marie-lise.assouslegrand

Par assouslegrand le 02/07/19
Dernier commentaire ajouté il y a 1 mois 2 semaines

L'extension de garantie à la faute personnelle du dirigeant, non séparable de ses fonctions, ne s'analyse pas en une exclusion de garantie.

Les faits sont les suivants :

Selon l'arrêt attaqué (Rennes, 21 novembre 2017) le 18 janvier 2008, la société Filago et sa filiale à 100 %, la société Ardan, représentées par leur dirigeant commun, M. F... , ont consenti à la société Système U, deux offres préalables de vente portant sur leurs droits sociaux et sur un fonds de commerce de supermarché .

Le 5 décembre 2008, la société Filago a souscrit une police d'assurance « responsabilité civile des dirigeants » et un avenant incluant une « extension de garantie à la défense et la responsabilité de la société souscriptrice dans le cadre d'une faute non séparable des fonctions des dirigeants personnes physiques » .

Le 26 juin 2009, la société Ardan a notifié à la société Système U sa décision de se retirer pour exercer son activité commerciale sous une autre enseigne concurrente .

Par une sentence rendue le 29 février 2012, le tribunal arbitral a condamné solidairement les sociétés Ardan et Filago à payer à la société Système U la somme de 1 800 000 euros au titre de la clause pénale.

La société Filago a déclaré le sinistre à l'assureur qui a refusé sa garantie.

La société Filago fait grief à l'arrêt de la débouter d'une part de sa demande de remboursement par l'assureur de la somme de 1 800 000 euros, d'autre part, de sa demande en paiement des frais d'arbitrage.

En effet, les premiers juges ont considéré que les société Filago et Ardan auraient commis un «manquement contractuel délibéré » qui aurait rendu «inéluctable l'application de la clause pénale prévue», de sorte qu'elles auraient « fait disparaître l'aléa propre au contrat d'assurance».

Cependant la Cour de cassation ne partage pas cette analyse retenant qu'en statuant ainsi sans aucunement constater que la société Filago avait eu la volonté et la conscience de créer le dommage tel qu'il est survenu, la cour d'appel a privé sa décision de toute base légale au regard de l'article L. 113-1 du code des assurances ;

En effet l’article L113-1 du code des assurances exclut de la garantie de l’assureur les pertes et dommages qui proviendraient d'une faute intentionnelle ou dolosive de l'assuré.

Or l’objet d’une extension de garantie est de prendre en charge le règlement des sinistres et/ou des frais de défense résultant de toute réclamation par un tiers pendant la période d’assurance mettant en jeu sa responsabilité civile du seul fait d’une faute professionnelle commise par un de ses dirigeants de droit ou dirigeants de fait.

La limite entre la faute professionnelle et la faute intentionnelle du dirigeant relève cependant de circonstances d’espèce soumises à l’appréciation des tribunaux.

Cass. 2e civ., 13 juin 2019, n° 18-13.257, n° 826 D

 

Par assouslegrand le 02/07/19
Dernier commentaire ajouté il y a 1 mois 2 semaines

Pour les besoins de son activité, la société SERGIC, administrateur de biens, édite le site web www.sergic.com permettant aux candidats à la location d’un bien de télécharger les pièces justificatives nécessaires à la constitution de leur dossier.

Le 12 août 2018, la Commission nationale de l’informatique et des libertés a été saisie d’une plainte d’un utilisateur du site, le plaignant fournissant plusieurs exemples d’adresses URL à partir desquelles il a pu accéder à des pièces téléchargées par des tiers (avis d'imposition, copies de carte d'identité, cartes vitales, actes de décès, actes de mariage, jugement de divorce, relevés de compte, RIB, pensions d’invalidité, quittances de loyers etc.).

Au regard des éléments vérifiés par la Commission, il est reproché à cet administrateur de ne pas avoir mis en œuvre les mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données personnelles traitées, conformément à l’article 32 du Règlement.

Pour assurer sa défense l’administrateur de biens fait valoir :

-           que l’exploitation de la vulnérabilité nécessitait des compétences particulières, comme le prouve l’utilisation d’un script par la délégation de contrôle, et qu’elle n’était possible qu’en ayant connaissance de l’adresse URL.

-              qu’aucun utilisateur du site ne lui a rapporté que ses données personnelles avaient fait l’objet d’une utilisation malveillante.

-              que chacun des documents fournis par les candidats à la location est nécessaire pour la constitution du dossier, notamment pour évaluer leur solvabilité, et qu’elle ne demande aux candidats aucune autre pièce que celles visées par le décret n° 2015-1437 du 5 novembre 2015 fixant la liste des pièces justificatives pouvant être demandées au candidat à la location et à sa caution.

-              qu’elle n’a pas la maîtrise des pièces spontanément téléchargées par les candidats alors qu’elles ne figurent pas dans le décret précité.

-              qu’elle ne peut être tenue pour responsable du fait que certains candidats téléchargent leur carte Vitale en tant que justificatif d’identité ou que le numéro d’inscription au répertoire (NIR) figure sur des documents émis par des organismes sociaux que transmettent les personnes.

-              qu’à la suite de la violation de données, elle a planifié la correction de la vulnérabilité sur plusieurs mois, ce qui a abouti à la mise en production le 17 septembre 2018 d’un correctif permettant de mettre définitivement un terme à la vulnérabilité.

Cependant en l'espèce, la formation restreinte de la CNIL fait valoir que l'accès supposait la simple modification d'une variable dans l'adresse URL et que la nature des données pouvant être accessible a été considérée comme une circonstance aggravante.

D’autre part, la commission rappelle que la collecte par la société SERGIC des données personnelles des candidats a pour finalité l’attribution de logements. Dès lors que cette finalité est atteinte, les données personnelles des candidats n’ayant pas accédé à la location ne peuvent plus être conservées au-delà de trois mois, au sein de la base de données active et au-delà faire l’objet d’une séparation logique voire d’un archivage intermédiaire.

Or l’administrateur a indiqué à la délégation de la CNIL que les documents transmis par les candidats n’ayant pas accédé à la location, n’étaient pas supprimés et qu’aucune purge n’était mise en œuvre en base de données.

Il ressort de ces différents éléments que la société SERGIC conservait en base active les données à caractère personnel des candidats n’ayant pas accédé à la location pour une durée excédant dans des proportions importantes celle nécessaire à la réalisation de la finalité du traitement, à savoir l’attribution de logements, sans qu’aucune solution d’archivage intermédiaire n’ait été mise en place.

Pour ces motifs la formation restreinte de la CNIL, après en avoir délibéré, décide notamment de prononcer à l’encontre de la société SERGIC, une amende administrative d’un montant de 400 000 (quatre cent mille) euros ;

 

CNIL, Délib. n° SAN-2019-005, 28 mai 2019