CJUE | Conclusions du 18 décembre 2025 | C-798/24 | Jautiva │ ANALYSE CRITIQUE

CJUE | CONCLUSIONS DU 18 DÉCEMBRE 2025 | C-798/24 | JAUTIVA │

 

L’AVOCAT GÉNÉRAL PROPOSE DE LIMITER L’ACCÈS “OPEN-BAR” AUX K-BIS DES SOCIETES.

FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS

UNE QUESTION STRUCTURELLE SUR LA PUBLICITÉ DES DONNÉES D’ACTIONNAIRES

 

L’affaire C-798/24 s’inscrit dans un mouvement jurisprudentiel de grande ampleur initié par la CJUE dans son arrêt du 22 novembre 2022, Luxembourg Business Registers (affaires jointes C-37/20 et C-601/20, EU:C:2022:912), dans lequel la Cour avait censuré l’obligation de rendre accessibles à tout membre du grand public, sans justification d’intérêt légitime, les données relatives aux bénéficiaires effectifs des sociétés de capitaux, en raison de l’atteinte disproportionnée portée aux droits fondamentaux garantis par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne. La présente affaire en constitue le prolongement naturel, mais dans un contexte normatif et factuel partiellement distinct : il s’agit cette fois des données des actionnaires d’une société anonyme (akciju sabiedrība) de droit letton, rendues librement accessibles à toute personne — y compris les utilisateurs non identifiés — via le site internet du registre des entreprises letton (Uzņēmumu reģistrs), et ce sans que quiconque n’ait à justifier d’un intérêt légitime.

La Satversmes tiesa (Cour constitutionnelle de Lettonie), saisie d’un recours constitutionnel introduit par dix-sept personnes physiques, actionnaires minoritaires de sociétés anonymes de droit letton, a suspendu sa propre procédure pour interroger la CJUE sur quatre questions préjudicielles portant, d’une part, sur l’interprétation de l’article 14, sous d, ii, de la directive 2017/1132 relative à certains aspects du droit des sociétés et, d’autre part, sur la conformité du régime letton de publicité des données des actionnaires avec les principes du RGPD (règlement UE 2016/679) et avec les articles 7 et 8 de la Charte.

L’enjeu est considérable. La disposition lettone litigieuse — l’article 4.15, premier alinéa, point 2, sous b, de la loi sur le registre des entreprises de la République de Lettonie (Likums par Latvijas Republikas Uzņēmumu reģistru) — rend accessibles dans la partie publique du dossier d’enregistrement les informations issues de la rubrique du registre des actionnaires concernant les actionnaires d’une société anonyme, et ce pour tout utilisateur non identifié. Ces informations comprennent, pour chaque actionnaire personne physique : le nom et prénom, le numéro d’identification personnel, la date de naissance, le numéro et la date de délivrance du document d’identité, le pays et l’autorité l’ayant délivré, l’adresse, le nombre et la valeur nominale des actions, le nombre de droits de vote. Il s’agit d’un corpus de données à caractère personnel particulièrement riche, dont la divulgation sans restriction à tout utilisateur anonyme soulève des questions sérieuses au regard du principe de proportionnalité et du principe de minimisation des données consacrés par le RGPD.

B. LES TROIS FINALITÉS INVOQUÉES PAR LE LÉGISLATEUR LETTON

 

La Saeima (Parlement letton), défendant la constitutionnalité de la disposition litigieuse, a identifié trois finalités légitimes justifiant la mise à disposition du grand public des données d’actionnaires :

1. La transparence du climat des affaires et la protection des intérêts des tiers : Des informations facilement accessibles, actualisées et fiables sur les actionnaires auraient un impact positif sur le cadre juridique dans lequel s’inscrit l’activité économique. La connaissance de la structure actionnariale permettrait aux partenaires commerciaux potentiels d’évaluer la solidité et la crédibilité de leur cocontractant.

2. La prévention du blanchiment de capitaux, du financement du terrorisme et de la prolifération : La mesure serait nécessaire pour permettre aux entités assujetties, mais aussi à l’ensemble des acteurs économiques, de s’acquitter de leurs obligations de vigilance. Le Finanu izlkoanas dienests (service de renseignement financier letton), intervenant en qualité d’amicus curiae, a soutenu que des personnes autres que les entités assujetties au sens de la directive 2015/849 sont également tenues de signaler sans délai toute transaction suspecte, ce qui nécessite un accès facile aux données d’actionnaires.

