RGPD et comptes sociaux : Atteinte proportionnée à la protection des données !

RGPD et comptes sociaux : Atteinte proportionnée à la protection des données !
⏱ Lecture 3 min

Par Kate JARRARD et Gaspard de LAUBIER

Si les données portant sur le patrimoine d’une personne physique relèvent de sa vie privée, il n’en va pas nécessairement de même pour les données portant sur les comptes de l’associé d’une société par actions simplifiées unipersonnelle.

Telle a été la solution originale de la Cour de cassation le 24 juin 2020, au carrefour du droit de la protection des données personnelles, du droit des sociétés et du droit des entreprises en difficultés.

1. Faits et procédure

L’article L. 611-2, II du code de commerce permet aux magistrats du tribunal de commerce d’adresser une injonction de dépôt des comptes annuels aux dirigeants n’ayant pas effectué ce dépôt dans les délais.

Cette possibilité s’applique notamment aux sociétés commerciales unipersonnelles propriétaires d’un unique bien.

Ainsi, le président et unique associé d’une société par actions simplifiées, qui n’avait pas répondu à une telle injonction et qui avait été condamné à payer 3000 euros en liquidation d’astreinte, s’est pourvu en cassation.

Ce dernier souhaitait soulever l’inconstitutionnalité de la disposition ci-dessus devant le Conseil Constitutionnel au motif que le dépôt des comptes sociaux implique la révélation d’informations relatives au patrimoine de son associé unique, une personne physique, qui constituent alors des données à caractère personnel.

De ce fait, cette obligation de divulgation à des tiers d’informations protégées sans son consentement serait de nature à causer une atteinte à son droit à la protection de ses données personnelles, et par là même au respect de sa vie privée, protégé par l’article 9 du code civil, l’article 8 de la Convention européenne des droits de l’Homme, l’article 8 de la Charte des droits fondamentaux de l’Union européenne ou encore l’article 16 du Traité sur le fonctionnement de l’Union européenne 2016/679.

2. Une atteinte… proportionnée

Par un arrêt du 24 juin 2020, la Cour de cassation rappelle que, conformément à la jurisprudence de la Cour européenne des droits de l’homme, la divulgation de la situation patrimoniale d’une personne physique relève bien de sa vie privée [1].

La publication de ces comptes porte donc atteinte au droit du dirigeant à la protection de ses données.

Néanmoins, pour la Cour, lors du dépôt des comptes annuels, ces derniers ne constituent qu’un des éléments nécessaires à la détermination de la valeur des actions que possède son associé unique, et le patrimoine de ce dernier n’est que partiellement et indirectement révélé [2].

Dès lors, selon les Hauts magistrats, l’atteinte portée au droit à la protection des données de cet associé est proportionnée au but légitime de détection et de prévention des difficultés des entreprises.

3. Une mesure de prévention adéquate

Cet arrêt met ainsi en exergue le contrôle de proportionnalité exercé par la Cour de cassation consistant à mettre en balance des droits : l’atteinte portée à un droit n’est possible que si elle est proportionnée et qu’elle poursuit un but légitime, ce qui était le cas en l’espèce.

Cette solution peut se justifier notamment au regard de l’objectif poursuivi par la publication des comptes sociaux, laquelle a vocation à aider les sociétés potentiellement en difficulté.

En effet, le dépôt des comptes permet notamment d’adopter des mesures de prévention adéquates (telles que la désignation d’un mandataire ad hoc, le déclenchement d’une procédure d’alerte, etc.) avant qu’il ne soit trop tard.

Ces mesures justifieraient alors une entorse à la préservation du caractère confidentiel des données patrimoniales du président associé unique de la SASU en difficulté [3].

Toutefois, si l’absence de dépôt des comptes sociaux ne peut se fonder sur la protection des données personnelles, il est intéressant de noter que l’article L.232-25 du code de commerce prévoit la possibilité pour les micros et petites entreprises de demander à ce que leurs comptes sociaux ne soient pas publiés.

Ainsi la confidentialité des données à caractère personnel de ces associés restera préservée.

***

Le cabinet HAAS Avocats est spécialisé depuis plus de 20 ans dans le droit des nouvelles technologies, dont notamment le droit de la protection des données personnelles. Le cabinet HAAS Avocats se tient à vos côtés pour vous accompagner dans la mise en conformité de vos collectes et traitements de données à caractère personnel. Contactez-nous ici

 

[1] CEDH Satakunnan Markkinapörssi Oy et Satamedia Oy c. Finlande, grande chambre, no. 931/13, 27 juin 2017.

[2] Cass., Com. 24 juin 2020 n°19-14.098

[3] DELPECH X., Injonction de déposer les comptes sociaux vs RGPD : 1 - 0, Dalloz, 10 juillet 2020.

Kate JARRARD

Auteur Kate JARRARD

Suivez-nous sur Linkedin