CJUE | Conclusions du 18 décembre 2025 | C-798/24 | Jautiva │ MOTIFS & DISPOSITIF

CJUE | CONCLUSIONS DU 18 DÉCEMBRE 2025 | C-798/24 | JAUTIVA │

 

L’AVOCAT GÉNÉRAL PROPOSE DE LIMITER L’ACCÈS “OPEN-BAR” AUX K-BIS DES SOCIETES.

FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS

LA MOTIVATION DE LA SATVERSMES TIESA

La juridiction constitutionnelle lettone n’a pas entendu se limiter à un contrôle abstrait de constitutionnalité interne. Elle a estimé que la solution du litige dépendait directement de l’interprétation de plusieurs dispositions du droit de l’Union, d’une part la directive 2017/1132 relative à certains aspects du droit des sociétés, d’autre part le RGPD, lus à la lumière des articles 7 et 8 de la Charte. Son raisonnement, particulièrement structuré, repose sur deux séries de doutes : l’une portant sur le champ d’application de l’article 14, sous d, ii, de la directive 2017/1132 ; l’autre sur la licéité, la finalité et la proportionnalité du traitement de données personnelles imposé par le droit letton.

1. LE DOUTE INTERPRÉTATIF SUR L’ARTICLE 14, SOUS D, II, DE LA DIRECTIVE 2017/1132

 

La Satversmes tiesa relève que l’article 14, sous d, de la directive 2017/1132 impose la publicité d’informations relatives aux personnes qui, soit ont le pouvoir d’engager la société et de la représenter en justice, soit participent à l’administration, à la surveillance ou au contrôle de la société. Or, si la première catégorie vise manifestement les membres du directoire, la seconde n’avait jamais été interprétée par la Cour.

La juridiction de renvoi observe que, selon le droit letton, une action donne à tout actionnaire le droit de participer à l’administration de la société par l’intermédiaire de l’assemblée générale (articles 226, 267 et 268 du code de commerce). L’assemblée générale des actionnaires est même qualifiée d’organe de direction. Elle prend des décisions essentielles relatives à la vie de la société : approbation des comptes annuels, utilisation des bénéfices, modification des statuts, augmentation ou réduction du capital social, réorganisation de la société, élection et révocation des membres du conseil de surveillance, introduction d’actions contre les organes dirigeants.

Cependant, la juridiction souligne aussi que les actionnaires ne sont pas ceux qui engagent la société à l’égard des tiers, fonction qui relève du directoire, et qu’ils ne sont pas nommés à une fonction au sens organique du terme : ils acquièrent leur statut du seul fait de leur inscription au registre des actionnaires. Elle relève encore que les actionnaires, en particulier les actionnaires minoritaires, ne participent qu’indirectement à l’administration de la société et n’ont pas tous les mêmes possibilités effectives d’exercer un contrôle sur les décisions prises. Dès lors, la juridiction constitutionnelle s’interroge sur le point de savoir si l’intérêt du grand public à obtenir des informations pertinentes et privées sur chaque actionnaire peut réellement être justifié.

Elle ajoute que si la Cour devait considérer que les actionnaires relèvent bien de l’article 14, sous d, ii, de la directive 2017/1132 et que les informations les concernant doivent être rendues publiques en application de l’article 16, §3, de cette directive, alors l’obligation de publication découlerait directement du droit de l’Union. Il conviendrait alors d’examiner la validité de cette disposition au regard des articles 7 et 8 de la Charte.

2. LE DOUTE SUR LA CONFORMITÉ DU DISPOSITIF LETTON AVEC LE RGPD

 

La Satversmes tiesa considère ensuite que la présente affaire nécessite de déterminer si la publication d’informations sur les actionnaires des sociétés anonymes est conforme aux principes de l’article 5, §1, du RGPD, et en particulier au principe de minimisation des données, expression du principe de proportionnalité. Elle rappelle, à la lumière de sa propre jurisprudence constitutionnelle, que le droit au respect de la vie privée consacré à l’article 96 de la Constitution lettone inclut le droit à la protection des données personnelles, lequel doit être interprété en conformité avec les articles 7 et 8 de la Charte.

La juridiction de renvoi souligne que, selon la jurisprudence de la Cour, la mise à disposition du public de données personnelles n’est admissible que si elle respecte les exigences de l’article 52, §1, de la Charte : la mesure doit être prévue par la loi, respecter le contenu essentiel des droits fondamentaux, satisfaire au principe de proportionnalité et être limitée au strict nécessaire. Elle cite expressément les arrêts Latvijas Republikas Saeima — Points de pénalité (C-439/19) et Luxembourg Business Registers (C-37/20 et C-601/20).

La Cour constitutionnelle lettone structure alors son contrôle autour des trois objectifs invoqués par le législateur national :

—-garantir un climat des affaires transparent et protéger les intérêts des tiers ;
—-prévenir le blanchiment de capitaux et le financement du terrorisme et de la prolifération ;
—-fournir les informations nécessaires à la mise en œuvre de sanctions nationales, internationales et de l’Union.

