Le droit à la protection des données personnelles ne permet pas de se dérober à l’obligation de déposer les comptes sociaux
Lettre CREDA-sociétés 2020-16 du 16 décembre 2020
Les obligations de transparence propres au droit des sociétés peuvent se heurter à différentes libertés et droits fondamentaux reconnus aux associés en tant que personnes physiques, notamment au regard de leurs données personnelles. Un arrêt rendu le 24 juin 2020 par la Cour de cassation l’illustre parfaitement (Cour de cassation, civile, Chambre commerciale, 24 juin 2020, 19-14.098, Publié au bulletin).
Après avoir constaté qu’une SAS n’avait pas déposé ses comptes annuels, un juge chargé de la surveillance du registre du commerce et des sociétés (RCS) a enjoint, sur le fondement de l’article L. 611-2, II du C.com., à la société et son président de procéder à ce dépôt dans un délai d’un mois sous astreinte, puis, devant leur abstention, les a condamnés à payer la somme de 3000€ en liquidation de l’astreinte. L’ordonnance précise que le dépôt des comptes constitue une obligation fondamentale apportant des informations indispensables sur la santé financière de la société, dont l’omission constitue un trouble économique manifeste notamment pour les partenaires commerciaux, qui, faute d’informations, peuvent subir un préjudice.
La SAS et son président contestent cette décision de dernier ressort et portent l’affaire devant la Cour de cassation. Ils rappellent d’abord que toute personne a droit à la protection de ses données à caractère personnel. Ils affirment ensuite que lorsqu’une société commerciale propriétaire d’un unique bien est soumise à l’obligation de déposer ses comptes au greffe , son associé voit des informations d’ordre patrimonial le concernant divulguées aux tiers sans y avoir consenti, ce qui est de nature à causer une atteinte disproportionnée au droit à la protection de ses données à caractère personnel. Le demandeur au pourvoi invoque la violation de l’art 9 du C.civ., de l’art 8 de la Convention européenne des droits de l’homme, de l’art 8 de la Charte de droits fondamentaux de l’Union européenne, l’art 16 du Traité UE, et enfin du RGPD.
En somme, il était demandé à la Cour de dire si le dépôt obligatoire des comptes annuels d’une SASU contenant des informations patrimoniales de l’associé unique portait atteinte au droit à la protection des données à caractère personnel.
S’appuyant sur la jurisprudence de la Cour européenne des droits de l’homme (CEDH, grande chambre, n°931/13, du 27 juin 2017), la Cour observe que les données portant sur le patrimoine d’une personne physique sont bien des données à caractère personnel. Toutefois, elle constate que les comptes annuels ne constituent qu’un des éléments nécessaires à la détermination de la valeur des actions de l’associé unique (dont le patrimoine est distinct de celui de la société et n’est qu’indirectement et partiellement révélé). Elle rejette par conséquent le pourvoi, considérant que s’il y a bien une atteinte portée au droit à la protection des données personnelles à l’occasion de la publication des comptes sociaux, elle est proportionnée au but légitime de détection et de prévention des difficultés des entreprises.
Les comptes sociaux peuvent dévoiler indirectement des données personnelles aux associés
A première vue, les comptes annuels tenus par les sociétés commerciales ne constituent pas des « données à caractère personnel ». En effet, cette notion est réservée par les différents textes (v. par ex. l’article 4,1 du RGPD) aux seules personnes physiques. Or, les comptes annuels établissent la situation comptable d’une personne morale et permettent aux tiers et aux créanciers de prendre connaissance du contenu de son patrimoine.
Ceci étant, il peut arriver que ces comptes livrent de façon indirecte des informations relatives aux associés. Tel est le cas, comme en l’espèce, d’une SASU disposant d’un seul bien : la simplicité des comptes permet aisément de déterminer la valeur des actions détenues par l’associé unique. Ce faisant, une partie de son patrimoine est dévoilée. La CJUE avait déjà observé que des données sociales pouvaient revêtir la qualité de données à caractère personnel (CJUE, 9 mars 2017 aff. C-398/15), et il est établi que les données patrimoniales sont bien des données à caractère personnel qui relèvent de la vie privée (CEDH, 27 juin 2017, précité).
