RGPD et données personnelles sur Infonet.fr : tout ce que vous devez savoir

Depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) constitue le cadre juridique de référence au sein de l’Union européenne pour encadrer la collecte, le traitement, la conservation et la sécurité des données à caractère personnel.

En France, le RGPD s’applique de concert avec la loi « Informatique et Libertés » n° 78‑17 du 6 janvier 1978 modifiée.

Son objectif est double : renforcer les droits des individus et responsabiliser les organisations traitant ces données.

Infonet.fr est une plateforme spécialisée dans la diffusion d’informations légales et financières sur les entreprises françaises. Nous agrégeons des données publiques issues de sources officielles (INSEE, INPI, BODACC, Infogreffe) et les mettons à disposition via des interfaces web et API.

Même si ces données sont publiques, elles peuvent contenir des informations personnelles soumises au RGPD.

Principes fondamentaux du RGPD

  • Légalité, loyauté et transparence : le traitement doit reposer sur une base légale et informer la personne.
  • Limitation des finalités : respecter le but initialement déclaré.
  • Minimisation des données : ne collecter que le nécessaire.
  • Exactitude : maintenir les données à jour.
  • Limitation de la conservation : durée proportionnée à la finalité.
  • Intégrité et confidentialité : garantir la sécurité technique et organisationnelle.
  • Responsabilité (Accountability) : documenter et démontrer la conformité.

Quelles données diffuse Infonet.fr ?

Données publiées
Catégorie Exemples Source Statut
Identité Nom, prénom, civilité, date Sirene, INPI Public (personnel)
Mandats Poste, date de prise de fonction, mandats passés RNE, BODACC Public
Coordonnées pro. Adresse siège Infogreffe Public
Données financières Chiffre d’affaires, bilans Greffe, INPI Public ou confidentiel
Événements juridiques Immatriculation, radiation BODACC Public
Indicateurs enrichis Score solvabilité, cartographie Calcul interne Dérivés (secret d’affaires)

* Masqués si la loi l’exige ou pour motif de sécurité.

Textes de loi applicables en détail

  • Règlement UE 2016/679 (RGPD) : cadre juridique européen du traitement des données personnelles.
  • Loi n° 78‑17 du 6 janvier 1978 modifiée : loi française sur la protection des données personnelles.
  • Loi Macron (2015) : encadre la réutilisation des données publiques des entreprises (Open Data).

Ces textes garantissent à chacun un contexte légal clair et transparent pour ses données personnelles.

De quoi parle-t-on ? Données « publiques »… et données « personnelles »

Le registre national des entreprises (RNE), le répertoire Sirene de l’Insee, le Bodacc, Infogreffe, etc. diffusent quotidiennement des millions d’informations : raison sociale, SIREN, adresse du siège, identité des dirigeants, comptes annuels, actes, et même parfois la date et le lieu de naissance des mandataires.
Ces informations sont publiques au sens où la loi impose leur publicité pour garantir :

  • la transparence de la vie des affaires ;
  • la sécurité juridique des partenaires, fournisseurs, investisseurs et consommateurs ;
  • la lutte contre la fraude, le blanchiment ou la corruption.

Mais le fait qu’elles soient publiques ne leur fait pas perdre leur caractère personnel lorsqu’elles concernent une personne physique identifiable (ex. : un entrepreneur individuel, un gérant de SARL, un président de SAS). À ce titre, elles sont pleinement soumises au RGPD.

 

Précisions

Le RGPD n’interdit pas de publier ces informations ; il impose simplement d’en justifier la base légale, d’informer les personnes concernées et de respecter leurs droits.

Quelle est la base légale ? L’« intérêt légitime » encadré par la loi

Infonet.fr, comme ses confrères, exploite exclusivement des bases officielles ouvertes en open data (API INPI, INSEE, Bodacc). Nous avons donc deux fondements complémentaires :

  1. Obligation légale de publicité (article L.123-1 et R.123-220 s. du Code de commerce) : les greffes publient, l’INPI centralise et l’open data autorise la réutilisation.
  2. Intérêt légitime (article 6 §1-f RGPD) : permettre au public d’accéder gratuitement à des données fiables, à jour, consolidées et enrichies (mise en forme, moteur de recherche, indicateurs financiers, graphiques…).

La CNIL rappelle que ce double régime est valable tant que :

  • la finalité reste conforme à l’objectif de transparence initial ;
  • les mesures de sécurité et de minimisation sont respectées (anonymisation partielle, contrôle d’accès, logs, etc.) ;
  • les personnes conservent tous leurs droits.

Vos droits : qui peut demander quoi ?

 

Droits RGPD

Le RGPD reconnaît 11 droits principaux : accès, rectification, effacement, limitation, portabilité, opposition, opposition à la prospection, interrogations, directives post-mortem, retrait du consentement, intervention humaine en cas de décision automatisée.