3. La mise en œuvre des sanctions nationales, internationales et de l’Union : La vérification de l’identité des actionnaires serait indispensable pour permettre à chacun de se conformer à la loi lettone sur les sanctions internationales et nationales, en vérifiant notamment si un partenaire commercial fait l’objet de sanctions.

Ces trois finalités se distinguent fondamentalement de la seule finalité — la prévention du blanchiment de capitaux — qui avait été examinée par la Cour dans l’arrêt Luxembourg Business Registers. La multiplicité des objectifs invoqués constitue l’une des particularités majeures de l’affaire C-798/24 et impose à la CJUE, guidée par les conclusions de l’Avocat général Norkus, de procéder à une analyse de proportionnalité plus complexe.

LE CHAMP D’APPLICATION DE L’ARTICLE 14, SOUS D, II, DE LA DIRECTIVE 2017/1132

A. LA DIRECTIVE 2017/1132 ET LA PUBLICITÉ DES ACTES DES SOCIÉTÉS

 

La directive 2017/1132 du Parlement européen et du Conseil du 14 juin 2017, relative à certains aspects du droit des sociétés (texte codifié, JO 2017, L 169, p. 46), constitue le cadre de référence du droit des sociétés de l’Union européenne. Son article 14, sous d, impose aux États membres de prendre les mesures nécessaires pour que les sociétés publient obligatoirement au moins les actes et indications suivants :

«d) la nomination, la cessation des fonctions ainsi que l’identité des personnes qui, en tant qu’organe légalement prévu, ou membres de tel organe :
i) ont le pouvoir d’engager la société à l’égard des tiers et de la représenter en justice […]
ii) participent à l’administration, à la surveillance ou au contrôle de la société […]»

La question centrale soumise à la CJUE est de savoir si l’expression «participent à l’administration, à la surveillance ou au contrôle de la société» employée à l’article 14, sous d, ii, vise tout actionnaire d’une société anonyme — y compris un actionnaire minoritaire ne détenant qu’une fraction infime du capital social et n’exerçant aucun pouvoir de contrôle effectif — ou si cette expression se limite aux personnes exerçant des fonctions de gouvernance au sein des organes sociaux (directoire, conseil de surveillance).

B. L’INTERPRÉTATION PROPOSÉE PAR L’AVOCAT GÉNÉRAL NORKUS

 

L’Avocat général Norkus aborde cette question avec une rigueur méthodologique exemplaire, fondée sur une analyse téléologique et systémique de la directive 2017/1132. La distinction entre actionnaires participant à la gouvernance et simples actionnaires est fondamentale dans son raisonnement.

L’Avocat Général rappelle que la directive 2017/1132 est principalement axée sur la publicité des actes et informations relatifs aux organes de gestion et de représentation des sociétés à l’égard des tiers. L’objectif de transparence poursuivi par cette directive vise à permettre aux tiers — créanciers, investisseurs, partenaires commerciaux — de connaître l’identité des personnes habilitées à engager la société et à exercer les fonctions de direction et de surveillance. Or, un actionnaire minoritaire d’une société anonyme, qui ne siège ni au directoire ni au conseil de surveillance, ne participe pas, en tant que tel, à l’administration, à la surveillance ou au contrôle de la société au sens de l’article 14, sous d, ii, de la directive.

La Cour constitutionnelle lettone et la Saeima ont tenté de soutenir que tout actionnaire d’une société anonyme «participe» au contrôle de cette société, au sens large, du fait de ses droits de vote à l’assemblée générale. Cette interprétation extensive est soutenue par référence à l’article 268 du Komerclikums (code de commerce letton), qui attribue à l’assemblée générale des actionnaires diverses compétences décisionnelles. Cependant, cette lecture maximaliste de la notion de «contrôle» conduirait à assimiler tout porteur d’action à un organe de contrôle, ce qui excède manifestement l’intention du législateur de l’Union telle qu’elle ressort des travaux préparatoires de la directive et de sa structure générale.

