Le nouveau Code (belge) des sociétés et des associations (CSA) est entré en vigueur le 1er mai 2019, et contient des dispositions spécifiques à la protection des données personnelles des administrateurs, mandataires et gérants dont l’identité est publiquement divulguée via les registres des sociétés. La question de l’application de la protection de ces données personnelles se pose également en France, en raison du même caractère dual de telles données : à la fois données administratives dont l’enregistrement et la diffusion sont nécessaires et légalement induits… et données personnelles dont la dissémination et la réutilisation ne peuvent avoir lieu sans base légale.
Le nouveau code belge des sociétés et des associations rappelle l’obligation de publicité qui accompagne la création d’une société, qui porte notamment sur l’identité des gérants, des mandataires sociaux, ou encore des associés solidaires ou des fondateurs. Le nouveau code belge prévoit expressément, dorénavant, que « Toute utilisation des données à caractère personnel sujettes à publicité en vertu de ce chapitre à des fins de prospection auprès des personnes physiques et de commercialisation d’informations financières sur les personnes physiques y reprises est interdite ».
Deux finalités sont donc désormais expressément interdites par la loi belge : l’utilisation de ces données à des fins de prospection commerciale « auprès de personnes physiques », et la commercialisation « d’informations financières sur les personnes physiques ». Cet article pose des problèmes d’interprétation, qui concernent le droit belge (quid de la prospection commerciale « auprès de personnes morales » à partir de ces données ? Quid de la commercialisation d’informations financières sur les personnes morales incluant des données personnelles ?), et nous amène à poser une nouvelle fois la question de ce qui est admis ou pas en droit français.
Le droit français est confronté à la même dualité de nature qui caractérise certaines informations légales, notamment au sein des registres des greffes des tribunaux de commerce. Ces informations légales sont principalement considérées comme des données « publiques », régies par plusieurs textes depuis la loi CADA n°78-753 du 17 juillet 1978 à la loi n°2016-1321 « République Numérique » du 7 octobre 2016. Ces textes ont depuis été codifiés en grande partie dans le code des relations entre le public et l’administration (le « CRPA ») entré en vigueur le 1er janvier 2016.
L’article L. 321-1 du CRPA dispose que : « Les informations publiques figurant dans des documents communiqués ou publiés par les administrations mentionnées au premier alinéa de l’article L. 300-2 peuvent être utilisées par toute personne qui le souhaite à d’autres fins que celles de la mission de service public pour les besoins de laquelle les documents ont été produits ou reçus ».
Cela signifie que les données publiques sont produites ou collectées par un État, une collectivité territoriale, un organe parapublic, dans le cadre de leurs activités de service public, et doivent à cet égard être (légalement ou volontairement) publiées ou tenues à disposition du public.
Le droit d’accès et de réutilisation des données publiques concerne donc les textes, mémorandums, documents, tableaux ou statistiques produits par l’administration dans le cadre d’une mission de service public. La loi du 7 octobre 2016 est venue renforcer l’ouverture de ces données publiques, dans le contexte de l’open data.
Cependant, lorsque les informations publiques contiennent des données à caractère personnel, la réutilisation se heurte clairement à la protection des données personnelles, et aux principes de spécialité et de minimisation des traitements qui peuvent en être faits.
Ainsi, l’article L.322-2 du CRPA dispose que : « La réutilisation d’informations publiques comportant des données à caractère personnel est subordonnée au respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. »
Bien entendu, du fait de son entrée en vigueur, le RGPD a vocation à remplacer l’allusion à la loi de 1978 dans les textes relatifs à la réutilisation des données publiques.
Cela signifie que la réutilisation de données personnelles, bien que contenues dans des données publiques librement réutilisables au sens de l’article L.321-1 du CRPA, implique soit l’anonymisation définitive des données, soit une base légale spécifique, qui peut notamment résider dans l’intérêt légitime du responsable de traitement, ou dans le consentement préalable de la personne concernée.
Ces données personnelles ne sont donc pas « librement réutilisables ». Elles ont un statut hybride, et la protection des données personnelles au sens désormais du RGPD, l’emporte sur le caractère librement réexploitable des données en open data.
