La Commission nationale de l’informatique et des libertés,

Saisie par la mission interministérielle relative à la simplification et à la modernisation des formalités des entreprises d’une demande d’avis concernant un projet de décret en Conseil d’Etat relatif à l’application de l’

article 1er de la loi n° 2019-486 du 22 mai 2019

relative à la croissance et la transformation des entreprises et adaptation de plusieurs textes règlementaires comportant des dispositions relatives aux déclarations des entreprises auprès de l’organisme unique ayant vocation à remplacer les centres de formalités des entreprises ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;

Vu la directive 2006/123/CE du Parlement européen et du Conseil du 12 décembre 2006 relative aux services dans le marché intérieur ;

Vu le

code de commerce

, notamment ses articles R. 123-1 et suivants ;

Vu la

loi n° 78-17 du 6 janvier 1978

modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 8-I-4°-a) et 30 ;

Vu la

loi n° 2019-486 du 22 mai 2019

relative à la croissance et la transformation des entreprises ;

Vu le

décret n° 2019-341 du 19 avril 2019

relatif à la mise en œuvre de traitements comportant l’usage du numéro d’inscription au répertoire national d’identification des personnes physiques ou nécessitant la consultation de ce répertoire ;

Vu le

décret n° 2019-536 du 29 mai 2019

modifié pris pour l’application de la

loi n° 78-17 du 6 janvier 1978

relative à l’informatique, aux fichiers et aux libertés ;

Vu le

décret n° 2020-946 du 30 juillet 2020

relatif à la désignation de l’Institut national de la propriété industrielle en tant qu’organisme unique mentionné à l’

article 1er de la loi n° 2019-486 du 22 mai 2019

relative à la croissance et la transformation des entreprises ;

Sur la proposition de M. Philippe-Pierre CABOURDIN, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,

Emet l’avis suivant :

La Commission a été saisie, le 5 novembre 2020 sur le fondement des articles 8-I-4°-a) et 30 de la loi du 6 janvier 1978 modifiée, d’une demande d’avis relative à un projet de décret en Conseil d’Etat portant application de l’

article 1er de la loi n° 2019-486 du 22 mai 2019

relative à la croissance et la transformation des entreprises (ci-après « loi Pacte »).

Elaborée dans le but de favoriser la croissance des entreprises, la loi Pacte comporte plusieurs dispositions visant notamment à simplifier le processus entrepreneurial en modifiant en particulier de nombreuses dispositions du

code de commerce

. L’article 1er a ainsi pour objet de substituer aux différents réseaux de centres de formalités des entreprises (CFE) un guichet unique électronique tenu par un seul opérateur. Ce guichet collectera l’ensemble des informations et pièces nécessaires à la confection d’un seul dossier de formalités. Il constituera également, à terme, l’interface directe entre les organismes destinataires et les entreprises, quels que soient l’activité, le lieu d’implantation et la forme juridique de ces dernières et alimentera le registre général dématérialisé tel que prévu par l’article 2 de cette même loi.

A titre liminaire, la Commission relève que l’Institut national de la propriété industrielle (ci-après « INPI ») a été désigné comme opérateur du guichet unique électronique par

décret du 30 juillet 2020 susvisé

.

Dans ce contexte, le présent projet de décret vise notamment à définir les conditions de dépôt du dossier ainsi que les modalités d’accompagnement et d’assistance des entreprises par les organismes consulaires et par l’INPI, à préciser les modalités de vérification du dossier déposé ou encore à décrire les conditions de transmission des informations collectées par l’INPI aux administrations, aux personnes ou aux organismes mentionnés à l’

article L. 123-32 du code de commerce

. Il précise également les conditions dans lesquelles l’usager créant son entreprise par l’intermédiaire de l’INPI peut se voir proposer de façon facultative des outils permettant de le renseigner sur les détails et les enjeux de la vie d’une entreprise.

Sur le contexte de création du « guichet unique électronique » et ses conditions d’accessibilité

La Commission rappelle qu’à ce jour, les CFE permettent aux entreprises, conformément aux

dispositions de l’article R. 123-1 du code de commerce

, de souscrire en un même lieu l’ensemble des formalités et procédures nécessaires à l’accès et à l’exercice de leur activité. Ils jouent par ailleurs un rôle de centralisation des déclarations, de contrôle formel des documents présentés, de transmission de l’ensemble des pièces aux organismes destinataires qui s’assurent de leur régularité et de leur validité ainsi que, depuis la transposition de la directive du 12 décembre 2006 susvisée dite « services », un rôle dans le cadre des demandes d’autorisations administratives nécessaires à l’exercice des activités réglementées.

