RGPD : le SIRET est-il une donnée personnelle ?

Définition du SIRET et rappel de son utilité

Le SIRET est un identifiant unique attribué à chaque établissement d’une entreprise en France. Au quotidien, on l’utilise pour réaliser des démarches administratives, des facturations ou des échanges commerciaux. Concrètement, un SIRET se compose de quatorze chiffres : les neuf premiers correspondent au SIREN, c’est-à-dire l’identifiant de l’entreprise elle-même, et les cinq derniers constituent le numéro interne de classement (NIC).

Par exemple, imaginons qu’une société de services informatiques porte le SIRET suivant : 123 456 789 00012. Les neuf premiers chiffres (123 456 789) représentent le SIREN, et les cinq suivants (00012) désignent l’établissement concerné. Si l’entreprise possède plusieurs établissements, chacun aura ainsi son propre SIRET.

De mon côté, j’ai souvent remarqué que la plupart des entrepreneurs que j’accompagne savent qu’ils doivent disposer d’un SIRET, sans nécessairement comprendre toutes ses implications. Pourtant, il s’agit d’un élément essentiel pour prouver l’existence légale d’une entreprise, accéder à des aides ou encore signer certains contrats avec des partenaires.

Aujourd’hui, nous allons nous pencher sur une question précise : le SIRET est-il considéré comme une donnée personnelle au regard de la réglementation européenne sur la protection des données (RGPD) ? Si vous cherchez une réponse claire et détaillée, vous êtes au bon endroit.

Pourquoi le sujet est-il si sensible ?

En tant que consultant spécialisé dans l’accompagnement des entrepreneurs, j’ai constaté un certain flou dans l’interprétation du RGPD dès qu’on parle de données liées à l’entreprise. Quiconque gère un site internet ou une activité en ligne se pose tôt ou tard la question : qu’a-t-on le droit de collecter, de stocker et de diffuser sur nos clients, nos partenaires ou même nos concurrents ?

Il faut dire que le RGPD, entré en vigueur en mai 2018, impose de nombreuses obligations aux entreprises en matière de traitement des données personnelles. Néanmoins, le SIRET, de prime abord, ne ressemble pas à un numéro intime portant sur la vie privée. Contrairement à l’adresse personnelle d’un dirigeant ou à son numéro de téléphone, le SIRET identifie plutôt l’entité professionnelle. Alors, dans ce contexte, pourquoi tout le monde se demande si ce numéro devrait être protégé de la même manière qu’une donnée de santé ou un mot de passe ?

La réponse dépend notamment du type d’entreprise : pour une société anonyme avec plusieurs établissements, le SIRET ne va pas a priori permettre de remonter directement à une personne physique précise. Mais qu’en est-il d’un entrepreneur individuel ou d’un micro-entrepreneur qui fusionne, en quelque sorte, son identité personnelle et son identité professionnelle ? Voilà où les choses se compliquent, et où il est crucial de bien se documenter.

Le cadre juridique du RGPD

Le RGPD (Règlement général sur la protection des données) prévoit une définition assez large de la notion de donnée personnelle. Selon ce règlement, est considérée comme donnée personnelle toute information se rapportant à une personne physique identifiée ou identifiable. En clair, si une donnée permet de vous retrouver, de vous contacter ou de construire un profil sur vous en tant qu’individu, alors elle tombe sous le coup du RGPD et doit être protégée en conséquence.

En France, c’est la CNIL (Commission nationale de l’informatique et des libertés) qui veille au grain. Lorsqu’une entreprise traite des données pouvant identifier directement ou indirectement une personne, elle doit respecter plusieurs principes : transparence, sécurité, minimisation de la collecte et droit des personnes. Les sanctions en cas de non-conformité peuvent atteindre plusieurs millions d’euros ou un pourcentage important du chiffre d’affaires annuel mondial. De quoi prendre le sujet au sérieux !

Cependant, il convient de nuancer : toutes les informations que vous trouvez sur les entreprises ne tombent pas forcément sous l’étiquette de données personnelles. Les éléments purement professionnels, comme un numéro de TVA intracommunautaire ou une raison sociale, sont souvent considérés comme des données publiques, du moment qu’elles ne permettent pas de relier directement l’établissement à un individu.

