Pour Alexandra Iteanu, avocate à la Cour (numérique, cybersécurité et data), la récente tentative d’enlèvement de la fille d’un dirigeant d’une entreprise de cryptomonnaie illustre tragiquement les conséquences de la publication, trop accessible, des données personnelles des chefs d’entreprise. Elle partage son point de vue avec nos lecteurs.
Les données personnelles des dirigeants traitées comme des informations légales
Le Code de commerce impose d’inscrire dans certains documents administratifs, comme l’extrait Kbis ou les statuts d’une société (en particulier à sa constitution), le nom, prénom et l’adresse du domicile du dirigeant de la société, à des fins notamment d’immatriculation au Registre National du Commerce et des Sociétés (RCS).
Ces informations font donc partie des informations légales qui doivent à ce titre être rendues publiques, mais sont tout de même des données à caractère personnel.
Ce sont des entités comme l’INPI et INFOGREFFE qui se chargent ensuite de mettre à disposition ces informations, puis des sociétés privées les diffusent, à l’instar du service <Societe.com>, qui propose un service de diffusion qui publie et répertorie des fiches d’entreprise, et des fiches de dirigeants de société.
La diffusion massive de ces informations, rendue possible par l’Open Data et l’IA, nous oblige à repenser l’équilibre entre transparence et sécurité.
Le développement de l’Open Data et plus récemment de l’IA ont démocratisé l’accès à ces données, et permettent surtout aujourd’hui de faire des combinaisons entre ces dernières. Il est désormais possible en un coup d’œil de connaitre toutes les entités juridiques liées à une personne, et surtout d’avoir accès à un très grand nombre de documents administratifs, qui peuvent révéler de nombreuses informations sensibles.
Conscients de cette problématique, le nombre de demandes d’effacement de la part des dirigeants de sociétés de ces informations, sur la base du RGPD, a explosé ces dernières années.
Les services de diffusion d’information légale reçoivent aujourd’hui quotidiennement des demandes d’effacement ou de rectification de données personnelles de dirigeants, sur le fondement du règlement UE n°2016/679 dit « RGPD ».
Si ces éditeurs ont l’obligation de répondre dans un délai d’un mois, il n’est cependant pas toujours possible d’accepter l’effacement de ces données personnelles.
Le RGPD prévoit en effet la possibilité de limiter ce droit à l’effacement dans certaines situations, notamment pour la tenue de registres publics, ou pour l’exercice du droit d’information.
De plus, la Commission Nationale de l’Informatique et des Libertés (CNIL) s’est explicitement prononcée à ce sujet, en estimant que si un dirigeant a bien la possibilité de s’opposer au traitement de ses données personnelles dans le cadre de la diffusion d’information provenant du RCS, ce droit doit être justifié par « des motifs légitimes ».
Grand nombre de ces demandes d’effacement formulées par des dirigeants de société se trouvent par conséquent rejetées.
C’est donc bien la source du problème qu’il faut traiter, (1) en restreignant la publication des données personnelles des dirigeants et (2) en donnant aux éditeurs de sites de diffusion d’informations légales les armes pour répondre efficacement à ces demandes d’effacement, toujours plus nombreuses. Il suffirait que l’INPI et INFOGREFFE anonymisent ces données personnelles avant leur mise à disposition à l’instar de ce qui se fait déjà pour la confidentialité des comptes annuels.
Il appartient désormais au législateur et aux pouvoirs publics de réagir rapidement face à ces dérives pour garantir la protection de la vie privée de ces chefs d’entreprise.
