Le Bouard Avocats
Le nom, la fonction ou les coordonnées d’un dirigeant social sont des données à caractère personnel protégées par le RGPD. Toutefois, leur publication est obligatoire dans certains cas (registre du commerce, statuts, etc.). En dehors de ces cas, les dirigeants disposent de leviers juridiques pour s’opposer à la diffusion ou en demander la suppression.
La question de la protection des données à caractère personnel des dirigeants sociaux suscite, depuis plusieurs années, un intérêt croissant. Alors même que les obligations de transparence commerciale et l’accès aux registres publics tendent à se renforcer, les représentants de personnes morales peuvent-ils opposer leur droit à la vie privée et au respect du Règlement général sur la protection des données (RGPD) ? La réponse, nuancée, implique une analyse croisée des textes européens, du droit national, et de la jurisprudence récente de la Cour de justice de l’Union européenne (CJUE).
L’article 4, §1 du Règlement (UE) 2016/679 du 27 avril 2016 définit la donnée à caractère personnel comme toute information se rapportant à une personne physique identifiée ou identifiable. Cette définition large inclut les informations relatives à un individu dans le cadre de son activité professionnelle.
Ainsi, le nom, le prénom, les coordonnées, la signature ou même la fonction exercée par un représentant légal sont autant d’éléments constitutifs de données à caractère personnel dès lors qu’ils permettent d’identifier une personne physique. Le fait que cette identification se fasse dans un cadre professionnel n’atténue en rien le champ d’application du RGPD.
La Cour de justice de l’Union européenne, dans son arrêt du 3 avril 2025 (aff. C‑710/23, L. H. c/ Ministerstvo zdravotnictví), a confirmé que la communication par une autorité publique des nom, signature ou coordonnées d’un représentant d’une personne morale constitue un traitement de données personnelles, même lorsque cette communication a uniquement pour objet d’identifier la société concernée.
Cette décision s’inscrit dans le prolongement d’une jurisprudence déjà établie (CJUE, 9 mars 2017, aff. C-398/15, Manni) selon laquelle le contexte professionnel n’exclut pas la protection attachée aux données à caractère personnel.
A lire : Amende RGPD d'une filiale, comment est-elle calculée ?
Conformément à l’article 6 du RGPD, le traitement de données à caractère personnel n’est licite que s’il repose sur l’un des fondements prévus : consentement, obligation légale, exécution d’une mission d’intérêt public, notamment.
Lorsqu’une autorité publique souhaite communiquer des documents contenant les données personnelles d’un dirigeant, elle doit s’assurer que cette communication répond à un objectif légal, proportionné, et qu’elle respecte les principes du RGPD, notamment la finalité du traitement, la minimisation des données et la transparence.
L’article 86 du RGPD prévoit une articulation entre l’accès du public aux documents officiels et la protection des données personnelles. Ce texte autorise les États membres à prévoir les conditions dans lesquelles les autorités publiques peuvent communiquer des documents comportant des données à caractère personnel, pour autant qu’un équilibre soit assuré.
Dans ce cadre, la CJUE a jugé que les autorités publiques doivent concilier le droit à l’information avec les droits des personnes concernées. Une jurisprudence nationale peut donc imposer que les personnes visées soient informées et consultées avant toute diffusion de leurs données, à condition que cela ne rende pas l’exercice du droit d’accès excessivement difficile ou impossible.
En France, les représentants légaux des sociétés doivent être mentionnés au registre du commerce et des sociétés (RCS). Cette obligation découle des articles R.123-54 et suivants du Code de commerce. Le nom, la nationalité, la date de naissance et l’adresse des dirigeants font ainsi partie des informations devant figurer dans les statuts et les documents déposés au greffe.
Ces données sont, sauf exceptions, librement consultables. Toutefois, leur communication doit être strictement limitée à ce que la loi impose. À ce titre, la CJUE a déjà jugé (aff. C‑200/23, 4 oct. 2024) qu’un associé peut demander l’effacement de données personnelles figurant dans les statuts, dès lors que leur publication n’est pas légalement obligatoire.
En dehors des obligations légales de publicité, les dirigeants peuvent invoquer leur droit au respect de la vie privée et demander que leurs données ne soient pas diffusées sans nécessité. Cela vaut notamment en cas de réutilisation de documents administratifs, de diffusion en ligne de contrats signés ou de cession d’informations à des tiers.
Un traitement secondaire (par exemple la diffusion sur un site d’information ou la réponse à une demande de tiers) suppose que l’autorité ou le responsable du traitement justifie d’un fondement licite (article 6 du RGPD) et informe la personne concernée, sauf impossibilité.
L’article 21 du RGPD reconnaît aux personnes concernées un droit d’opposition au traitement de leurs données dans certaines hypothèses, notamment lorsque le traitement est fondé sur l’intérêt légitime du responsable ou sur l’exécution d’une mission d’intérêt public.
Toutefois, ce droit d’opposition n’est pas absolu : il ne s’applique pas lorsque le traitement repose sur une obligation légale ou sur un motif impérieux. En matière de publication obligatoire (ex. : RCS), le dirigeant ne peut donc pas s’y opposer. En revanche, pour toute diffusion au-delà du cadre strictement légal (réutilisation commerciale, publication en ligne, etc.), le droit d’opposition peut être valablement exercé.
En cas de diffusion abusive, ou de traitement illicite de ses données, un dirigeant peut :
Le nom, la signature, les coordonnées et la fonction d’un dirigeant de société constituent bien des données à caractère personnel, même lorsqu’ils sont mentionnés au titre d’une personne morale. Leur communication par une autorité publique, ou leur publication dans un contexte professionnel, constitue un traitement soumis aux dispositions du RGPD.
Les dirigeants ne peuvent pas s’opposer aux obligations légales de publicité (registre du commerce, statuts, etc.), mais peuvent faire valoir leur droit d’opposition ou d’effacement dans les cas où la diffusion de leurs données excède le cadre imposé par la loi.
La protection des données personnelles en matière de vie des affaires est donc un équilibre délicat entre la transparence économique, la sécurité juridique et le respect des droits fondamentaux. Les entreprises comme les administrations doivent intégrer ce cadre dans leurs pratiques documentaires et leurs réponses aux demandes de communication.
4o