Le SIRET peut-il identifier une personne physique ?

La clé pour déterminer si le SIRET est une donnée personnelle réside dans cette question : le numéro SIRET peut-il identifier ou rendre identifiable une personne physique de façon directe ou indirecte ? Dans le cas d’une grosse multinationale, la réponse est le plus souvent non. Vous ne pouvez pas, à partir d’un SIRET, déduire l’adresse personnelle d’un PDG ni connaître ses informations bancaires. Le SIRET décrit un établissement, un local, une structure.

Cependant, la situation change dans le cas d’un micro-entrepreneur (anciennement auto-entrepreneur) ou d’un entrepreneur individuel. Bien souvent, il n’existe pas de réelle distinction juridique entre la personne physique et la personne morale, puisque l’entreprise n’est pas constituée en société indépendante. Son numéro SIRET peut donc, dans certains scénarios, permettre de faire le lien avec le nom, l’adresse ou d’autres informations personnelles de l’entrepreneur.

Un exemple courant : si vous disposez du SIRET d’un artisan travaillant à son compte depuis son domicile, il est parfois aisé de retrouver son adresse dans la base de données des entreprises (accessible via des annuaires professionnels ou tout simplement via certains outils en ligne). De fil en aiguille, vous êtes donc en possession de coordonnées personnelles et vous pourriez identifier précisément la personne derrière l’activité. Dans ce genre de configuration, la CNIL pourrait considérer que le SIRET devient, de fait, une donnée personnelle.

Toutefois, cette interprétation demeure sujette à discussion : pour certains juristes, le SIRET, ancré dans une logique purement professionnelle, n’a pas vocation à révéler l’identité privée. Pour d’autres, c’est la combinaison qui compte. Dès qu’un couplage permet de pointer une personne physique en particulier, on se trouve dans le domaine de la donnée personnelle.

Le raisonnement de la CNIL

J’ai pu écouter plusieurs conférences et rencontres où des représentants de la CNIL abordaient les questions d’identifiants professionnels. Leur position générale : on ne peut pas considérer systématiquement qu’un identifiant d’entreprise est une donnée personnelle, sauf si ledit identifiant renvoie directement ou indirectement à un individu. Le RGPD, rappelons-le, protège « les personnes physiques » et non les entreprises en tant que telles.

En d’autres termes, si vous gérez un site e-commerce qui collecte le SIRET de vos fournisseurs et que ces derniers sont des SARL, SAS ou SA, rien n’indique que ce SIRET seul dévoile une information personnelle sur le gérant ou le personnel de l’entreprise. Néanmoins, dans le cas du travailleur indépendant, la frontière s’estompe. Il convient donc de faire preuve de prudence, surtout pour les entrepreneurs en phase de création d’entreprise, qui exerceraient à domicile ou disposeraient d’un SIRET facilement traçable.

Pour vous donner un exemple assez parlant, l’un de mes clients, un consultant en marketing digital, gérait toutes ses factures via un CRM assez basique. Il y répertoriait les SIRET de ses clients, dont certains étaient des micro-entrepreneurs travaillant seuls depuis leur domicile. Or, en consultant la base, il réalisait qu’il pouvait retrouver des adresses personnelles. Il a donc pris conscience que ses fichiers contenaient des données sensibles au regard du RGPD. À la suite de quoi, nous avons mis à jour sa politique de confidentialité et formé ses équipes pour respecter les droits de chacun.

Faut-il se conformer au RGPD pour l’usage du SIRET ?

Dès lors que vous manipulez un numéro SIRET qui peut, directement ou indirectement, renvoyer à une personne physique déterminée, il est hautement conseillé de respecter les principes du RGPD. En clair, vous devez vous demander : « Ai-je besoin de cette information pour une finalité précise et légitime ? Quelles mesures de sécurité ai-je mises en place pour éviter que ces informations soient utilisées à mauvais escient ? À quel moment et comment j’informe la personne concernée ? »

Cette réflexion est primordiale si vous travaillez avec des entrepreneurs individuels, des freelances, des artisans ou des professions libérales. Eux-mêmes peuvent ignorer que leur SIRET est potentiellement une donnée personnelle, et accepter de vous le donner sans grande méfiance. Pourtant, en tant que responsable du traitement de ces données, vous devez vous assurer d’être conforme, sous peine de sanctions lourdes.

