SASU en difficulté : pas de RGPD qui tienne !

Un associé unique d’une SASU peut-il échapper à l’obligation de publier ses comptes annuels sous prétexte que cela divulguerait ses données personnelles ? La Cours de Cassation estime que non. Le point sur le sujet avec Georges Gaède, avocat, docteur en droit et diplômé de Sciences Po.

SASU : le RGPD importe peu en cas de faillite

Dans un arrêt du 24 juin 2020, la Cour de Cassation a estimé que l’atteinte à la vie privée portée à un associé unique d’une SASU (et propriétaire d’un unique bien) amené à déposer ses comptes au greffe n’était pas « disproportionnée » eu égard au but poursuivi par l’injonction, qui est celui de sauver son entreprise et d’éviter les effets de contagion sur ses partenaires. Il s’agit ici d’une entorse assumée en substance à la préservation du caractère confidentiel des données patrimoniales. Elle vaut aussi pour l’associé unique d’une EURL.

Publication des comptes et RGPD

Examinons un cas pour mieux cerner le sujet. Les faits sont les suivants : un président et unique associé d’une SASU n’a pas déposé les comptes annuels de sa société dans les délais imposés par la loi. Conséquence : le président du tribunal de commerce l’enjoint de le faire dans un délai d’un mois sous astreinte de 100 euros par jour de retard. Ne s’étant pas conformé à la décision, l’associé unique est ensuite condamné à payer la somme de 3 000 euros en liquidation de l’astreinte au trésor public.

Non content de ces deux ordonnances rendues en dernier ressort, le président-associé, propriétaire d’un unique bien, saisit la Cour de Cassation, estimant que la publication des comptes de sa société au greffe divulgue des informations patrimoniales confidentielles le concernant au tiers, sans son consentement. Pour cela, il s’appuie sur les dispositions du RGPD.

Bien que la haute juridiction reconnaisse qu’il y a atteinte au droit à la protection des données à caractère personnel du président-associé, elle rejette cependant le pourvoi. En effet, celle-ci estime que le patrimoine de l’intéressé, bien qu’il relève de sa vie privée, n’est que « partiellement et indirectement révélé ». Pour la haute autorité, les comptes annuels d’une SASU ne constituent « qu’un des éléments nécessaires à la détermination de la valeur des actions que possède son associé unique ».

Une atteinte « proportionnée » au RGPD

Le fait est que cette divulgation porte bel et bien atteinte à la vie privée de l’intéressée, aussi petite soit-elle. Cela dit, pour justifier son avis, la haute autorité évoque le principe du moindre mal : « l’atteinte portée au droit à la protection des données à caractère personnel de cet associé pour la publication de ces comptes est proportionnée au but légitime de détection et de prévention des difficultés des entreprises, poursuivi par les dispositions de l’article L. 611 – 2, II du code de commerce ».

En effet, la publication des comptes permet aux tribunaux de prendre des mesures de prévention pour sauver l’entreprise en difficulté, notamment par un mandat ad hoc ou une procédure d’alerte par exemple.