ordonnance portant injonction de payer
- L’article R. 511-7 du CPCE prévoit que « en cas de rejet d’une requête en injonction de payer présentée dans le délai imparti au précédent alinéa, le juge du fond peut encore être valablement saisi dans le mois qui suit l’ordonnance de rejet. »
- Ainsi, le délai d’un mois est, en quelque sorte, prorogé par l’ordonnance de rejet, à la condition néanmoins qu’une instance au fond soit introduite consécutivement au rejet.
- Dans un arrêt du 5 juillet 2005, la Cour de cassation a estimé qu’une assignation en référé ne permettait pas de proroger le délai d’un mois ( 2^e civ. 5 juill. 2005).

==> La dénonciation des diligences accomplies en vue de l’obtention d’un titre exécutoire dans un délai de huit jours

L’article R. 511-8 du CPCE dispose que lorsque la mesure est pratiquée entre les mains d’un tiers, le créancier signifie à ce dernier une copie des actes attestant les diligences requises par l’article R. 511-7, dans un délai de huit jours à compter de leur date.

En cas d’inobservation de ce délai de huit jours pour dénoncer la mesure conservatoire au tiers entre les mains duquel la mesure est pratiquée, elle est frappée de caducité.

Dans un arrêt du 30 janvier 2002, la Cour de cassation a néanmoins estimé que l’article R. 511-8 n’avait pas lieu de s’appliquer lorsque les diligences requises ont été effectuées avant la réalisation de la mesure conservatoire (Cass. 2^e civ. 30 janv. 2002).

Tel sera notamment le cas lorsque le créancier a fait signifier une décision qui n’est pas encore passée en force de chose jugée et qu’il n’a pas reçu le certificat de non-appel sollicité auprès du greffe de la Cour.

Dans l’hypothèse où il ferait pratiquer une mesure conservatoire, il ne disposerait alors d’aucun acte à dénoncer au tiers entre les mains duquel la mesure est réalisée.

Dans un arrêt du 15 janvier 2009, la Cour de cassation a néanmoins précisé que, en cas de concomitance, de la réalisation de la mesure conservatoire et de l’accomplissement de diligences en vue de l’obtention d’un titre exécutoire, ces dernières doivent être dénoncées au tiers dans le délai de 8 jours, conformément à l’article R. 511-8 du CPCE (Cass. 2^e civ. 15 janv. 2009).

III) La conversion des mesures conservatoires

Lorsqu’un titre exécutoire constatant une créance certaine, liquide et exigible aura été obtenu par le créancier poursuivant, la mesure conservatoire pratique pourra faire l’objet d’une conversion.

Autrement dit, elle pourra être transformée :

Soit en mesure d’exécution forcée
Soit en sûreté définitive

Reste que le régime juridique de cette conversion est sensiblement différent selon que la mesure conservatoire initialement pratiquée consiste en une saisie conservatoire ou en l’inscription d’une sûreté judiciaire.

==> S’agissant des saisies conservatoires

Pour opérer la conversion d’une saisie conservatoire en saisie définitive, il n’est besoin, pour le créancier, que d’obtenir un titre exécutoire au sens de l’article L. 111-3 du CPCE.

Aussi, cette conversion peut-elle être pratiquée alors que la décision obtenue n’est pas passée en force de chose jugée. Elle devra, néanmoins, être assortie de l’exécution provisoire.

La conversation s’opérera alors au moyen de la signification d’un acte de conversion signifié au tiers saisi et dénoncé au débiteur.

Aucun délai n’est prescrit pour procéder à cette conversion une fois le titre exécutoire obtenu.

==> S’agissant des sûretés judiciaires

Pour convertir une sûreté judiciaire en sûreté définitive, l’article R. 533-4 du CPCE exige que le créancier obtienne une décision passée en force de chose jugée.

Ainsi, l’obtention d’un titre exécutoire au sens de l’article L. 111-3 du CPCE n’est pas suffisante. La décision obtenue doit ne plus être soumise à une voie de recours suspensif ni être assorti d’un délai de grâce.

Quant à la réalisation de la conversation, elle se fait au moyen d’une publicité définitive propre à chacune des sûretés susceptibles d’être constituée à titre conservatoire.

Les formalités doivent être accomplies auprès de l’organe qui a reçu la publicité provisoire.

Surtout, l’article R. 533-4 du CPCE prévoit que la publicité définitive est effectuée dans un délai de deux mois courant selon le cas :

Du jour où le titre constatant les droits du créancier est passé en force de chose jugée ;
Si la procédure a été mise en œuvre avec un titre exécutoire, du jour de l’expiration du délai d’un mois mentionné à l’article R. 532-6
- Si une demande de mainlevée a été formée, du jour de la décision rejetant cette contestation
- Si le titre n’était exécutoire qu’à titre provisoire, le délai court comme il est dit au 1° ;

Si le caractère exécutoire du titre est subordonné à une procédure d’exequatur, du jour où la décision qui l’accorde est passée en force de chose jugée.

acte appel autorisation avocat conversion délai dénonciation exécution formalités garanties gratuit huissier injonction de payer inscription jex juge juge de l'exécution mesures conservatoires modèle notaire obtention d'un titre exécutoire ordonnance procédure publicité saisie conservatoire sûreté judiciaire titre exécutoire

RGPD: La sous-traitance (notion, conditions, obligations)

La question de la sous-traitance des traitements de données à caractère personnel a été introduite à l’article 35 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés lors de la transposition de la directive 95/46/CE du 24 octobre 1995 par la loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

==> La loi informatique et libertés

L’article 35 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés prévoyait que les données personnelles ne peuvent faire l’objet d’un traitement par un sous-traitant que « sur instruction du responsable du traitement ».

Plusieurs garanties étaient prévues pour encadrer ces opérations :

Le sous-traitant doit présenter des « garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité » ;
Le contrat entre le sous-traitant et le responsable du traitement doit indiquer les obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et que celui-ci ne peut agir que sur instruction du responsable du traitement ;
En tout état de cause, les garanties offertes par le sous-traitant ne déchargent pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

==> Le RGPD

Le règlement 2016/679 du 27 avril 2016 a eu pour conséquence d’étendre le champ des obligations applicables aux sous-traitants.

