– 1 –

EXPOSÉ DES MOTIFS

Mesdames, Messieurs,

En janvier dernier, David Balland, cofondateur de la licorne du secteur des crypto‑monnaies Ledger, était victime d’un enlèvement avec violence. En mai, le père d’un entrepreneur d’une start‑up du même secteur a été pris pour cible à Paris. Enfin, plus récemment, la fille du dirigeant d’une société de cryptomonnaies a échappé à une tentative d’enlèvement avec violence en plein cœur de la capitale. Ces actes d’une violence inimaginable avaient pour but d’obtenir une rançon suite à l’enlèvement de ces personnalités du monde des affaires.

Ces agressions ont créé un émoi considérable et légitime dans le secteur de la tech. De plus en plus d’entrepreneurs se sentent en danger et vulnérable face à cette nouvelle forme de délinquance. L’une des sources de cette vulnérabilité se trouve dans l’accès libre de certaines de leurs données personnelles sur internet et en particulier de leur adresse, non seulement professionnelle mais souvent personnelle, en plus des noms, prénoms et dates de naissance.

Il est évidemment légitime, parfois même utile, que certaines informations soient connues du grand public, ne serait‑ce que pour déterminer l’existante réelle ou non d’une société. De même, il ne s’agit en aucun d’empêcher les services de renseignement, de police ou de lutte contre la fraude de faire le travail. Toutes les données nécessaires aux opérations des forces de l’ordre doivent demeurer accessibles aux autorités.

Néanmoins, il faut s’assurer que la publicité des informations disponibles sur internet ne mette pas en jeu la sécurité de nos entrepreneurs. Un principe de pseudonymat doit pouvoir s’appliquer. On ne peut pas être anonyme face aux autorités publiques mais on doit pouvoir préserver son identité pour le reste de la société, via la pseudonymisation ou la limitation de l’accès à certaines données.

La présente proposition de loi se propose donc d’opérer les modifications législatives qui permettraient aussi bien aux producteurs des registres de données qu’aux opérateurs et exploitants de ces registres de pouvoir supprimer ou limiter l’accès à certaines données personnelles, en particulier aux adresses personnelles et professionnelles qui figurent sur les documents constitutifs de la société, notamment les statuts, et sur les procès‑verbaux des assemblées générales.

Concrètement, il existe trois registres sources qui permettent de recenser les informations des entreprises en France :

– la base RNE (Registre national des entreprises), opérée par la Direction générale des entreprises du ministère de l’économie et l’Institut national de la propriété intellectuelle (INPI) ;

– la base IMR, opérée par le groupement d’intérêt économique (GIE) Infogreffe ;

– la base SIRENE (Système national d'identification et du répertoire des entreprises et de leurs établissements), opérée par l’Institut national de la statistique et des études économiques.

Par ailleurs, au global, le marché de l’exploitation des données se partage entre quatre acteurs : Société.com, Pappers, SociétéInfo et annuaires‑entreprises.data.gouv.fr.

L’objectif de la présente proposition de loi est de donner l’obligation aux opérateurs de ces bases de données (INPI, GIE Infogreffe et INSEE) de fournir aux exploitants des registres des documents où les adresses personnelles des dirigeants sont masquées. En ce qui concerne les documents que les exploitants auraient déjà en leur possession, ils auront l’obligation d’en supprimer les mentions faites aux domiciles personnels des entrepreneurs. Ainsi, seuls les opérateurs disposeront de ces informations, qui ne seront pas publiées en libre accès et qui pourront être accessibles en version numérisée aux seules autorités publiques dans le cadre de processus.

Aussi, la proposition de loi vise à permettre aux entrepreneurs de masquer leur adresse professionnelle si elle est la même que l’adresse personnelle, que ce soit pour les sociétés unipersonnelles ou non.

L’article unique de la présente proposition de loi oblige les opérateurs des bases de données dématérialisées mentionnés à l’article L. 123‑1 du Code de commerce de fournir aux exploitants des registres des documents où les adresses personnelles des dirigeants sont masquées. Les exploitants doivent, eux, supprimer les mentions faites aux domiciles personnels des entrepreneurs sur les documents qu’ils détiennent déjà.

En outre, les opérateurs des registres de données dématérialisées doivent donner la possibilité de supprimer la mention de l’adresse professionnelle lorsqu’elle correspond à l’adresse personnelle sur tous les documents des registres transmis aux exploitants de ces données. Ces derniers doivent aussi donner la possibilité de supprimer la mention de l’adresse professionnelle lorsqu’elle correspond à l’adresse personnelle sur les documents qu’ils possèdent.

Enfin, il fixe une sanction pour les exploitants de ces données qui ne respecteraient pas les obligations fixées par la présente proposition de loi.

– 1 –

proposition de loi

Article unique

Après l’article L. 123‑6 du code de commerce, il est inséré un article L. 123‑6‑1 ainsi rédigé :

« Art. L. 123‑6‑1. – I. – Les opérateurs des registres de données dématérialisées mentionnés à l’article L. 123‑1 ont l’obligation de fournir aux exploitants de ces registres des données où les adresses personnelles des dirigeants sont masquées, à l’exception du code postal. Les exploitants doivent, eux, supprimer les mentions faites aux domiciles personnels des entrepreneurs sur les documents qu’ils détiennent déjà.

« II. – Les opérateurs des registres de données dématérialisées mentionnés au même article L. 123‑1 doivent donner la possibilité de supprimer la mention de l’adresse professionnelle lorsqu’elle correspond à l’adresse personnelle sur tous les documents des registres transmis aux exploitants de ces données. Ces derniers doivent par ailleurs donner la possibilité de supprimer la mention de l’adresse professionnelle lorsqu’elle correspond à l’adresse personnelle sur les documents qu’ils possèdent.

« III. – Tout exploitant qui ne respecte pas les obligations fixées par le présent article s’expose à une amende de 45 000 euros.

« IV. – Un décret en Conseil d’État détermine les modalités d’application du présent article. »