De son côté la CNIL a confirmé, dans son rapport d’activité de 2016, que la protection de la vie privée des personnes doit impérativement être prise en compte lorsque les jeux de données mis à disposition en open data (c’est-à-dire des informations publiques) contiennent des données personnelles. Dans ce cas, même si l’on se trouve dans le cadre de l’open data, la prise en compte de la protection des données personnelles apparait donc nécessaire.
Par conséquent, une entreprise qui entre en possession de données personnelles issues de registres publics, tels qu’Infogreffe (RNCS), les répertoires produits par la Direction de l’Information Légale et Administrative (le BODACC, le BAMP et le BALO), ne peut les réutiliser que dans un contexte strictement conforme au RGPD, et donc (i) pour une ou plusieurs limitativement déterminées, et (ii) répondant à une base légale soigneusement déterminée.
De quelles bases légales dispose une entreprise de droit privée qui désire utiliser ce type de données pour des opérations d’identification, de segmentation et de prospection commerciale ?
L’entreprise songe spontanément à son propre « intérêt légitime ». Il lui apparaît naturel d’identifier ses interlocuteurs au sein d’autres entreprises qui sont ses prospects et pourraient demain devenir ses clients. D’ailleurs, la CNIL a solidement réaffirmé la faculté pour les entreprises de procéder à de la prospection commerciale interprofessionnelle (B2B) dès lors qu’elles utilisent des données personnelles (identité, contact) pour envoyer des messages de prospection en lien strict avec l’activité professionnelle de la personne concernée, sans son consentement préalable.
La CNIL a réaffirmé cette possibilité au sujet de la prospection commerciale (traitée spécifiquement au Code des postes et communications électroniques), mais elle n’a pas précisé la base légale y applicable, comme le veut le contexte RGPD. Nous estimons que dès lors que le consentement préalable de la personne concernée n’est pas nécessaire, c’est l’intérêt légitime de l’entreprise qui prospecte, qui constitue cette base légale.
Mais cet intérêt légitime concerne l’entreprise qui identifie elle-même la donnée personnelle (par exemple sur le site web de son prospect personne morale), la collecte et l’utilise elle-même pour sa propre prospection commerciale.
Qu’en est-il de ces données de contact qui sont identifiées, voire massivement absorbées et souvent revendues, à partir des répertoires de données publiques ? S’agit-il aussi de l’intérêt légitime des entreprises, qui les autorise à collecter depuis ces répertoires des données personnelles aux fins de prospection commerciale ?
On l’a vu, le législateur belge estime que non, puisqu’il l’a expressément interdit. En France, le législateur ne s’est toujours pas prononcé. Mais il existe déjà des répertoires de données publiques qui interdisent expressément la réutilisation des données personnelles qu’ils contiennent. C’est le cas notamment des matrices cadastrales, qui interdisent que les données des propriétaires soient collectées et réutilisées par des tiers aux fins de prospection commerciale (foncière ou immobilière).
De plus, le CEPD a eu à plusieurs reprises l’occasion de rappeler que l’intérêt légitime doit s’interpréter de manière restrictive, qu’il ne recouvre certainement pas le seul intérêt économique de l’entreprise qui prospecte, et encore moins l’intérêt économique de l’entreprise qui constitue des fichiers de profils professionnels dans le but de les commercialiser.
Enfin, la CNIL a rappelé qu’un transfert de données personnelles d’un premier responsable de traitement (primo-collectant) vers un deuxième (un destinataire qui peut être par exemple un partenaire commercial), le consentement préalable de la personne est en principe requis.
Il n’est évidemment pas demandé par Infogreffe le consentement des mandataires sociaux pour figurer dans ses registres : il s’agit précisément d’une obligation légale. Mais cette base légale vise la constitution et le fonctionnement des registres des greffes des tribunaux de commerce, dans cet exemple, et non pas potentiellement la prospection commerciale que des dizaines ou des centaines d’entreprises pourraient mener à partir de telles données…
Doit-on alors considérer, même sans équivalent dans notre ordre juridique de la loi belge, qu’il est interdit de réutiliser les données personnelles qui se trouvent parmi les données publiques produites et diffusées par l’Administration, notamment sous licence open data ?
