L’essentiel :

La CNIL considère que les dispositions du projet de décret dont elle est saisie poursuivent un objectif conforme à la réglementation relative à la protection des données à caractère personnel.

Elle recommande toutefois que le projet de décret soit complété afin de préciser que les personnes visées ont la possibilité de solliciter la confidentialité des informations relatives à leur domicile personnel à tout moment et indépendamment de motifs tirés de leur situation personnelle.

Si elle accueille favorablement les avancées sur le registre du commerce et des sociétés (RCS), la CNIL regrette plusieurs limitations dans le dispositif proposé. Elle invite le ministère, sous réserve de l’absence d’obstacle issu d’une disposition nationale ou européenne, à inclure l’hypothèse dans laquelle l’adresse du siège social et celle du domicile seraient confondues. Elle recommande, par ailleurs, de permettre à d’autres personnes physiques que celles visées à l’article R. 123-54 du code de commerce de solliciter la confidentialité des informations relatives à leur domicile personnel, s’il existe un risque que de telles informations figurent dans les pièces annexes publiées. Ces évolutions permettraient de ne pas priver le dispositif de sa portée et de son efficacité.

Enfin, la CNIL rappelle que la publication de certaines données à caractère personnel dans les différents registres (registre national des entreprises, le système national d’identification et du répertoire des entreprises et de leurs établissements, etc.) ainsi que leur republication par des réutilisateurs de données d’entreprise continuent de faire l’objet d’un nombre croissant de plaintes. Il conviendrait en conséquence, en cohérence avec l’objet même de ce projet de décret, de procéder rapidement à un travail structurel sur l’ensemble des fichiers concernés afin d’harmoniser leur régime et la divulgation des données à caractère personnel qu’ils contiennent.

______________________________________________

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ( règlement général sur la protection des données ou RGPD ) ;

Vu le code de commerce ;

Vu la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ( loi informatique et libertés ) ;

Après avoir entendu le rapport de M. Philippe-Pierre Cabourdin, commissaire, et les observations de M. Damien Milic, commissaire du gouvernement.

Adopte la délibération suivante :

I. La saisine

A. Le contexte

Les articles L. 123-1 et suivants et R. 123-31 et suivants du code de commerce prévoient des obligations déclaratives mises à la charge des entreprises, telles que l’immatriculation au registre du commerce et des sociétés (RCS).

Dans ce cadre, un certain nombre d’informations doivent être fournies. Ces informations sont relatives à la société (article R. 123-53) et à un certain nombre de personnes qui entretiennent des liens avec cette société comme, par exemple, les associés tenus indéfiniment ou tenus indéfiniment et solidairement des dettes sociales de cette société, les gérants, présidents ou encore les directeurs généraux, etc. (article R. 123-54). Les dispositions de l’article R. 123-54 du code du commerce prévoient notamment que la société déclare le domicile personnel de ces personnes.

Le RCS fait partie des nombreux registres qui recensent certaines données relatives à des entreprises. La loi n° 2019-486 du 22 mai 2019 relative à la croissance et à la transformation des entreprises, dite loi « PACTE », a conduit à la fusion d’un certain nombre d’entre eux au sein d’un unique registre national des entreprises (RNE). Le RNE regroupe aujourd’hui le répertoire des métiers, le registre des actifs agricoles et le registre national du commerce et des sociétés (RNCS) qui contient les différents RCS. D’autres registres demeurent exploités en parallèle du RNE, tels que par exemple le système national d’identification et du répertoire des entreprises et de leurs établissements (répertoire SIRENE) ou encore le bulletin officiel des annonces civiles et commerciales (BODACC). Par ailleurs, le code de commerce (article R. 210-3 du code du commerce et suivants) impose également qu’un avis, qui peut notamment contenir l’adresse du domicile personnel, soit inséré dans un support habilité à recevoir les annonces légales dans le département du siège social une fois les formalités de constitution de la société ont été accomplies.

En pratique, l’immatriculation s’effectue via le Guichet unique mis en œuvre par l’INPI. Le déclarant y dépose les pièces nécessaires, qui sont notamment trans-mises aux greffiers des tribunaux de commerce, compétents à des fins de vérifica-tion et de validation. Une fois le dossier validé, l’entreprise est immatriculée au RCS et également immatriculée au RNE. Malgré la centralisation opérée par le RNE, les registres locaux RCS continuent d’exister.

Le contenu de ces deux registres (le RNE et le RCS) fait par ailleurs l’objet d’une mise à disposition du public au titre des articles L. 123-1 et L. 123-52 du code de commerce à des fins de consultation ou de réutilisation. Les entreprises qui réuti-lisent les données d’entreprises inscrites dans ces registres (ci-après, « les réutilisa-teur ») les republient et les indexent dans les moteurs de recherche, ce qui accroît la visibilité des données publiées.

