Données personnelles : les professionnels sont de plus en plus protégés !

Huit années après l’entrée en vigueur du RGPD, l’actualité française réaffirme que la protection des données personnelles s’applique également aux professionnels et dirigeants des sociétés. En effet, une décision récente concernant une dentiste souhaitant supprimer sa fiche Google My Business et un décret permettant aux dirigeants de sociétés d’occulter certaines de leurs données personnelles illustrent cette même tendance : la protection des données personnelles s’applique également à la sphère professionnelle.  

Ces évolutions invitent à repenser les fondements juridiques du traitement de ces données « professionnelles » dont la nature particulière réside dans le lien étroit avec une activité économique. Comment concilier la transparence économique et la protection des données personnelles des acteurs économiques ?

1. Approche jurisprudentielle : l’intérêt légitime ne suffit pas (toujours) à justifier le traitement des données personnelles d’un professionnel

En mai 2025, la Cour d’appel de Chambéry a condamné Google pour avoir refusé de supprimer la fiche Google My Business d’une professionnelle de santé ayant exercé son droit à l’effacement (2e chambre, 22 Mai 2025 – n° 22/01814). Pour rappel, une fiche Google My Business référence automatiquement les professionnels dans le moteur de recherche de Google et affiche diverses informations relatives à ces professionnels — nom, adresse, numéro de téléphone, horaires…. Les internautes peuvent également publier des avis concernant ces professionnels, sans vérification préalable du professionnel ni de Google. Ces fiches Google My Business sont ainsi créées sans le consentement des professionnels qui sont invités à s’identifier auprès de Google afin compléter, mettre à jour les informations de leur fiche et répondre aux commentaires en souscrivant à ce service payant.

Dans cette affaire, une chirurgien-dentiste avait constaté la présence d’avis négatifs sous sa fiche Google My Business, auxquels elle ne pouvait pas répondre conformément à ses obligations déontologiques. Elle avait donc avait adressé une demande d’effacement de sa fiche à Google qui a refusé cette suppression. La professionnelle de santé a alors saisi les juridictions françaises qui ont considéré le traitement des données comme illicite et ordonné la suppression de la fiche sous astreinte en condamnant Google. La société a ensuite interjeté appel de cette décision et les juges de la Cour d’Appel de Chambéry ont confirmé la décision de première instance. Cette décision s’inscrit dans la lignée de la jurisprudence de la CJUE depuis 2017 et encore rappelé en avril 2025 affirmant que les informations permettant d’identifier une personne physique, même dans un contexte professionnel, sont des données personnelles et nécessitent d’être traitées conformément au RGPD.  

Que retenir de cette nouvelle décision ?  

  • Google ne peut pas se prévaloir de son intérêt légitime pour créer automatiquement des fiches Google My Business. Devant les juridictions, Google a mis en avant son intérêt légitime de fournir aux utilisateurs du moteur de recherche des informations concernant les professionnels. Or, comme le relèvent les magistrats de la Cour d’Appel de Chambéry, le véritable objectif poursuivi par Google est purement commercial puisque les professionnels sont incités à créer un compte payant afin de gérer directement leur fiche Google My Business et notamment pouvoir répondre aux avis négatifs. Les juges démontrent le déséquilibre manifeste entre le potentiel intérêt légitime de Google et les droits des professionnels n’ayant notamment aucun contrôle effectif sur les avis déposés les concernant. Le test de mise en balance des droits des personnes et de l’intérêt légitime du responsable de traitement, tel que rappelé par la CNIL et le CEPD dans ses lignes directrices, joue donc en défaveur de Google. Le traitement des données personnelles des professionnels est ainsi illicite puisque fondé sur une base légale inadéquate.

  • Le consentement des professionnels pourrait être envisagé comme base légale dans certains cas. Google et plus généralement toute plateforme traitant des données personnelles relatives à des professionnels sans action de ces derniers, devraient envisager une autre base légale que leur intérêt légitime. Le consentement des professionnels pourrait ainsi être la base légale la plus adaptée, bien que complexe à mettre en œuvre en pratique. Ensuite, pour les professionnels qui accepteraient de souscrire au service payant de Google, la base légale du traitement de leurs données pourrait être l’exécution du contrat les liant à Google.

  • Le cas particulier des fiches et avis concernant les professionnels de santé. Ces professionnels doivent redoubler de prudence puisqu’ils ne peuvent ni répondre ni commenter les avis en ligne en raison du secret médical et de leurs obligations déontologiques. En outre, la publication d’avis dans ce contexte peut impliquer indirectement la collecte de données sensibles relatives à la santé des internautes. Une solution pourrait consister à créer des fiches spécifiques pour les professionnels de santé, excluant la possibilité pour les internautes d’y laisser des avis.

