Par David Joseph Atias, avocat au Barreau de Paris · LinkedIn · Juin 2026
La cession fonds de commerce RGPD est l’un des angles juridiques les plus négligés dans les opérations d’acquisition de fonds. Pourtant, le fichier clients constitue souvent l’actif le plus précieux du fonds : sans lui, l’opération perd l’essentiel de sa valeur. Or, en 2026, son transfert est strictement encadré par le Règlement UE 2016/679 (RGPD). Cet article expose le cadre juridique, les bases légales mobilisables et la méthode opérationnelle pour sécuriser le transfert.
SOMMAIRE
- Pourquoi la cession fonds de commerce RGPD est devenue stratégique
- Le cadre juridique applicable
- Les 6 étapes pour transférer un fichier clients
- Tableau de synthèse des bases légales et criticité
- Les 5 pièges à éviter
- Pourquoi faire appel à Atias Avocats
- FAQ — Questions fréquentes
1. Pourquoi la cession fonds de commerce RGPD est devenue stratégique
Le sujet a longtemps été traité en marge du due diligence d’acquisition. Il est désormais central. Trois dynamiques expliquent l’urgence d’une approche structurée de la cession fonds de commerce RGPD en 2026.
1.1 Le fichier clients comme actif clé du fonds
Dans la plupart des cessions, le fichier clients représente entre 30 % et 70 % de la valorisation du fonds. Pour une enseigne de proximité, un cabinet d’expertise, une plateforme e-commerce ou une marque B2C, c’est le portefeuille de clients qui justifie l’essentiel du prix. Pourtant, ce portefeuille n’est valorisable que s’il est juridiquement transférable et exploitable par le cessionnaire. Un fichier non conforme à la cession fonds de commerce RGPD est, en pratique, un actif fragilisé.
1.2 Une intensification des contrôles CNIL post-cession
La CNIL a renforcé ses contrôles post-acquisition. Plusieurs sanctions récentes ont visé des cessionnaires ayant repris des fichiers sans mise en conformité préalable : absence d’information, conservation excessive, finalités requalifiées, prospection illicite. Les sanctions sont parfois lourdes, et le coût d’image significatif. Les acquéreurs hésitent désormais à signer sans audit RGPD préalable.
2. Le cadre juridique applicable
La cession fonds de commerce RGPD s’inscrit dans un cadre pluriel. Quatre corpus principaux se superposent et structurent la cession fonds de commerce RGPD.
2.1 Le droit commercial de la cession
Les articles L.141-1 et suivants du Code de commerce organisent la cession de fonds. Le fichier clients y est traité comme un élément incorporel du fonds, intégré à la clientèle. Sa transmission suit le régime de la cession et fait partie des actifs cédés sauf clause contraire. La loi du 17 mars 2014 (loi Hamon) a allégé les formalités mais maintenu les principes essentiels : publicité, opposition des créanciers, garantie d’éviction et de vice caché.
2.2 Le RGPD et l’article 6
L’article 6 du Règlement UE 2016/679 énumère les six bases légales possibles : consentement, exécution du contrat, obligation légale, sauvegarde des intérêts vitaux, mission d’intérêt public, intérêt légitime. Trois sont pertinentes pour la cession d’un fichier clients : le consentement (peu praticable à grande échelle), l’exécution du contrat (limitée aux contrats en cours) et l’intérêt légitime (utilisée majoritairement, validée par la doctrine CNIL et la CJUE).
2.3 Les articles 13 et 14 RGPD sur l’information
Les articles 13 et 14 du RGPD imposent une information transparente aux personnes concernées. L’article 14 s’applique spécifiquement quand les données ne sont pas collectées directement auprès de la personne, ce qui est exactement le cas du cessionnaire recevant un fichier. L’information doit être délivrée dans un délai raisonnable, n’excédant pas un mois (article 14.3), et couvre l’identité du nouveau responsable, les finalités, la base légale, les droits et la durée de conservation.