L’Avocat Général développe une interprétation restrictive et téléologique de l’article 14, sous d, ii : cette disposition vise les personnes qui exercent une fonction organique au sein de la société — membres du directoire, du conseil de surveillance, ou de tout organe équivalent —, non les simples actionnaires qua talis. Cette interprétation est cohérente avec la structure de l’article 14 dans son ensemble, qui distingue les personnes ayant le «pouvoir d’engager la société» (sous d, i) de celles qui «participent à l’administration, à la surveillance ou au contrôle» (sous d, ii), deux catégories qui renvoient toutes deux à des fonctions institutionnelles définies au sein de l’organigramme social.

C.

 

Si la CJUE suit les conclusions de l’Avocat Général et répond par la négative à la première question — c’est-à-dire si elle juge que l’article 14, sous d, ii, de la directive 2017/1132 ne couvre pas tous les actionnaires d’une société anonyme —, il en résulterait que la législation lettone rendant publiques les données de l’ensemble des actionnaires ne saurait être fondée sur cette disposition de la directive. L’obligation de publicité imposée par le droit letton aurait alors été adoptée ultra vires par rapport au cadre harmonisé du droit des sociétés de l’Union.

Dans ce cas, la deuxième question préjudicielle — relative à la validité de l’article 14, sous d, ii — deviendrait hypothétique et la CJUE n’aurait pas à y répondre. En revanche, les troisième et quatrième questions — portant sur l’interprétation des principes du RGPD — conserveraient toute leur pertinence pour guider la juridiction de renvoi dans son appréciation de la conformité du droit letton au regard du droit de l’Union.

LA VALIDITÉ DE L’ARTICLE 14, SOUS D, II, AU REGARD DE LA CHARTE

A. UNE QUESTION POSÉE À TITRE SUBSIDIAIRE

 

La deuxième question préjudicielle est posée à titre conditionnel : elle ne se pose que si la CJUE répond par l’affirmative à la première question, c’est-à-dire si elle juge que l’article 14, sous d, ii, de la directive 2017/1132 impose effectivement la publicité des données de tous les actionnaires. Dans cette hypothèse, la juridiction de renvoi interroge la Cour sur la validité de cette disposition au regard des droits fondamentaux.

B. LE TEST DE PROPORTIONNALITÉ AU REGARD DES ARTICLES 7 ET 8 DE LA CHARTE

 

L’article 52, §1, de la Charte admet que des limitations puissent être apportées aux droits fondamentaux, à condition qu’elles soient prévues par la loi, qu’elles respectent le contenu essentiel de ces droits et que, dans le respect du principe de proportionnalité, elles soient nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union.

L’Avocat Général Norkus procède à cet examen en se fondant sur la jurisprudence Luxembourg Business Registers et sur l’arrêt Vyriausioji tarnybinės etikos komisija (C-184/20, EU:C:2022:601). Il rappelle que la mise à disposition du grand public de données à caractère personnel portant sur l’ensemble des actionnaires d’une société anonyme — incluant le numéro d’identification personnel, les coordonnées personnelles, la structure de participation — constitue une ingérence grave dans les droits garantis par les articles 7 et 8 de la Charte, d’autant plus que ces informations peuvent être téléchargées en masse (en bloc), sans restriction et par des utilisateurs non identifiés.

L’Avocat Général examine si cette ingérence est strictement nécessaire pour atteindre les finalités invoquées. Il constate notamment que les mêmes finalités pourraient être atteintes par des moyens moins attentatoires aux droits fondamentaux, comme la procédure de demande d’informations à accès restreint prévue par le droit letton, qui permettrait à toute personne justifiant d’un intérêt légitime d’obtenir ces informations. L’Avocat Général indique qu’«il y a lieu de vérifier si l’ingérence dans les droits garantis aux articles 7 et 8 de la Charte qui résulte de l’accès du grand public aux informations sur chaque actionnaire est limitée au strict nécessaire, en ce sens que l’objectif ne pourrait raisonnablement être atteint de manière aussi efficace par d’autres moyens moins attentatoires à ces droits fondamentaux des personnes concernées» (en référence à Luxembourg Business Registers, point 66).

La conclusion de l’Avocat Général sur ce point — si la première question appelle une réponse affirmative — irait vers une invalidité partielle ou une interprétation conforme de l’article 14, sous d, ii, afin de le mettre en conformité avec les articles 7 et 8 de la Charte, en limitant la publicité aux seules personnes exerçant effectivement des fonctions de gouvernance.

