Entre impératifs de transparence économique et respect du droit à la vie privée, la protection des données personnelles des dirigeants d’entreprise suscite de nombreuses interrogations. Le nom, les coordonnées ou la fonction d’un représentant légal sont fréquemment mentionnés dans des documents publics ou des publications en ligne. Mais que dit réellement le RGPD à ce sujet ? Quelles informations peuvent être publiées, et dans quelles limites ?

 

Les dirigeants sont concernés par la protection des données personnelles

Une personne physique, même agissant au nom d’une société, reste protégée

Le Règlement (UE) 2016/679 du 27 avril 2016, dit RGPD, protège toute personne physique identifiée ou identifiable (art. 4, §1). Cette définition inclut sans ambiguïté les dirigeants sociaux, y compris lorsqu’ils agissent pour le compte d’une personne morale.

 

Dès lors que leur nom, prénom, coordonnées professionnelles, fonction, signature ou photo permettent de les identifier, ces informations relèvent bien de la notion de données à caractère personnel. Ce principe a été rappelé par la Cour de justice de l’Union européenne (CJUE) dans un arrêt du 3 avril 2025 (C-710/23), confirmant que l’identité d’un représentant légal est protégée, même si la communication vise uniquement à désigner la société.

 

Ce que la loi impose de publier : un cadre strictement défini

Une publication obligatoire dans les registres légaux

En droit français, le Code de commerce impose la communication d’un certain nombre de données personnelles dans le cadre de la vie des sociétés :

 

  • Articles L. 123-1 et R. 123-54 : identité, nationalité, date et lieu de naissance, adresse personnelle du dirigeant (RCS) ;

 

  • Dépôt des statuts au greffe avec mention des signataires ;

 

  • Publicité légale lors des nominations, modifications ou radiations.

 

Ces traitements sont licites au sens de l’article 6, §1, c) du RGPD, car imposés par la loi.

 

Les dirigeants ne peuvent s’opposer à ces traitements. Toutefois, la diffusion des données ne peut excéder ce que la loi impose. Toute publication élargie ou permanente doit être justifiée par une base juridique spécifique.

 

En dehors des obligations légales, des protections renforcées

Diffusion commerciale, Internet, réseaux : attention au fondement légal

De nombreuses situations sortent du cadre légal strict :

 

  • publication d’un contrat signé sur un site internet,

 

  • inclusion du nom d’un dirigeant dans une plaquette commerciale,

 

  • référencement dans une base de prospection ou un fichier fournisseurs,

 

  • republication par un tiers d’un document administratif contenant une signature.

 

Dans ces cas, le RGPD s’applique pleinement. Le traitement doit reposer sur un intérêt légitime, un consentement, ou répondre à une mission d’intérêt public clairement définie.

 

À défaut, le dirigeant peut faire valoir ses droits :

 

  • Droit d’opposition (art. 21) pour bloquer la diffusion ;

 

  • Droit à l’effacement (art. 17) si les données sont obsolètes ou injustifiées ;

 

  • Droit à la limitation du traitement (art. 18) dans certains cas.

 

Le simple fait qu’une information ait déjà été publiée une fois ne suffit pas à rendre sa republication légitime.

 

Quelles précautions pour les entreprises et les médias professionnels ?

Bonnes pratiques à adopter

Voici quelques principes à respecter pour toute entité amenée à publier ou relayer des données de dirigeants :

 

  • Vérifier si la publication est légalement obligatoire, ou si elle nécessite une analyse de l’intérêt légitime ;

 

  • Informer le dirigeant concerné au moment du traitement (articles 13 et 14 du RGPD) ;

 

  • Limiter la diffusion aux seuls éléments strictement nécessaires à la finalité poursuivie ;

 

  • Prévoir une durée de conservation adaptée et des modalités d’effacement.

 

Lorsque les données sont intégrées à des documents publics (statuts, contrats, actes notariés...), il est recommandé de flouter ou occulter les données non requises lors d’une publication sur internet, sauf si la transparence l’exige expressément.

 

La jurisprudence européenne renforce la protection des dirigeants

La CJUE, dans son arrêt du 3 avril 2025 précité (C-710/23), a posé deux principes fondamentaux :

 

  • La communication de données d’un dirigeant, même via un document administratif, est un traitement soumis au RGPD ;

 

  • Le fait que cette communication vise uniquement à identifier une société ne supprime pas la protection accordée à la personne physique.

 

La Cour précise que le considérant 14 du RGPD, qui exclut les personnes morales de la protection du règlement, ne s’applique pas aux représentants de ces personnes. Ces derniers ne sont en aucun cas assimilés à la structure qu’ils dirigent.

 

En résumé : publier oui, mais dans un cadre encadré

Les 4 points à retenir

  • Le RGPD protège les dirigeants, y compris dans leur fonction représentative ;

 

  • Les publications imposées par la loi (RCS, statuts) ne peuvent être contestées ;

 

  • Toute diffusion supplémentaire doit être justifiée, proportionnée et encadrée ;

 

  • En cas d’abus, les dirigeants peuvent faire valoir leurs droits auprès de la CNIL ou en justice.

 

Pour aller plus loin : 

 

https://www.lebouard-avocats.fr/post/rgpd-protection-donnees-dirigeants-societe

https://www.lebouardavocats.com/blog-posts/rgpd-dirigeants-publication-donnees-personnelles