Les informations relatives au représentant d'une personne morale telles que son nom ou ses coordonnées constituent des données à caractère personnel ; leur communication par une autorité publique est donc soumise aux dispositions du RGPD même lorsqu'elle vise uniquement à identifier la personne morale.
Un particulier demande au ministère de la Santé de la République tchèque de lui communiquer des informations sur des signataires de contrats et des certificats relatifs à des tests de dépistage du Covid-19. L’autorité publique communique les documents en occultant les informations relatives aux personnes physiques les ayant signés au nom des personnes morales concernées, notamment les noms, les signatures et les fonctions de ces représentants légaux.
Saisi dans ce contexte, le juge tchèque pose notamment à la CJUE la question préjudicielle suivante : la communication par une autorité publique du nom, de la signature ou des coordonnées d’un représentant d’une personne morale implique-t-elle le traitement de données à caractère personnel au sens du règlement UE 2016-679 du 27 avril 2016, dit « RGPD » (art. 4), y compris lorsque cette communication vise uniquement à identifier la personne morale ?
Oui, répond la CJUE : une information constitue une donnée personnelle dès lors qu’elle se rapporte à une personne physique identifiée ou identifiable. Cette qualification ne dépend ni du contexte professionnel ni de la finalité du traitement (déjà en ce sens, rendu sous l'empire du droit antérieur au RGPD : CJUE 9-3-2017 aff. 398/15 : RJDA 6/17 n° 406). Elle précise également que le simple fait de communiquer ces données à un tiers constitue, en soi, un traitement au sens de l’article 4, § 2 du RGPD, qui vise notamment « la communication par transmission, diffusion ou toute autre forme de mise à disposition ».
La communication de données telles que le nom, la signature ou les coordonnées d’un représentant de personne morale constitue donc bien un traitement de données à caractère personnel, même lorsqu’elle vise uniquement à identifier cette dernière, et peu important que cette communication figure dans un document public ou administratif : dès lors qu’elle permet d’identifier une personne physique, elle est soumise au RGPD.
A noter :
Pour justifier sa décision, la Cour juge que le considérant 14 du RGPD, qui précise que le RGPD ne couvre pas le traitement des données à caractère personnel concernant les personnes morales (telles que leur nom, leur forme juridique ou leurs coordonnées), ne peut pas être interprété comme excluant les données des représentants de personnes morales du champ d’application du règlement : les représentants de personnes morales ne peuvent pas être assimilés à ces dernières.
La solution s’inscrit dans la ligne de la jurisprudence européenne. Il a également été jugé, s’agissant des associés de sociétés, que l’autorité en charge du registre du commerce ne peut pas refuser la demande de l’un d’entre eux tendant à l’effacement de ses données personnelles figurant dans les statuts de la société soumis à publicité, lorsque ces données ne sont pas celles dont la loi exige la publication (CJUE 4-10-2024 aff. 200/23 : BRDA 21/24 inf. 16).
Documents et liens associés :
CJUE 3-4-2025 aff. 710/23, L H. c/ Ministerstvo zdravotnictví.