LES FINALITÉS DU TRAITEMENT AU REGARD DE L’ARTICLE 5, §1, SOUS B, DU RGPD

A. LE PRINCIPE DE LIMITATION DES FINALITÉS

 

L’article 5, §1, sous b, du RGPD consacre le principe de limitation des finalités (purpose limitation) : les données à caractère personnel doivent être collectées pour des «finalités déterminées, explicites et légitimes» et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités. La troisième question interroge la CJUE sur le point de savoir si les trois finalités identifiées par la Saeima — transparence du climat des affaires, prévention du blanchiment de capitaux et sanctions internationales — constituent des finalités «déterminées, explicites et légitimes» au sens de cette disposition.

B. L’ANALYSE DE L’AVOCAT GÉNÉRAL SUR CHACUNE DES FINALITÉS

 

1. La transparence du climat des affaires et la protection des intérêts des tiers : L’Avocat Général reconnaît que la transparence des structures sociétaires constitue un objectif d’intérêt public légitime au sens de l’article 6, §1, sous e, du RGPD. Il fait référence à l’arrêt Manni (C-398/15) dans lequel la Cour a établi un lien entre, d’une part, l’accès aux informations essentielles relatives à la constitution des sociétés commerciales et, d’autre part, la protection des intérêts des tiers. Cependant, l’Avocat Général souligne que la finalité doit être suffisamment précise et circonscrite pour permettre une appréciation de la proportionnalité. L’invocation générale d’un «climat des affaires transparent» sans identification de données précises nécessaires à cet objectif ne suffit pas à satisfaire l’exigence de finalité déterminée et explicite.

2. La prévention du blanchiment de capitaux, du financement du terrorisme et de la prolifération : Cette finalité est explicitement reconnue par la directive 2015/849, dont l’article 43 dispose que le traitement de données à caractère personnel effectué sur la base de cette directive est «considéré comme une question d’intérêt public au titre du RGPD». L’Avocat Général reconnaît la légitimité de cette finalité mais souligne que le régime applicable aux bénéficiaires effectifs — qui bénéficient d’un accès réservé aux entités assujetties et aux personnes justifiant d’un intérêt légitime — poursuit la même finalité avec un traitement moins étendu des données. La mise à disposition du grand public de données d’actionnaires sans obligation de justifier d’un intérêt légitime excède ce que nécessite cette finalité.

3. La mise en œuvre des sanctions nationales, internationales et de l’Union : L’Avocat Général examine si cette finalité justifie une mise à disposition totale et sans restriction des données d’actionnaires. Il rappelle que les recommandations du GAFI prévoient certes que les États veillent à ce que les autorités compétentes aient facilement et rapidement accès aux informations sur les bénéficiaires effectifs, mais cette exigence ne s’étend pas à un accès illimité du grand public. Les autorités compétentes (services répressifs, autorités de surveillance) disposent d’un accès sans restriction à la partie non publique du dossier d’enregistrement aux termes du droit letton. La finalité de sanctions n’exige donc pas une mise à disposition à tout utilisateur non identifié.

L’Avocat Général conclut que si les trois finalités peuvent en principe constituer des fondements légitimes du traitement de données d’actionnaires, chacune d’elles doit être appréciée de manière séparée et sa portée délimitée au strict nécessaire, ce que ne fait pas la législation lettone dans sa formulation actuelle.

L’ABSENCE D’EXIGENCE D’INTÉRÊT LÉGITIME AU REGARD DU RGPD

A. LA QUESTION CENTRALE DU RENVOI

 

La quatrième question constitue le nœud gordien de l’affaire C-798/24 et le point de convergence de l’ensemble du raisonnement préjudiciel. Elle interroge directement la CJUE sur la compatibilité, avec les principes du RGPD, d’un régime national en vertu duquel «toute personne peut obtenir les données à caractère personnel de tout actionnaire d’une société anonyme sans être tenue de démontrer un intérêt légitime».

