Quand bien même la publication de certaines informations au registre du commerce est obligatoire, le responsable de traitement doit distinguer les modalités de traitements des données obligatoires et des données non-obligatoires. La publicité de données personnelles non obligatoires doit être justifiée, et il appartient à la juridiction nationale de vérifier quelle base légale peut être mobilisée pour un tel traitement. Par ailleurs, la Cour de Justice affirme que rien ne justifie de refuser la demande d’effacement émanant d’une personne, même s’agissant d’un registre national obligatoire. En cas de manquement d’un responsable de traitement, la simple « perte de contrôle », quand bien même un usage abusif des données personnelles ne s’est pas produit concrètement, peut constituer, vis-à-vis des personnes concernées, un préjudice moral réparable au sens du RGPD.
En l’espèce, les associés d’une société ont demandé à l’Agence bulgare du commerce de supprimer leurs données à caractère personnel. Celle-ci a demandé à ce que lui soit transmis une version du contrat de société occultant les informations personnelles non-obligatoires et n’a pas supprimé d’emblée les données personnelles non-obligatoires.
L’un des associés a saisi le Tribunal administratif local demandant l’annulation de la décision et l’indemnisation de son préjudice moral. Le Tribunal a fait droit à sa demande et a condamné l’agence à verser environ 225 euros de dommages et intérêts.
- La qualification de l’agence ou de l’autorité chargée de tenir un registre des sociétés en tant que destinataire des données personnelles ou de responsable de traitement
Se posait la question de savoir si l’agence ou l’autorité chargée de tenir un registre des sociétés devait être qualifiée de destinataire des données personnelles ou de responsable de traitement.
D’une part, l’agence n’a pas de contrôle sur les mentions et données incluses dans le contrat qu’elle reçoit. Mais d’autre part, le demandeur à l’inscription d’une société à ce registre n’exerce aucune influence sur la détermination des finalités et des traitements ultérieurs effectués par cette autorité. En outre, il poursuit des finalités différentes et qui lui sont propres, à savoir remplir les formalités nécessaires à cette inscription.
La chronologie est importante : l’autorité chargée de la tenue du registre du commerce reçoit le contrat et donc les données qui y figurent, dans le cadre d’une demande d’inscription au registre émanant de la société. A ce stade, elle est donc destinataire des données, et le traitement réalisé par l’autorité est donc chronologiquement postérieur à la demande du requérant souhaitant immatriculer sa société.
Selon la Cour, « en transcrivant et en conservant des données à caractère personnel reçues dans le cadre d’une demande d’inscription d’une société au registre du commerce d’un État membre, en communiquant celles-ci, le cas échéant, sur demande à des tiers et en les publiant dans le bulletin national, ou par une mesure d’effet équivalent », l’autorité en charge de la tenue de ce registre est en outre « responsable du traitement » au sens du RGPD, même lorsque ce contrat contient des données à caractère personnel sur lesquelles l’autorité n’a aucun contrôle, et même si une copie du contrat de société concerné occultant les données à caractère personnel non requises par la législation nationale aurait dû lui être transmise.
Ainsi, l’autorité en charge du registre est tant « destinataire » des données, que responsable du traitement desdites données, même lorsque ce contrat contient des données à caractère personnel non requises par la directive (UE) 2017/1132 du 14 juin 2017 ou par le droit de cet État membre.
II. La base légale du traitement de données et la gestion des demandes d’effacement
La 4ème question préjudicielle portait sur la pratique d’une autorité chargée de la tenue du registre du commerce consistant à refuser toute demande d’effacement des données à caractère personnel figurant dans un contrat de société publié dans ce registre, lorsqu’une copie de ce contrat occultant ces données n’a pas été fournie à cette autorité, alors même que certaines données ne sont pas requises par la directive 2017/1132 ou par le droit de l’État membre.
Le droit à l’effacement visé à l’article 17 du RGPD ne s’applique pas de la même manière selon la base légale du traitement. La CJUE a alors examiné chaque base légale afin de déterminer celle applicable aux traitements de données liées à la publication d’un contrat de société dans un registre du commerce.
- La base légale du traitement
Le traitement en question ne reposait pas sur le consentement.
Or, d’après la CJUE, lorsque le traitement n’est pas basé sur le consentement, les autres bases légales et justifications permettant de rendre licite un traitement de données à caractère personnel doivent faire l’objet d’une interprétation restrictive.
Le traitement ne reposait pas sur des données à caractère personnel nécessaire à l’exécution d’un contrat ni sur la sauvegarde des intérêts vitaux d’une personne physique. Il ne pouvait pas non plus se fonder sur les intérêts légitimes poursuivis par le responsable du traitement, puisque cette base légale ne peut pas être mobilisée par une autorité publique dans le cadre de l’exécution de ses missions (article 6, paragraphe 1, dernier alinéa du RGPD).
La publicité des actes de société étant obligatoire, le traitement aurait pu être fondé sur le respect d’une obligation légale prévue par le droit de l’État membre auquel le responsable du traitement est soumis (en l’occurrence le droit bulgare) ou par le droit de l’Union. Cette base légale est écartée d’une part car la loi bulgare relative aux registres prévoit que les actes devant figurer dans le registre du commerce sont mis à la disposition du public exempts des informations constituant des données à caractère personnel, « à l’exception des informations qui doivent être mises à la disposition du public en vertu de la loi », et d’autre part car la directive 2017/1132 n’impose pas le traitement systématique de toute donnée à caractère personnel contenue dans un acte soumis à la publicité obligatoire.
