La Cour de justice de l’UE a mis en balance deux droits, la protection des associés d’une société et des tiers dans le cadre du droit des sociétés et la protection des données à caractère personnel, pour conclure que le droit à l’oubli ne s’applique pas, de manière générale, aux données à caractère personnel figurant dans les registres des sociétés, dans un arrêt du 9 mars 2017. La Cour a toutefois laissé la porte ouverte aux cas particuliers. En combinant ces deux droits, les Etats membres peuvent prévoir les conditions dans lesquelles les personnes physiques « peuvent demander à l’autorité chargée de la tenue du registre de vérifier, sur la base d’une appréciation au cas par cas, s’il est exceptionnellement justifié, pour des raisons prépondérantes et légitimes tenant à leur situation particulière, de limiter, à l’expiration d’un délai suffisamment long après la dissolution de la société concernée, l’accès aux données à caractère personnel les concernant, inscrites dans ce registre, aux tiers justifiant d’un intérêt spécifique à la consultation de ces données. ».
Une société s’était vu attribuer un marché pour la construction d’un complexe touristique. En 2007, son administrateur unique avait attrait en justice la chambre de commerce de Lecce en Italie, considérant que les immeubles de ce complexe ne se vendaient pas en raison de l’inscription sur le registre des sociétés. Il y était inscrit qu’il avait été l’administrateur unique et le liquidateur d’une autre société dont la faillite avait été déclarée au cours de l’année 1992 et qui a été radiée du registre des sociétés, à l’issue d’une procédure de liquidation, en 2005. Il a fait valoir que les données à caractère personnel le concernant inscrites dans ce registre avaient été traitées par une société spécialisée dans la collecte et le traitement d’informations de marché et dans l’évaluation des risques. Il a donc reproché à la chambre de commerce de Lecce de ne pas les avoir effacées. Le tribunal de Lecce a ordonné l’anonymisation des données. Saisie du litige, la Cour de cassation italienne a cependant préféré s’en remettre à la Cour européenne pour savoir si, à l’expiration d’un délai après la cessation de l’activité d’une société et sur demande de la personne concernée, il est possible d’effacer, de rendre anonyme ou de limiter l’accès à ces données personnelles.
La Cour a d’abord rappelé que la directive européenne sur la protection des données à caractère personnel prévoit que les données sont conservées pour une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles avaient été collectées. La finalité de la collecte et la publicité de ces informations consistent notamment à assurer la protection des intérêts des tiers par rapport aux sociétés par actions ou à responsabilité limitée qui n’offrent comme garantie que le seul patrimoine social. Dans ces conditions, ces tiers doivent disposer d’informations essentielles sur cette société dont l’identité des personnes qui ont le pouvoir de l’engager. Restait à savoir si ce droit devait être maintenu après la cessation ou la dissolution de la société. La Cour répond qu’« au vu de la multitude des scénarios possibles, qui peuvent impliquer des acteurs dans plusieurs États membres, et de l’importante hétérogénéité dans les délais de prescription prévus par les différents droits nationaux dans les différents domaines du droit, mise en exergue par la Commission, il paraît, en l’état actuel, impossible d’identifier un délai unique, à compter de la dissolution d’une société, à l’expiration duquel l’inscription desdites données dans le registre et leur publicité ne serait plus nécessaire. ». Elle estime, par ailleurs, que cette interprétation des textes n’aboutit pas à une ingérence disproportionnée dans les droits fondamentaux des personnes concernées dont le respect de la vie privée et la protection des données personnelles. Elle constate que la publicité est limitée à un petit nombre de données et qu’elle découle du fait que les sociétés à responsabilité limitée comportent un risque accru pour les tiers qui n’ont que le patrimoine social comme garantie.
Toutefois, l’article 14 de la directive sur les données personnelles prévoit que « Les États membres reconnaissent à la personne concernée le droit (…) de s’opposer à tout moment, pour des raisons prépondérantes et légitimes tenant à sa situation particulière, à ce que des données la concernant fassent l’objet d’un traitement, sauf en cas de disposition contraire du droit national. En cas d’opposition justifiée, le traitement mis en œuvre par le responsable du traitement ne peut plus porter sur ces données. ». A l’appui de cet article, la Cour considère que des situations particulières peuvent justifier la limitation ou l’impossibilité d’accéder aux données personnelles figurant dans les registres des sociétés. Il appartiendra donc à la juridiction de renvoi de déterminer si l’affaire soumise entre dans ce cas de figure. Elle précise toutefois que « la seule circonstance que, prétendument, les immeubles d’un complexe touristique construit par Italiana Costruzioni, dont M. X. est actuellement l’administrateur unique, ne se vendent pas en raison du fait que des acheteurs potentiels de ces immeubles ont accès à ces données dans le registre des sociétés, ne saurait suffire à constituer une telle raison, compte tenu notamment de l’intérêt légitime de ces derniers de disposer de ces informations. »

Lire l’arrêt