Toutefois, si vous ne travaillez qu’avec des entreprises de taille plus importante et que vous collectez uniquement des SIRET pour vérifier la légitimité de votre partenaire (facturation, relation contractuelle, archivage), vous avez moins de risque de tomber sous la définition stricte de la donnée personnelle. Le numéro reste un identifiant public qui n’a pas vraiment vocation à « profiler » un individu, sauf si combiner ce numéro à d’autres informations rend cette identification possible.

Obligations légales à connaître

Vous vous demandez certainement quelles obligations concrètes découlent de tout cela. Pour faire simple, si vous estimez que le SIRET dans votre base de données peut permettre d’identifier une personne physique, vous devez respecter les règles suivantes :

• Informer clairement la personne concernée (ou l’entreprise) de la finalité de la collecte et de l’usage qui en est fait.
• Assurer la sécurité des données : chiffrement, accès restreint, audit des accès, etc.
• Respecter le droit d’accès, de rectification et d’effacement pour la personne physiquement derrière le numéro SIRET, dans la mesure où son identité est reliée à ce numéro.
• Ne collecter que ce qui est nécessaire : le principe de minimisation des données vous invite à ne pas accumuler des informations superflues.

En suivant ces règles, vous mettez toutes les chances de votre côté pour être en conformité. Le RGPD ne vise pas à empêcher les identifiants professionnels, mais à s’assurer qu’ils ne soient pas utilisés à des fins contraires aux droits et libertés des individus. Si vous gérez une base CRM, vérifiez que vos mentions légales sont à jour et que les profils micro-entrepreneurs sont traités avec la même vigilance que des données personnelles classiques.

Exemple concret : le micro-entrepreneur qui travaille depuis chez lui

Je me souviens d’un client, Luc, qui exerçait une activité de développeur web en tant que micro-entrepreneur. Son SIRET était rapidement consultable via des sites spécialisés. Or, en tapant simplement ce numéro dans un moteur de recherche, on arrivait à un annuaire qui affichait automatiquement son adresse complète, correspondant à son domicile. Luc avait signalé dans la base de données qu’il travaillait de chez lui et n’avait pas pris de boîte postale intermédiaire.

Il s’est retrouvé dans une situation délicate : un concurrent peu scrupuleux avait collecté son SIRET et pouvait entrer en contact direct avec lui, voire lui envoyer du courrier non sollicité. Pire, si Luc avait souhaité protéger son lieu de résidence ou s’il avait un impératif de discrétion (certains professionnels sont parfois victimes de harcèlement), cette divulgation publique aurait pu porter atteinte à sa vie privée.

Dans ce cas précis, le SIRET, associé aux informations complémentaires, devenait bel et bien une donnée personnelle, justifiant une protection. Luc a dû contacter la plateforme d’annuaire pour demander la suppression des informations relatives à son adresse personnelle, en invoquant le RGPD. Il a également pris la décision de louer un espace de coworking pour séparer plus nettement son domicile de son activité professionnelle.

La logique de minimisation : un bon réflexe pour tous

D’un point de vue pratique, il est souvent conseillé de pratiquer la minimisation des données : si vous n’avez pas besoin de l’adresse détaillée, ne la collectez pas. Et si vous collectez le SIRET, veillez à l’utiliser uniquement pour la finalité professionnelle déclarée (par exemple, facturation, signature de contrats, suivi comptable). Dans mes accompagnements, je prends systématiquement le temps d’analyser la chaîne de collecte des informations pour voir si certaines étapes peuvent être simplifiées.

La minimisation n’est pas seulement une bonne pratique pour éviter les complications avec la CNIL, c’est aussi un gain de temps et d’énergie. Moins vous stockez de données, moins vous risquez une fuite ou une mise en cause de votre responsabilité si un souci survient. C’est un peu comme faire régulièrement le tri dans son grenier : on y respire mieux, et on dort plus tranquille.