La Cour de Justice se pose enfin la question de savoir si le traitement en cause est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique ?
L’activité d’une autorité publique consistant à sauvegarder, dans une base de données, des données que les sociétés sont tenues de communiquer sur la base d’obligations légales, relève de l’exercice de prérogatives de puissance publique et constitue une mission d’intérêt public, mais la mise à la disposition du public, en ligne, de données à caractère personnel qui ne sont pas requises ni par la directive 2017/1132 ni par le droit national ne saurait être considérée en soi comme étant nécessaire à la réalisation des objectifs poursuivis par cette directive.
A retenir : un traitement ne peut pas aller au-delà de ce qui est nécessaire pour réaliser ces objectifs. L’exigence de nécessité n’est pas remplie lorsque l’objectif d’intérêt général visé peut raisonnablement être atteint de manière aussi efficace par d’autres moyens moins attentatoires aux droits fondamentaux des personnes concernées, en particulier aux droits au respect de la vie privée et à la protection des données à caractère personnel.
Le traitement de données à caractère personnel en cause va donc au-delà de ce qui est nécessaire à l’exécution de la mission d’intérêt public. Partant, aucune base légale ne semble correspondre à ce traitement et il appartiendra à la juridiction nationale de statuer sur la licéité du traitement de données non obligatoire réalisé par l’autorité en charge du registre.
B. Les modalités de gestion de la demande de droit à l’effacement
Rappelons que conformément au RGPD, les personnes concernées disposent d’un droit de s’opposer au traitement et d’un droit à l’effacement, « à moins qu’il n’existe des motifs légitimes impérieux qui prévalent sur les intérêts ainsi que sur les droits et les libertés » de ces personnes. Il appartient au responsable du traitement de démontrer ces motifs légitimes impérieux.
Premièrement, il ne semblait pas exister de motifs impérieux justifiant le refus de la demande d’effacement.
Deuxièmement, même si l’article 17.3 du RGPD prévoit que le droit à l’effacement ne s’applique pas si le traitement est nécessaire « pour respecter une obligation légale ou pour exécuter une mission d’intérêt public », il n’en reste pas moins que l’effacement doit être accepté pour les données non obligatoires, peu importe l’exigence de préserver l’intégrité et la fiabilité des actes des sociétés.
III. L’évaluation du préjudice moral
Par sa septième question, la juridiction de renvoi demandait, si une perte de contrôle d’une durée limitée, par la personne concernée, sur ses données à caractère personnel, en raison de la mise à la disposition du public de ses données, en ligne, dans le registre du commerce d’un État membre, peut suffire pour causer un « dommage moral » ou si cette notion de « dommage moral » requiert la démonstration de l’existence de conséquences négatives tangibles supplémentaires.
Rappelons tout d’abord qu’il ressort de l’article 82, paragraphe 1 du RGPD que la simple violation du règlement ne suffit pas pour conférer un droit à réparation, l’existence d’un « dommage », matériel ou moral, ou d’un « préjudice » est l’une des conditions du droit à réparation, outre le lien de causalité entre le dommage et la violation. Ces trois conditions sont cumulatives. De sorte qu’un dommage ou un préjudice ne saurait être présumé en raison de la survenance d’un manquement. Ces conditions étaient d’ailleurs rappelées dans un arrêt du même jour : CJUE 4/10/2024 C-507/23 commenté dans le précédent numéro Dalloz IP/IT).
L’Administrativen sad Dobrich (tribunal administratif de Dobrich) avait constaté l’existence d’un dommage moral consistant en des expériences psychologiques et émotionnelles négatives du plaignant, « à savoir la peur et l’inquiétude face à d’éventuels abus ainsi que l’impuissance et la déception quant à l’impossibilité de protéger ses données à caractère personnel. »
Selon la Cour, la crainte d’un usage abusif éventuel de ses données à caractère personnel par des tiers est susceptible, à elle seule, de constituer un « dommage moral »
La simple « perte de contrôle », quand bien même un usage abusif des données en cause ne se serait pas produit concrètement, peut constituer un préjudice réparable et cette notion ne saurait être circonscrite aux seuls dommages ou aux seuls préjudices d’une certaine gravité.
Les trois conditions prévues à l’article 82, paragraphe 1, du RGPD ne sauraient souffrir l’ajout « d’autres conditions d’engagement de la responsabilité, telles que le caractère tangible du dommage ou le caractère objectif de l’atteinte ».
L’article 82 ne requiert pas que le degré de gravité de la faute soit pris en compte lors de la fixation du montant des dommages-intérêts. Il est néanmoins certain qu’un dommage moral ne doit pas, par nature, être considéré comme moins important qu’un dommage corporel.
La Cour répond à la septième question en affirmant « qu’une perte de contrôle d’une durée limitée, par la personne concernée, sur ses données à caractère personnel en raison de la mise à la disposition du public de ces données, en ligne, dans le registre du commerce d’un État membre, peut suffire pour causer un « dommage moral », pour autant que cette personne démontre qu’elle a effectivement subi un tel dommage, aussi minime fût-il, sans que cette notion de « dommage moral » requière la démonstration de l’existence de conséquences négatives tangibles supplémentaires. »
Dans la mesure où chaque personne concernée est recevable à demander réparation de son préjudice moral lié à la perte de contrôle sur ses données, les entreprises récemment victimes de ransomware par exemple doivent s’attendre à ce genre de demande et provisionner les sommes nécessaires.
Charlotte GALICHET