GuiGui's Show

+ Décret n° 2025-840 du 22 août 2025 relatif à la protection des informations relatives au domicile de certaines personnes physiques mentionnées au registre du commerce et des sociétés
+ Délibération n° 2025-058 du 17 juillet 2025 portant avis sur un projet de décret en Conseil d’État relatif à la protection des informations personnelles des personnes physiques dirigeantes et associés indéfiniment responsables de personnes morales figurant au registre du commerce et des sociétés

Le bordel…

Par obligation légale, l'INPI est chargé de publier le Registre national des entreprises (RNE) et le Registre du commerce et des sociétés (RCS), cf. L123-52 Code du commerce. Publication de toutes les infos et pièces annexées au registre. Or, les pièces contiennent bien plus de données à caractère personnel (profession, signature, situation matrimoniale, etc.) que celles qui doivent expressément être mises à la disposition du public. Le même problème se pose avec la base SIRENE de l'INSEE.

L'ensemble de ces données est exploité à mauvais escient et/ou republié par de nombreux sites web (Société.com, Pappers, etc.), parfois sous une forme qui permet des recherches automatiques sur les mentions dont la mise à disposition du public n'est pas obligatoire (date de naissance complète au lieu de mois et année, signature, profession, situation matrimoniale, etc.). Mais, a minima, les actes sont disponibles en PDF, ce qui se traite facilement et en masse avec de l'OCR. Ces republications sont fondées sur l'intérêt légitime (article 6(1)f du RGPD) de chaque éditeur, donc un entrepreneur peut s'y opposer… en fonction de sa situation… et l'éditeur peut opposer un motif impérieux, ce n'est pas acquis (voir la FAQ de la CNIL : 1, 2). Et faire ça pour chaque site présent ou futur, laisse béton…

Première piste pour résoudre le problème à la racine : dans les actes constitutifs d'une société commerciale, en fonction de son statut juridique (SNC, SAS, SA, SCI, etc.), il n'y a aucune obligation légale de faire figurer certaines infos, comme la profession ou le statut matrimonial d'un dirigeant ou d'un associé. Pour moi, l'« identité », c'est nom, prénom, lieu et date de naissance, point, pas profession ou statut matrimonial. Mais, comme d'hab, les mauvais exemples se propagent plus vite que la bonne littérature, donc beaucoup mettent trop d'infos.

Deuxième piste : depuis le décret d'août 2025 sus-cité, il est possible de demander la confidentialité de l'adresse personnelle d'un dirigeant OU d'un associé indéfiniment responsable (donc exit SARL, SA, SAS… 😑️), y compris quand elle figure dans une pièce, via le guichet unique INPI. Uniquement numérique, uniquement FranceConnect+, et donc uniquement GAFAM. Évidemment, si siège social = adresse personnelle (auto-entrepreneur, EI, EURL, etc.), alors pas d'anonymisation puisque toute façon l'adresse de la personne morale est publique.

Rien n'est explicitement prévu pour les autres données que l'adresse du domicile… Décret pavlovien en réaction aux enlèvements dans l'univers des cryptomonnaies… Dans l'avis précité, la CNIL consigne être saisie de nombreuses plaintes, et dans un document de 2024, elle dit travailler sur la question (bas de page 5). 😑️

La CJUE avait retoqué la publication des bénéficiaires effectifs. Mais du coup, les fondateurs et dirigeants, ça serait OK ? 😮️ Dans son arrêt C-200/23 de fin 2024, elle a jugé que la publication de pièces contenant des données personnelles autres que celles dont la publication est exigée par l'État-Membre, n'est pas obligatoire au sens de la directive UE (je prolonge : donc intérêt légitime, donc opposition et possibilité de fournir version occultée). De même, une signature manuscrite est une donnée à caractère personnel (sans déc' !).

Reste à voir comment appliquer ce dernier arrêt CJUE puisque le L123-52 Code du commerce précité prévoit la publication de l'intégralité des actes annexés au registre, et que la fourniture des actes est obligatoire. A priori, le guichet unique permet le dépôt d'une version occultée et d'une version complète d'un même acte sans limiter à l'adresse perso, mais à voir comment ça se passe en pratique pour les données autres que le domicile.

Cela me rappelle la réutilisation des données publiques de trafic aérien pour suivre les jets privés et/ou calculer leur empreinte carbone ou les autres abus de registres de transparence…