Protection des données en cas d'insolvabilité

C'est précisément en cette période où l'économie est affectée par les lois et les règlements visant à endiguer la propagation du virus Covid 19 que de nombreuses entreprises se voient confrontées à la question de l'insolvabilité.

Même si une "période de grâce" a été accordée par la loi COVID-19 sur la suspension de l'insolvabilité en raison du retard de paiement des aides d'urgence de Corona, l'expiration de cette loi fin avril 2021 entraînera à nouveau de nombreuses demandes d'insolvabilité.

Mais quel est le rapport avec la protection des données ? Découvrez ici les bases.

Que se passe-t-il en cas d'insolvabilité ?

Si une entreprise devient insolvable ou est surendettée, elle est tenue, en vertu de l'article 15a InsO, de déposer une demande d'insolvabilité auprès du tribunal de l'insolvabilité. Le tribunal peut alors ouvrir la procédure d'insolvabilité. L'objectif est de réaliser au mieux les actifs encore disponibles et de les répartir équitablement entre les créanciers. Le tribunal peut exiger de l'entreprise (le débiteur) toutes les informations (patrimoniales) nécessaires.

L'objet de la procédure d'insolvabilité est la masse de l'insolvabilité. Conformément à l'article 35 du code de l'insolvabilité, il s'agit de l'ensemble des biens appartenant au débiteur au moment de l'ouverture de la procédure et qu'il obtient pendant la procédure. Le pouvoir de disposition du débiteur est désormais limité par rapport à ces biens. Pour la réalisation de la masse d'insolvabilité, le tribunal désigne à la place un administrateur d'insolvabilité (article 56 I InsO).

Dans la société actuelle, les données font depuis longtemps partie des biens juridiques économiquement réalisables et donc de la masse de l'insolvabilité qui doit être réalisée. Conformément au § 36 II n° 1 InsO, une saisie de la masse a lieu. Toutes les données (à caractère personnel) traitées par le débiteur sont d'abord transférées dans la masse de l'insolvabilité, qu'elles aient été traitées pour lui ou pour des tiers et quelle que soit la forme sous laquelle elles peuvent être trouvées chez le débiteur. S'il ne s'agit pas de données dont le débiteur a une certaine propriété, c'est-à-dire qu'il ne les traite que pour des tiers (article 4, point 8, article 28 du RGPD), elles sont triées ultérieurement.

Les données concernées ne sont pas seulement celles des créanciers (par exemple, les clients d'une entreprise), mais aussi celles du débiteur concerné.

Et c'est là que la législation sur la protection des données entre en jeu.

Que peut faire l'administrateur judiciaire ?

L'administrateur de l'insolvabilité a pour mission de réaliser la masse de l'insolvabilité afin de satisfaire au mieux et de manière égale les créanciers. Pour ce faire, il prend possession des biens existants (article 148 I InsO) et tous les droits d'administration et de disposition y afférents lui sont transférés (article 80 I InsO). Comme nous l'avons déjà mentionné, cela inclut également toutes les données contenues, de sorte que des questions de protection des données se posent :

L'administrateur judiciaire est-il un responsable au sens de l'article 4, point 7, du RGPD ?

L'administrateur judiciaire pourrait être un responsable au sens de l'article 4, point 7, du RGPD en ce qui concerne les données à caractère personnel dans la masse de l'insolvabilité. Dans ce cas, toutes les personnes concernées par le traitement des données disposeraient des droits correspondants en vertu des articles 12 et suivants du RGPD. RGPD vis-à-vis de l'administrateur de la faillite.

Une fois que l'administrateur judiciaire a été nommé par le tribunal, il dispose de pouvoirs étendus sur la masse de l'insolvabilité. Tous les traitements de données en cours dans l'entreprise du débiteur lui sont désormais imputés, et non plus au débiteur. Enfin, à partir de ce moment, le débiteur n'a plus la possibilité d'exercer une influence pour rester responsable. Le débiteur n'est alors plus qu'un tiers au sens de l'article 4, point 10, du RGPD.

Par nature, la masse de l'insolvabilité ne contient pas uniquement des données relatives au débiteur, mais également des données relatives aux créanciers qui peuvent être monnayées (par exemple, une base de données clients). Il convient d'évaluer séparément dans quelle mesure le RGPD s'applique ici :

...vis-à-vis du débiteur en ce qui concerne les données relatives au débiteur ?