L’affirmative serait évidemment trop sévère. Il est dans la vocation des données publiques de pouvoir faire l’objet d’une réutilisation, et les législations qui obligent à identifier clairement certains responsables (gérants, mandataires, actionnaires, directeurs de publication, etc.) le font précisément parce qu’existe un impératif d’information publique. Une interdiction absolue de réutilisation irait alors incontestablement contre le motif essentiel que constitue cette démarche d’information publique.
Mais alors, où fixer la limite ? Jusqu’à quand une entreprise sera jugée comme légitime à réutiliser des données personnelles publiques, et à partir de quand l’autorité de contrôle estimera qu’elle ne peut plus le faire ?
L’intérêt légitime impose une mise en balance de l’objectif poursuivi par le responsable de traitement, d’une part, et la protection des données et des intérêts de la personne concernée, d’autre part. Le premier ne peut porter atteinte à la seconde, en toute hypothèse.
Si le responsable de traitement ne peut plus arguer d’un intérêt légitime, il doit invoquer une autre base légale, et il ne lui reste guère que le consentement préalable et éclairé des personnes concernées, à cet effet.
Concrètement, une entreprise est-elle parfaitement légitime à utiliser les données issues des registres publics pour planifier et lancer ses campagnes de prospection commerciale ? Ou doit-elle systématiquement recueillir auprès de ces personnes leur consentement préalable à la prospection, en leur indiquant à quelle source elle a obtenu leurs données, et alors même que la prospection B2B est autorisée sans consentement préalable ?
Pour tenter d’apporter un début de réponse, il convient (i) de bien distinguer le consentement dont la CNIL admet qu’une entreprise peut se passer, et (ii) de réfléchir à la mise en balance évoquée au sujet de l’intérêt légitime.
Lorsque la CNIL autorise la prospection commerciale B2B sans consentement préalable, elle vise bien le consentement de la personne concernée, au bénéfice de l’entreprise qui la prospecte. Cette personne dispose non pas du droit de révoquer son consentement (puisqu’il n’est pas besoin qu’elle le donne au préalable), mais du droit de s’opposer au traitement ultérieur de ses données (en clair, opposition à la prospection commerciale pour l’avenir).
En revanche, la CNIL n’autorise pas expressément la faculté pour une entreprise de collecter massivement des données personnelles issues de registres publics, pour ensuite revendre ou transférer ces fichiers de client en client, ouvrant ainsi la porte à de nombreuses campagnes de prospection commerciale, dont toutes ne seront pas nécessairement en lien avec la profession de la personne ainsi démarchée !
Quid donc de la prospection commerciale d’une entreprise à partir de données personnelles issues de registres de données publiques ? Quid de la re-commercialisation de fichiers de données personnelles issues de registres de données publiques, aux fins de prospection par les clientes de l’entreprise qui revend ces fichiers ?
La CNIL et la CADA avaient lancé une consultation publique, close en avril 2019. Les deux administrations doivent maintenant plancher sur un guide pratique sur la publication en ligne et la réutilisation des données publiques, dont on espère qu’il apportera des réponses claires.
En attendant, et depuis l’entrée en vigueur du RGPD (mais en réalité bien avant, puisque cette problématique n’est pas neuve), le marché en est réduit à faire des conjectures.