Les impacts sur vos démarches administratives

Vous vous demandez peut-être : « Très bien, mais comment faire si j’ai besoin du SIRET pour mes procédures légales et comptables ? » Pas de panique : il est tout à fait légitime, voire nécessaire, de conserver certains identifiants. Vous devez simplement veiller à respecter la finalité pour laquelle vous collectez ces données. Une fois la relation commerciale ou contractuelle terminée, interrogez-vous : avez-vous encore besoin de conserver ce SIRET et les informations associées ?

Dans la plupart des cas, vous aurez des obligations de conservation de certains documents comptables, qui peuvent inclure le SIRET (notamment sur des factures). Le Code de commerce et le Code général des impôts imposent des durées de conservation variant entre 6 et 10 ans, selon les éléments. Mais au-delà de cette période, il est généralement recommandé de supprimer ou d’anonymiser les données qui ne sont plus utiles. Informez-en la personne concernée si cela la touche directement.

Autre aspect : l’information. Selon le RGPD, vous devez clairement indiquer dans vos documents légaux ou sur votre site (politique de confidentialité, mentions légales) le type de données que vous collectez, la durée de conservation et la raison pour laquelle vous les collectez. Si vous traitez le SIRET d’entrepreneurs individuels, explicitez que vous pourriez, de fait, disposer d’informations à caractère personnel. Votre politique de confidentialité doit être rédigée en des termes simples, sans jargon excessif.

Comment gérer la réception et le traitement du SIRET dans un CRM ?

Lorsque je conseille mes clients dans l’installation ou la configuration d’un CRM, j’ai pour habitude de proposer des paramétrages spécifiques. Voici quelques bonnes pratiques pour éviter les mauvaises surprises en matière de RGPD :

1. Créer un champ dédié « SIRET » dans la base de données et veiller à n’y stocker que ce numéro (éviter les notes personnelles ou adresses complètes dans le même champ).
2. Limiter l’accès à ce champ aux seuls collaborateurs qui ont un besoin professionnel d’y accéder (service comptable, facturation, relation client le cas échéant).
3. Mettre en place un système d’effacement automatique ou de révision périodique pour supprimer ou archiver les SIRET qui ne sont plus nécessaires.

Ces mesures, simples mais efficaces, permettent également de démontrer votre bonne foi en cas de contrôle par la CNIL ou de litige avec un entrepreneur.

J’ai aussi remarqué que beaucoup d’outils CRM proposent désormais des modules « RGPD Compliance » ou « Privacy Shield » qui aident à mieux gérer les droits d’accès et les durées de conservation. N’hésitez pas à vous renseigner pour vous assurer que ces modules sont activés et correctement paramétrés.

Doit-on demander un consentement explicite ?

Le consentement est un terme central en matière de RGPD, mais il n’est pas toujours la seule base légale possible. Dans la plupart des relations B2B, notamment lorsque vous avez besoin du SIRET pour exécuter un contrat ou respecter une obligation légale, vous vous appuyez plutôt sur la « nécessité contractuelle » ou « l’obligation légale » comme fondement juridique. Le consentement formel de la personne n’est donc pas toujours requis, du moment que vous respectez les autres engagements (information, sécurité, minimisation).

En revanche, si vous comptez réutiliser le SIRET (et potentiellement les contacts associés) à des fins de prospection commerciale non liées au contrat initial, c’est là que la question du consentement refait surface. Vous devrez alors vérifier si vous êtes en droit d’envoyer des sollicitations, en respectant aussi les règles de l’opt-out et de la gestion des préférences des personnes.

Les erreurs à éviter

De nombreux entrepreneurs que j’accompagne font des erreurs de bonne foi liées à la méconnaissance du cadre légal. Parmi les plus courantes :

– Penser que le SIRET est purement public et ne pas se poser de questions sur la protection des données. – Conserver indéfiniment dans un tableur tous les SIRET de micro-entrepreneurs rencontrés au fil des ans, sans finalité clairement définie. – Transmettre le fichier de SIRET à un partenaire ou un autre service, sans vérifier si cela est nécessaire ou autorisé. – Oublier d’informer que le SIRET peut potentiellement révéler l’adresse personnelle du micro-entrepreneur.