B. LE PRINCIPE DE MINIMISATION DES DONNÉES

 

L’article 5, §1, sous c, du RGPD consacre le principe de minimisation des données (data minimisation) : les données doivent être «adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées». L’autorité lettone de protection des données (Datu valsts inspekcija), entendue en qualité d’amicus curiae, a soutenu que la loi sur le registre des entreprises n’identifie pas de finalité spécifique nécessitant le traitement des données à caractère personnel des actionnaires de sociétés anonymes, et que «si aucune finalité spécifique n’est indiquée, la proportionnalité de l’ampleur du traitement des données à caractère personnel par rapport à cette finalité serait également impossible à apprécier».

Cette observation est fondamentale : sans finalité précise et circonscrite, il est impossible de vérifier que les données traitées sont «limitées à ce qui est nécessaire». L’étendue des informations rendues publiques — incluant notamment le numéro d’identification personnel, les coordonnées personnelles et les données relatives à la participation au capital — va manifestement au-delà de ce qui est nécessaire pour assurer la transparence des structures de gouvernance des sociétés anonymes.

C. LA LEÇON DE LUXEMBOURG BUSINESS REGISTERS APPLIQUÉE AUX ACTIONNAIRES

 

L’Avocat Général Norkus procède à un exercice de comparaison rigoureuse entre l’arrêt Luxembourg Business Registers et la situation des actionnaires de sociétés anonymes. Il identifie les points communs et les divergences entre les deux situations :

Points communs :
—-La mise à disposition, sans restriction et sans exigence d’intérêt légitime, de données à caractère personnel dans un registre public librement accessible
—-Le risque d’utilisation détournée des informations (fraude, extorsion, chantage) dénoncé par les requérants
—-La tension entre transparence et protection de la vie privée

Divergences :
—-Les données d’actionnaires couvrent potentiellement un périmètre de personnes plus large que les bénéficiaires effectifs (tout actionnaire, y compris le détenteur d’une seule action)
—-Les finalités légitimes invoquées sont plus nombreuses (trois finalités au lieu d’une)
—-Les actionnaires de sociétés anonymes ont volontairement choisi une forme sociale qui implique une certaine transparence, alors que les bénéficiaires effectifs peuvent être liés à une structure fiduciaire ou trust contre leur gré

L’Avocat Général applique néanmoins la même grille d’analyse téléologique et proportionnelle que dans Luxembourg Business Registers et parvient à la conclusion que l’absence totale d’exigence d’intérêt légitime, combinée à la richesse des données rendues accessibles et à la possibilité de téléchargement en masse, excède ce qui est nécessaire pour atteindre les finalités invoquées. En particulier, l’existence d’une procédure de demande d’informations à accès restreint au droit letton démontre que le législateur national disposait d’un mécanisme moins attentatoire aux droits fondamentaux permettant d’atteindre les mêmes objectifs.

L’ARTICULATION ENTRE LA DIRECTIVE 2017/1132 ET LE RGPD

A. LA CLAUSE DE PROTECTION DES DONNÉES DANS LA DIRECTIVE 2017/1132

 

L’article 16¹ de la directive 2017/1132 dispose expressément que «[l]e traitement de toute donnée à caractère personnel effectué dans le cadre de la présente directive est soumis au règlement UE 2016/679». Cette disposition établit une articulation de principe entre le droit des sociétés et le droit de la protection des données : la publicité imposée par la directive 2017/1132 ne saurait être mise en œuvre d’une manière incompatible avec les exigences du RGPD.

B. L’OBLIGATION LÉGALE COMME BASE JURIDIQUE DE TRAITEMENT

 

L’article 6, §1, sous c, du RGPD autorise le traitement lorsqu’il est «nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis». Si la directive 2017/1132 impose une publicité pour certaines informations relatives à l’administration et au contrôle des sociétés, cette obligation légale constitue une base juridique suffisante pour le traitement correspondant. Cependant, l’Avocat Général souligne que cette base juridique «répond à un objectif d’intérêt public et est proportionnée à l’objectif légitime poursuivi» conformément à l’article 6, §3, du RGPD.

L’Avocat Général fait référence à l’arrêt État belge — Données traitées par un journal officiel (C-231/22, EU:C:2024:7) pour rappeler que la base légale du traitement doit être interprétée de manière restrictive : elle ne couvre que les données dont la publicité est strictement nécessaire à l’accomplissement de la mission d’intérêt public poursuivie. Un État membre ne saurait, sous couvert d’une obligation légale générale de publicité, rendre accessibles des données d’une ampleur disproportionnée par rapport aux finalités légitimement poursuivies.

