La Commission nationale de l’informatique et des libertés,

Saisie par le ministère de l’économie, des finances et de la relance d’une demande d’avis concernant un projet de décret relatif au Registre national des entreprises et portant adaptation des autres registres d’entreprises ;

Vu le règlement le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

Vu la

loi n° 78-17 du 6 janvier 1978

modifiée relative à l’informatique, aux fichiers et aux libertés ;

Vu l’

ordonnance n° 2021-1189 du 15 septembre 2021

portant création du Registre national des entreprises ;

Sur la proposition de M. Philippe-Pierre CABOURDIN, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,

Emet l’avis suivant :

La Commission a été saisie pour avis, sur le fondement du a du 4° du I de l’article 8 de la loi du 6 janvier 1978 modifiée, d’un projet de décret en Conseil d’Etat relatif au Registre national des entreprises et portant adaptation des autres registres d’entreprises.

Prise pour l’application de l’

article 2 de la loi n° 2019-486 du 22 mai 2019

relative à la croissance et la transformation des entreprises (ci-après la loi PACTE), l’

ordonnance n° 2021-1189 du 15 septembre 2021

a créé un Registre national des entreprises (ci-après le RNE) ayant pour objet le recueil, la conservation et la diffusion des informations concernant les entreprises.

Le RNE, auquel s’immatriculeront les entreprises exerçant sur le territoire français une activité de nature commerciale, artisanale, agricole ou indépendante, sera tenu par l’Institut national de la propriété industrielle (ci-après l’INPI). L’inscription au registre sera réalisée par l’intermédiaire de l’organisme unique mentionné à l’

article L. 123-33 du code de commerce

créé par l’article premier de la loi PACTE.

L’ordonnance portant création du RNE prévoit qu’un décret en Conseil d’Etat détermine les modalités d’application des dispositions de la section 5 qu’elle insère au du chapitre III du titre II du livre 1er de la partie législative du code du commerce.

Sur ce fondement, le présent projet de décret a notamment pour objet de :

– décrire les informations et pièces composant le RNE déclarées par les entreprises soumises à immatriculation ou inscrites d’office par des autorités habilitées ;

– décrire le rôle des autorités en charge de la validation des données déclarées par les entreprises soumises à immatriculation au RNE, en précisant les informations et pièces qui font l’objet d’une validation ;

– définir les modalités de tenue du RNE, en fixant notamment, dans ce cadre, la liste des entités ayant accès à l’intégralité des informations du registre pour l’exercice de leurs missions.

De surcroît, le projet de décret dont la Commission est saisie entend modifier :

– les dispositions relatives à d’autres registres et répertoires existants – et notamment du répertoire national d’identification des entreprises et de leurs établissements, tenu par l’INSEE (ci-après le répertoire SIRENE) ;

– les dispositions relatives à l’organisme unique prévu à l’

article L. 123-33 du code de commerce

; et

– l’

article 2 du décret n° 2019-341 du 19 avril 2019

relatif à la mise en œuvre de traitements comportant l’usage du numéro d’inscription au répertoire national d’identification des personnes physiques (ci-après le NIR) ou nécessitant la consultation de ce répertoire.

Dans ce contexte, le projet de décret appelle les observations suivantes.

Sur les catégories de données traitées

Les articles R. 123-243 et R. 123-253 du code de commerce créés par le projet de décret énumèrent les données à caractère personnel qui sont inscrites, sur déclaration de la personne physique ou de la société à l’occasion de son immatriculation, au sein du RNE.

En premier lieu, la Commission prend acte de ce que la liste des données à caractère personnel communiquées par le déclarant et visées par les articles précités est exhaustive, de telle sorte qu’aucune autre catégorie de données ne pourra être inscrite au registre.

En second lieu, le projet de décret prévoit l’inscription au RNE du NIR sur déclaration de la personne physique ou de la société à l’occasion de son immatriculation.

Dans ce contexte, il ajoute un 18° au D de l’article 2 du décret du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l’usage du numéro d’inscription au répertoire national d’identification des personnes physiques ou nécessitant la consultation de ce répertoire (ci-après le RNIPP) pour permettre l’utilisation du NIR ou la consultation du RNIPP par le teneur du RNE (l’INPI) en vue d’« assurer, s’agissant des chefs d’entreprise, de leurs conjoints et de l’ensemble des personnes physiques composant la gérance de l’entreprise, les échanges d’informations prévus par les articles R. 123-239 et suivants du code de commerce entre le teneur du Registre national des entreprises et les organismes en charge de la sécurité sociale ».

La Commission prend note des précisions apportées par le ministère selon lesquelles cette modification autorise le Registre national des entreprises à inscrire en son sein le NIR, et que cette dernière donnée permet d’identifier, dans le cadre des échanges nécessaires aux inscriptions d’office, l’individu concerné parmi ceux inscrits sous le numéro SIREN de l’entreprise.

