Actu

Pas de RGPD qui tienne pour les SASU en difficulté

Un associé unique d’une SASU ne peut échapper à l’obligation de publier ses comptes annuels sous prétexte que cela divulguerait ses données personnelles. Surtout lorsque la manœuvre est à lui éviter de mettre la clef sous la porte.

Pas de RGPD qui tienne pour les SASU en difficulté
Si l'injonction de dépôt des comptes d'une SASU porte atteinte à la vie privée de son associé unique, elle est proportionnée au but légitime de détection et de prévention des difficultés des entreprises. © Adobe Stock

Le RGPD importe peu en cas de faillite. La Cour de Cassation a estimé dans un arrêt du 24 juin 2020 que l’atteinte à la vie privée portée à un associé unique d’une SASU (et propriétaire d’un unique bien) sommé de déposer ses comptes au greffe n’était pas « disproportionnée » au regard du but poursuivi par l’injonction, à savoir celui de sauver son entreprise et d’éviter les effets de contagion sur ses partenaires. Une entorse assumée en substance à la préservation du caractère confidentiel des données patrimoniales qui vaut aussi pour l’associé unique d’une EURL.

Pack complet de création d'une SASU
Passez à l’action :

Pack complet de création d'une SASU

« Le patrimoine n’est que partiellement et indirectement révélé »

Dans les faits, un président et unique associé d’une SASU n’a pas procédé au dépôt des comptes annuels de sa société dans les délais légaux. Comme il le peut dans ces cas-là, le président du tribunal de commerce l’a enjoint de le faire dans un délai d’un mois sous astreinte de 100 € par jour de retard. N’ayant toujours pas déposé ses comptes au fil des jours, l’associé unique se voit par suite condamné à payer au trésor public 3 000 € en liquidation de l’astreinte.

Le président-associé, propriétaire d’un unique bien, conteste alors ces deux ordonnances rendues en dernier ressort en saisissant la Cour de cassation. Il estime que la publication des comptes de sa société au greffe divulgue aux tiers, sans son consentement, des informations patrimoniales confidentielles le concernant (cf. encadré). Il s’appuie notamment pour cela sur le fameux RGPD.

Si la haute juridiction reconnaît qu’il y là une atteinte au droit à la protection de ses données à caractère personnel, elle rejette le pourvoi, estimant que le patrimoine de l’intéressé, s’il relève de sa vie privée, n’est que « partiellement et indirectement révélé ». Les comptes annuels d’une SASU ne constituant « qu’un des éléments nécessaires à la détermination de la valeur des actions que possède son associé unique ». Pas de quoi donc crier au scandale !

Lire aussi Atelier RGPD : par où les TPE doivent-elles commencer ? (1/2)

Une atteinte au RGPD « proportionnée »

Mais aussi petite soit-elle, il n’en demeure pas moins que cette divulgation porte atteinte à la vie privée de l’intéressé. Pour justifier leur rejet, l’argument phare des sages de la rue Montpensier est qu’il s’agit là d’un moindre mal. « L’atteinte portée au droit à la protection des données à caractère personnel de cet associé pour la publication de ces comptes est proportionnée au but légitime de détection et de prévention des difficultés des entreprises, poursuivi par les dispositions de l’article L. 611-2, II, du code de commerce ».

La publication des comptes permet en effet aux tribunaux de prendre des mesures de prévention pour sauver la société en difficulté avant qu’il soit trop tard (mandat ad hoc ou procédure d’alerte par exemple). Doté d’une mission d’ordre public, le juge se doit d’éviter la chute d’une entreprise pour éviter en outre que ses difficultés impactent d’autres entreprises.

Lire aussi Atelier RGPD : par où les TPE doivent-elles commencer ? (2/2)

La CNIL publie un guide pratique sur les « tiers autorisés »

Dans le mois qui suit ce jugement, la CNIL a publié un guide pratique sur la transmission des données personnelles à un « tiers autorisé » et un recueil des principales procédures listant les acteurs susceptibles d’exiger la communication de données personnelles.

La CNIL définit les « tiers autorisés » comme « l’ensemble des autorités et organismes (publics le plus souvent) qui disposent, en vertu de l’intérêt public qui s’attache à l’accomplissement de leur mission, du pouvoir de solliciter l’obtention de données à caractère personnel issues de fichiers détenus par des personnes ou organismes publics et privés ».

La Commission rappelle les points à vérifier avant de répondre à un tiers autorisé :

  • obtention d’une demande de communication écrite précisant le fondement légal de la demande ;
  • contrôle de la qualité du tiers autorisé à l’origine de la demande ;
  • vérification que le périmètre de la demande respecte les dispositions légales invoquées (notamment lorsque celles-ci écartent ou rappellent l’obligation de respect d’un secret professionnel) ;
  • application de mesures de confidentialité afin de sécuriser l’échange ;
  • conservation d’une traçabilité des échanges et des vérifications réalisées.

Lire aussi RGPD : un nouveau modèle de registre format tableur pour les TPE/PME

Matthieu Barry

Laisser un commentaire

Suivant