Depuis quelques années, l’essor des plateformes en ligne qui réutilisent les don-nées issues des registres du RNE et du RCS rend accessibles, en quelques clics, de nombreux documents et donc, par voie de conséquence, de nombreuses informa-tions personnelles de dirigeants, associés, etc. Une telle publicité suscite de fortes interrogations en raison des risques qu’elle peut faire peser sur la sécurité des per-sonnes concernées (enlèvements et tentatives d’enlèvements, envoi de courriers malveillants, harcèlement, etc.). La CNIL a été saisie, depuis plusieurs années, d’un volume important, et qui ne faiblit pas, de plaintes d’entrepreneurs individuels, d’associés et de dirigeants. Celles-ci concernent la diffusion de leurs données à ca-ractère personnel, notamment leur adresse postale, soit directement au sein des registres au titre des informations inscrites, soit à travers la publication des pièces annexes transmises à l’appui des formalités de création, de modification ou de ra-diation de leur entreprise.

Une proposition de loi visant à protéger les données personnelles des entrepre-neurs (n° 1621, déposée auprès de la Présidence de l’Assemblée Nationale) propose d’imposer aux opérateurs de l’ensemble des bases de données dématérialisées pu-bliant des données à caractère personnel de ne fournir aux réutilisateurs que des documents dans lesquels les adresses personnelles des dirigeants seraient mas-quées. En ce qui concerne les documents que ces réutilisateurs auraient déjà en leur possession, elle propose de faire peser sur eux l’obligation d’en supprimer les mentions en question.

B. L’objet de la saisine

Compte tenu de récents événements, notamment des tentatives d’enlèvement de dirigeants ou membres de la famille de dirigeants de sociétés françaises, la CNIL a été saisie pour avis, en urgence, par le ministère de la justice, d’un projet de décret relatif à la protection des informations personnelles des personnes physiques dirigeantes et associés indéfiniment responsables de personnes morales figurant au RCS.

Le projet de décret propose d’introduire au sein de la partie réglementaire du code du commerce :

• un nouvel article R. 123-54-1 qui permet aux personnes physiques mentionnées à l’article R. 123-54 de ce code de solliciter la confidentialité des informations relatives à leur domicile personnel, que ce soit dans le registre ou dans les pièces qui y sont annexées ;
• un article R. 123-54-2 qui précise la liste des autorités, administrations, personnes morales et professions qui continuent à avoir accès à l’intégralité des informations, actes ou pièces faisant l’objet de la demande d’occultation, ainsi que les organes de la société et les créanciers pouvant se voir délivrer l’adresse personnelle des personnes concernées.

II. L’avis de la CNIL

A. Sur le renforcement de la confidentialité des informations relatives au domicile personnel inscrites dans le RCS

Le projet d’article R. 123-54-1 du code de commerce prévoit d’introduire, au béné-fice des personnes mentionnées à l’article R. 123-54, la possibilité de solliciter la confidentialité des informations relatives à leur domicile personnel dans le RCS.

En premier lieu, le ministère a précisé que les demandes de confidentialité ne font pas l’objet d’une appréciation en opportunité de la part des greffiers chargés de les traiter et que seule la vérification de l’identité du demandeur sera nécessaire.

La CNIL considère que l’objectif poursuivi par ces dispositions est con-forme aux principes inscrits dans la règlementation relative à la protec-tion des données à caractère personnel puisqu’il revient à limiter stric-tement la liste des destinataires de l’adresse personnelle des personnes mentionnées à l’article R. 123-54 du code de commerce à celles ayant be-soin d’en connaître et énumérées par le décret. Elle invite le ministère à compléter le projet de décret pour préciser explicitement que les deman-deurs n’ont pas à justifier leur demande.

En second lieu, le projet fait référence aux informations relatives au domicile personnel des personnes physiques concernées. Sur ce point, la CNIL rappelle que l’adresse du siège social d’une entreprise, qui figure parmi les informations ins-crites dans le registre (article R. 123-53 du code de commerce) et ses pièces an-nexes, peut être la même que celle du domicile personnel, notamment dans les hy-pothèses de structures de taille réduite (entreprise individuelle, micro-entreprises, etc.).

Le ministère a précisé que le projet de décret ne permet pas de solliciter la confi-dentialité de l’adresse du siège social lorsque celle-ci révèle le domicile personnel des personnes concernées pour les raisons suivantes.