Elle souligne néanmoins que, conformément au principe de minimisation des données consacré à l’article 5-1-c du règlement général sur la protection des données (ci-après le RGPD), les données à caractère personnel inscrites au registre doivent être limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Elle considère ainsi que, dans la mesure où le traitement d’autres données, dont les données d’état civil, inscrites au registre, permettent d’identifier les personnes concernées, l’inscription du NIR au RNE ainsi que l’accès du teneur du registre à cette donnée ne sont pas justifiés.

Sur l’accès aux données contenues dans le RNE

En premier lieu, le projet de décret précise d’une part les informations et pièces dont l’inscription et le dépôt au RNE sont soumis à validation, et d’autre part les modalités de contrôle du respect, par les entreprises, des conditions nécessaires à l’accès à leur activité ou à l’exercice de celle-ci. Dans ce cadre, le projet d’article R. 123-267 prévoit, en son troisième alinéa, que « les informations relatives au numéro d’inscription au répertoire national d’identification des personnes physiques ainsi que les coordonnées téléphoniques et électroniques ne sont pas soumises à validation ».

Sans préjudice des observations précédemment formulées sur le traitement du NIR, la Commission prend acte des précisions apportées selon lesquelles cette donnée ne sera pas communiquée dans le cadre de la validation et les coordonnées téléphoniques et électroniques ne seront transmises aux autorités chargées de la validation que pour permettre un échange entre ces dernières et les entreprises.

En deuxième lieu, le projet de décret ajoute au code du commerce un article R. 123-311 qui énumère les autorités, administrations, personnes morales et professions ayant accès, « pour l’exercice de leurs missions », à l’intégralité des informations inscrites au RNE, y compris les données à caractère personnel relatives à l’identité et au domicile des personnes physiques mentionnées dans le registre qui ne sont pas mises à la disposition du public.

A cet égard, la Commission prend acte de ce que cet accès ne sera accordé que dans l’exercice de certaines missions propres à chacune de ces entités, et de ce que les données accessibles à ces dernières ne seront utilisées qu’aux seules fins d’identification et de contact des responsables des entreprises, sauf en ce qui concerne l’INSEE et l’organisme unique. Elle invite les responsables des entités accédantes à prendre les mesures nécessaires pour garantir que les données protégées du traitement seront accessibles aux seuls agents investis de ces missions et utilisées aux seules fins précitées.

De manière générale, la Commission rappelle que l’accès de chaque entité aux données du RNE ne faisant pas l’objet d’une mise à disposition du public doit être limité au besoin d’en connaître, et souligne que chacune de ces entités devra s’assurer de la conformité de ses traitements à la règlementation relative à la protection des données personnelles, et en particulier au principe de minimisation des données.

S’agissant des modalités d’accès à ces données, la Commission prend acte de ce qu’une habilitation sera nécessaire au sein de chaque entité pour désigner les personnes disposant d’un accès, et de ce que celle-ci sera transmise à l’INPI lors de l’ouverture du compte dédié à la consultation étendue avec un contrôle de l’adresse de serveur pour l’adresse électronique renseignée.

Enfin, le projet de décret précise que l’information relative au NIR n’est diffusée qu’aux seules autorités, administrations, personnes morales et professions habilitées à en connaître conformément aux dispositions de l’article 2 du décret du 19 avril 2019 précité. S’agissant des mesures mises en place pour garantir que ces seules entités pourront, en pratique, accéder au NIR, et sans préjudice des observations précédemment formulées sur le traitement de cette donnée, la Commission prend acte de ce que le NIR ne sera diffusé que sur justification, apportée par l’autorité concernée, de l’habilitation pertinente.

En troisième lieu, il ressort des précisions apportées par le ministère que des prestataires de l’INPI auront accès aux données contenues dans le RNE. La Commission souligne que les prestations devront s’effectuer dans les conditions prévues à l’article 28 du RGPD et que des conventions devront être conclues avant toute mise en œuvre des traitements.

Sur les droits des personnes concernées

Le projet de décret prévoit que l’opposition du déclarant à la mise à disposition de ses données à des fins de prospection en application de l’article 21-2 du RGPD est portée à la connaissance des administrations et du public.