2.4 La doctrine CNIL et la jurisprudence CJUE
La doctrine CNIL encadre précisément la cession fonds de commerce RGPD. Plusieurs délibérations sanctionnent les acquisitions sans information préalable ou avec changement de finalité. La CJUE, dans plusieurs arrêts récents, a précisé la portée de l’intérêt légitime (art. 6.1.f) en exigeant un test d’équilibre rigoureux. La position européenne convergente impose désormais une formalisation écrite et documentée de chaque cession de fichier. Pour aller plus loin, consultez nos services en matière de contrats commerciaux et IT.
3. Les 6 étapes pour transférer un fichier clients
La cession fonds de commerce RGPD suit une démarche en six étapes successives. Chacune doit être documentée et formalisée pour résister à un contrôle de la cession fonds de commerce RGPD.
3.1 Auditer le fichier avant la cession (data discovery)
La première étape audite le fichier du cédant. Nature des données (identifiants, contacts, historique d’achat, données sensibles), sources de collecte (formulaires, achats, prospects), bases légales initiales déclarées, finalités originelles, durées de conservation, transferts éventuels, présence de mineurs. Cet audit, intégré au due diligence, conditionne la valorisation réelle du fichier et la stratégie de mise en conformité ultérieure.
3.2 Choisir la base légale du transfert
La deuxième étape choisit la base légale RGPD. Trois options s’offrent au cessionnaire. Le consentement (art. 6.1.a) reste l’option la plus sûre mais est rarement praticable à grande échelle. L’exécution du contrat (art. 6.1.b) convient si le cessionnaire reprend strictement les contrats en cours. L’intérêt légitime (art. 6.1.f) est utilisé dans 80 % des opérations, sous condition d’un test d’intérêt légitime documenté équilibrant intérêt du cessionnaire et droits des personnes.
3.3 Conduire un test d’intérêt légitime (LIA)
La troisième étape formalise le test d’intérêt légitime (LIA — Legitimate Interest Assessment). Ce test, conforme aux lignes directrices du Comité européen de la protection des données (EDPB), évalue trois critères : la légitimité de l’intérêt du cessionnaire (continuité commerciale), la nécessité de l’opération (pas d’alternative moins intrusive), et l’équilibre avec les droits et libertés des personnes. Sans LIA documenté, la base légale est fragile en cas de contrôle.
3.4 Rédiger les clauses RGPD du contrat de cession
La quatrième étape intègre les clauses RGPD dans le contrat de cession lui-même. Garantie de conformité du cédant, déclaration des bases légales, durées de conservation, absence de transfert hors UE non documenté, absence de violation non notifiée, indemnisation du cessionnaire en cas de manquement du cédant. Ces clauses constituent le filet de sécurité du cessionnaire face aux risques cachés du fichier acquis.
3.5 Informer les clients après la cession
La cinquième étape opère l’information des clients, conformément à l’article 14 RGPD. Cette information doit être individuelle (email ou courrier) lorsque les coordonnées le permettent, dans un délai n’excédant pas un mois après la cession. Elle précise l’identité du nouveau responsable, les finalités, la base légale, les destinataires, la durée de conservation et les droits. La preuve de l’envoi doit être conservée (logs d’envoi, accusés de réception).
3.6 Mettre à jour le registre des traitements
La dernière étape met à jour le registre des traitements du cessionnaire (article 30 RGPD). Le nouveau traitement intégrant le fichier acquis y est inscrit, avec sa base légale, ses finalités, ses durées, ses destinataires, ses mesures de sécurité. Cette inscription transforme la cession en pièce maîtresse du dossier de conformité du cessionnaire et facilite la défense en cas de contrôle ultérieur.
4. Tableau de synthèse des bases légales et criticité
Le tableau ci-dessous synthétise les trois bases légales pertinentes pour la cession d’un fichier clients, leurs conditions et leur criticité opérationnelle.
| Base légale | Conditions clés | Criticité |
|---|---|---|
| Consentement (art. 6.1.a) | Recueil individuel, libre, éclairé | 🟢 Sûre mais peu praticable |
| Exécution du contrat (art. 6.1.b) | Reprise stricte des contrats en cours | 🟠 Limitée aux finalités contractuelles |
| Intérêt légitime (art. 6.1.f) | LIA documenté + information art. 14 | 🔴 Mobilisée le plus souvent |
5. Les 5 pièges à éviter
Au-delà du cadre théorique, plusieurs pièges récurrents fragilisent les opérations en pratique. Les identifier permet d’éviter les contestations post-acquisition les plus fréquentes.
