Le droit des sociétés plus fort que la protection des données personnelles ?

Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Counsel

CJUE, 9 mars 2017, affaire n°C 398/15

L’accessibilité perpétuelle aux données relatives aux personnes physiques figurant sur le registre des sociétés susceptible, en tant que telle, de limiter la portée du droit à l’oubli, est justifiée par des intérêts collectifs et légitimes supérieurs aux intérêts individuels.

Ce qu’il faut retenir : L’accessibilité perpétuelle aux données relatives aux personnes physiques figurant sur le registre des sociétés susceptible, en tant que telle, de limiter la portée du droit à l’oubli, est justifiée par des intérêts collectifs et légitimes supérieurs aux intérêts individuels.
 

Pour approfondir : Le 9 mars 2017, la Cour de justice de l’Union européenne (CJUE) a rendu un arrêt intéressant délimitant les contours du droit à l’oubli, pourtant largement consacré par son fameux arrêt Google Spain.

Dans cette affaire, la cour a dû se prononcer sur l’application du droit à l’oubli aux données à caractère personnel figurant dans un registre de sociétés en mettant en concurrence, d’une part, le droit des sociétés et, d’autre part, la protection des données personnelles.
 

1/ Les faits

L’administrateur unique d’une société italienne s’est vu attribuer un marché pour la construction d’un complexe touristique.

Soutenant que les immeubles de ce complexe ne se vendaient pas en raison du fait qu’il résultait du registre des sociétés qu’il avait été, dans le passé, l’administrateur unique et le liquidateur d’une autre société en situation de faillite et qui a été radiée du registre des sociétés à l’issue d’une procédure de liquidation, il attrait en justice la chambre de commerce de Lecce le 12 décembre 2007.

Dans ce cadre, il fait notamment prévaloir le fait que ses données à caractère personnel figurant dans le registre des sociétés ont été traitées par une société spécialisée dans la collecte et le traitement d’informations de marché et dans l’évaluation des risques, et ont fait l’objet d’une demande de suppression auprès de la chambre de commerce de Lecce, laquelle n’y a pas fait droit.

Il a ainsi demandé, d’une part, qu’il soit ordonné à la chambre de commerce de Lecce de radier, de rendre anonyme ou de bloquer les données qui le lient à la faillite de sa précédente société et, d’autre part, que cette chambre de commerce soit condamnée à réparer le préjudice qu’il a subi en raison de l’atteinte à sa réputation.

Le Tribunal de Lecce a fait droit à cette demande, en estimant que « les inscriptions qui lient le nom d’une personne physique à une phase critique de la vie de l’entreprise (comme la faillite) ne peuvent être pérennes, à défaut d’un intérêt général spécifique à leur conservation et divulgation ».

La chambre de commerce de Lecce a alors formé un pourvoi en cassation contre ce jugement. C’est dans ce contexte que la Cour de cassation italienne a décidé de surseoir à statuer et de poser des questions préjudicielles à la CJUE.
 

2/ Les questions préjudicielles ?

La Cour de cassation a formulé les questions préjudicielles suivantes :

1° « Le principe de conservation des données à caractère personnel sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement, [prévu à l’article 6 de la directive 94/46 sur la protection des données personnelles], doit-il prévaloir et donc s’oppose-t-il au système de publicité mis en place avec le registre des sociétés, prévu par la directive 68/151, ainsi que par le droit national (…) [qui prévoit que] quiconque, sans aucune limite de temps, puisse connaître les données relatives aux personnes physiques y figurant ?

 En conséquence, l’article 3 de la directive 68/151 permet-il que, par dérogation à la durée illimitée et au caractère indéterminé des destinataires des données publiées au registre des sociétés, les données en cause ne soient plus soumises à la “publicité mais soient au contraire accessibles seulement pour une durée limitée ou à l’égard de destinataires déterminés, en vertu d’une appréciation au cas par cas confiée au gérant des données ? »
 

3/ Les réponses de la CJUE

A titre liminaire, la Cour a rappelé que les questions préjudicielles devaient être appréciées eu regard à l’accessibilité aux tiers des données figurant dans le registre des sociétés tenu sous la responsabilité de la chambre de commerce de Lecce et non au regard du  traitement ultérieur des données effectué par la société spécialisée dans l’évaluation des risques.

Les magistrats communautaires ont ainsi rappelé que ce traitement de données à caractère personnel est légitime et licite, en ce qu’il répond à une obligation légale.

S’agissant plus particulièrement du point de savoir si l’autorité chargée de la tenue du registre doit, à l’expiration d’un certain délai après la cessation des activités d’une société et sur demande de la personne concernée, soit effacer ou rendre anonymes ces données à caractère personnel, soit en limiter la publicité, la Cour rappelle que selon l’article 6, paragraphe 1, sous e), de la directive 95/46, « les États membres prévoient que les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement ».  