Dans le premier cas, la tolérance de la CNIL pour la prospection commerciale B2B sans consentement préalable, nous semble pouvoir s’appliquer. Le RGPD dispose en outre à son considérant n°50 que : « Le traitement de données à caractère personnel pour d’autres finalités que celles pour lesquelles les données à caractère personnel ont été collectées initialement ne devrait être autorisé que s’il est compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement. (…) Le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être considéré comme une opération de traitement licite compatible. (…) Afin d’établir si les finalités d’un traitement ultérieur sont compatibles avec celles pour lesquelles les données à caractère personnel ont été collectées initialement, le responsable du traitement, après avoir respecté toutes les exigences liées à la licéité du traitement initial, devrait tenir compte, entre autres : de tout lien entre ces finalités et les finalités du traitement ultérieur prévu; du contexte dans lequel les données à caractère personnel ont été collectées, en particulier les attentes raisonnables des personnes concernées, en fonction de leur relation avec le responsable du traitement, quant à l’utilisation ultérieure desdites données; la nature des données à caractère personnel; les conséquences pour les personnes concernées du traitement ultérieur prévu; et l’existence de garanties appropriées à la fois dans le cadre du traitement initial et du traitement ultérieur prévu. »
L’article 6 du RGPD précise que : « 4. Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres: a) de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé; b) du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement; c) de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10;d) des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées; e) de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation. »
La notion de « finalité ultérieure compatible » existe toujours et, en raisonnant par analogie, revient à affirmer que si des données sont collectées pour des finalités déterminées, elles peuvent faire l’objet d’un traitement ultérieur si la finalité de ce dernier est compatible avec la finalité du premier traitement, et si par ailleurs l’ensemble des précautions édictées par le RGPD est respecté.
En pratique, une compatibilité entre deux traitements pourrait être vérifiée si les finalités premières et les finalités secondaires sont susceptibles de produire les mêmes effets à l’égard d’un dirigeant dont des données personnelles sont publiées au sein d’informations publiques.
De plus, les finalités successivement envisagées sont du fait du même responsable de traitement. Or, on évoque ici des données collectées par un premier responsable de traitement, l’Administration, puis de la réutilisation qu’en fait un autre responsable de traitement, une entreprise qui obtient ces données via un registre public.
Il n’existe pas à ce jour de réponse ferme sur cette faculté de réutilisation. On incline à penser que les principes qui doivent guider la mise en balance de l’intérêt légitime d’une entreprise, et la protection des données personnelles de la personne concernée, pourraient être reprise pour permettre certaines pratiques.
Par exemple, quand un premier traitement de données personnelles consiste en la publication d’informations sur des bases de données légales, le dirigeant de l’entreprise dont les informations sont divulguées pourra s’attendre à ce que les données le concernant soient reprises et exploitées par des sociétés de recouvrement qui agissent pour les créanciers de l’entreprise en cause, ou encore, dans le cadre de campagnes de prospection B2B, puisque là aussi, une entreprise est en cause (et non pas directement la personne physique qui permet de contacter l’entreprise).
Tant que l’entreprise écrit à ce dirigeant social pour lui proposer des produits ou services en lien avec son activité, l’entreprise qui prospecte nous semble à l’abri de la critique. Il lui suffira de savoir démontrer à partir de quelle source elle a collecté ces données de contact, et de rappeler à la personne concernée l’ensemble des informations exigées par l’article 14 du RGPD, au plus tard lors de la première communication qu’elle adressera à cette personne.
Il est crucial de pouvoir préserver la faculté de communication promotionnelle interprofessionnelle, afin que les entreprises puissent continuer à nouer des relations entre elles, tenter d’accroître leurs parts de marché, et se faire connaître de leurs clients potentiels.
En revanche, la situation est plus délicate pour les activités de commercialisation de fichiers de données personnelles issues de registres de données publiques. Car l’entreprise qui constitue ces fichiers aux fins de les revendre, ne les utilise pas elle-même pour sa propre prospection. Elle crée des fichiers commerciaux, qu’elle revend ensuite sur le marché (parfois sous forme d’extraits, ou via des plateformes cloud).
On peut donc se demander si, dans ce cas, le consentement préalable des personnes à figurer dans de tels fichiers, qui sont ensuite commercialisés auprès d’entreprises tierces pour leur propre prospection commerciale, ne serait pas requis.
Tout dépend de l’acceptation qu’on peut adopter de « l’intérêt légitime ». On peut considérer qu’ici, l’intérêt légitime de l’entreprise qui crée et revend ces fichiers dépasse ce à quoi les personnes concernées peuvent s’attendre. Consentir, parce que la loi l’impose, à voir son nom publié dans les extraits K-bis et les répertoires publics, ne va pas jusqu’à consentir à ce que ces données soient constamment revendues et transférées à des dizaines d’utilisateurs différents, sans limite, contrôle ni information des personnes concernées.