5.1 Considérer le transfert comme automatique
Le premier piège est de croire que le fichier suit le fonds sans démarche supplémentaire. C’est faux. Sur le plan commercial, le fichier est intégré au fonds. Sur le plan RGPD, il faut une base légale propre, une information, une mise à jour du registre. Sans ces formalités, le cessionnaire récupère un fichier juridiquement fragilisé, qui peut devenir inutilisable en cas de contrôle CNIL.
5.2 Changer la finalité du fichier sans nouvelle base
Le deuxième piège est le changement de finalité. Si le fichier d’origine a été collecté pour la vente de produits alimentaires, le cessionnaire ne peut pas l’utiliser pour de la prospection de services financiers sans une nouvelle base légale et une nouvelle information. Le principe de limitation des finalités (article 5.1.b RGPD) impose une compatibilité stricte entre finalité initiale et finalité ultérieure. Toute extension significative exige un nouveau consentement.
5.3 Omettre l’information des clients
Le troisième piège est l’omission de la lettre d’information. Beaucoup de cessionnaires oublient l’information ou la délaient au-delà du délai d’un mois. Cette étape est pourtant centrale dans toute cession fonds de commerce RGPD bien menée. Cette omission est désormais systématiquement sanctionnée. Une information collective tardive ou diffuse ne satisfait pas l’article 14. La preuve de l’envoi individuel est essentielle, surtout pour les opérations B2C avec de larges volumes de clients.
5.4 Négliger les garanties RGPD du cédant
Le quatrième piège concerne les garanties contractuelles. Beaucoup de contrats de cession se contentent d’une garantie de jouissance et de propriété, sans clause spécifique RGPD. Or, si le fichier acquis cache des violations passées (collecte sans consentement, durées excessives, transferts hors UE non documentés), le cessionnaire les hérite. Une clause de garantie RGPD précise, avec indemnisation du cessionnaire, est désormais standard sur les opérations sérieuses.
5.5 Sous-estimer l’AI Act si le fichier alimente une IA
Le cinquième piège, spécifique à 2026, concerne l’IA. Si le cessionnaire prévoit d’utiliser le fichier pour entraîner ou alimenter un système d’IA (scoring, recommandation, ciblage automatisé), le Règlement UE 2024/1689 (AI Act) s’applique en complément du RGPD. La cession doit alors anticiper la qualification AI Act du futur système, la documentation des données d’entraînement et, le cas échéant, la conduite d’une FRIA (analyse d’impact sur les droits fondamentaux) au titre de l’article 27.
6. Pourquoi faire appel à Atias Avocats
Sécuriser une cession fonds de commerce RGPD à la hauteur des enjeux exige une combinaison rare de compétences : maîtrise du droit commercial des cessions (Code de commerce L.141-1 et suivants), expertise approfondie du RGPD et des doctrines CNIL/EDPB, pratique des opérations M&A et du due diligence data, articulation avec l’AI Act lorsque le fichier alimente des systèmes d’IA. Cette pluridisciplinarité est précisément la valeur ajoutée d’un cabinet spécialisé en droit du numérique et droit commercial.
Atias Avocats accompagne repreneurs, cédants, conseils M&A, fonds d’investissement et fondateurs sur l’ensemble du sujet : audit RGPD pré-acquisition (data discovery), rédaction des clauses RGPD du contrat de cession, test d’intérêt légitime documenté, lettre d’information aux clients, mise à jour du registre des traitements, articulation avec l’AI Act, défense en cas de contrôle CNIL post-cession, contentieux en garantie RGPD. Pour aller plus loin, consultez nos services en matière de protection des données personnelles.
