Le droit des sociétés plus fort que la protection des données personnelles ?

Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Avocat

CJUE, 9 mars 2017, affaire n°C 398/15

L’accessibilité perpétuelle aux données relatives aux personnes physiques figurant sur le registre des sociétés susceptible, en tant que telle, de limiter la portée du droit à l’oubli, est justifiée par des intérêts collectifs et légitimes supérieurs aux intérêts individuels.

Ce qu’il faut retenir : L’accessibilité perpétuelle aux données relatives aux personnes physiques figurant sur le registre des sociétés susceptible, en tant que telle, de limiter la portée du droit à l’oubli, est justifiée par des intérêts collectifs et légitimes supérieurs aux intérêts individuels.
 

Pour approfondir : Le 9 mars 2017, la Cour de justice de l’Union européenne (CJUE) a rendu un arrêt intéressant délimitant les contours du droit à l’oubli, pourtant largement consacré par son fameux arrêt Google Spain.

Dans cette affaire, la cour a dû se prononcer sur l’application du droit à l’oubli aux données à caractère personnel figurant dans un registre de sociétés en mettant en concurrence, d’une part, le droit des sociétés et, d’autre part, la protection des données personnelles.
 

1/ Les faits

L’administrateur unique d’une société italienne s’est vu attribuer un marché pour la construction d’un complexe touristique.

Soutenant que les immeubles de ce complexe ne se vendaient pas en raison du fait qu’il résultait du registre des sociétés qu’il avait été, dans le passé, l’administrateur unique et le liquidateur d’une autre société en situation de faillite et qui a été radiée du registre des sociétés à l’issue d’une procédure de liquidation, il attrait en justice la chambre de commerce de Lecce le 12 décembre 2007.

Dans ce cadre, il fait notamment prévaloir le fait que ses données à caractère personnel figurant dans le registre des sociétés ont été traitées par une société spécialisée dans la collecte et le traitement d’informations de marché et dans l’évaluation des risques, et ont fait l’objet d’une demande de suppression auprès de la chambre de commerce de Lecce, laquelle n’y a pas fait droit.

Il a ainsi demandé, d’une part, qu’il soit ordonné à la chambre de commerce de Lecce de radier, de rendre anonyme ou de bloquer les données qui le lient à la faillite de sa précédente société et, d’autre part, que cette chambre de commerce soit condamnée à réparer le préjudice qu’il a subi en raison de l’atteinte à sa réputation.

Le Tribunal de Lecce a fait droit à cette demande, en estimant que « les inscriptions qui lient le nom d’une personne physique à une phase critique de la vie de l’entreprise (comme la faillite) ne peuvent être pérennes, à défaut d’un intérêt général spécifique à leur conservation et divulgation ».

La chambre de commerce de Lecce a alors formé un pourvoi en cassation contre ce jugement. C’est dans ce contexte que la Cour de cassation italienne a décidé de surseoir à statuer et de poser des questions préjudicielles à la CJUE.
 

2/ Les questions préjudicielles ?

La Cour de cassation a formulé les questions préjudicielles suivantes :

1° « Le principe de conservation des données à caractère personnel sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement, [prévu à l’article 6 de la directive 94/46 sur la protection des données personnelles], doit-il prévaloir et donc s’oppose-t-il au système de publicité mis en place avec le registre des sociétés, prévu par la directive 68/151, ainsi que par le droit national (…) [qui prévoit que] quiconque, sans aucune limite de temps, puisse connaître les données relatives aux personnes physiques y figurant ?

En conséquence, l’article 3 de la directive 68/151 permet-il que, par dérogation à la durée illimitée et au caractère indéterminé des destinataires des données publiées au registre des sociétés, les données en cause ne soient plus soumises à la “publicité mais soient au contraire accessibles seulement pour une durée limitée ou à l’égard de destinataires déterminés, en vertu d’une appréciation au cas par cas confiée au gérant des données ? »
 

3/ Les réponses de la CJUE

A titre liminaire, la Cour a rappelé que les questions préjudicielles devaient être appréciées eu regard à l’accessibilité aux tiers des données figurant dans le registre des sociétés tenu sous la responsabilité de la chambre de commerce de Lecce et non au regard du  traitement ultérieur des données effectué par la société spécialisée dans l’évaluation des risques.

Les magistrats communautaires ont ainsi rappelé que ce traitement de données à caractère personnel est légitime et licite, en ce qu’il répond à une obligation légale.

S’agissant plus particulièrement du point de savoir si l’autorité chargée de la tenue du registre doit, à l’expiration d’un certain délai après la cessation des activités d’une société et sur demande de la personne concernée, soit effacer ou rendre anonymes ces données à caractère personnel, soit en limiter la publicité, la Cour rappelle que selon l’article 6, paragraphe 1, sous e), de la directive 95/46, « les États membres prévoient que les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement ».  

En cas de non-respect de cette condition de conservation limitée, les États membres garantissent à la personne concernée le droit d’obtenir du responsable du traitement, selon le cas, l’effacement ou le verrouillage des données concernées. La CJUE rappelle ici le raisonnement suivi dans les affaires Google Spain et Google.

Afin de déterminer si les États membres sont tenus de prévoir pour les personnes concernées le droit de demander à l’autorité chargée de la tenue du registre d’effacer ou de verrouiller après un certain temps les données à caractère personnel inscrites dans ce registre, ou d’en restreindre l’accès, la Cour relève d’abord que  la finalité de cette inscription consiste à permettre aux tiers de connaître les actes essentiels de la société concernée et certaines indications la concernant, notamment l’identité des personnes qui ont le pouvoir de l’engager et ce, notamment dans le but d’assurer la sécurité juridique dans les rapports entre les sociétés et les tiers.

Suivant les conclusions de l’avocat général, la CJUE précise que, même après la dissolution d’une société, des droits et des relations juridiques relatifs à celle-ci peuvent subsister.

En outre, compte tenu de la « multitude des scénarios possibles, qui peuvent impliquer des acteurs dans plusieurs États membres, et de l’importante hétérogénéité dans les délais de prescription prévus par les différents droits nationaux dans les différents domaines du droit », la CJUE en conclu qu’il est impossible d’identifier un délai unique, à compter de la dissolution d’une société, à l’expiration duquel l’inscription desdites données dans le registre et leur publicité ne serait plus nécessaire.

Dans ces conditions, les États membres ne sauraient garantir aux personnes concernées le droit d’obtenir par principe après un certain délai à compter de la dissolution de la société concernée l’effacement des données à caractère personnel les concernant, qui ont été inscrites au registre en application des obligations en matière de publicité.

La CJUE considère à ce titre que cette absence de garantie ne saurait être interprétée comme une restriction à la protection de la vie privée ou à une violation de celle-ci dans la mesure où la publicité n’est imposée, en vertu du droit de l’Union, que pour un nombre limité de données à caractère personnel (l’identité et les fonctions respectives des personnes ayant le pouvoir d’engager la société concernée à l’égard des tiers et de la représenter en justice, ou participant à l’administration, à la surveillance ou au contrôle de cette société, ou ayant été nommées comme liquidateur de celle-ci).

De plus, les sociétés concernées par cette publicité n’offrent comme garantie à l’égard des tiers que leur patrimoine social, ce qui comporte un risque économique accru pour ces derniers.

Partant, la CJUE considère qu’il est « justifié que les personnes physiques choisissant de participer aux échanges économiques par l’intermédiaire d’une telle société soient obligées de rendre publiques les données tenant à leur identité et à leurs fonctions au sein de celle-ci, d’autant plus qu’elles sont conscientes de cette obligation au moment où elles décident de s’engager dans une telle activité ».

Dès lors, il résulte de ce qui précède que la nécessité de protéger les intérêts des tiers, la loyauté des transactions commerciales et ainsi le bon fonctionnement du marché intérieur prévaut.

Toutefois, la Cour n’exclut pas que puissent exister des situations particulières dans lesquelles des raisons prépondérantes et légitimes tenant au cas concret de la personne concernée justifient exceptionnellement que l’accès aux données à caractère personnel la concernant inscrites dans le registre soit limité, à l’expiration d’un délai suffisamment long après la dissolution de la société en question, aux tiers justifiant d’un intérêt spécifique à leur consultation.

Cette appréciation appartiendrait alors aux législateurs nationaux.

La CJUE poursuit, qu’à supposer qu’il résulte d’une vérification que le droit national permet de telles demandes, il appartiendra à la juridiction de renvoi d’apprécier, au regard de l’ensemble des circonstances pertinentes et en tenant compte du délai écoulé depuis la dissolution de la société concernée, l’existence éventuelle de raisons prépondérantes et légitimes qui seraient de nature à justifier exceptionnellement de limiter l’accès des tiers aux données concernant l’administrateur de la société italienne dans le registre des sociétés.

En tout état de cause, pour la CJUE, la seule circonstance que les immeubles du complexe touristique construit par la société dont il est actuellement l’administrateur unique, ne se vendent pas en raison du fait que des acheteurs potentiels de ces immeubles ont accès à ces données dans le registre des sociétés, ne saurait suffire à constituer une telle raison, compte tenu notamment de l’intérêt légitime de ces derniers de disposer de ces informations.

Dans cet arrêt, la CJUE dessine de nouveaux contours au droit à l’oubli dont la portée se trouve limitée en raison d’intérêts collectifs et légitimes supérieurs aux intérêts individuels des personnes concernées par le traitement de leurs données à caractère personnel.
 

A rapprocher : Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ; RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

Sommaire

Autres articles

some
La cour d’appel de Paris apporte des précisions sur le régime applicable en matière de violation de licence de logiciel
La cour d’appel de Paris a, dans un arrêt du 19 mars 2021, considéré que la violation d’un contrat de licence de logiciel ne relevait pas de la responsabilité délictuelle mais de la responsabilité contractuelle.
some
Publication d’un avis de la Commission Supérieure du Numérique et des Postes portant recommandations dans le domaine de la sécurité numérique
La CSNP a publié [...] un avis portant recommandations dans le domaine de la sécurité numérique, et plaidant notamment pour la création d’un parquet national consacré à la cybercriminalité et pour la création d’un dispositif dédié au paiement des rançons
some
Le Conseil d’Etat se prononce sur la conservation des données de connexion à des fins de sauvegarde de la sécurité nationale
Dans une décision en date du 21 avril 2021, le Conseil d’Etat s’est prononcé sur la conformité du droit français au droit européen en matière de conservation des données de connexion par les fournisseurs de services de communications électroniques.
some
Le révolutionnaire avis client
À l’heure où le marketing traditionnel est remis en cause, l’importance de l’avis client est grandissante. 88 % des internautes consultent les avis clients avant un achat en ligne et 73 % avant un achat en boutique .
some
La Commission européenne apporte des éclaircissements concernant les transferts de données personnelles vers le Royaume Uni
La Commission européenne a annoncé avoir engagé des démarches pour autoriser de façon générale les transferts de données à caractère personnel vers le Royaume Uni en publiant le 19 février 2021 deux projets de décisions dites « d’adéquation ».
some
Blocage de sites proposant des produits contrefaisants
En cas d’atteinte à une marque, le titulaire de celle-ci peut solliciter des mesures de blocage d’accès à des sites internet auprès des FAI sur le fondement de l’article 6-I-8 de la LCEN.