Une fois l'administrateur judiciaire désigné par le tribunal, le débiteur perd tout pouvoir de décision sur son entreprise et tout ce qui s'y rapporte. En l'absence d'accord contractuel entre l'administrateur judiciaire et le débiteur, l'administrateur judiciaire doit être considéré comme le seul responsable de la protection des données. Les obligations correspondantes lui incombent.

...envers les créanciers ou les clients concernant leurs données ?

L'administrateur judiciaire dispose naturellement aussi des données de tiers qui sont contenues dans la masse de l'insolvabilité en tant que biens juridiques économiquement réalisables. Il s'agit le plus souvent de données relatives à la clientèle.

Si l'entreprise est vendue dans le cadre d'une cession d'actifs afin de rembourser les créanciers avec le produit de la vente, ces données sont transférées à l'acheteur de l'entreprise.

Ici, les personnes concernées peuvent clairement faire valoir leurs droits en vertu des articles 12 et suivants. Le RGPD leur permet de faire valoir leurs droits. Elles doivent être informées du traitement, pouvoir obtenir des informations et faire rectifier, effacer ou limiter le traitement de leurs données. Si tel n'est pas le cas, l'administrateur judiciaire, en tant que responsable du traitement, s'expose à des amendes ou à des demandes de dommages et intérêts conformément aux articles 82 et suivants du RGPD. RGPD.

Dans le cas d'un asset deal, l'acquéreur est considéré comme un tiers au sens de l'article 4, point 10, du RGPD. Si des données de créanciers lui sont transmises, il s'agit d'un transfert au sens de l'article 4, point 2, du RGPD. Pour savoir si cette transmission est autorisée (article 6 I du RGPD), il convient de déterminer s'il existe un consentement ou si elle est autorisée par la loi. S'il s'agit du transfert de données relatives à un créancier issues d'une relation contractuelle en cours, l'acquéreur n'est plus un tiers à partir du transfert du contrat (nécessite un accord entre le créancier, le débiteur et l'acquéreur) et peut traiter les données. En conséquence, le transfert est également autorisé.

Dans la pratique, cela peut être très long (par exemple, il peut être nécessaire d'adapter les conditions générales et d'attendre l'accord de tous les créanciers), c'est pourquoi il est préférable de le contourner en accordant au créancier un délai d'opposition raisonnable (c'est également l'avis de DSK et BayLDA).

Un consentement est néanmoins nécessaire si le traitement des données doit aller au-delà de la relation contractuelle actuelle.

Le transfert et le traitement des données des employés sont de toute façon autorisés en vertu de l'article 613a du Code civil allemand.

Si aucun contrat existant n'est transféré, mais seulement des données individuelles, il faut un consentement libre et éclairé, qui doit répondre à des exigences élevées. Sans consentement, le transfert n'est autorisé en vertu de l'article 6, paragraphe 1, point f), du RGPD qu'en présence d'un intérêt légitime. Celui-ci doit également être soigneusement mis en balance avec les intérêts de la personne concernée, ce qui doit être déterminé au cas par cas, raison pour laquelle cette procédure est très risquée dans la pratique.

L'administrateur d'insolvabilité peut-il faire valoir des droits à l'information qui concernent le débiteur ?

Le statut de responsable de la protection des données ne confère évidemment pas à l'administrateur judiciaire un droit d'accès étendu. Il n'est pas pour autant une personne concernée au sens de l'article 15 du RGPD. Ce droit d'accès est considéré comme un droit strictement personnel et ne se transmet pas avec la masse de l'insolvabilité, car il ne peut pas conduire directement au paiement des créanciers. Ceci est également confirmé par la jurisprudence (OVG Lüneburg, jugement du 26.06. 2019, 11 LA 274/1).

Il serait tout au plus envisageable que le débiteur, dans le cadre de son obligation de coopérer avec l'administrateur judiciaire en vertu de l'article 97 du code de l'insolvabilité, soit tenu d'habiliter celui-ci en conséquence, de sorte que l'administrateur judiciaire puisse lui-même recueillir les informations nécessaires au nom du débiteur.

Relation entre le RGPD et le code de l'insolvabilité (InsO)

Le RGPD ne contient pas de dispositions spéciales concernant les procédures d'insolvabilité. L'administrateur d'insolvabilité se trouve régulièrement dans une situation de tension entre ses tâches découlant du code de l'insolvabilité et ses obligations découlant du RGPD.

Pour toutes les personnes concernées, il est indispensable de bénéficier de conseils d'experts sur ce sujet aux multiples facettes.