Son chapitre IV fixe un ensemble d’obligations aussi bien aux responsables de traitements qu’aux sous-traitants susceptibles d’intervenir dans les opérations de traitement :

La mise en œuvre de mesures techniques et organisationnelles appropriées de nature à démontrer que le traitement respecte le règlement et la protection des droits de la personne concernée, par exemple à travers l’application d’un code de conduite ou d’un mécanisme de certification approuvés (articles 24 et 28) ;
La tenue d’un registre des activités de traitement effectuées, selon le cas, sous leur responsabilité ou pour le compte du responsable du traitement (87) (article 30) ;
La coopération avec l’autorité de contrôle (article 31) ;
La mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (88), par exemple à travers l’application d’un code de conduite ou d’un mécanisme de certification approuvés (article 32) ;
La notification, selon le cas, à l’autorité de contrôle ou au responsable de traitement de toute violation de données à caractère personnel (article 33) ;
La désignation d’un délégué à la protection des données dès lors que le sous-traitant entre dans le champ des organismes pour lesquels cette désignation est obligatoire (article 37).

L’article 28 prévoit des obligations spécifiques pour les sous-traitants :

En premier lieu, il s’agit de l’obligation de recueillir l’autorisation écrite préalable du responsable du traitement pour le recrutement d’un autre sous-traitant.
En second lieu, le contrat liant le responsable du traitement au sous-traitant doit comporter un certain nombre de garanties.

Afin, de savoir si un opérateur qui manipule des données à caractère personnel est soumis à ces obligations, il convient de déterminer s’il endosse le statut de responsable du traitement ou de sous-traitant.

I) Définitions

A) La notion de responsable du traitement

Selon le groupe de l’article 29 la notion de responsable du traitement des données et son interaction avec la notion de sous-traitant des données jouent un rôle central dans l’application du RGPD, car elles déterminent la ou les personnes chargées de faire respecter les règles en matière de protection des données et la manière dont les personnes concernées peuvent exercer leurs droits dans la pratique.

Ainsi, en présence d’un traitement de données à caractère personnel il convient de déterminer le responsable à qui il échoit de respecter les règles de protection des droits et libertés et de supporter d’éventuelles sanctions administratives, civiles voire pénales.

Le rôle premier de la notion de responsable du traitement est donc de déterminer qui est chargé de faire respecter les règles de protection des données, et comment les personnes concernées peuvent exercer leurs droits dans la pratique. En d’autres termes, il s’agit d’attribuer les responsabilités.

L’article 3 de la loi informatique et libertés définit le responsable du traitement comme « la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ».

Dans une approche plus restrictive, la convention 108 désigne le responsable du traitement comme le « «maître du fichier» lequel est « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui est compétent selon la loi nationale, pour décider quelle sera la finalité du fichier automatisé, quelles catégories de données à caractère personnel doivent être enregistrées et quelles opérations leur seront appliquées. »

Cette définition n’a pas été retenue par le RGPD qui prévoit, en son article 4, 7), que le responsable du traitement est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ».

À l’examen, la définition du responsable du traitement énoncée dans la directive s’articule, selon le G29, autour de trois composantes principales :

L’aspect individuel: « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme »
La possibilité d’une responsabilité pluraliste: « qui seul ou conjointement avec d’autres »
Les éléments essentiels qui permettent de distinguer le responsable du traitement des autres acteurs: « détermine les finalités et les moyens du traitement de données à caractère personnel »

Afin de déterminer la ou les personnes responsables d’un traitement de données à caractère personne, il convient de se reporter à la méthodologie élaborée par le G29 dans son avis 1/2010 sur les notions de «responsable du traitement» et de «sous-traitant».

L’aspect personnel

Le premier élément de la définition a trait à l’aspect personnel: qui peut être responsable du traitement, et donc considéré comme responsable en dernier ressort des obligations découlant de la directive.

La définition reproduit exactement le libellé de l’article 2 de la convention 108 et n’a fait l’objet d’aucun débat particulier lors du processus d’adoption de la directive. Elle renvoie à un vaste éventail de sujets susceptibles de jouer le rôle de responsable du traitement, de la personne physique à la personne morale, en passant par «tout autre organisme».

Il importe que l’interprétation de ce point garantisse la bonne application de la directive, en favorisant autant que possible une identification claire et univoque du responsable du traitement en toutes circonstances, même si aucune désignation officielle n’a été faite et rendue publique.

Il convient avant tout de s’écarter le moins possible de la pratique établie dans les secteurs public et privé par d’autres domaines du droit, tels que le droit civil, le droit administratif et le droit pénal.

Dans la plupart des cas, ces dispositions indiqueront à quelles personnes ou à quels organismes les responsabilités doivent être attribuées et permettront, en principe, d’identifier le responsable du traitement.

==> Principe : le responsable du traitement est une personne morale

Dans la perspective stratégique d’attribution des responsabilités, et afin que les personnes concernées puissent s’adresser à une entité plus stable et plus fiable lorsqu’elles exercent les droits qui leur sont conférés par la directive, il est préférable de considérer comme responsable du traitement la société ou l’organisme en tant que tel, plutôt qu’une personne en son sein.

C’est en effet la société ou l’organisme qu’il convient de considérer, en premier ressort, comme responsable du traitement des données et des obligations énoncées par la législation relative à la protection des données, à moins que certains éléments précis n’indiquent qu’une personne physique doive être responsable.

D’une manière générale, on partira du principe qu’une société ou un organisme public est responsable en tant que tel des opérations de traitement qui se déroulent dans son domaine d’activité et de risques.

Parfois, les sociétés et les organismes publics désignent une personne précise pour être responsable de l’exécution des opérations de traitement.

Cependant, même lorsqu’une personne physique est désignée pour veiller au respect des principes de protection des données ou pour traiter des données à caractère personnel, elle n’est pas responsable du traitement mais agit pour le compte de la personne morale (société ou organisme public), qui demeure responsable en cas de violation des principes, en sa qualité de responsable du traitement.

==> Exception : le responsable du traitement peut être une personne physique

Une analyse distincte s’impose dans le cas où une personne physique agissant au sein d’une personne morale utilise des données à des fins personnelles, en dehors du cadre et de l’éventuel contrôle des activités de la personne morale.

Dans ce cas, la personne physique en cause serait responsable du traitement décidé, et assumerait la responsabilité de cette utilisation de données à caractère personnel. Le responsable du traitement initial pourrait néanmoins conserver une certaine part de responsabilité si le nouveau traitement a eu lieu du fait d’une insuffisance des mesures de sécurité.

Ainsi, le rôle du responsable du traitement est décisif et revêt une importance particulière lorsqu’il s’agit de déterminer les responsabilités et d’infliger des sanctions.

Même si celles-ci varient d’un État membre à l’autre parce qu’elles sont imposées selon les droits nationaux, la nécessité d’identifier clairement la personne physique ou morale responsable des infractions à la législation sur la protection des données est sans nul doute un préalable indispensable à la bonne application de la loi informatique et libertés.

