Données relatives aux entreprises gratuitement accessibles : les limites d’une bonne intention
Libre à chacun de le vérifier : les informations relatives à 8 millions d’entreprises françaises sont librement et gratuitement accessibles sur Internet.
Peuvent être consultés en quelques secondes : tous les documents légaux déposés par les entreprises des greffes de tribunaux de commerce, leurs comptes sociaux, toutes les annonces légales relatives à ces entreprises.
Cette situation n’est pas véritablement récente mais reste encore largement méconnue, à telle enseigne que l’immense majorité des personnes intéressées continue de consulter le site Infogreffe, mis en place par les greffiers de tribunaux de commerce, pour télécharger, moyennant paiement, statuts, actes sociaux, comptes des entreprises.
En effet, depuis la Loi Macron du 7 août 2015, l’Open Data (données ouvertes qui ont vocations à être librement accessibles et réutilisables) permet un libre accès à l’ensemble des documents constituant le registre national du commerce et des sociétés.
Le décret n°2015-1905 du 30 décembre 2015 fixe les modalités de transmission de l’intégralité des documents enregistrés par les greffes auprès de l’Institut National de la Propriété Intellectuelle (INPI), chargé de centraliser l’information.
L’INPI met ces documents à disposition sur sa nouvelle plateforme data.inpi (https://data.inpi.fr). Afin de bénéficier des avantages de l’Open Data, il suffit de créer un compte et d’accepter la licence de réutilisation de l’INPI.
Par la signature de cette dernière l’INPI, consent un droit de réutilisation gratuit, illimité, à des fins commerciales ou non, à leurs utilisateurs.
A partir de cette licence de réutilisation, toute personne physique ou morale dispose d’un accès libre et gratuit aux actes transmis par les greffiers des tribunaux de commerce, ce qui explique que des sites commerciaux mais gratuits rendent disponibles les informations relatives aux entreprises.
Leur intérêt ? Générer du flux sur leur site et vendre de la publicité en ligne.
Du côté du consommateur, la possibilité d’avoir accès gratuitement à des informations auparavant payantes est naturellement bienvenue. Dans le cadre de contentieux, par exemple, il est plus aisé de vérifier certaines informations relatives aux parties, tant il est vrai que la petite barrière à l’entrée du paiement d’une dizaine d’euros pour prendre connaissance des statuts d’une société limite des accès potentiellement répétés au cours d’une même journée.
La disponibilité de ces informations constitue également une avancée vers davantage de loyauté et de sécurité dans les relations commerciales.
L’on peut toutefois s’interroger sur le mauvais coup fait aux greffiers de tribunaux de commerce qui ont mis sur pied la plate-forme Infogreffe, fort pratique et efficace, et qui se voient ainsi privés d’une source de revenus légitimes.
La gratuité, on le sait maintenant, est le gage d’un service dégradé ou d’un paiement détourné.
Mais le plus grave est ailleurs, car nombre de ces documents contiennent les données personnelles de personnes physiques (associés et dirigeants) au mépris des règles posées par le Règlement général de protections des données (règlement communautaire n° 2016/679 dit « RGPD »).
Ainsi, les statuts contiennent les noms et prénoms, date et lieu de naissance, situation matrimoniale, adresse personnelle de leur(s) dépositaire(s).
Si la base légale de traitement de ces données personnelles ne pose pas difficulté pour les greffes et l’Inpi (Conformément à l’article D.312-1-3 al. 2 du CRPA), la solution diffère pour les entreprises qui réutilisent ces documents.
En effet, l’entreprise réutilisatrice devient à son tour responsable de traitement. En ce sens, elle doit opérer un traitement conforme aux articles 5,12, 14 et 21 du RGPD et :
– Opérer un traitement licite (la réutilisation doit se faire selon l’une des bases légales prévus à l’article 6 du RGPD) ;
– Poursuivre une finalité qui doit être déterminé, explicite et légitime ;
– Porter sur des données adéquates, pertinentes, proportionnés et mise à jour ;
– Être effectué en toute transparence ;
– Garantir le respect des droits de la personne (notamment droit d’opposition, d’accès, de rectification ;
– Garantir la sécurisation et le respect de la limitation de conservation des données (https://www.cnil.fr/sites/default/files/atoms/files/guide-open-data.pdf).
L’article 2 de la licence de réutilisation de l’Inpi opère un sobre rappel de ces obligations en indiquant que « l’information peut être librement réutilisé (…) à condition de respecter le cadre légal relatif à la protection des données à caractère personnel ».
Or, la seule question de la base légale du traitement se heurte à une difficulté. En dehors de tout consentement ou contrat (les autres conditions étant écartées car manifestement inapplicables), seul demeure l’intérêt légitime. Si l’on comprend aisément qu’il existe un intérêt légitime au traitement de ces données dans le cadre d’une démarche administrative, force est de constater que seul le greffe (ou l’Inpi dans un second temps) peut s’en prévaloir.
En dépit de ce que l’on constate sur Internet, l’anonymisation de ces données est une obligation imposée par le RGPD (L’anonymisation des données, un traitement clé pour l’open data | CNIL).
L’argument tiré de la quantité de données extraite ne saurait faire obstacle à une telle anonymisation puisque certaines sociétés sont d’ores et déjà dotés d’algorithmes visant à prévenir toute atteinte aux données personnelles (https://blog.doctrine.fr/lanonymisation-des-decisions-de-justice/).
Une conciliation entre l’open data et la protection des données personnelle est donc possible, à condition que les entreprises prennent les mesures nécessaires à une réutilisation conforme au RGPD.
Si vous êtes concernée par une telle publication de vos données personnelles, il conviendra dans un premier temps, de remplir le formulaire d’opposition accessible sur le site à l’origine de la publication. Dans un second temps, il sera pertinent de contacter un avocat afin d’adresser une mise en demeure à l’entreprise diffusant vos données personnelles
Xavier Chabeuf, avocat associé, et Inès Zaoui, juriste
31 janvier 2021