La Commission observe que, conformément aux recommandations qu’elle a formulées dans sa délibération n° 2021-098 du 2 septembre 2021, il est prévu d’intégrer au RNE des fonctionnalités permettant d’exercer ce droit d’opposition et d’identifier les données concernées pour informer les utilisateurs de l’opposition formée. En particulier, elle prend acte de ce que l’opposition du déclarant sera matérialisée soit lors de la déclaration par l’intermédiaire d’une case à cocher, soit postérieurement par l’envoi d’un formulaire à l’INPI. Elle souligne qu’en vue de faciliter, conformément aux articles 12 et 21 du RGPD, l’exercice des droits des personnes concernées, les déclarants devront être informés de la possibilité d’exercer à tout moment, y compris après la procédure de déclaration, leur droit d’opposition au traitement de leurs données à des fins de prospection, et que le formulaire prévu à cet effet devra être facilement accessible.

Sur les autres caractéristiques du RNE

Au-delà des caractéristiques du RNE décrites par le projet de décret, la Commission prend acte de ce qu’une circulaire établira les durées de conservation et de ce qu’un alignement des durées de conservation entre anciens registres et registres maintenus est envisagé.

Par ailleurs, elle rappelle avoir considéré, dans sa délibération n° 2021-098 précitée, qu’au regard de la nature des traitements envisagés, une analyse d’impact sur la protection des données (ci-après « AIPD ») devrait être réalisée préalablement à la mise en œuvre des traitements, conformément aux articles 62 de loi du 6 janvier 1978 modifiée et 35 du RGPD. A cet égard, elle prend acte de ce que le ministère s’est engagé à réaliser une AIPD à l’échéance du quatrième trimestre 2022, ce qui ne permettra pas de mettre en œuvre le traitement avant cette date. Elle considère que la production de l’AIPD concomitamment à la publication du décret constitue une bonne pratique, à laquelle elle est favorable.

Enfin, la Commission observe que certaines dispositions du projet de décret sont en cours de rédaction et qu’elle n’a, de ce fait, pas été saisie de l’intégralité du texte. A cet égard, elle prend acte de ce qu’il s’agit de dispositions d’adaptation ou de suppression des registres existants qui n’impliquent pas le traitement de données à caractère personnel. La Commission regrette que ces dispositions d’adaptation ou de suppression n’aient pas été réalisées avant sa saisine pour avis.

Sur la modification des dispositions relatives au répertoire national mentionné à l’

article R. 123-20 du code de commerce

En premier lieu, le projet de décret modifie l’

article R. 123-222 du code de commerce

pour ajouter, parmi les renseignements portés au répertoire SIRENE, l’indication selon laquelle l’adresse de l’unité légale correspond le cas échéant au domicile personnel de la personne physique ou du dirigeant de la personne morale ou du groupement.

La Commission prend note de ce que l’inscription de l’information de cette « adresse de l’unité légale » telle que précisée ci-dessus est une donnée à caractère personnel du chef d’entreprise qui doit être considérée comme telle au regard du droit d’opposition à la diffusion et du droit d’opposition à la réutilisation des données (à propos de l’exercice de ces droits, v. infra).

Par ailleurs, le projet de décret prévoit de modifier l’

article R. 123-232 du code de commerce

pour ajouter l’information selon laquelle l’adresse de l’unité légale correspond au domicile personnel aux données pouvant être communiquées aux autorités administratives et personnes morales de droit privé mentionnées par la même disposition. Si la Commission prend note de ce que cette information sera mise à disposition des administrations pour éviter d’interroger l’entreprise sur des données déjà disponibles au sein de l’administration, elle s’interroge néanmoins sur la nécessité de transmettre aux autorités administratives et personnes morales précitées cette information au regard, notamment, de la finalité de son inscription au registre telle que précisée par le ministère (identification d’une donnée à caractère personnel dans le cadre de l’exercice du droit d’opposition). Au regard de cette finalité, la Commission invite le ministère à s’assurer que cette information sera accessible au seul teneur du registre en sa qualité de responsable du traitement.

En deuxième lieu, le projet de décret prévoit d’ajouter au code de commerce un nouvel article R. 123-232-1 qui prévoit, en son premier alinéa, que l’INSEE pourra mettre à disposition des administrations les renseignements contenus dans le répertoire et ce, dans les conditions définies à la section 4 du chapitre IV du titre 1er du livre 1er du code des relations entre le public et l’administration (ci-après le CRPA). La Commission prend acte de ce que cette mise à disposition sera réalisée sous réserve que chaque administration indique le fondement juridique lui permettant d’utiliser les données en question.

En troisième lieu, les alinéas 2 à 4 du projet d’article R. 123-232-1 prévoient et délimitent les conditions d’exercice d’un droit d’opposition à la mise à disposition de ses données à des fins de prospection en application de l’article 21-2 du RGPD et d’un droit d’opposition à la mise à disposition de ses données pour des raisons tenant à sa situation particulière en application de l’article 21-1 du même règlement.

