webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

Le droit des sociétés plus fort que la protection des données personnelles ?

CJUE, 9 mars 2017, affaire n°C 398/15

L’accessibilité perpétuelle aux données relatives aux personnes physiques figurant sur le registre des sociétés susceptible, en tant que telle, de limiter la portée du droit à l’oubli, est justifiée par des intérêts collectifs et légitimes supérieurs aux intérêts individuels.

Ce qu’il faut retenir : L’accessibilité perpétuelle aux données relatives aux personnes physiques figurant sur le registre des sociétés susceptible, en tant que telle, de limiter la portée du droit à l’oubli, est justifiée par des intérêts collectifs et légitimes supérieurs aux intérêts individuels.
 

Pour approfondir : Le 9 mars 2017, la Cour de justice de l’Union européenne (CJUE) a rendu un arrêt intéressant délimitant les contours du droit à l’oubli, pourtant largement consacré par son fameux arrêt Google Spain.

Dans cette affaire, la cour a dû se prononcer sur l’application du droit à l’oubli aux données à caractère personnel figurant dans un registre de sociétés en mettant en concurrence, d’une part, le droit des sociétés et, d’autre part, la protection des données personnelles.
 

1/ Les faits

L’administrateur unique d’une société italienne s’est vu attribuer un marché pour la construction d’un complexe touristique.

Soutenant que les immeubles de ce complexe ne se vendaient pas en raison du fait qu’il résultait du registre des sociétés qu’il avait été, dans le passé, l’administrateur unique et le liquidateur d’une autre société en situation de faillite et qui a été radiée du registre des sociétés à l’issue d’une procédure de liquidation, il attrait en justice la chambre de commerce de Lecce le 12 décembre 2007.

Dans ce cadre, il fait notamment prévaloir le fait que ses données à caractère personnel figurant dans le registre des sociétés ont été traitées par une société spécialisée dans la collecte et le traitement d’informations de marché et dans l’évaluation des risques, et ont fait l’objet d’une demande de suppression auprès de la chambre de commerce de Lecce, laquelle n’y a pas fait droit.

Il a ainsi demandé, d’une part, qu’il soit ordonné à la chambre de commerce de Lecce de radier, de rendre anonyme ou de bloquer les données qui le lient à la faillite de sa précédente société et, d’autre part, que cette chambre de commerce soit condamnée à réparer le préjudice qu’il a subi en raison de l’atteinte à sa réputation.

Le Tribunal de Lecce a fait droit à cette demande, en estimant que « les inscriptions qui lient le nom d’une personne physique à une phase critique de la vie de l’entreprise (comme la faillite) ne peuvent être pérennes, à défaut d’un intérêt général spécifique à leur conservation et divulgation ».

La chambre de commerce de Lecce a alors formé un pourvoi en cassation contre ce jugement. C’est dans ce contexte que la Cour de cassation italienne a décidé de surseoir à statuer et de poser des questions préjudicielles à la CJUE.
 

2/ Les questions préjudicielles ?

La Cour de cassation a formulé les questions préjudicielles suivantes :

1° « Le principe de conservation des données à caractère personnel sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement, [prévu à l’article 6 de la directive 94/46 sur la protection des données personnelles], doit-il prévaloir et donc s’oppose-t-il au système de publicité mis en place avec le registre des sociétés, prévu par la directive 68/151, ainsi que par le droit national (…) [qui prévoit que] quiconque, sans aucune limite de temps, puisse connaître les données relatives aux personnes physiques y figurant ?

 En conséquence, l’article 3 de la directive 68/151 permet-il que, par dérogation à la durée illimitée et au caractère indéterminé des destinataires des données publiées au registre des sociétés, les données en cause ne soient plus soumises à la “publicité mais soient au contraire accessibles seulement pour une durée limitée ou à l’égard de destinataires déterminés, en vertu d’une appréciation au cas par cas confiée au gérant des données ? »
 

3/ Les réponses de la CJUE

A titre liminaire, la Cour a rappelé que les questions préjudicielles devaient être appréciées eu regard à l’accessibilité aux tiers des données figurant dans le registre des sociétés tenu sous la responsabilité de la chambre de commerce de Lecce et non au regard du  traitement ultérieur des données effectué par la société spécialisée dans l’évaluation des risques.

Les magistrats communautaires ont ainsi rappelé que ce traitement de données à caractère personnel est légitime et licite, en ce qu’il répond à une obligation légale.

S’agissant plus particulièrement du point de savoir si l’autorité chargée de la tenue du registre doit, à l’expiration d’un certain délai après la cessation des activités d’une société et sur demande de la personne concernée, soit effacer ou rendre anonymes ces données à caractère personnel, soit en limiter la publicité, la Cour rappelle que selon l’article 6, paragraphe 1, sous e), de la directive 95/46, « les États membres prévoient que les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement ».  

En cas de non-respect de cette condition de conservation limitée, les États membres garantissent à la personne concernée le droit d’obtenir du responsable du traitement, selon le cas, l’effacement ou le verrouillage des données concernées. La CJUE rappelle ici le raisonnement suivi dans les affaires Google Spain et Google.