2. La possibilité d’une personne pluraliste

La possibilité que le responsable du traitement agisse «seul ou conjointement avec d’autres» n’avait pas été prévue initialement par les textes.

Ainsi, n’était-il pas envisagé le cas où tous les responsables du traitement décident de façon égale et sont responsables de façon égale d’un même traitement.

Pourtant, la réalité montre qu’il ne s’agit là que d’une des facettes de la «responsabilité pluraliste». Dans cette optique, «conjointement» doit être interprété comme signifiant «ensemble avec» ou «pas seul», sous différentes formes et associations.

Il convient tout d’abord de noter que la probabilité de voir de multiples acteurs participer au traitement de données à caractère personnel est naturellement liée à la multiplicité des activités qui, selon la loi, peuvent constituer un «traitement» devenant, au final, l’objet de la «coresponsabilité».

La définition du traitement énoncée à l’article 2 de la loi informatique et libertés n’exclut pas la possibilité que différents acteurs participent à plusieurs opérations ou ensembles d’opérations appliquées à des données à caractère personnel.

Ces opérations peuvent se dérouler simultanément ou en différentes étapes.

Dans un environnement aussi complexe, il importe d’autant plus que les rôles et les responsabilités puissent facilement être attribués, pour éviter que les complexités de la coresponsabilité n’aboutissent à un partage des responsabilités impossible à mettre en œuvre, qui compromettrait l’efficacité de la législation sur la protection des données.

Ainsi, une coresponsabilité naît lorsque plusieurs parties déterminent, pour certaines opérations de traitement :

soit la finalité
soit les éléments essentiels des moyens qui caractérisent un responsable du traitement

Cependant, dans le cadre d’une coresponsabilité, la participation des parties à la détermination conjointe peut revêtir différentes formes et n’est pas nécessairement partagée de façon égale.

En effet, lorsqu’il y a pluralité d’acteurs, ils peuvent entretenir une relation très proche (en partageant, par exemple, l’ensemble des finalités et des moyens d’une opération de traitement) ou, au contraire, plus distante (en ne partageant que les finalités ou les moyens, ou une partie de ceux-ci).

Dès lors, un large éventail de typologies de la coresponsabilité doit être examiné, et leurs conséquences juridiques évaluées, avec une certaine souplesse pour tenir compte de la complexité croissante de la réalité actuelle du traitement de données.

Par exemple, le simple fait que différentes parties coopèrent dans le traitement de données à caractère personnel, par exemple dans une chaîne, ne signifie pas qu’elles sont coresponsables dans tous les cas. En effet, un échange de données entre deux parties, sans partage des finalités ou des moyens dans un ensemble commun d’opérations, doit être considéré uniquement comme un transfert de données entre des responsables distincts.

L’appréciation peut toutefois être différente si plusieurs acteurs décident de créer une infrastructure commune afin de poursuivre leurs propres finalités individuelles. En créant cette infrastructure, ces acteurs déterminent les éléments essentiels des moyens à utiliser et deviennent coresponsables du traitement des données, du moins dans cette mesure, même s’ils ne partagent pas nécessairement les mêmes finalités.

À cet égard, l’article 26 du RGPD prévoit que :

D’une part, lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d’accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord.
D’autre part, l’accord visé au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.
Enfin, indépendamment des termes de l’accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement.

3. Les éléments essentiels qui permettent de distinguer le responsable du traitement des autres acteurs

Le responsable du traitement est celui qui « détermine les finalités et les moyens du traitement de données à caractère personnel ».

Cette composante comporte deux éléments qu’il convient d’analyser séparément :

Détermine
Les finalités et les moyens du traitement

a) Détermine

La notion de responsable du traitement est une notion fonctionnelle, visant à attribuer les responsabilités aux personnes qui exercent une influence de fait, et elle s’appuie donc sur une analyse factuelle plutôt que formelle.

Par conséquent, un examen long et approfondi sera parfois nécessaire pour déterminer cette responsabilité. L’impératif d’efficacité impose cependant d’adopter une approche pragmatique pour assurer une prévisibilité de la responsabilité.

À cet égard, des règles empiriques et des présomptions concrètes sont nécessaires pour guider et simplifier l’application de la législation en matière de protection des données.

Ceci implique une interprétation de la directive garantissant que «l’organisme qui détermine» puisse être facilement et clairement identifié dans la plupart des cas, en s’appuyant sur les éléments de droit et/ou de fait à partir desquels l’on peut normalement déduire une influence de fait, en l’absence d’indices contraires.

Ces contextes peuvent être analysés et classés selon les trois catégories de situations

suivantes, qui permettent d’aborder ces questions de façon systématique:

==> Responsabilité découlant d’une compétence explicitement donnée par la loi

Il s’agit notamment du cas visé dans la seconde partie de la définition, à savoir lorsque le responsable du traitement ou les critères spécifiques pour le désigner sont fixés par le droit national ou communautaire.

La désignation explicite du responsable du traitement par le droit n’est pas courante et ne présente généralement pas de grandes difficultés. Dans certains pays, le droit national prévoit que les pouvoirs publics assument la responsabilité du traitement des données à caractère personnel effectué dans le cadre de leurs fonctions

Il est cependant plus fréquent que la législation, plutôt que de désigner directement le responsable du traitement ou de fixer les critères de sa désignation, charge une personne, ou lui impose, de collecter et traiter certaines données.

Cela pourrait être le cas d’une entité qui se voit confier certaines missions publiques (par exemple, la sécurité sociale) ne pouvant être réalisées sans collecter au moins quelques données à caractère personnel, et qui crée un registre afin de s’en acquitter.

Dans ce cas, c’est donc le droit qui détermine le responsable du traitement. De façon plus générale, la loi peut obliger des entités publiques ou privées à conserver ou fournir certaines données. Ces entités seraient alors normalement considérées comme responsables de tout traitement de données à caractère personnel intervenant dans ce cadre.

==> Responsabilité découlant d’une compétence implicite

Il s’agit du cas où le pouvoir de déterminer n’est pas explicitement prévu par le droit, ni la conséquence directe de dispositions juridiques explicites, mais découle malgré tout de règles juridiques générales ou d’une pratique juridique établie relevant de différentes matières (droit civil, droit commercial, droit du travail, etc.).

Dans ce cas, les rôles traditionnels qui impliquent normalement une certaine responsabilité permettront d’identifier le responsable du traitement: par exemple, l’employeur pour les informations sur ses salariés, l’éditeur pour les informations sur ses abonnés, l’association pour les informations sur ses membres ou adhérents.