S’agissant d’une part du périmètre de ces droits, la Commission prend acte des précisions apportées par le ministère selon lesquelles le deuxième alinéa de l’article R. 123-232-1 prévoit un droit d’opposition à la réutilisation des données à caractère personnel à des fins de prospection, et de ce que l’exercice de ce droit conduira à ajouter aux données diffusées au sein du répertoire un marqueur à destination du public et des potentiels réutilisateurs. Dès lors que dans sa rédaction actuelle, le projet d’article prévoit un droit d’opposition « à la mise à disposition » de ces données à des fins de prospection, la Commission recommande de préciser cet article pour indiquer, conformément aux éléments ci-dessus évoqués, que le droit d’opposition s’exerce au regard de l’utilisation des données à caractère personnel à des fins de prospection, de telles données étant disponibles mais non utilisables. Enfin, elle prend acte de ce que l’

article A. 123-96 du code de commerce

, qui prévoit un droit d’opposition à l’utilisation des données à caractère personnel à des fins de prospection, sera mis en adéquation par un texte ultérieur.

Par ailleurs, le troisième alinéa du projet d’article R. 123-232-1 prévoit qu’une personne physique peut s’opposer à la mise à disposition de ses données pour des raisons tenant à sa situation particulière et, le cas échéant, que la mise à disposition des informations relatives à l’identité de cette personne sera limitée à l’identifiant au sein du répertoire et à la commune. La poursuite du traitement de ces dernières données vise, selon les éléments communiqués par le ministère, à faciliter les relations entre les entreprises et les tiers n’ayant pas accès aux données pour lesquels le droit d’opposition s’applique et, par là même, à permettre une connaissance de l’entreprise. A cet égard, la Commission rappelle que le traitement de données à caractère personnel auquel s’est opposé la personne concernée ne peut être poursuivi que s’il est démontré, conformément à l’article 21-1 du RGPD, qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.

Enfin, la Commission prend note des précisions apportées par le ministère selon lesquelles l’exercice des droits d’opposition prive l’administration de pouvoir solliciter les informations concernées au titre de l’alinéa premier du même article R. 123-232-1 (v. supra, point 30). Elle relève néanmoins que les données mises à disposition des administrations dans les conditions définies par les articles précités du CRPA n’ont, conformément à ces derniers, pas vocation à être traitées à des fins de prospection. De manière générale, la Commission s’interroge sur l’insertion des dispositions relatives au droit d’opposition dans l’article R. 123-232-1, à la suite d’un premier alinéa ayant pour objet la mise à disposition des données aux administrations dans les conditions prévues par le CRPA, dans la mesure où ce droit aurait vocation à être exercé au regard tant des administrations que du public.

S’agissant d’autre part des modalités d’exercice de ces droits, la Commission relève que l’exercice du droit d’opposition ne sera assuré qu’à l’occasion de toute formalité de création, de modification et de cessation d’entreprise et par la mise à disposition d’une téléprocédure gratuite. A cet égard, elle rappelle que les personnes concernées devront être informées de la possibilité d’exercer à tout moment leur droit d’opposition au traitement de leurs données à des fins de prospection ou pour des raisons tenant à leur situation particulière (v. supra, point 23).

Sur la modification des dispositions relatives à l’organisme unique mentionné à l’

article L. 123-33 du code de commerce

Le projet de décret modifie l’

article R. 123-4 du code de commerce

pour autoriser l’organisme unique à transmettre aux organismes destinataires des formalités d’entreprises le résultat de la consultation du RNIPP, laquelle vise à confirmer, pour les personnes physiques inscrites, le caractère identique des éléments déclarés à ceux figurant dans le répertoire.

Pour permettre cette transmission, le projet de décret modifie également le 6° du A de l’article 2 du décret du 19 avril 2019 précité.

A cet égard, la Commission prend acte de ce que la transmission du résultat de la consultation du RNIPP permettra d’alerter les organismes destinataires des formalités d’entreprises sur l’absence de concordance entre les éléments déclarés et ceux figurant au RNIPP.

Si la Commission a observé, dans sa

délibération n° 2020-129 du 17 décembre 2020

, que l’information relative au caractère identique ou non des éléments comparés serait transmise aux seuls organismes sociaux, elle relève aujourd’hui qu’il est également prévu de communiquer cette information aux autres organismes destinataires des formalités d’entreprises visés par l’

annexe à l’article R. 123-30 du code de commerce

lesquels pourront, en cas d’information sur une possible divergence, mettre en place des contrôles approfondis en lien avec les déclarants.

En tout état de cause, la Commission invite le ministère à prévoir les mesures nécessaires pour garantir que seul le résultat de la consultation du RNIPP sera transmis aux organismes destinataires de cette consultation prévue par l’

article R. 123-4 du code de commerce

.

Liens relatifs

Liens relatifs

La présidente,

M.-L. Denis

Extrait du Journal officiel électronique authentifié

PDF –
222,8 Ko