Afin de déterminer si les États membres sont tenus de prévoir pour les personnes concernées le droit de demander à l’autorité chargée de la tenue du registre d’effacer ou de verrouiller après un certain temps les données à caractère personnel inscrites dans ce registre, ou d’en restreindre l’accès, la Cour relève d’abord que  la finalité de cette inscription consiste à permettre aux tiers de connaître les actes essentiels de la société concernée et certaines indications la concernant, notamment l’identité des personnes qui ont le pouvoir de l’engager et ce, notamment dans le but d’assurer la sécurité juridique dans les rapports entre les sociétés et les tiers.

Suivant les conclusions de l’avocat général, la CJUE précise que, même après la dissolution d’une société, des droits et des relations juridiques relatifs à celle-ci peuvent subsister.

En outre, compte tenu de la « multitude des scénarios possibles, qui peuvent impliquer des acteurs dans plusieurs États membres, et de l’importante hétérogénéité dans les délais de prescription prévus par les différents droits nationaux dans les différents domaines du droit », la CJUE en conclu qu’il est impossible d’identifier un délai unique, à compter de la dissolution d’une société, à l’expiration duquel l’inscription desdites données dans le registre et leur publicité ne serait plus nécessaire.

Dans ces conditions, les États membres ne sauraient garantir aux personnes concernées le droit d’obtenir par principe après un certain délai à compter de la dissolution de la société concernée l’effacement des données à caractère personnel les concernant, qui ont été inscrites au registre en application des obligations en matière de publicité.

La CJUE considère à ce titre que cette absence de garantie ne saurait être interprétée comme une restriction à la protection de la vie privée ou à une violation de celle-ci dans la mesure où la publicité n’est imposée, en vertu du droit de l’Union, que pour un nombre limité de données à caractère personnel (l’identité et les fonctions respectives des personnes ayant le pouvoir d’engager la société concernée à l’égard des tiers et de la représenter en justice, ou participant à l’administration, à la surveillance ou au contrôle de cette société, ou ayant été nommées comme liquidateur de celle-ci).

De plus, les sociétés concernées par cette publicité n’offrent comme garantie à l’égard des tiers que leur patrimoine social, ce qui comporte un risque économique accru pour ces derniers.

Partant, la CJUE considère qu’il est « justifié que les personnes physiques choisissant de participer aux échanges économiques par l’intermédiaire d’une telle société soient obligées de rendre publiques les données tenant à leur identité et à leurs fonctions au sein de celle-ci, d’autant plus qu’elles sont conscientes de cette obligation au moment où elles décident de s’engager dans une telle activité ».

Dès lors, il résulte de ce qui précède que la nécessité de protéger les intérêts des tiers, la loyauté des transactions commerciales et ainsi le bon fonctionnement du marché intérieur prévaut.

Toutefois, la Cour n’exclut pas que puissent exister des situations particulières dans lesquelles des raisons prépondérantes et légitimes tenant au cas concret de la personne concernée justifient exceptionnellement que l’accès aux données à caractère personnel la concernant inscrites dans le registre soit limité, à l’expiration d’un délai suffisamment long après la dissolution de la société en question, aux tiers justifiant d’un intérêt spécifique à leur consultation.

Cette appréciation appartiendrait alors aux législateurs nationaux.

La CJUE poursuit, qu’à supposer qu’il résulte d’une vérification que le droit national permet de telles demandes, il appartiendra à la juridiction de renvoi d’apprécier, au regard de l’ensemble des circonstances pertinentes et en tenant compte du délai écoulé depuis la dissolution de la société concernée, l’existence éventuelle de raisons prépondérantes et légitimes qui seraient de nature à justifier exceptionnellement de limiter l’accès des tiers aux données concernant l’administrateur de la société italienne dans le registre des sociétés.

En tout état de cause, pour la CJUE, la seule circonstance que les immeubles du complexe touristique construit par la société dont il est actuellement l’administrateur unique, ne se vendent pas en raison du fait que des acheteurs potentiels de ces immeubles ont accès à ces données dans le registre des sociétés, ne saurait suffire à constituer une telle raison, compte tenu notamment de l’intérêt légitime de ces derniers de disposer de ces informations.

Dans cet arrêt, la CJUE dessine de nouveaux contours au droit à l’oubli dont la portée se trouve limitée en raison d’intérêts collectifs et légitimes supérieurs aux intérêts individuels des personnes concernées par le traitement de leurs données à caractère personnel.
 

A rapprocher : Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

VOIR AUSSI

Statut du DPO salarié : quelques précisions

Question écrite n°02896 de M. Raynal – JO Sénat du 25 janvier 2018

- Vu : 220

Le délégué à la protection des données ne bénéficie pas du statut de salarié protégé au sens du droit du travail. Cependant, il bénéficie d’une protection dans l’exercice de ses fonctions, garantie par le RGPD entré en application le 25 mai 2018.

> Lire la suite

Manquement à l’obligation de sécurité des données : OPTICAL CENTER condamnée à 250 000 € d’amende

CNIL, Délibération n°SAN- 2018-002 du 7 mai 2018

- Vu : 296

La CNIL a condamné la société OPTICAL CENTER à régler une sanction pécuniaire à hauteur de 250 000 €, après avoir constaté que cette dernière avait manqué à son obligation d’assurer la sécurité et la confidentialité des données de ses clients enregistrées sur son site internet.

> Lire la suite


Les plus vus...
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 2050
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 2042
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 1797
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
Protéger ses marques efficacement - 15 mai 2018 - Nantes
16 avril 2018 - Vu : 1275
SIMON ASSOCIÉS organise un petit-déjeuner sur le thème de la protection des marques le 15 mai 2018 à ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©