C. LA HIÉRARCHIE DES NORMES ET LA QUESTION DE L’HARMONISATION MAXIMALE OU MINIMALE

 

L’Avocat Général examine également la question de savoir si la directive 2017/1132 procède à une harmonisation minimale ou maximale en matière de publicité. Il constate que la directive prévoit un seuil minimum d’informations à rendre publiques (article 14), mais laisse aux États membres la liberté d’aller au-delà, sous réserve de respecter les droits fondamentaux et le RGPD. La directive 2015/849, pour sa part, réalise «une harmonisation minimale» (point 103 des conclusions, citant PrivatBank e.a., C-78/21, EU:C:2023:137, point 64). Cette qualification n’est pas sans importance pour l’appréciation de la latitude des États membres : si la directive autorise une publicité plus étendue, encore faut-il que celle-ci soit compatible avec le RGPD et la Charte.

PERSPECTIVES

A. LA PORTÉE SYSTÉMIQUE DE L’AFFAIRE C-798/24

 

L’affaire C-798/24 soulève une question de portée systémique pour l’ensemble des registres de commerce européens. En effet, de nombreux États membres de l’Union européenne ont mis en place des registres de commerce qui rendent accessibles, à des degrés divers, des informations sur les actionnaires ou associés de sociétés de capitaux. La réponse de la CJUE déterminera le cadre de légalité applicable à ces dispositifs nationaux de publicité et imposera le cas échéant leur mise en conformité avec les exigences du RGPD et de la Charte.

B. LA TENSION ENTRE TRANSPARENCE DES STRUCTURES SOCIÉTAIRES ET PROTECTION DES DONNÉES PERSONNELLES

 

La principale tension intellectuelle que soulève cette affaire réside dans la confrontation entre deux impératifs légitimes : d’une part, la transparence des structures d’entreprise, qui est un objectif reconnu par le droit de l’Union et qui sert des intérêts publics importants (protection des créanciers, lutte contre la fraude, prévention du blanchiment de capitaux) ; d’autre part, la protection des données personnelles des actionnaires, qui sont des personnes physiques jouissant des droits consacrés par les articles 7 et 8 de la Charte.

L’Avocat Général Norkus propose une résolution de cette tension fondée sur le principe de proportionnalité : la publicité des données d’actionnaires peut être légitime pour certaines finalités et certaines catégories d’informations, mais elle ne saurait être illimitée et sans exigence d’intérêt légitime pour l’ensemble des données relatives à l’ensemble des actionnaires. Cette solution équilibrée s’inscrit dans la ligne de la jurisprudence Luxembourg Business Registers et constitue une application cohérente des principes dégagés dans cet arrêt fondateur.

C. LA QUESTION SPÉCIFIQUE DES ACTIONNAIRES MINORITAIRES

 

L’un des arguments les plus pertinents développés par les requérants — dix-sept actionnaires minoritaires — est que, en tant qu’actionnaires minoritaires, ils ne sont ni les bénéficiaires effectifs de la société anonyme, ni les responsables de son organe exécutif ou de son organe de direction, et n’ont «en fait ni le droit ni la possibilité d’exercer un contrôle sur cette société». Ils soulignent par conséquent que la mise à disposition du grand public de leurs données personnelles est «d’autant plus injustifiée et disproportionnée», puisqu’ils ne participent pas effectivement à la gouvernance de la société.

Cet argument est fondamental car il illustre la désadéquation entre la finalité de transparence de la gouvernance sociétaire et la portée du régime letton de publicité. Si l’objectif est de permettre aux tiers de connaître les personnes qui dirigent et contrôlent effectivement la société, la divulgation des données de simples actionnaires minoritaires est superflue et disproportionnée. Si, en revanche, l’objectif est de permettre l’identification de tous les porteurs d’actions aux fins de prévention du blanchiment de capitaux et d’application des sanctions, le mécanisme adéquat est celui d’un accès conditionné à un intérêt légitime, comme le prévoit d’ailleurs la directive 2015/849 pour les bénéficiaires effectifs.

