Commercialiser les données provenant des journaux officiels ? Pas évident …
Publié le 27/05/2019 par Thierry Léonard, Bojana Salovic, Olivia Guerguinov
De très nombreuses données personnelles dérivent du droit des sociétés : les administrateurs, gérants, mandats … figurent sur des listes officielles et publiques. Il y a tellement d’informations disponibles que plusieurs sociétés en ont fait un business. Le nouveau Code (belge) des sociétés et des associations (CSA) est entré en vigueur le 1er mai 2019. Il contient un chapitre destiné à renforcer la protection de ces données un peu particulières.
Vous avez reçu un email d’un fournisseur d’informations commerciales vous indiquant que la situation financière de votre société s’était détériorée et que son rapport de solvabilité avait été consulté par d’autres entreprises ? Vous vous demandez d’où proviennent les informations collectées à votre propos et pourquoi elles ont été mises à destination de tiers ?
De diverses sources mais sans doute, concernant les informations de base, des Annexes du Moniteur belge, elles-mêmes alimentées par des extraits d’acte de sociétés ou associations déposés aux greffes des tribunaux d’entreprise.
Le Code des sociétés et des associations (CSA) vient limiter les possibilités d’utilisation des données à caractère personnel relatives aux personnes physiques dès lors qu’elles sont issues des formalités de constitution d’une personne morale. Petit tour d’horizon sur cette nouvelle interdiction et les enjeux qui l’entourent….
Nouveau Code des sociétés et des associations
La loi du 23 mars 2019 introduisant le Code des sociétés et des associations et portant des dispositions diverses, a été publiée au Moniteur belge du 4 avril 2019 et est entrée en vigueur le 1er mai 2019.
Elle réglemente, entre autres, les formalités de constitution et de publicité imposées aux personnes morales (voy. Chapitre 3 du Titre 4 du Livre 2).
Les mesures de publicités imposées aux personnes morales concernent notamment des informations relatives aux personnes physiques impliquées dans la constitution ou l’administration de ces personnes morales. Par conséquent, le Règlement (EU) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (GDPR) s’applique aux traitements potentiels de ces données.
Pour s’y conformer, certaines dispositions concernant la protection des données à caractère personnel ont été introduites dans le CSA à la suite d’un avis rendu par l’Autorité belge de protection des données (Avis n°116/2018). Ces dispositions s’appliquent à toutes les personnes morales (sociétés, associations et fondations) sauf indication contraire.
Obligations de publicité issues des formalités de constitution des personnes morales
En application du chapitre 3 du titre II du nouveau CSA, il est tenu pour chaque personne morale, un dossier au greffe du tribunal de l’entreprise du siège de la personne morale. Ce dossier comprend notamment, selon qu’il s’agisse d’une société (2 :8), d’une A.S.B.L. (2 :9), d’une A.I.S.B.L. (2 :10) ou d’une fondation (2 :11) l’acte constitutif, la première version des statuts et le texte coordonné mis à jour ainsi que chaque modification des statuts, l’extrait de l’acte constitutif destiné à la publication aux Annexes du Moniteur belge et divers extraits d’actes et décisions émaillant la vie jusqu’à la dissolution de la personne morale. Il ne s’agit que d’un régime unifié par le CSA, alors qu’il était organisé auparavant par des dispositions différentes pour les sociétés d’une part, les A.S.B.L., A.I.S.B.L. et fondations d’autre part.
Ce dossier, précise maintenant le CSA, vise à permettre aux tiers avec lesquels toute personne morale traite, de vérifier que celle-ci soit légalement constituée, qu’elle ait le droit d’exercer ses activités, que ses organes de représentation aient le pouvoir de l’engager, et, dans une société, de vérifier si les associés ou actionnaires ont une responsabilité illimitée ou non. Il doit aussi permettre à tout intéressé de mettre en cause la responsabilité des membres des organes chargés de l’administration, de la surveillance ou du contrôle de ces personnes morales (art. 2 :7, §1, al. 2 CSA).
C’est ce qui justifie – et c’est une nouveauté du CSA –que le texte de la première version des statuts issue de l’acte constitutif et de la version coordonnée des statuts après chaque modification est pour chacune des personnes morales conservée dans une base de données électronique consultable publiquement. Si les statuts découlent d’un acte notarié, le système est organisé par la Fédération Royale du Notariat belge. Pour les autres, le SPF Justice est chargée de son organisation (2:7, §3 du CSA et 1:6 de l’A.R. du 29 avril 2019 portant exécution du CSA).
Comme auparavant, lors du dépôt du premier acte, la personne morale se voit inscrite dans le registre des personnes morales de la Banque-Carrefour des Entreprises et reçoit dès ce moment son numéro d’entreprise (art. 1 :7 de l’A.R. du 29 avril 2019 portant exécution du CSA). Comme on le sait, des accès différenciés sont permis au public dans les conditions prévues par le Code de droit économique.