Elle rappelle également que la répartition des demandes s’effectue entre les six réseaux de CFE (les chambres de commerce et d’industrie, les chambres de métiers et de l’artisanat, les greffes des tribunaux de commerce ou des tribunaux judiciaires, les chambres d’agriculture, les centres des impôts, les URSSAF) selon le critère de compétence matérielle précisée par l’

article R. 123-3 du code de commerce

puis au sein de chaque réseau, selon un critère géographique.

La Commission relève que le guichet unique tel que prévu par l’article 1er de la loi Pacte vise à se substituer aux différents réseaux de centres de formalités des entreprises et ce, afin de simplifier en France l’établissement de prestataires qui souhaitent y offrir leurs biens et services.

Cette substitution devant s’opérer de manière progressive, la Commission relève que le présent projet de décret comporte, outre des dispositions pérennes relatives au fonctionnement de ce guichet unique (article 8), des dispositions particulières permettant la mise en œuvre d’un dispositif transitoire à compter du 1er janvier 2021 (article 145) au travers de la mise en place d’un « guichet électronique des formalités des entreprises ».

La Commission prend ainsi acte que le guichet électronique des formalités des entreprises et les CFE assureront leurs missions respectives de manière parallèle durant la période transitoire et ce, jusqu’au 31 décembre 2022. Elle relève dès lors qu’un déclarant bénéficiera, durant cette période, de plusieurs choix pour réaliser ses formalités (dépôt physique du dossier, transmission par voie postale ou saisine par voie électronique). A compter du 1er janvier 2023, le guichet unique se substituera au dispositif transitoire (le guichet électronique des formalités des entreprises) ainsi qu’à l’activité des CFE.

La Commission relève à cet égard qu’il est prévu que l’accès au guichet unique s’effectue à partir d’un portail web dédié proposant à un utilisateur dûment authentifié d’agir en qualité de déclarant pour une entreprise ou via des API informatiques permettant de transférer depuis le système d’une entreprise ou d’un mandataire dûment identifiés un flux de données contenant l’ensemble de informations liées à la réalisation d’une formalité. Compte tenu des modalités d’accès au service proposé, elle rappelle d’emblée l’importance de s’assurer que des mesures de sécurité particulièrement robustes, de nature notamment à assurer l’intégrité et la confidentialité des données transmises sont mises en œuvre.

Elle relève qu’il résulte des modifications envisagées qu’à partir du 1er janvier 2023, les formalités de création, de modification de la situation et de cessation d’activité des entreprises s’accompliront, à compter de cette date, exclusivement par voie électronique. A cet égard, la Commission relève que, pour pallier les difficultés auxquelles certaines entreprises pourraient être confrontées dans le cadre de la dématérialisation des déclarations auprès d’un guichet unique, un dispositif d’assistance à la réalisation des formalités est prévu (

nouvel article R. 123-14 du code de commerce

).

Ces éléments rappelés et sans préjudice des conditions de mise en œuvre effective des traitements mis en œuvre par l’INPI qui devront, en tout état de cause, respecter la réglementation applicable en matière de protection des données en assurant notamment l’effectivité de l’exercice des droits des personnes, le projet de décret appelle les observations suivantes.

Sur les conditions de fonctionnement du dispositif envisagé et ses conditions de mise en œuvre

A titre liminaire, la Commission relève que le dispositif pérenne tel que présenté à l’article 8 du projet de décret et le dispositif transitoire tel que décrit à l’article 145 présentent des fonctionnalités identiques décrites respectivement aux futurs articles

R. 123-6

et

R. 123-7

du code de commerce pour l’organisme unique et aux futurs articles R. 123-30-17 et R. 123-30-18 du même code. Elle prend acte qu’entre le 1er janvier 2021 et 2023, seul le périmètre des formalités traitées sera différent en fonction des entreprises concernées.

La Commission relève tout d’abord que dans sa phase pérenne, le périmètre des formalités prises en charge par l’INPI est identique à celui des CFE actuels, à savoir les formalités et procédures nécessaires à la création, aux modifications de la situation et à la cessation d’activité d’une entreprise, ainsi qu’à l’accès à une activité réglementée de service et à son exercice (demandes d’autorisation pour les activités dans le champ de la directive relative aux services).

Dans ce cadre, l’article 8 du projet de décret énumère également les éléments contenus dans le dossier qui sera transmis à l’INPI conformément aux

dispositions du nouvel article L. 123-33 du code de commerce

tel qu’issu de la loi Pacte. La Commission relève que des données à caractère personnel sont susceptibles de figurer au sein de ces éléments sans qu’à ce stade, elles soient énumérées de manière exhaustive dans le projet de décret, comme l’illustre la rédaction envisagée de l’

article R. 123-4 du code de commerce

(« Parmi celles-ci figurent, sans préjudice des dispositions spécifiques […] »).

Si la Commission prend acte des précisions apportées, à savoir que la liste figurant à cet article constitue « un socle minimal de données collectées par le guichet » et qu’il importe de prendre en compte la situation juridique de chaque entreprise et des exigences correspondantes propre à chaque organisme destinataire, elle relève qu’une liste plus précise a pu être transmise dans le cadre de l’instruction de cette saisine. Dans ces conditions, elle estime que le

nouvel article R. 123-4 du code de commerce

pourrait être complété sur ce point, y compris en mentionnant explicitement « les dispositions spécifiques » visées.

En tout état de cause, elle rappelle que seules les données strictement nécessaires à la réalisation des formalités accomplies devront être collectées et transmises aux organismes destinataires et autorités compétentes et ce, tant dans le cadre de la phase transitoire du dispositif que dans sa phase pérenne.

Elle relève également que « le guichet unique électronique », comme c’est le cas des actuels CFE, n’a pas vocation à se substituer aux organismes destinataires des formalités ainsi qu’aux autorités compétentes qui sont actuellement énumérés à l’annexe 1-1 à la partie réglementaire du code de commerce (tels que le service des impôts, les caisses générales de sécurité sociale ou les chambres des métiers et de l’artisanat) et dont la liste limitative sera désormais établie par voie d’arrêté. La Commission rappelle que ces organismes et autorités restent seuls compétents pour apprécier la régularité des dossiers reçus, la création d’un « guichet unique électronique » ayant principalement vocation à simplifier la réalisation de formalités administratives présentées comme particulièrement complexes en créant une interface unique entre les déclarants et les organismes destinataires.

La Commission relève que, tant dans la phase transitoire que pérenne, il est prévu que les chambres de commerce et d’industrie bénéficient d’un accès aux informations collectées auprès des seules entreprises ayant une activité commerciale (articles 75 et 159 du projet de décret). Elle relève que cet accès vise à tirer les conséquences de la disparition progressive de leur rôle en tant que CFE et sera strictement délimité dans son périmètre à l’activité commerciale ce qui n’appelle, dès lors, pas d’observation particulière.

La Commission relève enfin que les informations collectées par l’INPI dans le cadre du « guichet unique » ne pourront être conservées « au-delà des délais nécessaires » à la transmission réalisée auprès des organismes destinataires et ce, sans préjudice des éléments qui doivent être conservés aux fins d’inscription sur un registre de publicité légale. Elle observe que les durées ainsi définies, qui s’appliqueront également durant la phase transitoire, reprennent celles fixées par l’

article R. 123-19 du code de commerce

actuellement en vigueur.

La Commission relève toutefois qu’il a été précisé qu’en pratique, la suppression des données n’interviendra qu’à l’issue de l’émission par l’organisme destinataire de la validation ou du rejet de la formalité accomplie. Si une telle modalité ne soulève pas de difficulté particulière au regard de la réglementation applicable en matière de protection des données, elle observe que la rédaction du projet de décret sur ce point ne reflète pas cette possibilité. La Commission demande que l’article 8 soit précisé en ce sens.

Dans la mesure où la réalisation des formalités accomplies vise à être entièrement dématérialisée, la Commission prend par ailleurs acte des précisions apportées s’agissant de la durée de conservation des données liées à la création du compte utilisateur du déclarant. Elle relève qu’il est ainsi envisagé que ces données soient effacées au bout d’une période d’inactivité de trois ans du compte après intervention des notifications auprès du titulaire dudit compte. La Commission prend acte que cette durée a été établie au regard du rythme moyen constaté de réalisation des formalités par les chefs d’entreprise.

Elle relève également que les déclarants auront, en tout état de cause, la possibilité de recourir à un service de conservation provisoire des données et pièces relatives aux déclarations engagées mais non finalisées, leur permettant de reprendre ultérieurement la formalité engagée (futur

article R. 123-9 du code de commerce

).

La Commission relève qu’une telle possibilité est déjà prévue, dans les mêmes conditions par l’

article R. 123-27 du code de commerce

. Elle prend par ailleurs acte qu’un déclarant pourra à tout moment modifier ou supprimer les données relatives aux formalités entamées mais inachevées ainsi que les informations relatives à son compte utilisateur et que, seules les données de connexion feront l’objet d’une conservation pour une durée de trois mois et aux fins de traiter les éventuelles réclamations.

Sur les mesures de sécurité et la nécessité de réaliser une analyse d’impact relative à la protection des données

Dans la mesure où le dispositif envisagé reposera notamment sur la collecte du numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) du déclarant personne physique ou nécessitera une consultation de ce répertoire (voir infra), il concernera un très grand nombre de personnes physiques. La Commission estime donc nécessaire la réalisation d’une analyse d’impact relative à la protection des données. Elle prend acte qu’une telle analyse est en cours de réalisation par l’INPI.