D. L’ÉVOLUTION DU CADRE RÉGLEMENTAIRE POST-AFFAIRE

 

Il convient de noter que la directive 2024/1640 du Parlement européen et du Conseil du 31 mai 2024 (relative aux mécanismes à mettre en place par les États membres pour prévenir l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme) a modifié l’article 30, §5, premier alinéa, sous c, de la directive 2015/849 pour prévoir que les informations sur les bénéficiaires effectifs ne sont accessibles qu’aux personnes et organisations qui peuvent justifier d’un intérêt légitime, outre les autorités compétentes et les entités assujetties. Cette évolution normative confirme la tendance vers un accès conditionné et souligne la pertinence de la question posée dans l’affaire C-798/24.

E. LES RISQUES PRATIQUES IDENTIFIÉS PAR LES REQUÉRANTS

 

Les requérants ont identifié avec précision les risques pratiques découlant de la mise à disposition sans restriction de leurs données personnelles :

«Il existerait donc un risque élevé que les informations en question soient utilisées à des fins malhonnêtes (par exemple, fraude, extorsion, chantage, etc.)» (§ 2 de la demande de décision préjudicielle).

Ces risques ne sont pas théoriques. La divulgation du numéro d’identification personnel d’un actionnaire minoritaire, combinée à ses coordonnées personnelles, au nombre de ses actions et à la valeur nominale de sa participation, crée en effet une fiche d’identité patrimoniale complète qui peut être exploitée à des fins frauduleuses. En outre, la possibilité de téléchargement en masse (article 4.10, cinquième alinéa, de la loi sur le registre des entreprises) facilite la constitution de bases de données agrégées pouvant être exploitées à des fins illicites, sans que les personnes concernées puissent en être informées.

UNE ANALYSE SYNTHÉTIQUE

A. LA STRUCTURE ARGUMENTATIVE DES CONCLUSIONS

 

Les conclusions de l’Avocat Général Norkus (ECLI:EU:C:2025:998) présentées le 18 décembre 2025 s’articulent autour d’une analyse en plusieurs temps :

  1. Interprétation de l’article 14, sous d, ii, de la directive 2017/1132 : l’expression «participent à l’administration, à la surveillance ou au contrôle de la société» ne vise pas les simples actionnaires en leur qualité d’actionnaires, mais les personnes exerçant des fonctions organiques de gouvernance.

  2. Examen subsidiaire de la validité de l’article 14, sous d, ii, au regard des articles 7 et 8 de la Charte : dans l’hypothèse où la première question recevrait une réponse affirmative, l’Avocat Général examine si une obligation de publicité des données de tous les actionnaires pourrait être valide au regard de la Charte, ce qui l’amènerait à conclure par la négative, à moins d’être interprétée de manière restrictive.

  3. Appréciation au regard du RGPD : l’Avocat Général examine les trois finalités invoquées au regard du principe de limitation des finalités (article 5, §1, sous b, du RGPD) et conclut qu’elles peuvent en principe constituer des bases légitimes de traitement, à condition que la publicité soit proportionnée à chaque finalité spécifique.

  4. Incompatibilité du régime letton d’accès universel et sans restriction avec les principes de minimisation des données et de proportionnalité du RGPD : l’absence totale d’exigence d’intérêt légitime est incompatible avec l’article 5, §1, du RGPD tel qu’interprété à la lumière des articles 7 et 8 de la Charte.

B. LE DISPOSITIF DES CONCLUSIONS

 

Sur la première question : L’article 14, sous d, ii, de la directive 2017/1132 doit être interprété en ce sens que l’expression «personnes qui… participent à l’administration, à la surveillance ou au contrôle de la société» ne vise pas tout actionnaire d’une société anonyme en sa seule qualité d’actionnaire, mais uniquement les personnes exerçant, en tant que membres d’un organe légalement prévu de la société, une fonction d’administration, de surveillance ou de contrôle.

Sur la troisième question : L’article 5, §1, sous b, du RGPD doit être interprété en ce sens que le traitement de données à caractère personnel relatives aux actionnaires d’une société anonyme peut, en principe, être effectué aux fins de garantir un climat des affaires transparent et de protéger les intérêts des tiers, de prévenir le blanchiment de capitaux et le financement du terrorisme et de la prolifération, et de fournir les informations nécessaires à la mise en œuvre de sanctions nationales, internationales et de l’Union, sous réserve que les données traitées soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard de chacune de ces finalités spécifiques.