Cette décision confirme une tendance nette et conforme à la jurisprudence européenne: le RGPD protège également les professionnels et leurs données personnelles doivent être traitées en vertu d’une base légale adéquate. Elle incite les plateformes à repenser leurs bases légales et à potentiellement auditer les traitements de données des professionnels pour s’assurer de leur conformité.

2. Approche règlementaire : un décret permet d’occulter les données relatives au domicile personnel des dirigeants

Le 22 aout 2025, le législateur a adopté un décret passé quasi-inaperçu dont la portée et les effets pour les dirigeants sont pourtant considérables. Les dirigeants de sociétés peuvent dorénavant demander l’occultation des informations relatives à leur domicile personnel figurant au registre du commerce et des sociétés.  

Avant cette date, l’accès public aux adresses personnelles des dirigeants était aisé, exposant certains d’entre eux à des risques réels de sécurité. Plusieurs affaires, dont celle du co-fondateur de Ledger et de son épouse, victimes d’un enlèvement en janvier 2025, ont illustré ces dérives. Face à ces menaces, de nombreux dirigeants avaient formulé des demandes d’effacement ou de rectification telles que prévues par le RGPD auprès des greffes et tribunaux afin d’obtenir la suppression de leur adresse personnelle des documents et bases publiques. Or ces démarches se sont souvent révélées infructueuses, faute de pouvoir démontrer des motifs légitimes à cette demande de suppression.  

Ainsi, ce décret a pour objectif de simplifier ces démarches, réduire les risques d’agression, de harcèlement et/ou de cyberattaque pour les dirigeants d’entreprise, tout en garantissant la continuité de l’accès aux informations nécessaires pour les institutions et autorités compétentes. En pratique, certaines données personnelles doivent toujours être transmises dans le cadre des formalités d’entreprise afin de garantir la transparence de la vie des affaires et la sécurité des échanges économiques. Toutefois, toutes ces informations n’ont plus vocation à être librement accessibles au public.  

Désormais, lors des formalités d’entreprise effectuées via le guichet unique de l’INPI, les dirigeants peuvent demander la confidentialité des informations relatives à leur domicile personnel. Il leur est également possible de modifier les paramètres de confidentialité ou de solliciter l’occultation de ces données pour les sociétés déjà enregistrées. L’occultation ne signifie pas l’effacement des données: les informations demeurent accessibles aux autorités habilitées (ex : Tracfin, administration des douanes, notaires, URSSAF, etc.) pour l’accomplissement de leurs missions légales, notamment en matière de lutte contre les détournements de pouvoir.  

A noter que ce nouveau dispositif se différencie des droits classiques reconnus par le RGPD (effacement, rectification) puisqu’il s’agit d’un droit autonome, absolu et sans obligation de motivation, dont l’exercice est toutefois subordonné au paiement d’une redevance.

Ce nouveau dispositif rappelle la fonctionnalité de confidentialité déjà proposée par l’Association française pour le nommage Internet en coopération (AFNIC), permettant aux titulaires de noms de domaine d’occulter leurs données d’identification dans les bases publiques. Les informations demeurent ainsi accessibles pour les agences, les bureaux d’enregistrement et les autorités compétentes, mais sont masquées pour le grand public.

Ces deux évolutions récentes illustrent la recherche d’un équilibre durable entre les exigences de transparence économique et la protection des données personnelles des professionnels, désormais pleinement intégrées dans le champ d’application du RGPD.

Le message est clair pour les entreprises et plateformes dont l’activité repose sur le traitement de données de professionnels à ces données relèvent bien du RGPD, il convient donc de :

  • vérifier la base légale du traitement (et, si elle repose sur l’intérêt légitime, s’assurer qu’un véritable test de mise en balance a été réalisé) ;
  • anticiper l’exercice des droits par les professionnels (effacement, rectification, occultation) et mettre en place des procédures internes adaptées ;
  • garantir une information claire et complète des personnes concernées, conformément aux exigences de transparence des articles 13 et 14 du RGPD

Pour toute question ou besoin d’accompagnement, n’hésitez pas à contacter notre équipe IT/Data !  

Clémentine Beaussier, avocate associée chez Squair

Lire l'article
Ecouter l'épisode
Lire le communiqué
Voir la vidéo
En savoir plus
2 novembre 2025
Say, hi !
Cta Arrow
Saturday - Thursday :
8:30 am - 10:45 pm
Call for an appointment

hello@libertylaw.com

Brand logo

© 2024

Squair

Pages
Accueil
Activités
Équipe
Actualités
Contact
Informations Légales
Mentions Légales
Conditions générales d'utilisation
Politique de confidentialité