Dans tous ces exemples, le pouvoir de déterminer les activités de traitement peut être considéré comme naturellement lié au rôle fonctionnel d’une organisation (privée), entraînant au final également des responsabilités en matière de protection des données.

Du point de vue juridique, peu importe que le pouvoir de déterminer soit confié aux entités juridiques mentionnées, qu’il soit exercé par les organes appropriés agissant pour leur compte, ou par une personne physique dans le cadre de fonctions similaires.

==> Responsabilité découlant d’une influence de fait

Il s’agit du cas où la responsabilité du traitement est attribuée après une évaluation des circonstances factuelles. Un examen des relations contractuelles entre les différentes parties concernées sera bien souvent nécessaire.

Cette évaluation permet de tirer des conclusions externes, attribuant le rôle et les obligations de responsable du traitement à une ou plusieurs parties.

Il peut arriver qu’un contrat ne désigne aucun responsable du traitement mais qu’il contienne suffisamment d’éléments pour attribuer cette responsabilité à une personne qui exerce apparemment un rôle prédominant à cet égard. Il se peut également que le contrat soit plus explicite en ce qui concerne le responsable du traitement.

S’il n’y a aucune raison de penser que les clauses contractuelles ne reflètent pas exactement la réalité, rien ne s’oppose à leur application. Les clauses d’un contrat ne sont toutefois pas toujours déterminantes, car les parties auraient alors la possibilité d’attribuer la responsabilité à qui elles l’entendent.

Le fait même qu’une personne détermine comment les données à caractère personnel sont traitées peut entraîner la qualification de responsable du traitement, même si cette qualification sort du cadre d’une relation contractuelle ou si elle est expressément exclue par un contrat.

b) Les finalités et les moyens du traitement

La détermination des finalités et des moyens revient à établir respectivement le «pourquoi» et le «comment» de certaines activités de traitement.

Dans cette optique, et puisque ces deux éléments sont indissociables, il est nécessaire de donner des indications sur le degré d’influence qu’une entité doit avoir sur le «pourquoi» et le «comment» pour être qualifiée de responsable du traitement.

Lorsqu’il s’agit d’évaluer la détermination des finalités et des moyens en vue d’attribuer le rôle de responsable du traitement, la question centrale qui se pose est donc le degré de précision auquel une personne doit déterminer les finalités et les moyens afin d’être considérée comme un responsable du traitement et, en corollaire, la marge de manœuvre que la directive laisse à un sous-traitant.

Ces définitions prennent tout leur sens lorsque divers acteurs interviennent dans le traitement de données à caractère personnel et qu’il est nécessaire de déterminer lesquels d’entre eux sont responsables du traitement (seuls ou conjointement avec d’autres) et lesquels sont à considérer comme des sous-traitants, le cas échéant.

L’importance à accorder aux finalités ou aux moyens peut varier en fonction du contexte particulier dans lequel intervient le traitement.

Il convient d’adopter une approche pragmatique mettant davantage l’accent sur le pouvoir discrétionnaire de déterminer les finalités et sur la latitude laissée pour prendre des décisions.

Les questions qui se posent alors sont celle du motif du traitement et celle du rôle d’éventuels acteurs liés, tels que les sociétés d’externalisation de services: la société qui a confié ses services à un prestataire extérieur aurait-elle traité les données si le responsable du traitement ne le lui avait pas demandé, et à quelles conditions?

Un sous-traitant pourrait suivre les indications générales données principalement sur les finalités et ne pas entrer dans les détails en ce qui concerne les moyens.

S’agissant de la détermination des «moyens», ce terme comprend de toute évidence des éléments très divers, ce qu’illustre d’ailleurs l’évolution de la définition.

En effet, «moyens» ne désigne pas seulement les moyens techniques de traiter des données à caractère personnel, mais également le «comment» du traitement, qui comprend des questions comme «quelles données seront traitées», «quels sont les tiers qui auront accès à ces données», «à quel moment les données seront-elles effacées», etc.

La détermination des «moyens» englobe donc à la fois des questions techniques et d’organisation, auxquelles les sous-traitants peuvent tout aussi bien répondre (par exemple, «quel matériel informatique ou logiciel utiliser?»), et des aspects essentiels qui sont traditionnellement et intrinsèquement réservés à l’appréciation du responsable du traitement, tels que «quelles sont les données à traiter?», «pendant combien de temps doivent-elles être traitées?», «qui doit y avoir accès», etc.

Dans ce contexte, alors que la détermination de la finalité du traitement emporterait systématiquement la qualification de responsable du traitement, la détermination des moyens impliquerait une responsabilité uniquement lorsqu’elle concerne les éléments essentiels des moyens.

Dans cette optique, il est tout à fait possible que les moyens techniques et d’organisation soient déterminés exclusivement par le sous-traitant des données.

Dans ce cas, lorsque les finalités sont bien définies mais qu’il existe peu, voire aucune indication sur les moyens techniques et d’organisation, les moyens devraient représenter une façon raisonnable d’atteindre la ou les finalités, et le responsable du traitement devrait être parfaitement informé des moyens utilisés.

Si un contractant avait une influence sur la finalité et qu’il procédait au traitement (également) à des fins personnelles, par exemple en utilisant les données à caractère personnel reçues en vue de créer des services à valeur ajoutée, il deviendrait alors responsable du traitement (ou éventuellement coresponsable du traitement) pour une autre activité de traitement et serait donc soumis à toutes les obligations prévues par la législation applicable en matière de protection des données.

B) La notion de sous-traitant

Alors que la notion de sous-traitant n’était pas définie dans la convention 108, elle figure désormais en bonne place dans le RGPD.

L’article 4 de ce texte prévoit que le sous-traitant est « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».

Selon le G29 tout comme la définition du responsable du traitement, celle du sous-traitant envisage un large éventail d’acteurs pour tenir ce rôle («… une personne physique ou morale, une autorité publique, un service ou tout autre organisme …»).

L’existence d’un sous-traitant dépend du responsable du traitement, qui peut décider :

soit de traiter les données au sein de son organisation, par exemple en habilitant des collaborateurs à traiter les données sous son autorité directe
soit de déléguer tout ou partie des activités de traitement à une organisation extérieure, comme l’indique l’exposé des motifs de la proposition modifiée de la Commission, par «une personne juridiquement distincte du responsable mais agissant pour son compte»

Par conséquent, les deux conditions fondamentales pour agir en qualité de sous-traitant sont :

d’une part, d’être une entité juridique distincte du responsable du traitement
d’autre part, de traiter les données à caractère personnel pour le compte de ce dernier.

