Il n'est pas rare de voir des conflits devant les tribunaux entre des droits opposés invoqués par les parties adverses. Par exemple, droit au secret des affaires et obligation de transparence peuvent se voir être opposés dans le même cas, alors que ce sont tous les deux des droits fondamentaux, mais surtout, car ce sont tous les deux des notions opposées.
C'est dans cette suite d'idée que s'inscrit l'arrêt en question de cet article portant sur la protection des données personnelles d'un individu face à l'obligation de dépôt des comptes sociaux au greffe du tribunal de commerce (Com, 24 juin 2020, Société Polair n°19-14.098).
En l’espèce, un président et associé unique de la SASU Polair n’avait pas déposé ses comptes annuels pour les exercices 2015, 2016 et 2017, et s’était donc vu enjoindre de les déposer sous 1 mois sous astreinte de 100€ par jour de retard.
Tentative du demandeur au pourvoi d’invoquer la protection de la situation personnelle et patrimoniale car constituant une donnée à caractère personnel protégée.
Dès lors, la Cour avait à trancher entre l’obligation de dépôt des comptes sociaux dans un but de détection et de prévention des difficultés des entreprises de l’article L611-2, II du code de commerce, et la protection des données personnelles défendue par « l'article 9 du code civil, l'article 8 de la Convention européenne des droits de l'homme, l'article 8 de la Charte des droits fondamentaux de l'Union européenne, l'article 16 du Traité sur le fonctionnement de l'Union européenne et le règlement (UE) n° 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données du 27 avril 2016 ».
Il était donc question d’un conflit de droits fondamentaux :
- La protection des données = droit fondamental individuel ;
- La protection de l’ordre public économique = préservation de l’intérêt général.
OR, quand bien même la protection des données est un droit fondamental, il n’est pas universel. Ainsi, le considérant 14 du RGPD précise que « le présent règlement ne couvre pas les traitements des données à caractère personnel qui concernent les personnes morales ».
De même, la Cour rappelle que, d’une part, selon la conception large de la notion de vie privée retenue par la CEDH, les données portant sur le patrimoine d’une personne physique relèvent bel et bien de sa vie privée selon la jurisprudence européenne (CEDH, 27 juin 2017, Satakunnan Markkinapörssi Oy et Z Y).
D’autre part, elle met en évidence que les données patrimoniales d’une SASU ne constituent quant à elles PAS des données personnelles à protéger mais un élément de détermination de la valeur des actions de la société en question. Ainsi, cela correspond à la valeur détenue par l’associé unique, et représente donc qu’une fraction de son patrimoine.
En précisant ces éléments, la Cour vient consacrer la primauté de la préservation de l’ordre public économique face au droit fondamental individuel de protection des données.
Par conséquent, la Cour concluait que : « L'atteinte portée au droit à la protection des données à caractère personnel de cet associé pour la publication de ces comptes est donc proportionnée au but légitime de détection et de prévention des difficultés des entreprises, poursuivi par les dispositions de l'article L. 611-2, II, du code de commerce ».
On voit également que la Cour réalise ici un contrôle de proportionnalité de l’atteinte au droit à la protection des données en précisant que l’atteinte est « proportionnée au but légitime de détection des difficultés ».
Un contrôle de proportionnalité correspond au fait de s’interroger sur le fait de savoir si l’atteinte que l’on porte à un droit fondamental est excessive ou non au regard de l’objectif recherché. Dès lors, afin de « réussir ce contrôle », la mesure doit être adaptée, nécessaire, et proportionnée au but poursuivi selon les critères de la jurisprudence administrative (CE, 19 mai 1933, Benjamin).
Or, ici, le contrôle semble ne pas avoir été réalisé de la bonne manière. En effet, la mesure ne semble pas proportionnée puisqu’en l’espèce il s’agissait d’une société unipersonnelle dont l’associé unique ne disposait que d’UN SEUL bien composant ainsi l’ensemble du patrimoine de l’entreprise. Dès lors, en déclarant les comptes sociaux, l’associé unique déclarait l’ENSEMBLE de son patrimoine par la même occasion. Patrimoine répondant de la protection des données personnelles.
Il est donc impossible pour le président et associé unique d'une SASU d'invoquer le droit à la protection de ses données patrimoniales pour se soustraire à une injonction de dépôt des comptes annuels de la société.
très bien Mathis !