Il pourrait être considéré que de tels transferts doivent être soumis à l’exigence du consentement préalable des personnes concernées (et, a minima, il est prudent que les entreprises qui font profession de commercialiser de tels fichiers, s’assurent qu’elles déploient l’information exigée par l’article 14 du RGPD auprès de ces personnes, et exécutent scrupuleusement toute demande de désinscription qui leur revient).
D’un autre côté, on pourrait considérer que ces entreprises, qui constituent des outils de prospection commerciale à disposition du marché, à partir de données personnelles publiées dans le cadre de données publiques, pour des finalités ultérieures qui demeurent compatibles avec les raisons pour lesquelles les données ont été initialement publiées (connaissance des entreprises, information juridique, solvabilité, création de relations commerciales, etc.) ont elles aussi un intérêt légitime à le faire, sans qu’il soit besoin de solliciter le consentement des personnes en cause. Mais ce faisant, on s’éloigne dangereusement de l’acceptation stricte de l’intérêt légitime, pour aborder la notion bien plus vaste de l’intérêt économique.
Il est pour l’heure difficile de trancher. A tout le moins, on doit considérer que la CNIL estime que « La personne doit donner son consentement avant toute transmission à des partenaires. La personne doit pouvoir identifier les partenaires, destinataires des données, depuis le formulaire à partir duquel la collecte des données est réalisée. (…) La personne doit être informée des évolutions de la liste des partenaires et notamment de l’arrivée de nouveaux partenaires. Le consentement recueilli par la société collectant les données pour le compte de ses partenaires n’est valable que pour ces derniers. Les partenaires ne peuvent donc envoyer, à leur tour, les informations reçues à leur propres partenaires, sans recueillir de nouveau le consentement informé des personnes, notamment quant à l’identité des nouveaux organismes qui seraient rendus destinataires de leurs données (adresses électronique en particulier). Il n’y a pas de « transmission » possible du consentement. Les partenaires sollicitant à leur tour les personnes concernées doivent indiquer, lors de leur première communication, la manière d’exercer leurs droits, en particulier d’opposition, ainsi que la source d’où proviennent les données utilisées. »
Bien qu’elle ne les vise pas expressément, la CNIL semble ici dessiner le marché des courtiers en bases de données. S’il est très clair que le consentement préalable est requis pour la monétisation de bases de données personnelles B2C (et gare au responsable de traitement, qu’il soit courtier ou entreprise utilisatrice, qui ne pourra pas faire la preuve de ce consentement pour chaque personne figurant dans son fichier), le doute subsiste pour les données personnelles utilisées en prospection B2B.
Il est conseillé de s’assurer, pour une entreprise qui collecte elle-même des données de prospection à partir de registres publics, de soigneusement vérifier les licences s’appliquant à de tels registres, pour éviter de réutiliser des données en violation de telles licences. Il est également conseillé, lorsque les données publiées sous soumises à l’open data, de s’assurer que la finalité poursuivie (prospection B2B) n’est pas radicalement étrangère à la raison initiale qui a motivé la publication des données personnelles.
Il est recommandé enfin de systématiquement déférer à l’obligation de l’article 14 du RGPD, et d’informer la personne concernée de son droit d’opposition. Ainsi, au-delà de la question de savoir si la transmission initiale nécessitait ou pas un consentement spécifique, les entreprises assureront dans un premier temps des pratiques vertueuses qui permettent aux individus d’avoir une meilleure visibilité sur les fichiers commerciaux dans lesquels leurs données figurent.
La question de la cession de fichiers de prospection commerciale est complexe, et le marché attend toujours un positionnement plus clair de la CNIL à leur sujet. S’agissant des données personnelles figurant dans des données publiques, dont on aurait pu imaginer que le régime serait plus libéral compte tenu de la philosophie qui guide la démarche open data, faire de libre réutilisation aux fins de création de valeur économique. Il n’en est probablement rien, compte tenu de l’importance de la protection des données personnelles, qui prime manifestement les principes de circulation des données publiques.