Tout d’abord, le ministère considère que la situation où le siège social révèle l’adresse du domicile personnel est limitée compte tenu des professionnels concer-nés par l’obligation d’immatriculation au RCS. Selon le ministère, cette situation ne concerne que les entrepreneurs individuels et les sociétés par actions simplifiées (SAS). Or, selon le ministère :

• Les entrepreneurs individuels s’inscrivent majoritairement au RNE. La CNIL rappelle toutefois que l’entreprise individuelle est bien ins-crite au RCS lorsqu’elle a une activité commerciale. Par ailleurs, les dispositions de l’article L. 123-10 du code du commerce prévoient, plus largement, la possibilité pour les personnes physiques de-mandant leur immatriculation au RCS de domicilier leur entre-prise dans leur local d’habitation, sous certaines conditions.
• La publicité et l’accès à l’information sur le siège social constituent une obli-gation du droit de l’Union européenne, notamment pour les SAS. Le minis-tère rappelle que la directive 2017/1132 les soumet à l’obligation de publier :
  
  • Les statuts (et statuts modifiés).
  • Le transfert du siège social.
• Le ministère précise que les Etats-membres doivent veiller à ce que l’information sur le siège social de la société soit disponible gratuitement via le registre des sociétés. Enfin, le ministère souligne que l’article 1835 du code civil, de portée générale, prévoit que les statuts déterminent le siège so-cial. Le défaut d’une énonciation légale, telle que celle du siège social, ouvre une action en régularisation aux tiers intéressés (article 1839 du code civil).

Sur ce point, la CNIL s’interroge sur le fait que ces dispositions interdisent aux Etats membres de prévoir, au niveau national, la confidentialité des seules infor-mations relatives au siège social de l’entreprise lorsque celui-ci se confond avec le domicile personnel, au regard des risques que la publication de ces informations est susceptible de faire peser. La CNIL rappelle, par ailleurs, que cette confidentiali-té ne joue pas à l’égard des entités, publiques et privées, mentionnées par le présent projet de décret, en raison de leur intérêt particulier à disposer de l’intégralité des informations figurant sur ce registre.

Ainsi, la CNIL invite le ministère à modifier la portée du dispositif afin d’inclure explicitement l’hypothèse dans laquelle l’adresse du siège so-cial et celle du domicile seraient confondues sous réserve de l’absence d’obstacle issu d’une disposition nationale ou européenne qu’il appar-tient au ministère de vérifier. En effet, dans l’hypothèse contraire, le pro-jet de décret risquerait de créer des situations déséquilibrées à l’égard de certaines personnes et de priver ainsi significativement le dispositif de sa portée et de son efficacité.

En troisième lieu, le projet de décret prévoit que la demande peut être formulée par les personnes inscrites au RCS mentionnées à l’article R. 123-54 du code de commerce.

La CNIL s’interroge sur la possibilité que l’adresse personnelle d’autres personnes physiques que celles les dirigeants et associés puisse apparaître dans les pièces an-nexes publiées.

Le cas échéant, la CNIL recommande au ministère de permettre égale-ment à ces personnes de solliciter la confidentialité des informations re-latives à leur domicile personnel et de les informer, compte tenu des risques qui peuvent également peser sur elles.

B. Sur les conditions nécessaires pour obtenir la confidentialité des informations relatives au domicile personnel

Le deuxième alinéa du projet d’article R. 123-54-1 du code de commerce prévoit que la possibilité de solliciter la confidentialité des informations est établie "selon les modalités prévues par l’article R. 123-3" du même code. Son troisième alinéa énonce que le greffier traite la demande dans un délai de cinq jours ouvrables à compter de sa réception. Dans l’hypothèse où ce délai ne serait pas respecté, la per-sonne concernée dispose de la possibilité d’engager un recours auprès du juge commis à la surveillance du registre.

En premier lieu, le ministère a confirmé que les demandes peuvent être effec-tuées à tout moment et pas uniquement au moment de la déclaration de création, de la modification de la situation ou de la cessation de ses activités. La CNIL in-vite le ministère à le préciser explicitement dans le projet de décret.

En second lieu, s’agissant des délais d’instruction de la demande, le ministère a précisé que les délais devraient être, dans une grande majorité des hypothèses, très courts et ce, compte tenu de la nécessité, pour les greffiers, de donner la priorité à ces demandes. Elle rappelle que la possibilité offerte par le projet de décret, comme le droit à l’effacement prévu par l’article 17 du RGPD, doit s’exercer gratuitement. Elle invite le ministère à être attentif au respect de ces délais et à prendre toute mesure nécessaire s’il identifiait un dépassement de ce délai dans la gestion des demandes (par exemple, un grand nombre de recours auprès du juge commis à la surveillance du registre). Cela est d’autant plus important que, dans certaines con-ditions, l’exercice du recours auprès du juge commis à la surveillance du registre fait l’objet de frais.

Enfin, la CNIL recommande d’indiquer explicitement dans le projet de décret que le délai de cinq jours, applicable au traitement d’une de-mande par le tribunal de commerce, ne s’applique qu’aux hypothèses dans lesquelles la demande intervient a posteriori, sur des informations déjà publiées. En effet, il ne semble pas pertinent d’appliquer ce délai aux de-mandes qui interviennent notamment dans le cadre de formalités déclaratives de création de l’entreprise.

