Le décret n°2015-1905, adopté le 30 décembre 2015 fixe les modalités de transmission de l’intégralité des documents enregistrés par les greffes auprès de l’Institut National de la Propriété Intellectuelle (INPI).
Dans le cadre de l’Open Data, l’INPI a été choisi pour son rôle de centralisation de l’information. Il recueille désormais les données et métadonnées transmises par les greffes des tribunaux de commerce.
L’INPI met à disposition ces documents sur sa plateforme data.inpi. Afin de bénéficier des avantages de l’Open Data, il suffit de créer un compte et d’accepter la licence de réutilisation de l’INPI.
Ces derniers consentent un droit de réutilisation gratuit, illimité, à des fins commerciales ou non à leurs utilisateurs.
A partir de cette licence de réutilisation (simple case à cocher avant d’accéder au contenu), toute personne physique ou morale dispose d’un libre accès aux actes transmis par les greffiers des tribunaux de commerce.
A priori, tout semble en ordre puisque ces procédés permettent la mise en œuvre de l’Open Data.
Cependant, c’est en adoptant le prisme du règlement pour la protection des données personnelles [1] que le bât blesse.
Une analyse attentive des divers actes concernés permet de constater que les données personnelles de personnes physiques sont également en libre accès.
Pour exemple, l’on retrouve les statuts de sociétés déposés auprès des greffes. Or ces statuts contiennent les noms et prénoms, date et lieu de naissance, situation matrimoniale, adresse personnelle de leur(s) dépositaire(s).
Si la base légale de traitement non-anonymisé de ces données personnelles ne pose pas difficulté pour les greffes et l’INPI , la solution diffère pour les entreprises qui réutilisent ces documents.
En effet, l’entreprise réutilisatrice devient à son tour responsable de traitement. En ce sens, elle doit opérer un traitement conforme au RGPD et notamment :
Opérer un traitement licite (la réutilisation doit se faire selon l’une des bases légales prévus à l’article 6 du RGPD) ;
Poursuivre une finalité qui doit être déterminée, explicite et légitime ;
Porter sur des données adéquates, pertinentes, proportionnées et mises à jour ;
Etre effectué en toute transparence ;
Garantir le respect des droits de la personne (notamment droit d’opposition, d’accès, de rectification) ;
Garantir la sécurisation et le respect de la limitation de conservation des données.
L’article 2 de la licence de réutilisation de l’INPI opère un sobre rappel de ces obligations en indiquant que
« l’information peut être librement réutilisé (…) à condition de respecter le cadre légal relatif à la protection des données à caractère personnel ».
Or, la seule question de la base légale du traitement se heurte à une difficulté. En dehors de tout consentement ou contrat (les autres conditions étant écartées car manifestement inapplicables), seul demeure l’intérêt légitime.
Si l’on comprend aisément qu’il existe un intérêt légitime au traitement de ces données dans le cadre d’une démarche administrative, force est de constater que seul le greffe (ou l’INPI dans un second temps) peut s’en prévaloir.
Pour autant, une société peut se prévaloir du droit de réutilisation des informations publiques, consacré par le droit européen [2].
Cependant, cette réutilisation ne saurait se faire sans l’anonymisation d’une partie des données personnelles susceptible de porter atteinte à la vie privée (notamment l’adresse personnelle, le statut matrimonial, date et lieu de naissance).
L’argument tiré de la quantité de données extraite ne saurait faire obstacle à une telle anonymisation puisque certaines sociétés sont d’ores et déjà dotées d’algorithmes visant à prévenir toute atteinte aux données personnelles.
Un équilibre semble donc possible entre le droit d’information du public et la préservation de la vie privée des personnes physiques, à condition que les entreprises prennent les mesures nécessaires à une réutilisation conforme au RGPD.
Sur ce thème voir :
CNIL : « Présentation du cadre juridique de l’ouverture des données ». Guide pratique de la publication en ligne et de la réutilisation des données, p.20-21.
CNIL, « l’anonymisation des données, un traitement clé pour l’Open Data », 17 oct.2019, L’anonymisation des données, un traitement clé pour l’open data | CNIL.
P. Chavallard, B. Xiang, « L’anonymisation des décisions de justice » https://blog.doctrine.fr/lanonymisation-des-decisions-de-justice/ Blog Doctrine, 18 oct. 2020.