Dans le contexte des données d’entreprises, la portée varie selon quatre profils :

Portée des droits selon profils
Profil Exemples Données supprimables Restrictions légales
Entrepreneur individuel EI, micro-entrepreneur Nom, prénom, adresse perso, email, téléphone 100 % si non-diffusion Sirene (art. A123‑96 C. com.)
Mandataire social (en activité) Gérant de SARL, Président de SAS Adresse perso (si différente), date de naissance* Nom & fonction publics ; déréférencement possible
Mandataire social (radié) Dirigeant SA dissoute Toutes les données dirigeant Effaçable après 5 ans post-radiation
Associé non dirigeant Associé SCI, actionnaire SAS Nom, part sociale Effaçable sur demande ; pas d’obligation de publication

* Voir condition de sécurité ou motif légitime.

Effacement total vs déréférencement

  • Effacement : la donnée disparaît du site et du code-source, plus aucun traitement.
  • Déréférencement : la page reste disponible, mais n’est plus indexée par Google/Bing.

Le choix se fait selon la balance intérêt général ↔ vie privée : si la transparence reste nécessaire, le déréférencement est privilégié.

Exemples concrets

Scénarios et suppression
Scénario Suppression possible ? Pourquoi ?
Gérante SARL à adresse perso Oui, masque adresse* ; nom reste public Sécurité 
EI cessant activité + non-diffusion Sirene Oui, effacement rapide Art. 21 RGPD + art. A123‑96 C. com.
Président SAS en fonction Non pour nom/fonction/date de naissance* Intérêt légitime > vie privée
Mandataire social d'une société radiée > 5 ans Oui, effacement total Prescription légale atteinte
Demande homonyme Refus Pas de qualité pour agir

* Voir condition de sécurité ou motif légitime.

Comment exercer vos droits ?

  1. Identifier l’interlocuteur :
    • Erreur source : INPI (RNE) ou INSEE (Sirene).
    • Non-diffusion EI : formulaire Sirene « non-diffusion publique ».
    • Demandes Infonet.fr : formulaire RGPD en pied de page.
  2. Préparer vos justificatifs :
    • Pièce d’identité (nom et date de naissance visibles , photo/signature caviardés ok).
    • Mandat signé si action pour un tiers.
    • Certificat de radiation, acte de décès, récépissé Sirene, KBIS, procès verbal, plainte...
  3. Envoyer la demande :
    • Via formulaire sécurisé
    • Date de réception = point de départ du délai.
  4. Réception de la réponse :
    • Accord : suppression/déréférencement confirmé par email.
    • Refus : explications légales et rappel de recours.

Focus « comptes annuels » : régimes et confidentialité

Catégories et confidentialité
Catégorie Seuils Option Confidentialité
Micro-entreprise < 350 000 € bilan, < 700 000 € CA, < 10 salariés Déclaration micro Bilans, résultats, annexes cachés
Petite entreprise < 6 M€ CA, < 3 M€ bilan, < 50 salariés Déclaration simplifiée Compte de résultat confidentiel
Moyenne entreprise < 50 M€ CA, < 25 M€ bilan, < 250 salariés Déclaration simplifiée Bilan & annexe en version abrégée

Si l’option est exercée, Infonet.fr applique le masquage rapidement après mise à jour INPI. Sinon, la demande est rejetée, mais nous pouvons suspendre temporairement l’affichage.

Mesures de sécurité et conservation

  • Chiffrement TLS 1.3 et chiffrement des bases au repos.
  • Pseudonymisation/anonymisation quand la loi l’exige.
  • Journalisation horodatée des accès.
  • Conservation :
    • Données publiques : jusqu’à radiation + 5 ans.
    • Logs techniques : 12 mois.
    • Facturation : 10 ans.
  • Processus validé par DPO externe, registre des incidents.

Notre process RGPD, simple et transparent

Sur Infonet.fr, vos demandes d’exercice de droits RGPD sont traitées selon un processus clair, rapidité et conformité garantis :

  1. Réception rapide
    Dès réception de votre demande (effacement, déréférencement, rectification…), vous obtenez un accusé de réception.
  2. Vérification fiable
    Nous validons simplement que vous êtes bien la personne concernée, sans démarches lourdes. Pour la plupart des cas, une preuve d’identité suffit.
  3. Analyse adaptée
    Selon votre profil (dirigeant en activité, radié, entrepreneur individuel, associé, etc.) et votre demande, nous appliquons les dispositions RGPD appropriées. Vous êtes informé de la suite à donner et des délais.
  4. Action exécutée
    Effacement, masquage ou déréférencement : vous bénéficiez d’une mise en œuvre rapide (souvent en quelques jours) et conforme aux normes. Notre outil interne vous garantit un suivi précis.
  5. Confirmation et suivi
    Une fois la demande traitée, vous recevez une confirmation détaillée. Notre registre RGPD documente chaque étape pour garantir transparence et auditabilité.

Tout au long du processus, notre DPO veille au respect des délais légaux (1 mois, prorogeable) et à la cohérence des décisions. Ainsi, vous savez toujours où en est votre demande.

DPO, Infonet 

Recours en cas de litige

  • Contact DPO : Cabinet Ydés, 12 Cours Albert 1er, 75008 Paris • dpo@ydes.com
  • Saisie CNIL : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
  • Action judiciaire devant tribunal compétent.

Nous traitons chaque demande avec diligence et transparence. 

Notre formulaire pour exercer vos droits sur les données personnelles est disponible ici.