Elle se demande si ces objectifs peuvent constituer des finalités légitimes au sens de l’article 5, §1, sous b, du RGPD, et surtout si les principes du RGPD permettent, à cette fin, un cadre juridique dans lequel toute personne peut obtenir les données de tout actionnaire, sans démontrer un intérêt légitime.

La juridiction insiste également sur le fait que, lorsque des données sont rendues publiques en ligne, il n’est plus possible de garantir qu’elles ne feront pas l’objet d’un traitement ultérieur incompatible avec les finalités initiales. Elle relève enfin qu’il existe, en droit letton, un mécanisme d’accès restreint à certaines informations, sur demande motivée et avec indication de la finalité, ce qui l’amène à s’interroger sur l’existence de moyens moins attentatoires permettant d’atteindre les objectifs poursuivis d’une manière aussi efficace.

LES MOTIFS DE L’AVOCAT GÉNÉRAL

Les conclusions de l’Avocat général procèdent à une analyse distincte des deux blocs de questions : d’abord les première et deuxième questions relatives à la directive 2017/1132, puis les troisième et quatrième questions relatives au RGPD.

LES ACTIONNAIRES NE RELÈVENT PAS DE L’ARTICLE 14, SOUS D, II, DE LA DIRECTIVE 2017/1132

 

L’Avocat général adopte une motivation particulièrement nette. Il relève d’abord que l’article 14, sous d, de la directive 2017/1132 ne fait pas référence aux actionnaires ni à l’assemblée générale des actionnaires. L’expression «participent à l’administration, à la surveillance ou au contrôle de la société» n’est pas définie par la directive et n’avait pas encore été interprétée par la Cour. Toutefois, il ressort notamment des articles 60 et 64 de la directive qu’une distinction existe, aux fins de celle-ci, entre l’organe d’administration ou de direction et l’assemblée générale des actionnaires, distinction qui s’applique, a fortiori, aux actionnaires individuels.

L’Avocat général ajoute que les notions de nomination et de cessation des fonctions, expressément mentionnées à l’article 14, sous d, sont incompatibles avec le statut même des actionnaires. Si certains actionnaires peuvent être nommés au sein des organes visés, l’obligation de publier l’identité de ces personnes découle alors de leur nomination à l’organe, et non de leur simple qualité d’actionnaire. En revanche, les actionnaires tirent leurs droits et obligations de leur seule détention d’actions, et non d’un mandat ou d’une fonction de responsabilité spécifique.

Sur le terrain finaliste, l’Avocat général rappelle que la directive 2017/1132 poursuit un objectif de coordination minimale des garanties requises des sociétés, en vue de la protection tant des associés que des tiers, en ce qui concerne la publicité, la validité des engagements et la nullité des sociétés. Or il ne voit pas en quoi une transparence accrue sur l’identité de chaque actionnaire, notamment des actionnaires minoritaires qui n’exercent ni fonction ni pouvoir particulier, contribuerait à cet objectif. Il souligne encore que la Cour, dans l’arrêt Manni, avait rappelé le caractère limité des données publiées dans le cadre de la publicité du droit des sociétés. Une interprétation englobant chaque actionnaire serait manifestement contraire à cette limitation.

L’Avocat général en déduit que les termes «personnes qui… participent à l’administration, la surveillance ou au contrôle de la société» ne sauraient être interprétés comme visant tout actionnaire d’une société anonyme. Il n’existe donc aucune obligation dérivée de la directive 2017/1132 imposant aux États membres de publier les informations relatives à chaque actionnaire.

ABSENCE D’OBJET

 

La deuxième question était formulée à titre conditionnel : elle supposait que la première reçoive une réponse affirmative. Puisque l’Avocat général conclut à l’absence d’inclusion des actionnaires dans le champ de l’article 14, sous d, ii, de la directive 2017/1132, il considère que la question de la validité de cette disposition au regard des articles 7 et 8 de la Charte est sans objet.

APPLICATION CUMULATIVE DES PRINCIPES ET DES CONDITIONS DE LICÉITÉ DU RGPD

 

L’Avocat général rappelle d’abord que l’obligation, prévue par le droit letton, de mettre à la disposition du grand public certaines informations spécifiques sur les actionnaires de sociétés anonymes personnes physiques relève du champ d’application matériel du RGPD. Cette obligation constitue un traitement de données à caractère personnel au sens de l’article 4, points 1 et 2, du RGPD. Elle emporte, en conséquence, une ingérence dans les droits fondamentaux garantis aux articles 7 et 8 de la Charte.

Il souligne ensuite que tout traitement de données personnelles doit satisfaire cumulativement aux principes énoncés à l’article 5 du RGPD et à l’une des bases de licéité limitativement énumérées à l’article 6. En l’espèce, le traitement en cause étant imposé directement par la loi nationale, il relève selon lui de l’article 6, §1, premier alinéa, sous c, du RGPD : le traitement est licite s’il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis. L’autorité chargée du registre du commerce est, à cet égard, le responsable du traitement.