L’activité de traitement peut se limiter à une tâche ou un contexte bien précis, ou être plus générale et étendue.

En outre, le rôle de sous-traitant ne découle pas de la nature de l’entité traitant des données mais de ses activités concrètes dans un cadre précis.

En d’autres termes, la même entité peut agir à la fois en qualité de responsable du traitement pour certaines opérations de traitement et en tant que sous-traitant pour d’autres opérations, et la qualification de responsable ou de sous-traitant doit être évaluée au regard d’un ensemble spécifique de données ou d’opérations.

L’aspect le plus important est l’exigence que le sous-traitant agisse «…pour le compte du responsable de traitement…». «Agir pour le compte de» signifie servir les intérêts d’un tiers et renvoie à la notion juridique de délégation.

Dans le cas de la législation relative à la protection des données, un sous-traitant est amené à exécuter les instructions données par le responsable du traitement, au moins en ce qui concerne la finalité du traitement et les éléments essentiels des moyens.

Dans cette perspective, la licéité de l’activité de traitement de données du sous-traitant est déterminée par le mandat donné par le responsable du traitement. Un sous-traitant qui outrepasse son mandat et acquiert un rôle important dans la détermination des finalités ou des moyens essentiels du traitement est davantage un (co)responsable qu’un sous-traitant.

A cet égard, l’article 35 de la loi informatique et libertés prévoit que « le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. »

Ainsi, est-il fait obligation pour le responsable du traitement de définir contractuellement la mission confiée au sous-traitant.

II) Les conditions de recours à la sous-traitance

Deux conditions doivent être remplies pour que le responsable d’un traitement de données à caractère personnel puisse avoir recours à un sous-traitant.

Une condition additionnelle s’ajoute lorsque c’est le sous-traitant qui souhaite sous-traiter tout ou partie de la mission qui lui est confiée.

==> Première condition : la présentation de garanties suffisantes

L’article 28, §1 du RGPD prévoit que lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.

Le considérant 81 précise que le responsable du traitement ne doit faire appel qu’à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en œuvre de mesures techniques et organisationnelles qui satisferont aux exigences du présent règlement, y compris en matière de sécurité du traitement.

Pratiquement, afin de fournir au responsable du traitement les garanties suffisantes, cela signifie pour le sous-traitant que :

Dès la conception de ses outils, applications et services ils intègrent de façon effective les principes relatifs à la protection des données
Par défaut ses outils, applications et services garantissent que seules sont traitées les données nécessaires à la finalité du traitement au regard de la quantité de données collectées, de l’étendue de leur traitement, de la durée de conservation et du nombre de personnes qui y a accès.

Selon la CNIL, la constitution de ces garanties peut, par exemple, impliquer :

De permettre au responsable du traitement de paramétrer par défaut et a minima la collecte de données et ne pas rendre techniquement obligatoire le renseignement d’un champ facultatif
De ne collecter que les données strictement nécessaires à la finalité du traitement (minimisation des données) de purger automatiquement et sélectivement les données d’une base active à l’issue d’une certaine durée
De gérer des habilitations et droits d’accès informatiques « donnée par donnée » ou sur demande des personnes concernées (pour les réseaux sociaux par exemple)

Le §5 de l’article 28 ajoute que l’application, par un sous-traitant, d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer l’existence des garanties suffisantes.

==> Seconde condition : l’établissement d’un contrat de sous-traitance

L’article 28, §3 du RGPD subordonne le recours à un sous-traitant au respect d’une seconde condition, soit à l’établissement d’un contrat de sous-traitance.

Cette disposition prévoit en ce sens que le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement.

Ce contrat doit définir l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées.

Il doit, en outre, se présenter sous une forme écrite, y compris au format électronique.

Le considérant 81 précise qu’il doit être tenu compte, pour ce faire, des tâches et responsabilités spécifiques du sous-traitant dans le cadre du traitement à effectuer et du risque pour les droits et libertés de la personne concernée.

A cet égard, le responsable du traitement et le sous-traitant peuvent choisir de recourir à un contrat particulier ou à des clauses contractuelles types, qui sont adoptées soit directement par la Commission soit par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence, puis par la Commission.

Outre ces informations qui doivent figurer au contrat, l’article 28, §3 dispose que le contrat de sous-traitance doit prévoir, notamment, que le sous-traitant :

Ne traite les données à caractère personnel que sur instruction documentée du responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel le sous-traitant est soumis; dans ce cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public;
Veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité;
Prend toutes les mesures requises en vertu de l’article 32, soit celles relatives à la sécurité du traitement des données
Respecte les conditions visées aux paragraphes 2 et 4 de l’article 28 du RGPD pour recruter un autre sous-traitant, ce qui signifie notamment que le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement.
Tient compte de la nature du traitement, aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III;
Aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant (sécurité du traitement, notification des violations de données et analyse d’impact) ;
Selon le choix du responsable du traitement, supprime toutes les données à caractère personnel ou les renvoie au responsable du traitement au terme de la prestation de services relatifs au traitement, et détruit les copies existantes, à moins que le droit de l’Union ou le droit de l’État membre n’exige la conservation des données à caractère personnel ;
Met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits, y compris des inspections, par le responsable du traitement ou un autre auditeur qu’il a mandaté, et contribuer à ces audits. En ce qui concerne ce dernier point, le sous-traitant informe immédiatement le responsable du traitement si, selon lui, une instruction constitue une violation du présent règlement ou d’autres dispositions du droit de l’Union ou du droit des États membres relatives à la protection des données.

==> Condition additionnelle en cas de sous-traitance par un sous-traitant

L’article 28, §2 du RGPD dispose que « le sous-traitant ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. »

Ainsi, le recours par un sous-traitant à un sous-traitant est-il subordonné à l’autorisation préalable du responsable du traitement.

Cette autorisation peut être, au choix des parties, spécifique, c’est-à-dire accordée pour un sous-traitant particulier, ou générale.

Dans ce dernier cas, un certain nombre de règles devront être observées par le sous-traitant.

L’article 28 précise, en effet, que « dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants, donnant ainsi au responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements ».

Le responsable du traitement doit dès lors, en tout état de cause, être informé de tout changement intervenant dans la sous-traitance de la mission qu’il a confiée à son sous-traitant.

Surtout, il pourra s’opposer ou poser des conditions dans l’hypothèse où le prestataire retenu par son sous-traitant pour exécuter tout ou partie de la mission confiée ne lui conviendrait pas.

