Coordonnées professionnelles des administrateurs: une donnée personnelle au sens du RGPD

Le 3 avril 2024, la Cour de justice de l’Union européenne (CJUE) a confirmé une interprétation renforcée du Règlement général sur la protection des données (RGPD) : les coordonnées professionnelles des représentants de personnes morales, telles que les administrateurs, sont bien des données à caractère personnel au sens du droit européen. Cette décision impose des ajustements pratiques significatifs, tant pour les entreprises privées que pour les autorités publiques.

1. De quoi s’agit-il ?

Dans l’affaire C-33/22 (Ministère tchèque de la Santé), la CJUE a été amenée à déterminer si des informations telles que le nom, la fonction, l’adresse électronique ou le numéro de téléphone professionnel d’un représentant légal pouvaient être considérées comme des données à caractère personnel, même lorsqu’elles sont utilisées dans un contexte purement professionnel.

La Cour a répondu par l’affirmative : ces informations identifient, directement ou indirectement, une personne physique vivante, ce qui suffit pour déclencher l’application du RGPD.

2. Quelles données sont concernées ?

Selon la CJUE, entrent dans le champ du RGPD toutes les informations relatives à une personne physique identifiable, même si :

• elles sont liées à un contexte professionnel uniquement ;
• elles apparaissent dans des documents officiels, contrats, appels d’offres, rapports, etc. ;
• elles sont accessibles publiquement, à l’instar de certaines mentions dans les annexes au Moniteur belge ou dans la Banque-Carrefour des Entreprises.

Exemples courants de données désormais protégées :

3. Pourquoi cette décision a-t-elle un impact direct pour les entreprises ?

Jusqu’ici, de nombreuses organisations estimaient que les coordonnées professionnelles étaient exclues du champ d’application du RGPD, puisqu’elles ne révélaient rien de “privé”. Cette position est désormais invalide.

Cela signifie notamment que :

• lorsqu’un document contient le nom ou la signature d’un administrateur ou mandataire, il doit être traité comme un document contenant des données personnelles ;
• les personnes concernées doivent être informées du traitement de ces données, sauf exception (RGPD, art. 14.5) ;
• il est interdit de masquer ou refuser automatiquement ces données, sans procéder à une mise en balance des intérêts légitimes et sans justification claire.

4. Quel encadrement pour les autorités publiques ?

L’arrêt a également un effet direct pour les organismes publics, notamment :

• les administrations qui publient des décisions, rapports ou documents contenant les noms de représentants d’entités soumissionnaires ;
• les institutions qui transmettent des documents dans le cadre d’une publicité légale (marchés publics, documents de subvention, contrôle administratif…).

Dès lors que les documents concernent des personnes physiques représentant des personnes morales (administrateurs, gérants, délégués), l’administration est tenue de :

• vérifier si des données personnelles sont présentes ;
• informer préalablement les personnes concernées, sauf si cela est matériellement impossible ;
• garantir un traitement loyal, même dans le cadre d’une mission d’intérêt public.

5. Tableau de synthèse : responsabilités et actions à envisager

6. Recommandations pratiques pour les experts-comptables

Les professionnels du chiffre jouent un rôle-clé dans l’implémentation du RGPD pour leurs clients, en particulier lorsqu’il s’agit de formaliser les relations contractuelles, de constituer les sociétés ou d’assurer la publicité légale. Voici quelques bonnes pratiques à recommander :

1. Mettre à jour les modèles contractuels pour inclure une clause RGPD expliquant l’usage des données professionnelles du signataire.
2. Tenir un registre des traitements incluant les échanges de documents comportant les coordonnées de dirigeants.
3. Informer les administrateurs de la société sur les données les concernant, notamment via une note d’information RGPD spécifique.
4. Former les équipes à la différence entre “document administratif” et “document contenant des données personnelles”.
5. Consulter le DPO ou un conseiller juridique en cas de doute sur l’applicabilité du RGPD à un échange documentaire.

Conclusion

Cette décision de la CJUE constitue un rappel essentiel : la qualité professionnelle d’une personne n’annule pas ses droits en matière de vie privée. La protection des données personnelles s’applique également aux administrateurs de sociétés et autres mandataires. Une vigilance accrue s’impose dans la gestion documentaire, y compris dans les communications professionnelles les plus courantes. Pour les experts-comptables, ce contexte renforce la nécessité d’un accompagnement rigoureux et documenté des clients dans la gestion de la conformité RGPD.

Références juridiques

• CJUE, 3 avril 2024, C-33/22 – Affaire Ministre de la Santé de République tchèque c/ MV & Co.
• Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel (RGPD)
• Autorité de protection des données (APD) – FAQ RGPD entreprises, www.autoriteprotectiondonnees.be