C. Sur les conditions d’occultation des informations relatives au do-micile personnel sur des documents publics

Le dernier alinéa du projet d’article R. 123-54-1 du code de commerce prévoit la possibilité, pour les personnes concernées, de fournir des copies de l’acte ou de la pièce au sein desquels leur adresse personnelle serait occultée. Cette copie serait ensuite publiée par le greffier aux lieu et place du document original, conservé à titre de pièce justificative.

Le projet de décret est ainsi cohérent avec le dernier état de la jurisprudence de la Cour de justice de l’Union Européenne (CJUE, n° C-200/23 Arrêt de la Cour, Agentsia po vpisvaniyata contre OL, 4 octobre 2024) et n’est pas contradictoire avec les impératifs qui justifient la publication d’informations dans les registres évoqués précédemment. En effet, l’obligation de rendre publics certains documents n’impose pas automatiquement l’obligation de publier l’intégralité des données à caractère personnel qu’ils contiennent.

La CNIL rappelle, par ailleurs, que l’autorité en charge de la tenue du registre du commerce et de la publication des données issues du registre ne peut refuser de faire droit à une demande d’effacement de données, au sens de l’article 17 du RGPD, au seul motif que le déclarant n’a pas lui-même communiqué un document occultant les données qui ne sont pas tenues d’être publiées au titre de la loi, comme rappelé par la CJUE.

D. Sur la nécessité d’engager des travaux structurels pour une harmo-nisation de l’ensemble des registres d’entreprises

Si la CNIL accueille favorablement, sous les réserves exposées ci-dessus, le disposi-tif prévu par le projet de décret, elle s’interroge sur les raisons qui justifient de li-miter cette mesure au RCS sans l’étendre, a minima, au RNE : restreindre le dispo-sitif au RCS risque, d’une part, de ne pas systématiquement impacter les données publiées dans le RNE et, d’autre part, de créer une différence de traitement entre les dirigeants et associés d’entités immatriculées au RCS et les dirigeants et asso-ciés d’autres entités immatriculées dans d’autres registres professionnels.

Sur ce point le ministère a mis en avant l’urgence et la nécessité d’agir rapidement compte tenu de l’actualité. Il a précisé avoir donné la priorité au RCS en raison du fait que, conformément aux dispositions du deuxième alinéa de l’article L. 123-52 du code de commerce, seule la commune de résidence fait l’objet d’une publication au titre des informations inscrites dans le RNE alors que le RCS implique la publi-cation de l’intégralité des informations relatives au domicile personnel.

Comme indiqué précédemment, la CNIL reçoit un important volume de plaintes (plus de trois cent plaintes) concernant la publication, par des réutilisateurs, de données à caractère personnel issues du RNE et du RCS, susceptibles de porter une atteinte excessive à la vie privée des dirigeants et entrepreneurs concernés.

Elle regrette que les saisines successives (délibérations n° 2021-098 du 2 sep-tembre 2021, n° 2022-013 du 10 février 2022, n° 2022-116 du 8 décembre 2022, n° 2023-091 du 21 septembre 2023, n° 2025-027 du 10 avril 2025 et n° 2025-042 du 5 juin 2025) et les échanges avec le ministère de la justice et le ministère chargé de l’économie et des finances n’aient pas abouti à une solution cohérente pour l’ensemble des registres, en lieu et place d’une approche « au cas par cas » condui-sant à traiter chacun des fichiers successivement et non l’ensemble du problème dans une perspective globale. Dans ce contexte, elle appelle à d’autres évolutions réglementaires rapides afin de corriger ces difficultés pourtant identifiées de longue date.

Pour donner tout son sens à la portée de ce projet de texte, il est néces-saire de réaliser un travail structurel d’harmonisation des régimes juri-diques applicables à la publication des données à caractère personnel issues de l’ensemble des registres d’entreprises (RBE, RNE, RCS, SIRENE, etc.) ou des obligations relatives à la publication des annonces légales dans les supports habilités à les recevoir. La CNIL prend acte de l’engagement du ministère sur ce point.

Enfin, la CNIL rappelle que les réutilisateurs de données exercent une activité qui s’inscrit dans le cadre d’un contrat qui prévoit que les données doivent être mises à jour. Le respect de cette obligation contractuelle leur permet, d’ailleurs, de se con-former au principe d’exactitude des données, posé par l’article 5.1.d du RGPD.

Par conséquent, la CNIL rappelle l’importance de respecter les obliga-tions de mise à jour des informations et invite le ministère à prendre les mesures correctrices nécessaires en cas de non-respect par les réutilisa-teurs de leurs obligations.

Les autres dispositions du projet de décret n’appellent pas d’observations.

La présidente,

M.-L. Denis