La tension entre transparence juridique et protection des données personnelles s’exprime avec acuité dans le cas des dirigeants de société. Si leur rôle les expose naturellement à la publicité – via les registres légaux, les actes sociaux ou les communications officielles –, leur qualité de personne physique les rend également titulaires des droits conférés par le Règlement (UE) 2016/679, dit RGPD.
Or, la jurisprudence récente, notamment l’arrêt CJUE, 3 avril 2025, aff. C‑710/23, consacre une lecture extensive de la notion de donnée personnelle, y compris dans les contextes professionnels ou institutionnels. Cette décision renforce l’obligation pour les responsables de traitement d’intégrer la logique de protection des personnes physiques, y compris lorsqu’elles agissent pour le compte d’une personne morale.
Dès lors, une question centrale se pose : quelles sont les limites à la diffusion, la conservation ou la réutilisation des données identifiantes d’un dirigeant, notamment son nom, sa fonction ou sa signature ?
Trois axes d’analyse sont ici essentiels : la définition juridique des données concernées, les cas de traitement légitime, et les droits opposables par les dirigeants.
1 - Les données relatives aux dirigeants sont-elles des données à caractère personnel ?
A. Une qualification large et indifférente au contexte professionnel
L’article 4, §1 du RGPD définit comme donnée à caractère personnel « toute information se rapportant à une personne physique identifiée ou identifiable ». Cette notion inclut :
- les noms et prénoms du dirigeant,
- ses fonctions,
- sa signature apposée sur des documents,
- ses coordonnées professionnelles (adresse, téléphone, courriel),
- voire son image ou sa voix, lorsqu’identifiables.
Le contexte professionnel n’exclut en rien la qualification de donnée personnelle, comme l’a confirmé la CJUE dans les arrêts Manni (C-398/15) et L.H. (C-710/23). Dès lors qu’une personne peut être identifiée directement ou indirectement, la protection du RGPD s’applique.
B. Données « publiques » ne signifie pas « non protégées »
Le considérant 14 du RGPD précise que le règlement ne s’applique pas aux personnes morales, mais cette exclusion ne saurait être étendue à leurs représentants. Même en cas de diffusion dans un acte juridique, une décision ou un registre, la donnée relative à une personne physique demeure protégée, dès lors qu’elle n’est pas rendue publique en vertu d’un texte impératif.
2 - La licéité du traitement des données des dirigeants
A. Les traitements imposés par la loi : un régime dérogatoire
L’article 6, §1, c) du RGPD autorise les traitements nécessaires au respect d’une obligation légale. C’est le cas :
- de l’immatriculation au registre du commerce et des sociétés (R.123-54 C. com.),
- de la publication des actes de nomination et de modification des dirigeants,
- du dépôt des statuts et de certains comptes sociaux.
Dans ces hypothèses, la personne concernée ne peut valablement s’opposer au traitement, ni exercer un droit à l’effacement. La base juridique est autonome, sans besoin de consentement.
B. Les traitements non obligatoires doivent être justifiés et proportionnés
En revanche, pour tout traitement non imposé par la loi, le RGPD impose un encadrement strict :
- analyse de la finalité (article 5),
- existence d’un fondement licite (article 6, §1 a), e) ou f)),
- principe de minimisation des données,
- limitation de la durée de conservation,
- information préalable des personnes concernées (articles 13 et 14).
Exemples typiques :
- publication du nom du dirigeant sur un site internet,
- signature visible dans un PDF mis en ligne,
- mention dans une base de données accessible à des tiers.
Ces traitements ne sont pas interdits, mais doivent pouvoir être justifiés par un intérêt légitime, proportionné et respectueux des droits fondamentaux.
3 - Les droits dont disposent les dirigeants
A. Droit d’accès, de rectification, d’opposition et d’effacement
Le dirigeant peut, comme tout individu, exercer les droits prévus par les articles 15 à 21 du RGPD, à savoir :
- droit d’accès à ses données,
- droit de rectification en cas d’erreur,
- droit d’opposition pour motif légitime (notamment en cas de traitement non obligatoire),
- droit à l’effacement si la donnée est obsolète, injustifiée ou illicite (article 17).
Ces droits s’appliquent à tous les documents non soumis à publicité légale : contenu web, archives internes, fichiers marketing, rapports externes.
B. Encadrement des demandes et limites du droit à l’effacement
L’article 17, §3 du RGPD prévoit plusieurs exceptions au droit à l’effacement, notamment lorsque :
- le traitement est nécessaire au respect d’une obligation légale,
- il répond à une mission d’intérêt public,
- il est justifié par la liberté d’expression ou la défense d’un droit en justice.
Ainsi, un dirigeant ne pourra demander l’effacement de sa mention dans les statuts, sauf si ces données ne relèvent pas des exigences légales, comme l’a rappelé la CJUE (C-200/23, 4 oct. 2024). La protection des données personnelles des dirigeants constitue une zone de convergence entre droit des affaires et droit de la personne. Si les impératifs de transparence justifient certaines publications obligatoires, la logique de minimisation, de proportionnalité et de justification demeure la règle hors de ce cadre.
La prudence s’impose donc à toute entreprise ou entité traitant de telles données, qu’il s’agisse d’un support de communication, d’une publication digitale ou d’une documentation administrative. Le dirigeant n’est pas une personne publique : il est, en droit, un sujet de données au sens du RGPD.
LE BOUARD AVOCATS 4 place Hoche, 78000, Versailles https://www.lebouard-avocats.fr/ https://www.avocats-lebouard.fr/