Mais l’Avocat général rappelle aussitôt que l’article 6, §3, du RGPD impose des exigences supplémentaires lorsque le traitement repose sur le droit de l’Union ou le droit d’un État membre :

  1. les finalités du traitement doivent être définies dans la base juridique ;
  2. cette base doit répondre à un objectif d’intérêt public ;
  3. elle doit être proportionnée à l’objectif légitime poursuivi.

Or, le dossier ne permet pas de savoir si la loi lettone satisfait à la première de ces exigences. Selon les observations de l’autorité nationale de protection des données, la loi sur le registre des entreprises n’identifie pas la ou les finalités pour lesquelles le traitement est nécessaire. L’Avocat général estime donc qu’il appartient à la juridiction de renvoi de vérifier, pour chacune des trois finalités invoquées, si la base juridique les définit avec une certitude suffisante. À défaut, le traitement serait contraire à l’article 6, §3, du RGPD.

4. LA PROPORTIONNALITÉ DE L’INGÉRENCE AU REGARD DES ARTICLES 7 ET 8 DE LA CHARTE

 

L’Avocat général consacre une part substantielle de sa motivation à la proportionnalité du traitement. Il rappelle que les limitations aux droits garantis par les articles 7 et 8 de la Charte doivent satisfaire aux exigences d’aptitude, de nécessité et de proportionnalité stricto sensu. Il faut mesurer la gravité de l’ingérence et vérifier si l’importance de l’objectif d’intérêt général poursuivi est en relation avec cette gravité.

Pour apprécier cette gravité, il tient compte de la nature des données et des modalités concrètes d’accès. Les informations en cause comprennent le prénom, le nom, le numéro d’identification personnel, l’adresse de contact, l’adresse électronique, le nombre et la valeur nominale des actions ainsi que le nombre de votes attachés. Ces données permettent, selon l’Avocat général, d’établir un profil comprenant des éléments d’identification personnelle et, dans une certaine mesure, de révéler la situation patrimoniale de l’intéressé en Lettonie, ainsi que les secteurs économiques et les entreprises spécifiques dans lesquels il a investi. Elles sont aisément accessibles à un nombre potentiellement illimité de personnes, notamment en raison de leur disponibilité sur le site Internet du registre des entreprises, et peuvent être consultées pour des raisons étrangères aux finalités invoquées par la loi nationale.

Cette motivation reprend, en l’adaptant, la méthodologie issue de l’arrêt Luxembourg Business Registers. Elle met l’accent sur les risques liés à la publicité générale et indifférenciée, surtout lorsque les données sont accessibles en ligne et susceptibles d’être agrégées ou réutilisées à grande échelle.

LE DISPOSITIF DES CONCLUSIONS DE L’AVOCAT GÉNÉRAL

Au terme de son raisonnement, l’Avocat général propose à la Cour de répondre comme suit :

«Les termes “personnes qui… participent à l’administration, la surveillance ou au contrôle de la société”, employés à l’article 14, sous d, de la directive (UE) 2017/1132, ne sauraient être interprétés comme visant tout actionnaire d’une société anonyme. Un État membre n’est pas tenu de publier les informations relatives à chaque actionnaire d’une société anonyme ni de les rendre accessibles au public dans le registre conformément à l’article 16, §3, de cette directive.»

«La deuxième question préjudicielle est sans objet.»

«S’agissant des troisième et quatrième questions, il appartient à la juridiction de renvoi de vérifier, à la lumière de l’article 5, §1, sous b et c, ainsi que de l’article 6, paragraphes 1 et 3, du règlement (UE) 2016/679, si la base juridique nationale définit avec une précision suffisante les finalités du traitement, si celles-ci répondent à un objectif d’intérêt public et si la mise à disposition au grand public des données en cause, sans démonstration d’un intérêt légitime, est proportionnée à l’objectif poursuivi.»

 
 
 

POINTS ESSENTIELS

L’affaire C-798/24 [Jautiva] oppose dix-sept actionnaires minoritaires de sociétés anonymes lettones au Parlement letton (Saeima) devant la Cour constitutionnelle de Lettonie (Satversmes tiesa), qui a saisi la Cour de justice de l’Union européenne d’une demande de décision préjudicielle portant sur la compatibilité de l’article 4.15, §1, point 2, sous b), de la loi lettone sur le registre des entreprises — qui impose la publication publique sans restriction des données personnelles de tout actionnaire d’une société anonyme (nom, prénom, numéro d’identification personnel, adresse, informations sur les actions détenues), accessibles gratuitement en ligne y compris pour téléchargement en masse par tout utilisateur non identifié — avec, d’une part, la notion de « personnes qui […] participent à l’administration, à la surveillance ou au contrôle de la société » figurant à l’article 14, sous d), de la directive 2017/1132 relative au droit des sociétés et, d’autre part, les principes de limitation des finalités et de minimisation des données consacrés à l’article 5, §1, du RGPD, lus à la lumière des articles 7 et 8 de la Charte des droits fondamentaux

 

25.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats