La Commission nationale de l’informatique et des libertés,
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le
code civil
;
Vu le
code de commerce
;
Vu le code du domaine fluvial et de la navigation intérieure, notamment son article 101 ;
Vu le
code des douanes
, notamment son article 379 bis ;
Vu le
code général des impôts
;
Vu le
code monétaire et financier
, notamment ses articles R. 313-3 à R. 313-11 relatifs à la publicité des opérations de crédit-bail en matière mobilière ;
Vu le
code de procédure civile
;
Vu le
code de la sécurité sociale
, notamment son article R. 243-46 relatif aux sûretés ;
Vu le
code du travail
, notamment son article L. 8253-3 relatif à l’inscription des créances privilégiées ;
Vu la
loi n° 78-17 du 6 janvier 1978
modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 25-I (3°), 25-I (6°) et 25-II ;
Vu la
loi n° 2008-776 du 4 août 2008
de modernisation de l’économie ;
Vu le
décret n° 78-704 du 3 juillet 1978
relatif à l’application de la
loi n° 78-9 du 4 janvier 1978
modifiant le titre IX du livre III du code civil ;
Vu le
décret n° 2005-1309 du 20 octobre 2005
modifié pris pour l’application de la
loi n° 78-17 du 6 janvier 1978
relative à l’informatique, aux fichiers et aux libertés ;
Vu le
décret n° 2006-1804 du 23 décembre 2006
pris pour l’application de l’
article 2338 du code civil
et relatif à la publicité du gage sans dépossession ;
Vu l’arrêté du 6 novembre 1981 relatif à l’automatisation de la gestion des greffes des tribunaux de commerce et des tribunaux de grande instance statuant en matière commerciale ;
Vu l’arrêté du 3 août 2012 portant approbation de la convention du 23 septembre 2011 conclue entre la direction générale des finances publiques et le Conseil national des greffiers des tribunaux de commerce aux fins de transfert de compétence des centres de formalités des entreprises mis en place par la direction générale des finances publiques ;
Vu la circulaire Culture DAF/DPACI/RES/014 du 31 octobre 2008 relative à la gestion des archives des tribunaux de commerce et des tribunaux de l’ordre judiciaire à compétence commerciale, notamment du registre du commerce et des sociétés ;
Après avoir entendu M. Gaëtan GORCE, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Les greffiers des tribunaux de commerce mettent en œuvre des traitements de données à caractère personnel permettant la réalisation en ligne des formalités administratives par les entreprises et leurs mandataires, la tenue des registres publics et non publics, la gestion des dossiers inscrits au rôle des audiences du tribunal, le suivi des procédures de mandat ad hoc, de conciliation, de sauvegarde, de redressement judiciaire, de liquidation judiciaire et de rétablissement professionnel, la gestion des fichiers clients, l’établissement de statistiques et la gestion interne de leurs offices.
Investis de missions judiciaires, les greffiers des tribunaux de commerce interviennent dans le processus d’élaboration des décisions de justice. De par la tenue de différents registres légaux, ils sont également amenés à mettre à la disposition des personnes les informations contenues dans ces registres au travers de la délivrance de nombreux actes.
Les conditions de gestion des différents répertoires qui incombent aux greffes des tribunaux de commerce sont fixées par différentes dispositions légales et réglementaires.
Les traitements de données à caractère personnel mis en œuvre dans le cadre des différentes missions qui leur sont confiées sont susceptibles de comporter des données relatives aux infractions et condamnations ainsi que le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques. Dès lors, de tels traitements relèvent de l’article 25-I (3°et 6°) de la loi du 6 janvier 1978 modifiée et doivent, à ce titre, être autorisés par la CNIL.
En vertu de l’article 25-II de la loi du 6 janvier 1978 modifiée, la commission peut autoriser par une décision unique une catégorie de traitements qui répondent aux mêmes finalités, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires.
Les traitements automatisés de données à caractère personnel mis en œuvre par les greffes des tribunaux de commerce aux fins d’exercice de leurs activités sont de ceux qui peuvent, sous certaines conditions, relever de cette définition.
