CJUE | Conclusions du 18 décembre 2025 | C-798/24 | Jautiva │ CONSEILS

---

CONSEILS AUX RESPONSABLES DE TRAITEMENT GÉRANT UN REGISTRE PUBLIC D’ACTIONNAIRES

---

1. L’IMPÉRATIF DE RÉVISION DES BASES LÉGALES DU TRAITEMENT

 

La problématique centrale de l’affaire C-798/24 est celle de la licéité du traitement de données personnelles des actionnaires de sociétés anonymes opéré via leur publication dans un registre public sans condition d’intérêt légitime. Tout responsable de traitement — qu’il s’agisse d’un organisme public gérant un registre du commerce ou d’une entité privée maintenant un registre d’actionnaires à caractère public — doit impérativement procéder à un audit de ses bases légales au regard de l’article 6 du RGPD.

L’enseignement principal de C-798/24 est que l’existence d’une obligation légale nationale (art. 6, §1, c), RGPD) ne suffit pas, à elle seule, à légitimer un traitement de données personnelles : encore faut-il que cette obligation légale soit elle-même proportionnée à ses objectifs, au sens de l’article 6, §3, troisième phrase, du RGPD, qui exige que « le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi ». Le responsable de traitement qui s’abrite derrière une obligation légale nationale sans examiner la proportionnalité de cette obligation au regard du RGPD s’expose à un risque de non-conformité.

Mesure pratique : Tout responsable de traitement dont la base légale est l’article 6, §1, c), RGPD doit, dans son registre des activités de traitement (art. 30 RGPD) et sa politique de confidentialité, documenter non seulement l’existence de l’obligation légale nationale, mais aussi sa conformité au RGPD, en précisant la finalité spécifique poursuivie, la nécessité de la mesure et l’absence d’alternative moins attentatoire.

---

2. L’EXIGENCE DE FINALITÉS DÉTERMINÉES, EXPLICITES ET DISTINCTES

 

L’affaire C-798/24 met en lumière un risque spécifique : celui du traitement dit « polyfonctionnel », dans lequel un responsable de traitement invoque plusieurs finalités distinctes pour justifier un traitement. L’Avocat général rappelle, au point 35 de ses conclusions, que les questions préjudicielles portent sur trois objectifs cumulatifs — transparence des affaires, lutte contre le blanchiment, mise en œuvre des sanctions — et que chacun de ces objectifs doit être évalué séparément au regard du principe de proportionnalité.

La DVI (autorité lettone de protection des données), intervenante en qualité d’amicus curiae, a développé l’argument décisif au point 4 de la décision de renvoi :

« Si aucune finalité spécifique n’est indiquée, la proportionnalité de l’ampleur du traitement des données à caractère personnel par rapport à cette finalité serait également impossible à apprécier. Il serait donc impossible d’examiner si la quantité des données est le minimum nécessaire, étant donné qu’il n’y a aucune certitude quant à la finalité pour laquelle cette quantité doit être évaluée. »

Mesure pratique : Chaque finalité du traitement doit être identifiée séparément dans l’information des personnes concernées et dans le registre des activités de traitement. Pour chaque finalité, le responsable de traitement doit être en mesure de démontrer que l’ampleur du traitement est la plus réduite possible, et que la mise à disposition publique sans restriction est spécifiquement nécessaire à cette finalité — et non à d’autres finalités qui pourraient être atteintes par des moyens moins intrusifs.

---

3. LE PRINCIPE DE MINIMISATION COMME CONTRAINTE D’ARCHITECTURE DU SYSTÈME REGISTRAIRE

 

L’affaire C-798/24 illustre l’application concrète du principe de minimisation des données (art. 5, §1, c), RGPD) à un système registraire. La Cour constitutionnelle souligne, au point 15.4 de sa décision de renvoi, que « le Registre des entreprises, en tant que responsable du traitement des données à caractère personnel et dispensateur d’informations, n’est pas en mesure de vérifier si le demandeur d’informations a effectivement un intérêt légitime à obtenir les informations demandées » — ce qui conduit à une mise à disposition universelle qui excède le strict nécessaire.

L’Avocat Général identifie une alternative procédurale moins attentatoire au point 65 de ses conclusions : la procédure de demande motivée prévue par la loi lettone sur la liberté d’information (délai de 10 jours, demande motivée, engagement d’usage aux fins indiquées). Cette procédure « ne semble pas excessivement lourde ni longue » et « vise à concilier in concreto les différents intérêts en présence ».