III) Les obligations qui incombent au sous-traitant

Deux sortes de sous-traitant peuvent être distinguées :

Le sous-traitant du responsable du traitement
Le sous-traitant du sous-traitant

A) Les obligations qui incombent au sous-traitant du responsable du traitement

Depuis l’adoption du RGPD, l’obligation qui incombe au sous-traitant ne se limite pas seulement au respect des conditions de sécurité du traitement, comme tel était le cas sous l’empire du droit antérieur.

Désormais, les obligations qui s’imposent à lui sont bien plus nombreuses et contraignantes.

A cet égard, il ressort du RGPD que ces obligations sont au nombre de trois :

==> L’obligation de transparence et de traçabilité

L’obligation de transparence et de traçabilité qui échoit au sous-traitant s’infère de plusieurs devoirs que le RGPD met à sa charge :

Devoir d’établir avec le responsable du traitement un contrat ou un autre acte juridique précisant les obligations de chaque partie et reprenant les dispositions de l’article 28 du règlement européen.
Devoir de recenser par écrit les instructions adressées au sous-traitant afin de prouver qu’il agit « sur instruction documentée du responsable de traitement»
Devoir de demander l’autorisation écrite du responsable du traitement afin de déléguer la mission confiée à un sous-traitant
Devoir de mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations du sous-traitant et pour permettre la réalisation d’audits.
Devoir de tenir un registre qui recense les clients pour le compte desquels le sous-traitant opère et qui décrit les traitements effectués pour leur compte.

==> L’obligation de sécurité du traitement

L’obligation de sécurité du traitement implique, pour le sous-traitant :

D’assurer la confidentialité des données traitées pour le compte des responsables de traitement
De notifier au responsable du traitement toute violation de ses données
De prendre toute mesure utile pour garantir un niveau de sécurité adapté aux risques encourus par le traitement.
Au terme de la prestation et selon les instructions du responsable du traitement
- De supprimer, toutes les données et les lui restituer.
- De détruire les copies existantes sauf obligation légale de les conserver.

==> L’obligation d’assistance, d’alerte et de conseil

L’obligation d’assistance, d’alerte et de conseil implique pour le sous-traitant de :

Alerter le responsable du traitement si l’une de ses instructions est constitutive d’une violation des règles en matière de protection des données
Assister le responsable du traitement, dans la mesure du possible, quant à la prise en charge d’une demande formulée par la personne concernée d’exercice de ses droits (accès, rectification, effacement, portabilité, opposition, ne pas faire l’objet d’une décision individuelle automatisée, y compris le profilage)
Aider le responsable du traitement à garantir le respect des obligations en matière de sécurité du traitement, de notification de violation de données et d’analyse d’impact relative à la protection des données.

III) Les obligations qui incombent au sous-traitant du sous-traitant

L’article 28, § 4 du RGPD prévoit que « lorsqu’un sous-traitant recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte du responsable du traitement, les mêmes obligations en matière de protection de données que celles fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément au paragraphe 3, sont imposées à cet autre sous-traitant par contrat ou au moyen d’un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement ».

Ainsi, le sous-traitant du sous-traitant est-il soumis aux mêmes obligations que le sous-traitant du responsable du traitement.

Reste que lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le sous-traitant initial demeure pleinement responsable devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations.

Pour rappel, il ressort des articles 82 et 83 du RGPD que toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement européen peut obtenir la réparation intégrale de son préjudice de la part, tant du responsable de traitement, que du sous-traitant.

Par ailleurs, le sous-traitant est susceptible de faire l’objet de sanctions administratives importantes pouvant s’élever, selon la catégorie de l’infraction, jusqu’à 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, jusqu’à 2% ou 4% du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu.

Il convient, dans ces conditions, pour le sous-traitant de faire preuve d’une extrêmement vigilance lorsqu’il sous-traite la mission qui lui a été confiée par le responsable du traitement. Son statut ne l’exonère pas de sa responsabilité.

analyse d'impact avocat cnil conditions contrat données dpo écrit finalité finalités garanties gdpr huissier juge loi informatique et libertés mentions moyens notaire notion obligations privacy by default privacy by design registre règlement général sur la protection des données responsable responsable du traitement rgpd sanction sous-traitant tours

RGPD: le principe de finalité

==> Reconnaissance du principe

L’article 6, 2° de la loi informatique et libertés prévoit que les données à caractère personnel « sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ».

Dans la première version de la loi, le principe de finalité n’avait pas explicitement été érigé au rang de principe, à tout le moins pas directement. Ce principe n’était qu’évoqué en ce que le détournement de la finalité du traitement était sanctionné.

En 2004, lors de la transposition – tardive – de la directive du 24 octobre 1995, le législateur s’est saisi de l’occasion pour préciser que les données doivent être collectées « pour des finalités déterminées » et ne peuvent être « traitées ultérieurement de manière incompatible avec ces finalités ».

Ce complément majeur résulte du point b) du paragraphe 1) de l’article 6 de la directive. Il figurait déjà presque dans les mêmes termes dans la convention n° 108 du Conseil de l’Europe.

Le principe de finalité a été réaffirmé par le RGPD qui prévoit en son article 5, 1, b) que « les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités »

==> Signification du principe

Le principe de finalité est, sans aucun doute, la pierre angulaire de la loi informatique et libertés. Il signifie que, pour être licite, un traitement de données à caractère personnel doit être assorti d’une finalité.

Autrement dit, la collecte de données à caractère personnel ne peut jamais être une fin en soi. Pour être mise en œuvre, elle doit être justifiée par la poursuite d’un but déterminé. On ne peut pas se livrer à une collecte de données « au cas où ».

Lorsqu’il est procédé à un traitement de données, celui-ci doit poursuivre une finalité, laquelle finalité doit être portée à la connaissance de la personne concernée. Ainsi, le principe de finalité est étroitement lié à l’exigence de consentement qui préside au traitement de données à caractère personnel. Pour consentir à un traitement de données, encore faut-il avoir été informé de sa finalité.

Le considérant 42 du RGPD énonce en ce sens que « pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l’identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».

Dans son avis n°03/2013 du 2 avril 2013, le groupe de l’article 29 justifie le principe de finalité en indiquant qu’il répond à trois impératifs :

Un impératif de transparence
- La personne dont les données sont collectées doit être informée de la finalité du traitement afin d’être en capacité d’y consentir.
- Autrement dit, la transparence garantit la prévisibilité et permet ainsi à la personne concernée de contrôler l’usage de ses données

Un impératif de prévisibilité
- Pour le groupe de l’article 29, dès lors que la finalité du traitement est déterminée, les personnes concernées peuvent savoir à quoi s’attendre, en ce sens qu’elles connaissent le traitement dont est susceptible de faire l’objet leurs données ainsi que l’étendue de ce traitement.