Les greffes des tribunaux de commerce qui adressent à la commission une déclaration comportant un engagement de conformité pour les traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à les mettre en œuvre.
Tout traitement de données à caractère personnel qui excède le cadre ou méconnaît les exigences définies par la présente autorisation unique doit en revanche faire l’objet d’une demande d’autorisation spécifique.
Article 1
Sur les finalités du traitement.
Seuls peuvent faire l’objet d’un engagement de conformité par référence à la présente décision unique les traitements mis en œuvre par les greffiers des tribunaux de commerce aux fins d’exercice de leurs attributions afin d’assurer la mission de contrôle de légalité et de publicité légale confiée par le législateur.
Cette mission est assurée au travers de la tenue des registres et répertoires suivants :
a) La tenue des registres publics suivants :
– le registre du commerce et des sociétés (RCS) ;
– le registre des sûretés mobilières, composé notamment d’informations relatives aux warrants et protêts, aux privilèges et nantissements ainsi qu’aux gages des stocks et aux gages sans dépossession ;
– le registre spécial des agents commerciaux (RSAC) ;
– le registre spécial des entrepreneurs individuels à responsabilité limitée (RSEIRL) ;
b) La tenue des registres non publics suivants :
– le registre des arrivées de formalités au RCS ;
– le registre des paraphes ;
– le registre des marques de fabrique et des dessins et modèles ;
– le registre relatif à la gestion des dossiers en cours, notamment aux procédures d’injonction de payer ;
c) La tenue des répertoires judiciaires :
– le répertoire général des affaires dont l’enrôlement des décisions de justice permet de les classer dans les différentes catégories de ce répertoire (référé, contentieux général, prévention, sauvegarde et liquidation des entreprises, redressement judiciaire, rétablissement professionnel et suspension provisoire des poursuites) ;
– le registre des expertises ;
– le registre des séquestres.
La tenue des registres susmentionnés implique notamment :
– l’inscription des mentions requises ;
– la délivrance d’extraits d’immatriculation ou de certificats indiquant l’existence ou le défaut d’inscription ;
– la rédaction des actes directement liés à la tenue des registres susmentionnés et notamment des extraits d’immatriculation, des certificats et des copies ;
– la transmission d’informations nominatives à des organismes officiels de publicité Bulletin officiel des annonces civiles et commerciales ou Journal officiel de la République française, Institut national de la propriété industrielle, journaux d’annonces légales) ;
– l’enregistrement et la délivrance de copies des statuts et de leurs actes modificatifs, des comptes annuels ou des documents comptables des assujettis ;
– l’établissement de statistiques sur des informations publiques sur demande expresse d’un requérant ;
– la transmission d’informations nominatives relatives aux commerçants ou dirigeants d’entreprises immatriculés au RCS, aux chambres de commerce et d’industrie en vue d’établir les listes électorales consulaires, conformément aux
dispositions de l’article R. 713-1-1 du code de commerce
;
– la mise en forme, la délivrance de copies et la conservation des décisions de justice rendues par la juridiction ;
– l’élaboration des convocations ;
– la tenue de l’audience et la mise au rôle ;
– l’enregistrement et la délivrance de certains actes liés à la procédure ;
– la gestion d’informations dans le cadre de la mission de Centre de formalité des entreprises (CFE) confiée aux greffes des tribunaux de commerce ;
– l’établissement semestriel de la liste des administrateurs judiciaires et des mandataires judiciaires désignés dans le cadre des procédures collectives.
Liens relatifs
Liens relatifs
Article 2
Sur la nature des données traitées.
Les données suivantes peuvent être traitées :
Les données relatives à l’identité du déclarant : civilité, nom, nom d’usage, prénoms, pseudonyme, nom commercial, domicile, adresse de correspondance, date et lieu de naissance, nationalité, contact téléphonique et adresse électronique, numéro RCS, numéro RM, numéro unique d’identification, identifiants fournis lors du processus d’immatriculation.
Les données relatives à l’identité du conjoint ou du partenaire pacsé du déclarant en cas d’adoption du statut de conjoint collaborateur : nom, prénom, attestation de délivrance de l’information donnée au conjoint sur les conséquences des dettes contractées dans l’exercice de sa profession sur les biens communs.
La situation professionnelle ou la qualité de la personne.
Les données relatives aux infractions et condamnations du déclarant :
– le bulletin n° 2 du casier judiciaire, uniquement dans le cadre d’une immatriculation au RCS, conformément aux
dispositions de l’article A. 123-51 du code de commerce
.
Une attestation de non-condamnation dans la mesure où le déclarant ne doit avoir fait l’objet d’aucune condamnation pénale ni de sanction civile ou administrative de nature à lui interdire de gérer, d’administrer ou de diriger une personne morale et, s’il s’agit d’un commerçant, de nature à lui interdire d’exercer une activité commerciale.
Le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR), uniquement dans le cadre des fonctions de Centre de formalités des entreprises (CFE) confiées aux greffes des tribunaux de commerce et dans le cadre des immatriculations suivantes :
– les sociétés civiles et autres que commerciales, artisanales ou agricoles ;
– les sociétés d’exercice libéral ;
– les agents commerciaux ;
– les établissements publics industriels et commerciaux ;
– les groupements d’intérêts économiques (GIE) et les groupements européens d’intérêts économiques (GEIE) ;
– les entités relevant des services des impôts et des entreprises et pour lesquelles la direction générale des finances publiques (DGFIP) a transféré sa compétence de CFE aux greffiers des tribunaux de commerce.
Liens relatifs
Liens relatifs
Article 3
Sur la durée de conservation des données.
La commission rappelle que, conformément à l’article 6 (5°) de la loi du 6 janvier 1978 modifiée, des données à caractère personnel ne peuvent être conservées que le temps strictement nécessaire à l’accomplissement de la finalité pour laquelle elles ont été collectées.
Les données contenues dans les traitements mis en œuvre par les greffes des tribunaux de commerce seront conservées conformément aux dispositions légales en vigueur.
A l’expiration de cette période, les données sont détruites de manière sécurisée ou archivées, dans des conditions définies en conformité avec les dispositions du
code du patrimoine
relatives aux obligations d’archivage des informations du secteur public.
Liens relatifs
Liens relatifs
Article 4
Sur les destinataires des données.
La commission rappelle que le responsable d’un traitement de données à caractère personnel est tenu, en application de l’article 34 de la loi du 6 janvier 1978 modifiée, de prendre toutes les garanties utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher que des tiers non autorisés y aient accès.
A ce titre, le responsable d’un traitement de données à caractère personnel doit, avant de transmettre des données à un organisme, opérer un tri parmi ces dernières pour veiller à ce que le destinataire accède aux seules données adéquates, pertinentes et non excessives au regard de la justification de la communication.
En particulier, s’il est saisi d’une demande de communication de données à caractère personnel par un organisme se prévalant d’une disposition légale à l’appui de sa demande, le responsable du traitement doit s’assurer du caractère obligatoire de la disposition invoquée et veiller à ne transmettre que les données strictement nécessaires.
Dans les limites de leurs attributions respectives, et chacun pour ce qui le concerne, peuvent accéder aux données visées à l’article 2 de la présente autorisation unique :
– les employés du responsable de traitement habilités, dans le cadre de leurs fonctions à instruire les demandes d’immatriculation, à tenir les registres et répertoires visés à l’article 1er et à délivrer les actes afférents ;
– les organismes autorisés par une disposition légale à obtenir la communication de données à caractère personnel relatives au déclarant, notamment :
– le garde des sceaux ;
– le ministère public ;
– l’Institut national de la propriété industrielle (INPI) ;
– la direction générale des finances publiques ;
– l’inspection du travail ;
– l’Agence centrale des organismes de sécurité sociale (ACOSS) ;
– les destinataires officiels prévus par les textes relatifs aux difficultés du débiteur ;
– la direction de l’information légale et administrative dans le cadre de la publicité des informations au Bulletin officiel des annonces civiles et commerciales (BODACC) ;
– l’Institut national de la statistique et des études économiques (INSEE) ;
– le président du Conseil national des administrateurs et mandataires judiciaires ;
– les parties, leurs conseils ou leurs mandataires et le tribunal pour les informations ayant trait à la gestion interne du greffe ;
– le président de la chambre de métiers et de l’artisanat ;
– la chambre de commerce et d’industrie pour les informations contenues dans le registre du commerce et des sociétés, nécessaires à l’établissement des listes électorales.
La commission rappelle que le NIR ne peut être transmis qu’aux organismes sociaux pour la prise en charge du déclarant par les organismes maladie et vieillesse ainsi qu’à l’URSSAF.
Article 5
Sur l’information et les droits des personnes.
Les personnes concernées sont informées de manière claire et complète de l’identité du responsable du traitement, des finalités poursuivies par les traitements mis en œuvre, du caractère obligatoire ou facultatif des réponses du déclarant aux questions posées durant le processus d’immatriculation, ainsi que des destinataires des données, conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée.
Les personnes concernées sont également informées de leurs droits d’accès et de rectification. Cette information intervient notamment par le biais des formulaires en ligne mis à la disposition des déclarants, qui comprennent une mention spécifique les informant de l’existence de leurs droits en matière de protection des données personnelles.
Elle doit être réalisée au moment où le déclarant renseigne les informations permettant son immatriculation et préalablement à leur validation.
Les droits d’accès et de rectification prévus par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée s’exercent directement auprès du greffe concerné qui doit communiquer, sur demande de l’intéressé, tout renseignement enregistré le concernant.
Le droit d’opposition prévu à l’article 38 de la loi du 6 janvier 1978 modifiée ne s’applique pas aux traitements concernés par la présente autorisation unique, dans la mesure où ces derniers répondent à une obligation légale.
Article 6
Sur la sécurité des données et la traçabilité des actions.
Des mesures de protection physique et logique doivent être prises pour préserver la sécurité des informations enregistrées dans les traitements mis en œuvre et empêcher toute utilisation détournée ou frauduleuse de celles-ci, notamment par des tiers non autorisés.
Les accès aux traitements de données mis en œuvre nécessitent une authentification des personnes accédant aux données, au moyen d’un identifiant et d’un mot de passe individuels, suffisamment robustes et régulièrement renouvelés, ou par tout autre moyen d’authentification de même fiabilité, conformément aux recommandations de la commission en la matière.
Des profils d’habilitation définissent les types d’informations accessibles à un utilisateur.
Les liaisons entre le ou les serveurs hébergeant les traitements de données à caractère personnel correspondant aux finalités exposées à l’article 1er et les postes clients sont sécurisées par des mesures cryptographiques garantissant la confidentialité des données échangées lorsque celles-ci transitent par internet.
Des sauvegardes sont réalisées de manière régulière.
Une journalisation des connexions et l’exploitation de ces journaux sont mises en place.
Dans le cadre de leurs missions, les greffes des tribunaux de commerce mettent en œuvre les capacités techniques appropriées afin de permettre un échange d’information sécurisé avec leurs interlocuteurs. Il s’agit de la mise en œuvre d’un accès sécurisé afin d’assurer la transmission de documents judiciaires entre les avocats, d’un accès sécurisé en vue d’échange d’informations avec le ministère public et les personnes habilitées par les dispositions légales en vigueur, les mandataires judiciaires dans le cadre des procédures collectives et du recours à la signature électronique dans le cadre de la signature quotidienne par le greffier du registre chronologique et de la transmission des informations avec l’INPI.
Article 7
Sur les modalités de publication.
La présente délibération sera publiée au Journal officiel de la République française.
La présidente,
I. Falque-Pierrotin
Extrait du Journal officiel électronique authentifié
PDF –
244,6 Ko