Mesures pratiques :

—-Mettre en place un système d’accès conditionné à la justification d’un intérêt légitime pour les données les plus sensibles des actionnaires (notamment le numéro d’identification personnel, l’adresse, les informations patrimoniales), en s’inspirant du modèle adopté pour les bénéficiaires effectifs depuis la directive 2024/1640 ;
—-Distinguer les catégories d’accédants : accès sans restriction pour les autorités compétentes et les entités assujetties au sens de la directive anti-blanchiment dans le cadre de leurs obligations légales ; accès conditionné à la justification d’un intérêt légitime pour le grand public ;
—-Mettre en œuvre des mesures techniques limitant le téléchargement en masse (bulk download) des données — pratique spécifiquement mentionnée dans la décision de renvoi (art. 4.10 de la loi lettone sur le registre des entreprises) et qui constitue, selon l’Avocat Général au point 48, l’un des éléments aggravant la gravité de l’ingérence.

---

4. LA SENSIBILITÉ PARTICULIÈRE DU NUMÉRO D’IDENTIFICATION PERSONNEL

 

L’Avocat Général qualifie l’ingérence de grave au point 48 notamment en raison de ce que les données rendues publiques incluent le numéro d’identification personnel de l’actionnaire, qui est « de nature, d’une part, à permettre d’établir un profil comprenant certains éléments d’identification personnelle ». Cette qualification impose aux responsables de traitement une obligation de vigilance renforcée sur ce type de donnée.

Mesure pratique : Pour les responsables de traitement gérant des registres qui incluent des identifiants nationaux, il est impératif d’évaluer si la publication de cet identifiant est strictement nécessaire à chacune des finalités poursuivies, ou si un identifiant partiel, pseudonymisé ou une donnée alternative moins sensible (date de naissance, initiales) ne permettrait pas d’atteindre le même objectif avec un risque moindre pour les personnes concernées.

---

CONSEILS AUX PERSONNES CONCERNÉES — ACTIONNAIRES DONT LES DONNÉES SONT PUBLIÉES

---

1. COMPRENDRE LES DROITS DONT VOUS DISPOSEZ AU REGARD DU RGPD

 

L’affaire C-798/24 est initiée par 17 actionnaires minoritaires d’une société anonyme qui ont introduit un recours constitutionnel en Lettonie contre la publication de leurs données personnelles dans le registre public des actionnaires. Cette démarche judiciaire illustre une voie d’action concrète et efficace pour toute personne concernée dont les données sont rendues publiques sans justification suffisante.

En tant qu’actionnaire d’une société anonyme dont les données personnelles figurent dans un registre public accessible sans restriction, vous bénéficiez de plusieurs droits fondamentaux garantis par le RGPD :

Le droit d’accès (art. 15 RGPD) vous permet d’obtenir de l’organisme gérant le registre une confirmation du traitement de vos données, les finalités précises de ce traitement, les catégories de données traitées, les destinataires auxquels elles ont été communiquées et la durée de conservation prévue. Cet exercice préalable est essentiel pour évaluer la licéité du traitement.

Le droit d’opposition (art. 21 RGPD) peut être invoqué lorsque le traitement est fondé sur l’article 6, §1, e) ou f) du RGPD (intérêt public ou intérêt légitime du responsable de traitement). Lorsque la publicité registraire est fondée sur ces bases légales, vous pouvez faire valoir des « raisons tenant à [votre] situation particulière » qui justifient que l’intérêt public ne doive pas, dans votre cas, primer sur vos droits fondamentaux. La particularité de votre situation (actionnaire minoritaire, absence de pouvoir réel sur la société, risque de sécurité documenté) constitue un argument fort.

Le droit à la limitation du traitement (art. 18 RGPD) vous permet, lorsque vous contestez l’exactitude des données ou leur licéité, d’obtenir que le responsable de traitement marque vos données et en suspende le traitement actif pendant la durée de l’examen de votre contestation.

Le droit à l’effacement (art. 17 RGPD) — dit « droit à l’oubli » — peut être invoqué lorsque le traitement n’est plus nécessaire au regard des finalités pour lesquelles les données ont été collectées, ou lorsque vous exercez votre droit d’opposition. En matière registraire, l’exercice de ce droit est soumis à une tension avec les obligations légales de conservation ; il est cependant envisageable pour les données excédant ce qui est strictement nécessaire (par exemple : la publication du numéro d’identification personnel alors que les informations sur la détention d’actions pourraient suffire).

