Chacun sait qu’au RGPD la notion de données personnelles des personnes physiques est très large, l’article 4 au point 2, prévoit en effet :
« «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; »
S’agissant des personnes morales, le considérant 14 du RGPD les exclut de son champ d’application.
(14) La protection conférée par le présent règlement devrait s’appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données à caractère personnel. Le présent règlement ne couvre pas le traitement des données à caractère personnel qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale.
Mais toutes les entreprises n’étant pas des personnes morales, resterait-il en suspend la seule situation des données personnelles de ceux qui exercent en leur nom personnel ? Antérieurement au RGPD, la Cour justice s’était prononcée en faveur d’une balance entre les intérêts en cause c’est-à-dire l’intérêt de cette personne qui souhaitait la suppression de données personnelles la concernant et qui étaient accessibles en ligne, et la nécessité d’information du public.
Ttoutefois, dans ces annuaires professionnels existe bien souvent une troisième catégorie de données, les données personnelles des représentants légaux des personnes morales.
La décision de la CNIL du 15 septembre 2021 serait donc du plus grand intérêt.
Brièvement les faits
- Le site web ….. est un annuaire professionnel recensant les entreprises françaises et qui dresse, pour chacune d’elles, une fiche de présentation reprenant ses principales informations administratives, notamment le nom et l’adresse de son dirigeant. Ces données proviennent exclusivement de la base publique SIRENE publiée par l’INSEE sur son site web. Environ une fois par mois, le dirigeant de la société télécharge manuellement le fichier mis à disposition par l’INSEE et compare la nouvelle liste avec celle précédemment publiée sur le site web de la société pour mettre à jour sa base de données. Les dirigeants des sociétés peuvent créer un compte sur le site, pour accéder à un espace personnel permettant de souscrire aux offres commerciales de la société proposant une présentation personnalisée de leur entreprise.
Les circonstances de l’intervention de la CNIL
- La Commission nationale de l’informatique et des libertés (ci-après « la CNIL » ou « la Commission » ) a été destinataire, entre le 1er mars 2018 et le 16 mai 2019, de seize plaintes ……… relatives aux difficultés rencontrées lors de demandes d’effacement et de rectification des données à caractère personnel.
Mission de contrôle ( 135 demandes d’exercices des droits non traitées ), audition du dirigeant de la société exploitante cet annuaire professionnel, différentes demandes d‘informations auxquelles la société répond imparfaitement, mise en demeure et relance de celle-ci avec là aussi une réponse incomplète, différentes diligences de la CNIL qui vont la conduire à prononcer une sanction administrative de 3 000 € .
De quelles personnes physiques, les données présentes sur cet annuaire professionnel sont qualifiées au sens du RGPD de données personnelles par la CNIL ?
- L’article 4.1 du RGPD définit les « données à caractère personnel » comme « toute information se rapportant à une personne physique identifiée ou identifiable » .
- La société a émis des doutes quant au caractère personnel des données traitées et, partant, quant à la compétence de la Commission. Selon la société, les données qu’elle publie dans son annuaire ne sont pas soumises au règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 au motif qu’elles ne seraient pas des données à caractère personnel mais des données relatives à des entreprises.
- La rapporteure considère que les informations présentes sur ces pages contiennent des données qui ont le caractère de « données à caractère personnel » au sens du RGPD dès lors qu’elles permettent une identification directe d’une personne physique.
- La formation restreinte relève que les fiches relatives aux entreprises référencées dans l’annuaire accessible à partir du site web de la société font figurer, notamment, les noms, prénoms et adresses des personnes physiques lorsque celles-ci ont le statut d’autoentrepreneur ou lorsqu’elles exercent une profession libérale sans être membre d’une structure d’exercice. Dès lors, des données présentes sur les fiches se rapportent à une personne physique identifiée et ont ainsi le caractère de « données à caractère personnel » au sens du RGPD.
- A cet égard, la formation restreinte observe que la CNIL adopte cette position de manière constante, depuis de nombreuses années. Elle indiquait en ce sens, dès 1985, que « sont directement nominatives : les informations relatives aux dirigeants, quelle que soit la forme de l’entreprise, de même que les informations relatives aux électeurs dans le cadre de l’organisation des élections consulaires ; les informations relatives à la raison sociale de l’entreprise, dès lors qu’il s’agit d’une entreprise en nom » (délibération n° 85-45 du 15 octobre 1985). Le Conseil d’Etat affirme également que sont des données à caractère personnel les données qui permettent une identification directe d’une personne physique (voir en ce sens la décision Conseil d’État, 10ème SSJS, 30 décembre 2015, n° 376845, §8).
- La formation restreinte considère donc que les données traitées par ….. l’annuaire ….. sont des données à caractère personnel au sens de l’article 4.1 du Règlement et que les dispositions du Règlement sont applicables au traitement opéré par la société.
Pour mémoire à cet arrêt de 1985 du Conseil d’État, l’arrêt, le point 8 ne détaillait pas la nature des emplois de ces données personnelles :
8. En dernier lieu, aux termes du deuxième alinéa de l’article 2 de la loi du 6 janvier 1978 : » Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. « . Il résulte de cette définition que le nom et les coordonnées des personnes physiques, telles que leurs adresses et leurs numéros de téléphone, constituent des informations relatives à une personne physique identifiée et, par suite, des données à caractère personnel au sens des dispositions de la loi du 6 janvier 1978. Dès lors, que ces données soient des coordonnées professionnelles des personnes physiques en cause, et qu’elles soient le cas échéant par ailleurs rendues publiques, est sans incidence à cet égard ; c’est donc à bon droit, contrairement à ce qui est soutenu, que la Commission nationale de l’informatique et des libertés les a qualifiées de données à caractère personnel.
Sauf à cette référence « depuis de nombreuses années » qui renvoie à 1985, cette décision ne préciserait donc pas clairement si le RGPD s’applique ou non aux données personnelles des représentants légaux des sociétés personnes morales.