Un impératif de sécurité juridique
- L’exigence de détermination de la finalité du traitement apporte aux personnes concernées une sécurité juridique dans la mesure où elles sont en mesure de contrôler l’usage de leurs données, notamment en exerçant leurs droits, d’accès, d’opposition, de suppression, de rectification etc.

Pratiquement, il ressort de l’article 6 de la LIL que le principe de finalité met à la charge du responsable du traitement, deux séries d’obligations qui interviennent à deux stades bien distincts du traitement :

Au stade de la collecte des données
Au stade du traitement ultérieur des données

§1 : L’exigence d’une finalité déterminée, explicite et légitime au stade de la collecte des données

Si, pour être licite, une collecte de données à caractère personnel doit être assortie d’une finalité, la satisfaction de cette condition n’est pas suffisante.

L’article 6 de la LIL exige que la finalité de la collecte soit :

Déterminée
Explicite
Légitime

==> Une finalité déterminée

Les données à caractère personnel doivent être collectées à des fins déterminées. Aussi, appartient-il au responsable du traitement de soigneusement analyser, le ou les buts pour lesquelles les données seront collectées.

Cette analyse doit se faire en amont de la collecte. À cet égard, le responsable du traitement, doit documenter sa démarche et être en mesure de justifier la finalité communiquée à la personne visée.

Il devra notamment veiller à ce que la finalité retenue ne soit pas trop large. Elle doit donc être clairement et précisément identifiée. Plus encore, la finalité doit être suffisamment précise pour que la personne concernée soit en mesure de savoir quelles sont les utilisations incluses et exclues de ses données par le responsable du traitement.

Le G29 considère, par exemple, qu’une finalité est très vague ou générale lorsqu’elle est présentée comme consistant à « améliorer l’expérience utilisateur » ou qu’elle est exposée sous le terme « finalité marketing » ou encore « finalité sécurité IT ».

Au vrai, le degré de précision de la finalité annoncée dépend du contexte particulier dans lequel les données sont collectées et de la complexité du traitement.

==> Une finalité explicite

En plus d’être déterminée, la finalité du traitement doit être explicite. Elle doit, autrement dit, être clairement révélée et exprimée de façon intelligible.

L’explicitation de la finalité doit intervenir, selon le Groupe de l’article 69, au plus tard, au moment de la collecte des données.

L’objectif de cette exigence est de garantir la bonne compréhension du but poursuivi par le responsable du traitement, lequel ne saurait être imprécis ou ambiguë.

La finalité annoncée doit, en somme, être suffisamment explicite pour que la personne concernée comprenne l’intention du responsable du traitement.

==> Une finalité légitime

Selon le Groupe de l’article 29 pour que la finalité d’un traitement de données soit légitime, il est nécessaire que, à tous les stades et à tout moment, celui-ci repose :

Soit sur le consentement de la personne concernée
Soit sur l’un des cas prévus par dérogation à l’exigence de consentement (art. 7 de la LIL)

L’exigence de légitimité signifie encore que les finalités du traitement soient conformes à la loi. Il peut donc s’agir de respecter une réglementation différente de celle posée par la LIL.

Pour apprécier la légitimité de la finalité, pourront ainsi être pris en compte, le droit du travail, le droit de la consommation, la jurisprudence, la coutume, la déontologie.

§2 : L’exigence de compatibilité du traitement ultérieur avec la finalité initiale de la collecte des données

Le principe de finalité n’a pas seulement vocation à s’appliquer au stade de la collecte des données à caractère personnel, il doit également être respecté en cas de traitement ultérieur.

Plus précisément, l’article 6 de la LIL pose une exigence de compatibilité entre la finalité de la collecte et celle des traitements futurs.

Pour écarter le risque d’un usage injustifié, même décalé dans le temps, ce texte pose ainsi un principe d’interdiction de tout traitement ultérieur des données « incompatible avec les finalités pour lesquelles elles ont été collectées ».

Une exception est néanmoins prévue au profit des traitements réalisés à des fins statistiques ou scientifiques ou historiques, sous réserve qu’ils respectent les conditions de licéité.

I) Le principe

C’est donc l’interdiction de tout traitement ultérieur des données « incompatible avec les finalités pour lesquelles elles ont été collectées ».

On peut en déduire que le traitement de données à caractère personnel pour d’autres finalités que celles pour lesquelles les données à caractère personnel ont été collectées initialement n’est autorisé que s’il est compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement.

Dans ce cas, aucune base juridique distincte de celle qui a permis la collecte des données à caractère personnel n’est requise.

Lorsque, en revanche, le traitement ultérieur incompatible, il conviendra de fonder le traitement sur un nouveau fondement juridique, ce qui pourrait consister, par exemple, à solliciter le consentement de la personne visée.

La question qui immédiatement se pose est alors de savoir ce que l’on doit entendre par la notion de compatibilité du traitement ultérieur avec les finalités initiales de la collecte.

Pour le déterminer, il convient de se reporter au test de compatibilité établi par le Groupe de l’article 29 et aux critères posés par le RGPD

A) Le test de compatibilité établir par le Groupe de l’article 29

La méthode

Afin de déterminer si un traitement ultérieur de données est compatible avec la finalité initiale de leur collecte, le Groupe de l’article 29 suggère de procéder à deux sortes d’évaluations :

Une évaluation formelle
- Elle consistera à comparer les finalités initialement déclarées par le responsable du traitement dans le cadre de l’information fournie à la personne concernée, à celles poursuivies ultérieurement et vérifier que ces dernières sont couvertes implicitement ou explicitement.
- Cette première méthode peut sembler, à première vue, des plus objectives et neutres.
- Toutefois, elle risque d’être trop rigide, en ce qu’elle se limite à une analyse seulement textuelle des finalités poursuivies.

Une évaluation matérielle
- Il conviendra ici d’aller au-delà des déclarations officielles pour identifier à la fois nouvelles finalités et celles initialement poursuivies, en tenant compte de la manière dont elles ont été effectivement comprises par la personne concernée.
- Cette seconde méthode est, de toute évidence, plus souple et pragmatique que la première, mais aussi plus efficace.
- Elle permet de s’adapter aux évolutions futures de la finalité du traitement, tout en continuant à protéger efficacement la protection des données à caractère personnel.

Plusieurs exemples sont fournis par le Groupe de l’article 29 :

==> Exemple 1 : la compatibilité est évidente à première vue

Un client effectue une commande en ligne auprès d’un commerçant en vue de se faire livrer chaque semaine des paniers de légumes bio.

