Les données personnelles des dirigeants sont-elles protégées par le RGPD ?
- Le Bouard Avocats
- 28 mai
- 5 min de lecture
Oui, les dirigeants bénéficient de la protection du RGPD, sous réserve des obligations légales de publicité
Les informations personnelles des dirigeants sociaux, telles que leur nom, leur signature, leurs coordonnées ou leur fonction, relèvent bien de la notion de « données à caractère personnel » au sens du RGPD.
Elles bénéficient à ce titre d’un régime de protection, y compris lorsqu’elles sont traitées dans un cadre professionnel.
Toutefois, ce droit à la protection connaît certaines limites lorsque la loi impose la publication de ces informations.
Ce qu’il faut retenir :
✅ Le RGPD s’applique aux dirigeants, même pour les données diffusées dans un contexte professionnel.
⚖️ Les obligations de publicité légale (RCS, statuts, etc.) priment sur le droit d’opposition.
🔒 En dehors de ces obligations, les dirigeants peuvent demander l’opposition, la limitation ou l’effacement de leurs données.
🧾 Toute diffusion non encadrée (site internet, réutilisation, communication à des tiers) doit respecter les principes du RGPD.

À l’heure où la protection des données personnelles s’impose comme une exigence juridique majeure pour les entreprises, une question fondamentale se pose : les dirigeants, souvent exposés dans l’espace public et identifiés dans les registres légaux, bénéficient-ils de la même protection au titre du RGPD que les autres personnes physiques ?
La réponse est affirmative, mais elle mérite d’être nuancée. Si les dirigeants sont effectivement des personnes concernées au sens du Règlement général sur la protection des données, leurs données peuvent néanmoins faire l’objet d’un traitement licite dans certains cas, notamment lorsque la loi impose leur publication. Pour toutes questions en lien avec ce type d'informations, il est conseillé de contacter un avocats spécialisé en droit des sociétés dans les Yvelines.
A lire : qu'est que le DPO et un audit RGPD ?
Les dirigeants sont des personnes concernées au sens du RGPD
Les informations à caractère personnel ne s’arrêtent pas à la sphère privée
L’article 4, paragraphe 1, du RGPD définit les « données à caractère personnel » comme toute information se rapportant à une personne physique identifiée ou identifiable. Cette définition est volontairement large et s’applique indépendamment du contexte professionnel dans lequel ces données sont collectées ou traitées.
Ainsi, les noms, prénoms, adresses électroniques professionnelles, fonctions exercées, signatures ou encore coordonnées téléphoniques d’un dirigeant social constituent bien, en droit, des données personnelles. L’usage de ces données dans le cadre de la vie des affaires n’exclut pas leur protection.
Une jurisprudence européenne constante et confirmée
Dans son arrêt du 3 avril 2025 (aff. C-710/23), la Cour de justice de l’Union européenne (CJUE) a confirmé que le RGPD s’applique pleinement aux données identifiant un représentant de personne morale, même lorsque la communication vise uniquement à identifier ladite entité.
Le fait que ces informations apparaissent dans des documents administratifs ou commerciaux ne les fait pas échapper à la qualification de « données personnelles ».
Une protection conditionnée par l’obligation légale de publication
Les limites liées aux obligations de transparence
En matière de droit des sociétés, les dirigeants sociaux sont soumis à certaines obligations de publicité. L’article R. 123-54 du Code de commerce prévoit que le nom, la date et le lieu de naissance, la nationalité et l’adresse personnelle du dirigeant doivent figurer dans la demande d’immatriculation d’une société au registre du commerce et des sociétés (RCS).
Cette exigence légale, complétée par les articles L. 123-1 à L. 123-7 du même code, justifie un traitement de données obligatoire et licite au sens de l’article 6, paragraphe 1, c), du RGPD.
Les dirigeants ne peuvent donc pas s’opposer à la publication de ces données dans le cadre strictement imposé par la loi.
En dehors du cadre légal : retour aux principes du RGPD
En revanche, dès lors que la communication de données personnelles sort du champ des obligations légales — par exemple en cas de diffusion à des tiers, de publication en ligne d’actes non soumis à publicité ou de réutilisation commerciale — le traitement doit répondre aux conditions classiques du RGPD.
Le responsable du traitement doit alors :
justifier d’un fondement juridique (intérêt légitime, consentement, etc.) ;
respecter les principes de finalité, minimisation, exactitude et sécurité ;
informer la personne concernée (articles 13 et 14 du RGPD) ;
permettre l’exercice des droits d’accès, de rectification, d’opposition et d’effacement.
Les droits spécifiques dont disposent les dirigeants
Un droit d’accès et de rectification des informations toujours applicable
Comme toute personne concernée, le dirigeant dispose d’un droit d’accès à ses données personnelles (article 15 du RGPD), ainsi que d’un droit de rectification (article 16), même si celles-ci sont traitées dans le cadre d’une activité professionnelle.
Ces droits permettent notamment de corriger des erreurs ou des informations obsolètes dans les bases de données internes ou les registres secondaires non réglementés.
Un droit d’opposition encadré mais réel
L’article 21 du RGPD permet au dirigeant de s’opposer à certains traitements de ses données, en particulier ceux fondés sur l’intérêt légitime du responsable du traitement, sauf à ce que celui-ci démontre l’existence de motifs impérieux.
Cela peut concerner :
la diffusion en ligne de son identité dans des articles ou des publications sans base légale claire ;
l’inclusion dans des fichiers de prospection commerciale ou des bases de données professionnelles non réglementées.
Dirigeants d’entreprise : bonnes pratiques à adopter
Cartographier les traitements internes
Il est vivement recommandé aux dirigeants de faire réaliser une cartographie des traitements internes opérés par leur société, notamment ceux qui concernent la communication de leur identité à des tiers, à des partenaires ou dans le cadre de campagnes de communication.
Limiter la diffusion externe non justifiée
Sauf obligation légale, il est conseillé de limiter la publication des données personnelles des dirigeants sur les sites internet, dans les contrats accessibles en ligne ou dans les supports institutionnels.
Un flou peut subsister entre l’information strictement nécessaire à la transparence de l’entreprise et une exposition excessive ou injustifiée de la personne.
Informer et encadrer les tiers
Lorsque les données des dirigeants sont communiquées à des tiers (prestataires, partenaires, plateformes...), un encadrement contractuel clair (ex. : clauses de confidentialité, encadrement des transferts) est indispensable pour préserver le respect du RGPD.
Les dirigeants de société bénéficient pleinement de la protection offerte par le RGPD. Le fait qu’ils exercent une fonction publique ou apparaissent dans des documents officiels n’ôte rien à la qualification de leurs données personnelles.
Si certaines obligations légales de publicité prévalent sur leur droit à l’opposition, toute communication qui excède ce cadre doit être fondée, licite et proportionnée. En tant que responsables de sociétés ou praticiens du droit, il est essentiel de maîtriser les contours de cette protection pour sécuriser les pratiques de gouvernance, éviter les contentieux et préserver l’équilibre entre transparence économique et respect de la vie privée.