Dans son argumentation, le demandeur au pourvoi considère que le fait de déposer ses comptes sociaux constitue une atteinte disproportionnée à ses droits car des informations patrimoniales sont divulguées aux tiers sans qu’il y ait consenti.
Cette argumentation mélange à notre sens deux idées.
Le dépôt obligatoire des comptes sociaux au greffe constitue une atteinte légitime à la vie privée
Il ne fait aucun doute que le droit à la vie privée peut faire l’objet de limitations pour préserver l’intérêt général. L’article 8.2 de la CEDH l’admet si c’est prévu par la loi et si cela constitue une mesure nécessaire, notamment au bien-être économique du pays. En l’espèce, le dépôt et la publication des comptes sociaux ainsi que l’injonction que peut prononcer le juge, sont justifiés pour détecter et prévenir les difficultés des entreprises. La Cour de cassation, procédant au contrôle de proportionnalité suggéré par la CEDH, considère ici que l’atteinte à la vie privée est proportionnée à ce but légitime dans la mesure où, en outre, le patrimoine de l’associé n’est qu’indirectement et partiellement révélé.
Dans son arrêt du 9 mars 2017, la CJUE avait d’ailleurs estimé que l’accessibilité offerte aux tiers aux données personnelles d’un administrateur n’était pas disproportionnée. Selon elle, et au regard de la responsabilité limitée des sociétés par actions, il « apparaît justifié que les personnes physiques choisissant de participer aux échanges économiques par l’intermédiaire d’une telle société soient obligées de rendre publiques les données tenant à leur identité et à leurs fonctions au sein de celle-ci, d’autant plus qu’elles sont conscientes de cette obligation au moment où elles décident de s’engager dans une telle activité ». Cet argument s’applique sans difficulté à l’espèce rapportée au sujet de données patrimoniales.
En outre, le dépôt des comptes auprès du greffe n’implique pas la divulgation aux tiers à tout va (on observe d’ailleurs des imprécisions à ce sujet dans l’arrêt puisque le demandeur au pourvoi évoque l’obligation de « déposer ses comptes » quand la Cour de cassation parle de la « publication des comptes »). Certes, le dépôt des comptes permet la transmission des informations qu’ils contiennent aux services judiciaires et principalement au greffe. Mais ces informations ne seront connues que des tiers qui se manifestent et payent pour y avoir accès, ou passent par le système centralisé de l’INPI (data.inpi.fr). On rappellera enfin que les comptes des micro-entreprises peuvent être rendus confidentiels, voire faire l’objet d’une présentation simplifiée (C. com., art. L. 232-35), ce qui permet de limiter la diffusion de données personnelles.
Le dépôt obligatoire des comptes sociaux au greffe du tribunal n’est pas contraire au RGPD
En évoquant le fait de ne pas avoir « consenti » à la divulgation de ses données personnelles, le demandeur fait référence au RGPD de façon sibylline. C’est assez maladroit car le consentement n’est pas la seule condition qui permet de rendre licite un traitement de données personnelles. Le RGPD (art. 6, RGPD) prévoit qu’un traitement est licite quand il est « nécessaire au respect d’une obligation légale à laquelle le responsable de traitement est soumis » (art. 6, c) ou « nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable de traitement » (art. 6, e). En l’espèce, la licéité tient à la mission d’intérêt public de détection et prévention des difficultés des entreprises, qui ne pourrait pas s’effectuer sans le dépôt des comptes sociaux.
Observons pour terminer que le RGPD (art. 21) ouvre à la personne concernée un droit d’opposition en cas de traitement de données à caractère personnel pour mission d’intérêt public, « en raison de sa situation particulière ». Dans ce cas, le responsable de traitement (le greffe, en l’occurrence) doit cesser le traitement, à moins qu’il ne démontre l’existence de motifs légitimes et impérieux qui prévalent sur les intérêts et les droits et liberté de la personne concernée. En actionnant cette possibilité, l’associé unique de la SAS pourrait alors obliger le greffe à expliquer en quoi il est nécessaire que les comptes sociaux soient déposés et publiés, même s’ils contiennent indirectement des données personnelles relatives aux associés. Cela pourrait être l’occasion pour le greffe de faire œuvre de pédagogie au profit des dirigeants qui doutent encore de l’intérêt de cette obligation.
Tanguy ALLAIN
Maître de conférences en droit privé, Université de Rennes I