Conclusion
Le fichier clients est l’un des actifs les plus stratégiques d’un fonds de commerce, et la cession fonds de commerce RGPD en conditionne la valeur réelle. Mais son transfert est désormais soumis à un double régime juridique : droit commercial des cessions et RGPD. Une approche partielle, centrée uniquement sur l’acte de cession sans démarche RGPD, fragilise gravement l’opération. Les six étapes présentées ici, combinées à la vigilance sur les cinq pièges classiques, offrent un référentiel directement utilisable par repreneurs, cédants, conseils M&A et DPO.
Pour les acquéreurs, le réflexe doit être clair : intégrer le volet RGPD dès la lettre d’intention, conduire l’audit avant le closing, formaliser les clauses dans l’acte de cession, informer les clients dans le mois. C’est précisément cette discipline qui transforme un fichier acquis en actif réellement exploitable.
FAQ — Questions fréquentes
Le fichier clients est-il automatiquement transféré avec le fonds de commerce ?
Sur le plan civil et commercial, oui. Le fichier clients constitue un élément incorporel du fonds de commerce, au même titre que la clientèle, l’enseigne ou le nom commercial (articles L.141-1 et suivants du Code de commerce). Il est en principe inclus dans la cession sauf stipulation contraire. Mais sur le plan du droit des données personnelles, la cession fonds de commerce RGPD n’opère pas un transfert automatique inconditionnel. Le cessionnaire devient responsable de traitement et doit lui-même disposer d’une base légale, respecter les obligations d’information et les finalités initialement déclarées. Une jurisprudence constante de la CNIL et de la CJUE encadre ce double régime : transfert commercial valide ne signifie pas conformité RGPD acquise.
Quelle base légale RGPD pour le transfert du fichier clients ?
L’article 6 du RGPD énumère six bases légales possibles. Trois sont mobilisables en pratique pour une cession de fonds de commerce. Le consentement (art. 6.1.a) : juridiquement le plus sûr, mais pratiquement très difficile à recueillir auprès de tous les clients. L’exécution du contrat (art. 6.1.b) : applicable si le cessionnaire reprend strictement les contrats en cours du cédant, mais limité aux finalités contractuelles. L’intérêt légitime (art. 6.1.f) : le plus utilisé en pratique, validé par la doctrine CNIL et la CJUE sous conditions, notamment un test d’intérêt légitime documenté équilibrant intérêt du cessionnaire et droits des personnes. Le choix de la base légale conditionne ensuite toute la stratégie de mise en conformité.
Faut-il informer les clients du transfert ?
Oui, sans ambiguïté. Les articles 13 et 14 du RGPD imposent une information transparente lors de la collecte ou du transfert de données. En cas de cession, le cessionnaire doit informer les clients : de son identité, des finalités du traitement, de la base légale, des destinataires éventuels, de la durée de conservation, des droits des personnes. La doctrine CNIL recommande une information individuelle (email ou courrier) avant ou immédiatement après la cession, dans un délai raisonnable n’excédant pas un mois (article 14.3). Une information collective (mention sur le site, dans les locaux) n’est admise qu’à titre subsidiaire. Le défaut d’information est régulièrement sanctionné, parfois lourdement.
Quels documents juridiques préparer avant la cession ?
Cinq documents sont indispensables. L’audit RGPD du fichier (data discovery) : nature des données, sources de collecte, durées, transferts, bases légales actuelles. Le test d’intérêt légitime (Legitimate Interest Assessment, LIA) si cette base est retenue, formalisant l’équilibre entre intérêts. La clause RGPD du contrat de cession précisant les engagements et garanties croisées cédant/cessionnaire. La mention d’information clients (lettre ou email), conforme aux articles 13 et 14 RGPD. La mise à jour du registre des traitements (article 30) chez le cessionnaire. La cession fonds de commerce RGPD bien préparée intègre ces cinq documents dès la lettre d’intention, pas après le closing.
Contact : david@atiasavocats.com | LinkedIn: David Joseph Atias | https://www.atiasavocats.com | 42 rue de la Clef, 75005 Paris
Atias Avocats — RGPD, Cessions d’entreprise, Droit commercial, M&A