Plus spécifiquement, la Commission rappelle que des mesures de sécurité à l’état de l’art, telles que le chiffrement des données, devront nécessairement être mises en œuvre afin d’assurer la confidentialité des données échangées sur des réseaux de télécommunication publics. Elle rappelle aussi que les modalités d’authentification, tant des personnes concernées que des personnes habilitées à accéder au traitement, devront être suffisamment robustes et conformes à sa

délibération n° 2017-012 du 19 janvier 2017

portant adoption d’une recommandation relative aux mots de passe.

Par ailleurs, la Commission rappelle que des mesures de traçabilité devront être mises en place et concerner l’ensemble des opérations réalisées, tant par les personnes concernées que les personnes habilitées, afin d’assurer la sécurité du traitement. Les données de traçabilité ainsi collectées devraient être conservées pendant une durée de six mois (et non trois comme cela est actuellement envisagé), et faire l’objet de mesures d’analyse automatique afin de garantir la détection d’éventuelles opérations non autorisées.

Enfin, de manière plus générale, la Commission rappelle la nécessité de prévoir, en amont de la mise en œuvre du dispositif, un hébergement dans des conditions parfaitement conformes à la réglementation applicable. Si des transferts de données hors de l’Union européenne étaient envisagés, elle rappelle qu’ils devraient faire l’objet d’un encadrement conforme aux textes et à la jurisprudence récente en la matière.

Sur la modification du

décret n° 2019-341 du 19 avril 2019

relatif à la mise en œuvre de traitements comportant l’usage du numéro d’inscription au répertoire national d’identification des personnes physiques ou nécessitant la consultation de ce répertoire

L’article 8 du projet de décret prévoit que les déclarations adressées dans le cadre d’une création d’entreprises pourront comporter le NIR du déclarant personne physique (

nouvel article R. 123-4 du code de commerce

). Ce même article prévoit que l’organisme unique [l’INPI] « interroge le répertoire national d’identification des personnes physiques aux fins de confirmer, pour les personnes physiques inscrites, le caractère identique des éléments déclarés à ceux figurant dans ce répertoire ». La Commission relève qu’une telle interrogation sera également possible durant la phase transitoire de mise en œuvre du dispositif, si les conditions techniques le permettent (article 145 du projet de décret).

La Commission prend acte que la consultation réalisée vise uniquement à comparer les données d’identités renseignées par le déclarant (nom, prénom, date de naissance) avec celles figurant au répertoire national d’identification des personnes physiques (RNIPP). La seule information relative au caractère identique ou non des informations ainsi comparées sera transmise au « guichet unique » ainsi qu’au déclarant afin de l’inviter à procéder, s’il le souhaite, à une modification et aux organismes sociaux afin de les inviter, dans le cadre de leur mission d’affiliation au régime des travailleurs non salariés, à renforcer leur contrôle sur l’identité renseignée en cas de divergence.

Dans ce contexte, l’article 195 du projet de décret vise à modifier le

décret du 19 avril 2019 susvisé

afin de permettre l’utilisation du NIR ou la consultation du RNIPP « 6° Pour la vérification de l’identité des chefs d’entreprise, de leurs conjoints et de l’ensemble des personnes physiques composant la gérance de l’entreprise, ainsi que pour la transmission aux organismes sociaux visés à l’annexe 1-1 du livre Ier du code de commerce des déclarations prévues à l’annexe 1-2 du même code : le service informatique mentionné à l’article R. 123-30-14 du code de commerce ».

La Commission prend acte qu’une telle évolution vise uniquement à obtenir une confirmation de l’exactitude de l’identité renseignée par rapport à celle enregistrée au sein du RNIPP afin de renforcer, en amont, la qualité de la donnée renseignée et ainsi éviter les corrections en cascade lorsqu’une erreur est découverte par les organismes destinataires de la formalité accomplie.

Elle relève que, par voie de conséquence, l’article 132 du projet de décret supprime le

8° du E. de l’article 2 du décret du 19 avril 2019 susvisé

, relatif à la transmission par les greffiers des tribunaux du commerce du NIR, ces derniers perdant au 1er janvier 2023 leur compétence de CFE ainsi que la possibilité d’être saisis directement d’une demande d’immatriculation au registre du commerce et des sociétés. Cet article du projet de décret procède également aux modifications terminologiques nécessaires liées à la fin de mise en œuvre du dispositif transitoire, ce qui n’appelle pas d’observation particulière.

Liens relatifs

Liens relatifs

La présidente,

M.-L. Denis

Extrait du Journal officiel électronique authentifié

PDF –
226,5 Ko