Sur la quatrième question : Les principes énoncés à l’article 5, §1, du RGPD s’opposent à ce qu’un État membre prévoie un cadre juridique en vertu duquel toute personne peut obtenir les données à caractère personnel de tout actionnaire d’une société anonyme, sans être tenue de démontrer un intérêt légitime, lorsque ce cadre permet un accès illimité et sans restriction à des données d’une ampleur disproportionnée par rapport aux finalités légitimement poursuivies, et ce notamment lorsque le droit national prévoit par ailleurs une procédure d’accès à information à accès restreint susceptible de permettre d’atteindre les mêmes finalités de manière moins attentatoire aux droits fondamentaux.

COMPARAISON AVEC L’AFFAIRE C-684/24 (ACROSS FIDUCIARIA)

L’affaire C-684/24 (Across Fiduciaria e.a.), faisant également l’objet de conclusions de l’Avocat Général à la même période (ECLI:EU:C:2025:964, présentées le 11 décembre 2025), porte sur une problématique connexe : l’accès des personnes physiques ou morales ayant un intérêt légitime aux informations sur les bénéficiaires effectifs de fiducies-trusts et de constructions juridiques similaires, conformément à l’article 31 de la directive 2015/849.

La mise en perspective des deux affaires révèle une tendance jurisprudentielle cohérente : la CJUE, à travers ses formations consultatives (Avocat Général) et dans ses arrêts, tend à conditionner l’accès aux données personnelles dans les registres publics à la démonstration d’un intérêt légitime, en application des principes de la Charte et du RGPD. L’affaire C-684/24 porte sur la licéité d’un accès conditionné (par l’intérêt légitime), tandis que l’affaire C-798/24 porte sur la licéité d’un accès inconditionné. Les deux affaires, conjointement, dessinent les contours d’un régime d’accès aux données dans les registres publics respectueux des droits fondamentaux.

X.UN ARRÊT DE RÉFÉRENCE ATTENDU POUR L’HARMONISATION DU DROIT DES REGISTRES EN EUROPE

L’arrêt que rendra la CJUE dans l’affaire C-798/24 Jautiva sera l’une des décisions les plus importantes de l’ère post-Luxembourg Business Registers en matière d’articulation entre le droit des sociétés, la prévention du blanchiment de capitaux et la protection des données personnelles. Il permettra de déterminer :

  1. Si et dans quelle mesure la publicité des données d’actionnaires peut être exigée par le droit de l’Union (via la directive 2017/1132) ou simplement autorisée par le droit national
  2. Quelles finalités légitimes peuvent justifier le traitement de données d’actionnaires et dans quelle mesure
  3. Si le modèle d’accès sans condition d’intérêt légitime adopté par certains États membres est compatible avec le RGPD et la Charte, ou s’il doit être remplacé par un modèle d’accès conditionné
  4. Comment s’articule la procédure d’accès restreint avec le régime général de publicité des registres

Ces questions concernent directement de nombreux États membres et imposent une attention soutenue de la part des DPO, responsables de traitement et professionnels du droit des entreprises opérant dans le cadre des registres nationaux de commerce.

 
 
 

POINTS ESSENTIELS

L’affaire C-798/24 [Jautiva] oppose dix-sept actionnaires minoritaires de sociétés anonymes lettones au Parlement letton (Saeima) devant la Cour constitutionnelle de Lettonie (Satversmes tiesa), qui a saisi la Cour de justice de l’Union européenne d’une demande de décision préjudicielle portant sur la compatibilité de l’article 4.15, §1, point 2, sous b), de la loi lettone sur le registre des entreprises — qui impose la publication publique sans restriction des données personnelles de tout actionnaire d’une société anonyme (nom, prénom, numéro d’identification personnel, adresse, informations sur les actions détenues), accessibles gratuitement en ligne y compris pour téléchargement en masse par tout utilisateur non identifié — avec, d’une part, la notion de « personnes qui […] participent à l’administration, à la surveillance ou au contrôle de la société » figurant à l’article 14, sous d), de la directive 2017/1132 relative au droit des sociétés et, d’autre part, les principes de limitation des finalités et de minimisation des données consacrés à l’article 5, §1, du RGPD, lus à la lumière des articles 7 et 8 de la Charte des droits fondamentaux

 

25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats