Les États membres de l’UE ne peuvent pas garantir aux personnes physiques dont les données sont inscrites dans le registre des sociétés le droit d’obtenir, après un certain délai à compter de la dissolution de la société, l’effacement des données à caractère personnel les concernant, a conclu la Cour de justice de l’UE dans un arrêt prononcé jeudi 9 mars.
La Cour a ainsi constaté que les deux directives pertinentes dans cette affaire (C-398/15), la première portant sur le traitement des données à caractère personnel (directive 95/46) et la seconde sur les garanties exigées de la part des sociétés (directive 68/151), ne permettaient pas aux personnes physiques, dont les données sont inscrites dans le registre des sociétés, de bénéficier du droit à l’oubli. La raison en est que, pour garantir la sécurité juridique, il est nécessaire de garantir un accès à de telles données, puisque des questions peuvent surgir encore de nombreuses années après qu’une société a cessé d’exister.
L’Avocat général était parvenu à la même la conclusion en septembre 2016 (EUROPE 11620), à ce détail près : la Cour n’a finalement pas exclu que, dans des situations particulières, l’accès à de telles données puisse être limité, à l’expiration d’un délai suffisamment long après la dissolution de la société, aux tiers justifiant d’un intérêt spécifique à leur consultation. Il revient toutefois aux États membres de décider s’ils souhaitent une telle limitation d’accès dans leur ordre juridique. Cette limitation doit, de toute manière, résulter d’une appréciation au cas par cas.
Dans la présente affaire, la Cour a considéré qu’une telle limitation ne se justifiait pas. La seule circonstance que des immeubles ne se vendent pas du fait que les acheteurs potentiels ont accès aux données de l’administrateur de la société qui les a construits – et qui voient donc que celui-ci a aussi été l’administrateur d’une autre société qui a fait faillite – n’est pas suffisante. (Jan Kordys)