Après avoir collecté, lors de la conclusion du contrat, l’adresse et les coordonnées bancaires du client, ces données sont traitées ultérieurement par le commerçant les semaines suivantes pour les besoins de la livraison et du paiement.

Ici, il ne fait aucun doute que le traitement ultérieur des données est conforme à la finalité de la collecte initiale.

==> Exemple 2 : La compatibilité n’est pas évidente et nécessite une analyse plus approfondie

Le commerçant souhaite, dans ce scénario utiliser l’adresse e-mail du client afin de lui adresser des offres personnalisées et des bons de réductions pour des produits similaires, y compris sa gamme de produits laitiers biologiques.

Il souhaite également communiquer les données du client, dont son nom, adresse électronique, numéro de téléphone et historique des achats à un autre commerçant qui a ouvert une boucherie biologique dans le même quartier.

Dans les deux cas, ici le commerçant ne peut pas considérer que ce traitement ultérieur est compatible avec la finalité initiale de la collecte de données, de sorte que des analyses approfondies devront être menées par le responsable du traitement.

Pour le groupe de l’article 29, plus la différence entre la finalité initiale de la collecte et celle du traitement ultérieur est grande, plus le test de compatibilité doit être détaillé, ce qui pourra conduire à adopter des mesures supplémentaires pour compenser le changement de finalité, comme, par exemple, fournir des informations supplémentaires à la personne concernée.

==> Exemple 3 : L’incompatibilité est évidente

En plus d’acheter un panier de légumes bio le client commande une gamme d’autres produits biologiques sur le site web du commerçant, dont certains à prix réduit.

Le commerçant, sans informer le client, a mis en place une solution logicielle de personnalisation des prix prête à l’emploi, qui – entre autres choses – détecte si le client utilise un ordinateur Apple ou un PC Windows.

Le commerçant offre alors automatiquement des rabais plus importants aux utilisateurs de Windows.

Dans ce cas, le traitement ultérieur des données est clairement incompatible avec la finalité de la collecte initiale.

Si les données sont traitées de telle manière qu’une personne raisonnable trouverait le traitement, non seulement inattendu, mais égalent inapproprié, il est fort probable que celui-ci puisse être considéré comme incompatible.

2. Les critères

Afin d’évaluer la compatibilité d’un traitement ultérieur de données, le Groupe de l’article 29 a posé un certain nombre de critères

==> La relation entre les finalités pour lesquelles les données ont été collectées et les finalités du traitement ultérieur

Ce facteur est peut-être le plus évident car l’évaluation de la compatibilité repose, d’abord, sur la relation entre la finalité initiale de la collecte et la finalité du traitement ultérieur.

Ce critère peut couvrir des situations où le traitement ultérieur était déjà plus ou moins compris implicitement dans les finalités initiales, ou supposées comme l’étape logique suivante du traitement selon ces fins.

En tout état de cause, plus la différence entre les finalités de la collecte et celles du traitement ultérieur est grande plus l’évaluation de la compatibilité est problématique.

Afin de procéder à cette évaluation, il sera nécessaire de toujours se reporter au contexte factuel et à la finalité telle qu’elle a été comprise par la personne visée.

==> Le contexte dans lequel les données ont été collectées et les attentes raisonnables de la personne concernée quant à leur utilisation ultérieure

Ce deuxième critère est axé sur le contexte spécifique dans lequel les données ont été collectées et sur les attentes raisonnables des personnes concernées quant à l’utilisation de leurs données dans ce contexte.

En d’autres termes, la question ici est de savoir à quoi une personne raisonnable, qui se trouverait dans la situation de la personne concernée, s’attendrait s’agissant du traitement ultérieur de ses données.

A priori, plus le traitement ultérieur des données est inattendu ou surprenant, plus il est probable qu’il soit considéré comme incompatible.

==> La nature des données et l’impact du traitement ultérieur sur les personnes concernées

Le groupe de l’article 29 recommande ici de prendre en compte la nature des données collectées.

Au fond, l’idée sous-jacente est que plus les informations en cause sont sensibles, plus la marge de compatibilité est étroite.

À cela s’ajoute la prise en compte de l’incidence du traitement ultérieur sur les libertés de la personne concernée.

==> Les critères du RGPD

Selon l’article 6, 4 du RGPD, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, le responsable du traitement tient compte, entre autres:

de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé;
du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement;
de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10;
des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées;
de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.

De toute évidence, les critères ici énoncés par le RGPD sont directement issus de l’avis formulé par le Groupe de l’article 29.

B) Les exceptions

Le principe d’interdiction du traitement ultérieur des données incompatible avec les finalités pour lesquelles elles ont été collectées est assorti de deux exceptions : la première est générale, la seconde spécifique

L’exception générale

Il ressort de l’article 6, 4° du RGPD que, en cas d’incompatibilité du traitement ultérieur avec les finalités poursuivies initialement au stade de la collecte, celui-ci est, malgré tout, autorisé :

Si la personne concernée a exprimé son consentement
Si le traitement est fondé sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1
- Au nombre de ces objectifs figurent :
  - la sécurité nationale;
  - la défense nationale;
  - la sécurité publique;
  - la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;
  - d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale;
  - la protection de l’indépendance de la justice et des procédures judiciaires;
  - la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière;
  - une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique, dans les cas visés aux points a) à e) et g);
  - la protection de la personne concernée ou des droits et libertés d’autrui;
  - l’exécution des demandes de droit civil.

2. L’exception spécifique

Par exception au principe d’interdiction du traitement incompatible, l’article 6 de la LIL pose une exception pour les traitements ultérieurs de données :

à des fins statistiques
à des fins de recherche scientifique
à des fins de recherche historique

Selon le Groupe de l’article 29, ce texte ne doit pas être interprété comme instituant une exception générale à l’exigence de compatibilité.

Il ne saurait s’agir d’une règle qui vise à autoriser, en toutes circonstances, le traitement des données à des fins historiques, statistiques ou scientifiques.

Comme dans tout autre cas de traitement ultérieur, toutes les circonstances et tous les facteurs pertinents doivent être pris en compte pour décider quelles garanties peuvent être considérées comme appropriées et suffisantes.

avocat collecte compatibilité conditions détournement de finalité directive données à caractère personnel finalité finalité déterminée finalité explicite finalité légitime garanties gdpr huissier juge limites loi informatique et libertés loyauté notaire principe de finalité principes réglement rgpd sécurité test de compatibilité tours traitement transparence

LE DROIT DANS TOUS SES ETATS