---

LEÇON DE L’AFFAIRE C-798/24

 

Les requérants dans C-798/24 ont choisi la voie du recours constitutionnel devant la Cour constitutionnelle lettone — une voie qui a conduit à la saisine de la CJUE. Cette stratégie illustre l’intérêt d’articuler les droits fondamentaux de l’Union (Charte, art. 7 et 8) avec les droits constitutionnels nationaux lorsque ceux-ci intègrent la protection des données comme composante du droit à la vie privée.

En France, des voies d’action comparables sont disponibles :

La saisine de la CNIL constitue la première étape. Vous pouvez déposer une plainte auprès de la CNIL (art. 77 RGPD) en exposant les raisons pour lesquelles la publicité de vos données personnelles dans un registre public excède selon vous ce qui est strictement nécessaire. La CNIL a compétence pour adresser des injonctions au responsable de traitement et pour infliger des amendes.

Le recours contentieux devant le tribunal administratif (pour les registres tenus par des organismes publics) ou devant le tribunal judiciaire (pour les registres privés) constitue l’étape suivante si la voie amiable ou la saisine de la CNIL ne produit pas d’effet. Vous pourrez invoquer l’article 82 du RGPD (responsabilité du responsable de traitement) pour obtenir des dommages et intérêts en réparation du préjudice subi du fait de la publication non conforme de vos données.

La question prioritaire de constitutionnalité (QPC) peut être soulevée devant les juridictions françaises si la législation nationale imposant la publicité des données des actionnaires est susceptible de porter atteinte aux droits et libertés garantis par la Constitution, notamment le droit au respect de la vie privée consacré par l’article 2 de la Déclaration de 1789.

---

3. ÉVALUER LE PRÉJUDICE ET DOCUMENTER LE RISQUE

 

L’Avocat Général, au point 48 de ses conclusions, identifie des éléments concrets du préjudice subi par les personnes concernées dont les données sont publiées sans restriction :

« L’accès aisé du grand public aux informations en cause expose les personnes concernées à un risque d’abus de leurs données à caractère personnel, rendant difficile, voire impossible, pour elles de se défendre efficacement contre de tels abus. »

Les requérants dans C-798/24 avaient eux-mêmes documenté ce risque : « il existerait un risque élevé que les informations en question soient utilisées à des fins malhonnêtes (par exemple, fraude, extorsion, chantage, etc.) » (décision de renvoi, §2).

Mesure pratique : Pour renforcer votre position contentieuse, documentez tout incident ou risque concret lié à la publication de vos données personnelles dans le registre : tentatives de contact non sollicitées, utilisations de vos données à des fins étrangères à l’objet du registre, profilage patrimonial à partir de vos participations rendues publiques, etc. Cette documentation est essentielle pour établir le préjudice au sens de l’article 82 du RGPD.

---

4. LE CAS PARTICULIER DU NUMÉRO D’IDENTIFICATION PERSONNEL

 

La décision de renvoi et les conclusions de l’Avocat Général attirent spécifiquement l’attention sur la sensibilité particulière du numéro d’identification personnel (NIE, NIF, numéro de Sécurité sociale selon les systèmes nationaux) lorsqu’il est inclus dans le registre des actionnaires. Si votre numéro d’identification national est publié dans un registre accessible sans restriction à tout utilisateur non identifié, y compris pour téléchargement en masse, vous disposez d’arguments particulièrement solides pour contester la licéité de ce traitement au regard du principe de minimisation, indépendamment même du sort réservé aux autres données vous concernant.

---

 
 
 

---

POINTS ESSENTIELS

---

L’affaire C-798/24 [Jautiva] oppose dix-sept actionnaires minoritaires de sociétés anonymes lettones au Parlement letton (Saeima) devant la Cour constitutionnelle de Lettonie (Satversmes tiesa), qui a saisi la Cour de justice de l’Union européenne d’une demande de décision préjudicielle portant sur la compatibilité de l’article 4.15, §1, point 2, sous b), de la loi lettone sur le registre des entreprises — qui impose la publication publique sans restriction des données personnelles de tout actionnaire d’une société anonyme (nom, prénom, numéro d’identification personnel, adresse, informations sur les actions détenues), accessibles gratuitement en ligne y compris pour téléchargement en masse par tout utilisateur non identifié — avec, d’une part, la notion de « personnes qui […] participent à l’administration, à la surveillance ou au contrôle de la société » figurant à l’article 14, sous d), de la directive 2017/1132 relative au droit des sociétés et, d’autre part, les principes de limitation des finalités et de minimisation des données consacrés à l’article 5, §1, du RGPD, lus à la lumière des articles 7 et 8 de la Charte des droits fondamentaux