La CJUE vient d'apporter d'importantes précisions concernant la conciliation entre le droit réglementant la protection des données personnelles et les impératifs de publicité légale en matière de droit des sociétés. 

Les faits étaient les suivants. 

Après la publication au registre du commerce bulgare de l'acte constitutif d'une société, un associé de celle-ci demande à l'agence en charge du registre d'effacer certaines des données personnelles le concernant, figurant dans l'acte ainsi mis à la disposition du public. Il soutient que cet acte contient non seulement les données personnelles qui doivent être mises à la disposition du public en vertu de la loi mais également d'autres données (telles que, par exemple, son numéro d'identification et son numéro de carte d'identité) qui ne sont pas requises par cette loi. 

L'agence en charge du registre réplique en faisant valoir qu'il résulte du droit bulgare que la demande d'inscription de la société au registre du commerce doit être accompagnée de copies du document dont l'inscription est demandée, dans lequel les données à caractère personnel autres que celles requises par la loi ont été occultées. Or, en l'espèce, le contrat de société ne comportait aucune donnée occultée. L'agence se prévaut à cet égard d'une disposition de la loi relative au registre qui prévoit que les personnes qui ont fourni des documents mentionnant des données personnelles non requises par la loi sont réputées avoir consenti à leur traitement par l'agence et à leur mise à disposition du public. L'agence refuse donc de supprimer les données en question. 

Saisie dans ce cadre de plusieurs questions préjudicielles, la CJUE apporte les précisions suivantes.

La Cour juge en premier lieu que l’autorité chargée de la tenue du registre du commerce d’un État membre de l'Union européenne, qui publie, dans ce registre, les données à caractère personnel figurant dans un contrat de société soumis à publicité obligatoire, est « responsable du traitement » desdites données, même lorsque ce contrat contient des données à caractère personnel non requises par cette directive ou par le droit de cet État.

Elle relève ainsi que l'autorité chargée du registre transcrit et conserve des données à caractère personnel reçues dans le cadre d’une demande d’inscription d’une société au registre du commerce, communique celles-ci à des tiers et les publie dans un bulletin, de sorte qu'elle effectue des traitements de données à caractère personnel pour lesquels elle est le responsable du traitement, ces traitements étant en outre distincts et postérieurs à la communication des données à caractère personnel effectuée par le demandeur de l'inscription et reçue par cette autorité. Enfin, cette dernière procède seule auxdits traitements, conformément aux finalités et aux modalités qui sont fixées la loi.

La CJUE juge par ailleurs que l'autorité en charge du registre ne peut pas refuser la demande d'effacement des données à caractère personnel non requises par le droit européen ou le droit national, figurant dans un contrat de société publié dans ce registre, au motif que la copie de ce contrat occultant ces données ne lui a pas été fournie comme le prévoyait le droit national. 

Elle s'appuie sur les raisons suivantes : 

- le traitement en cause ne devrait pas pouvoir être fondé sur le consentement de la personne concernée. En effet, la présomption de consentement prévue dans la loi bulgare ne paraît pas remplir les conditions requises par le RGPD (Règl. UE 2016/679 du 27-4-2016 art. 6, 1-a), faute pour un tel consentement de reposer sur un acte positif clair et dès lors qu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement qui est une autorité publique ;

- en l'absence de consentement de la personne concernée par le traitement, la licéité de ce traitement peut être fondée sur les dispositions du RGPD en vertu desquelles un traitement de données est licite s’il est nécessaire au respect d’une obligation légale (issue du droit de l'UE ou du droit national) à laquelle le responsable du traitement est soumis ou s'il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement (art. 6, 1-c et e). Or, en l'espèce, la mise à disposition du public de données qui ne sont requises ni par le droit européen ni par le droit national n'apparaît pas pouvoir être fondée sur ces motifs de licéité, ce traitement paraissant aller au-delà de ce qui est nécessaire à l'exécution de la mission dont l'agence est investie. 

- en présence d'un traitement illicite, il incomberait à l'agence d'effacer les données litigieuses. 

Quant bien même ce traitement serait jugé licite par le juge national au motif que la mise à la disposition du public des données non requises juridiquement était nécessaire pour éviter de retarder l'inscription de la société concernée (motif fondé sur l'exécution d'une mission d'intérêt publique ou relevant de l'exercice d'une autorité publique), la personne concernée n'en disposerait pas moins du droit de s'opposer au traitement et d'un droit à l’effacement ; aucun motif légitime impérieux ne semble en effet susceptible de s'opposer à une telle demande d'effacement, la société en cause étant désormais inscrite au registre du commerce et la nécessité de préserver l’intégrité et la fiabilité des actes des sociétés soumis à la publicité obligatoire ne pouvant imposer le maintien à la disposition du public de données à caractère personnel juridiquement non requises. 

Enfin, si le traitement devait être considéré comme nécessaire au respect d'une obligation légale et licite sous cet angle, une mise en balance entre les intérêts en présence devrait être effectuée qui pourrait déboucher sur des restrictions concernant les tiers autorisés à accéder aux données. 

En France, les statuts d’une SARL n’ont en principe à mentionner s'agissant de l’identité des associés, que leur nom et prénom, puisque la répartition des parts entre les associés doit y figurer (C. com. art. L 223-7). Pour les sociétés par actions, les statuts doivent préciser l'identité de toutes personnes physiques ou morales qui ont signé ou au nom de qui ont été signés les statuts ou le projet de statuts (C. com. art. R 224-2, 8°).

Mais en pratique, il est fréquent que les statuts de SARL et de sociétés par actions contiennent des mentions relatives aux associés ou actionnaires qui n’ont pas nécessairement à y figurer comme leur adresse personnelle, leur régime matrimonial, ces mentions étant notamment destinées à faciliter leur identification.

Or, on le sait, en France, les statuts doivent être joints à la demande d’immatriculation de la société au registre du commerce et des sociétés (C. com. art. R 123-103, al. 1), afin d’y être annexés et les inscriptions, actes et pièces qui figurent à ce registre sont destinés à être portés à la connaissance du public (art. L 123-1, II).

Une situation similaire à celle ayant fait l’objet du présent arrêt pourrait donc se présenter en France si les données à caractère personnel relatives aux associés ou actionnaires n’étaient pas occultées avant le dépôt des statuts au guichet unique électronique des formalités d’entreprises et, à notre avis, la solution rendue par la Cour s’appliquerait de la même façon.