En cas de non-respect de cette condition de conservation limitée, les États membres garantissent à la personne concernée le droit d’obtenir du responsable du traitement, selon le cas, l’effacement ou le verrouillage des données concernées. La CJUE rappelle ici le raisonnement suivi dans les affaires Google Spain et Google.

Afin de déterminer si les États membres sont tenus de prévoir pour les personnes concernées le droit de demander à l’autorité chargée de la tenue du registre d’effacer ou de verrouiller après un certain temps les données à caractère personnel inscrites dans ce registre, ou d’en restreindre l’accès, la Cour relève d’abord que  la finalité de cette inscription consiste à permettre aux tiers de connaître les actes essentiels de la société concernée et certaines indications la concernant, notamment l’identité des personnes qui ont le pouvoir de l’engager et ce, notamment dans le but d’assurer la sécurité juridique dans les rapports entre les sociétés et les tiers.

Suivant les conclusions de l’avocat général, la CJUE précise que, même après la dissolution d’une société, des droits et des relations juridiques relatifs à celle-ci peuvent subsister.

En outre, compte tenu de la « multitude des scénarios possibles, qui peuvent impliquer des acteurs dans plusieurs États membres, et de l’importante hétérogénéité dans les délais de prescription prévus par les différents droits nationaux dans les différents domaines du droit », la CJUE en conclu qu’il est impossible d’identifier un délai unique, à compter de la dissolution d’une société, à l’expiration duquel l’inscription desdites données dans le registre et leur publicité ne serait plus nécessaire.

Dans ces conditions, les États membres ne sauraient garantir aux personnes concernées le droit d’obtenir par principe après un certain délai à compter de la dissolution de la société concernée l’effacement des données à caractère personnel les concernant, qui ont été inscrites au registre en application des obligations en matière de publicité.

La CJUE considère à ce titre que cette absence de garantie ne saurait être interprétée comme une restriction à la protection de la vie privée ou à une violation de celle-ci dans la mesure où la publicité n’est imposée, en vertu du droit de l’Union, que pour un nombre limité de données à caractère personnel (l’identité et les fonctions respectives des personnes ayant le pouvoir d’engager la société concernée à l’égard des tiers et de la représenter en justice, ou participant à l’administration, à la surveillance ou au contrôle de cette société, ou ayant été nommées comme liquidateur de celle-ci).

De plus, les sociétés concernées par cette publicité n’offrent comme garantie à l’égard des tiers que leur patrimoine social, ce qui comporte un risque économique accru pour ces derniers.

Partant, la CJUE considère qu’il est « justifié que les personnes physiques choisissant de participer aux échanges économiques par l’intermédiaire d’une telle société soient obligées de rendre publiques les données tenant à leur identité et à leurs fonctions au sein de celle-ci, d’autant plus qu’elles sont conscientes de cette obligation au moment où elles décident de s’engager dans une telle activité ».

Dès lors, il résulte de ce qui précède que la nécessité de protéger les intérêts des tiers, la loyauté des transactions commerciales et ainsi le bon fonctionnement du marché intérieur prévaut.

Toutefois, la Cour n’exclut pas que puissent exister des situations particulières dans lesquelles des raisons prépondérantes et légitimes tenant au cas concret de la personne concernée justifient exceptionnellement que l’accès aux données à caractère personnel la concernant inscrites dans le registre soit limité, à l’expiration d’un délai suffisamment long après la dissolution de la société en question, aux tiers justifiant d’un intérêt spécifique à leur consultation.

Cette appréciation appartiendrait alors aux législateurs nationaux.

La CJUE poursuit, qu’à supposer qu’il résulte d’une vérification que le droit national permet de telles demandes, il appartiendra à la juridiction de renvoi d’apprécier, au regard de l’ensemble des circonstances pertinentes et en tenant compte du délai écoulé depuis la dissolution de la société concernée, l’existence éventuelle de raisons prépondérantes et légitimes qui seraient de nature à justifier exceptionnellement de limiter l’accès des tiers aux données concernant l’administrateur de la société italienne dans le registre des sociétés.

En tout état de cause, pour la CJUE, la seule circonstance que les immeubles du complexe touristique construit par la société dont il est actuellement l’administrateur unique, ne se vendent pas en raison du fait que des acheteurs potentiels de ces immeubles ont accès à ces données dans le registre des sociétés, ne saurait suffire à constituer une telle raison, compte tenu notamment de l’intérêt légitime de ces derniers de disposer de ces informations.

Dans cet arrêt, la CJUE dessine de nouveaux contours au droit à l’oubli dont la portée se trouve limitée en raison d’intérêts collectifs et légitimes supérieurs aux intérêts individuels des personnes concernées par le traitement de leurs données à caractère personnel.
 

A rapprocher : Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
Démarchage téléphonique et dispositif Bloctel : la DGCCRF multiplie contrôles et sanctions
Le démarchage téléphonique est régi par les dispositions du Code de la consommation, lesquelles imposent, d’une part, une information claire relative au droit de s’opposer au démarchage téléphonique lors de la collecte de numéros de téléphone et, d’autre part, l’obligation…