Enfin, les actes, extraits d’actes, décisions et documents, dont la publication est requise aux Annexes du Moniteur belge seront, comme précédemment, transmis par les greffes au Moniteur belge dans les délais et selon les modalités prévues par le CSA (2:13 et s. du CSA et art. 1 :9 et s. de l’A.R. du 29 avril 2019 portant exécution du CSA).
Tant le contenu du dossier consultable par le public que le registre des personnes morales tenus auprès de la Banque-Carrefour et les documents transmis au Moniteur belge sont susceptibles de contenir des données à caractère personnel au sens du GDPR. On y trouve, par exemple, des informations concernant l’identité des personnes autorisées à administrer et à représenter la société (l’étendue de leurs pouvoirs et les modalités d’exercice) ou encore des indications sur le nom, prénom et domicile des associés solidaires, des fondateurs et des associés ou actionnaires qui n’ont pas encore libéré leur rapport (et pour chaque associé ou actionnaire le montant qui reste à libérer).
Interdiction d’utilisation des données à des fins de marketing direct et de commercialisation des informations financières sur les personnes physiques
Comme déjà indiqué, l’Autorité belge de protection des données a été consultée fort tardivement dans le processus d’élaboration du CSA, à la suite d’un rappel par le Conseil d’Etat (cfr l’avis du 7 novembre 2018). Outre l’inscription d’une finalité légale de publicité – inscrite bien maladroitement à l’article 2 :7 §3 du CSA – et diverses modifications plus secondaires, l’Autorité de protection des données recommanda également de proscrire toute utilisation des données sujettes à publicité à des fins de prospection commerciale et de commercialisation d’informations financières (§20 de l’avis précité).
L’article 2 :30 du CSA. constitue dès lors la disposition unique d’une dernière section du chapitre III intitulée « La protection des personnes physiques à l’égard du traitement des données à caractère personnel ».
Outre un premier alinéa rappelant de manière superfétatoire qu’un « usage abusif » des données au dossier constitue une violation du GDPR et engage la responsabilité de l’utilisateur pour dommage éventuel, un second alinéa reprend la double interdiction soufflée par l’Autorité de protection des données (dans un français approximatif) : « Toute utilisation des données à caractère personnel sujettes à publicité en vertu de ce chapitre à des fins de prospection auprès des personnes physiques et de commercialisation d’informations financières sur les personnes physiques y reprises est interdite ».
La portée des interdictions d’utilisation des données
On comprend assez facilement la première interdiction qui se retrouve d’ailleurs dans d’autres réglementations, comme celle applicable à l’utilisation des données issues de la Banque-Carrefour des Entreprises (art. III. 33 du Code de droit économique et Arrêté royal du 18 juillet 2008 relatif à la réutilisation de données publiques de la Banque-Carrefour des Entreprises). Des sociétés tierces ne peuvent utiliser les données issues du dossier, de la banque carrefour ou du Moniteur Belge en vue d’une finalité de marketing direct (par exemple en vue de faire des offres d’assurances ou de private banking aux administrateurs).
La seconde est beaucoup moins claire et constitue, à notre connaissance, une première en la matière.
Remarquons d’abord que l’interdiction ne concerne que les données à caractère personnel « financières ». Mais qu’entend-on par-là ? Ni le CSA, ni le GDPR ne définit ce type de données. Elles ne font, du reste, pas partie des données dites sensibles visées à l’article 9 du GDPR et a priori interdites de traitement, sauf exception. Le fait qu’un fondateur ait ou non libéré un apport ainsi que le montant de celui-ci pourraient, par exemple, être catalogués d’information financière. Ce qui ne sera sans doute pas le cas de l’adresse de ce dernier, en tant que telle. A priori, si on passe en revue les données visées, relativement peu d’informations issues du dossier et des extraits destinés au Moniteur paraissent directement concernées par la qualification. Mais toute information liée à ces données – adresse professionnelle ou email du fondateur, par exemple – pourrait bien être concernée par extension, de sorte que la portée de l’interdiction n’est pas claire.
S’il est vrai que les informations financières sont ressenties comme plus ou moins sensibles par les intéressés, on est surpris par l’interdiction de principe inscrite dans le CSA du simple fait que les données seraient traitées dans le cadre d’une commercialisation ultérieure. Les consulter directement dans le dossier ou par accès au Moniteur est donc permis mais y accéder par un tiers prestataire de service qui les diffuserait ultérieurement au départ d’une collecte dans le registre et/ou le Moniteur est interdit. La commercialisation n’est pourtant pas en elle-même en contradiction avec les finalités de mise à disposition des données, définies à l’article 2:7, §1er du CSA. La commercialisation n’est pas une finalité en soi mais plutôt une modalité d’accès à l’information. Du reste, s’il s’agissait de protéger les personnes pour, par exemple, des raisons de sécurité, l’interdiction ne se justifierait pas plus que la diffusion soit commerciale ou de source publique…
Ce texte pourrait donc s’avérer problématique pour les fournisseurs d’informations commerciales présents sur le marché belge alors même que la limitation ne s’impose pas dans tous les Etats membres en vertu du GDPR.