Si vous vous reconnaissez dans l’une de ces maladresses, rassurez-vous : il n’est jamais trop tard pour mettre en place des solutions correctives. Mieux vaut prévenir que guérir, et documenter vos démarches afin de démontrer votre volonté de respecter les droits de tous.

Retour d’expérience personnel

Dans mes premières années d’accompagnement, j’avais sous-estimé l’aspect « donnée personnelle » du SIRET pour les petites structures. Je me rappelle une anecdote : j’organisais un atelier pour aider des freelances à remplir leur dossier administratif. Nous avions retranscrit sur un tableau blanc une liste de SIRET afin que chacun puisse échanger et mutualiser les bonnes pratiques. C’était convivial, on riait beaucoup… jusqu’à ce que l’un des participants me montre qu’un simple SIRET combiné aux informations disponibles sur la plateforme administrative nous donnait des détails sur son domicile, sa composition de foyer et même une date de création d’entreprise qui lui posait souci avec un organisme.

À ce moment, j’ai compris à quel point la frontière est ténue entre la donnée « à usage purement professionnel » et l’information personnelle pouvant porter préjudice. Depuis, je ne stocke ou n’affiche plus de SIRET sans m’assurer du consentement éclairé des intéressés, et j’explique toujours l’importance de cloisonner les informations.

Statistiques et chiffres clés sur la création d’entreprise en France

Selon les chiffres de l’INSEE, près de 1,07 million d’entreprises ont été créées en 2022. Parmi ces créations, le statut de micro-entrepreneur représente plus de la moitié des immatriculations, ce qui illustre parfaitement la popularité de ce régime. Dès lors, chaque année, des centaines de milliers de personnes physiques se retrouvent avec un numéro SIRET qui, au moins dans une partie des cas, est lié à leur identité personnelle et à leur adresse.

Cette croissance exponentielle de l’auto-entrepreneuriat pose donc une question cruciale : comment préserver la confidentialité de ces entrepreneurs qui, bien souvent, n’ont pas de local commercial distinct ? C’est un enjeu grandissant, surtout que certains entrepreneurs utilisent leur SIRET pour décrocher de nouveaux marchés, diffuser leur activité sur les réseaux sociaux ou échanger avec des prospects.

La sensibilisation est donc la clé. Plus les créateurs d’entreprise auront conscience de l’impact de la diffusion de leur SIRET, plus ils pourront prendre les mesures nécessaires (boîte postale, mention au Registre du commerce, politique de diffusion, etc.) pour mieux cloisonner leur vie personnelle et leur vie professionnelle.

Recommandations finales pour les entrepreneurs

Face à toutes ces informations, vous vous demandez peut-être par où commencer ? Pour beaucoup, le plus simple est d’effectuer un diagnostic RGPD minimal. Interrogez-vous sur votre manière de stocker les données, les contrats que vous signez avec vos sous-traitants ou vos fournisseurs, et les mentions que vous faites figurer sur vos documents officiels. Si vous traitez le SIRET de personnes physiques, posez-vous la question de la finalité (pourquoi l’utiliser) et de la proportionnalité (est-ce vraiment nécessaire ?).

De plus, prenez l’habitude de rédiger ou de mettre à jour régulièrement votre politique de confidentialité. Même si vous n’êtes qu’une petite structure, expliquer ce que vous faites des données renforce la confiance avec vos partenaires et clients. Il n’est pas rare, dans des relations B2B, que l’on vous demande si vous êtes conforme au RGPD avant de signer un contrat. Pouvoir répondre positivement, justificatifs à l’appui, représente un sérieux atout commercial.

Enfin, n’hésitez pas à solliciter des conseils auprès de professionnels ou à rejoindre des réseaux d’entrepreneurs. Nombreux sont ceux qui ont vécu ces questionnements et qui peuvent vous orienter vers de bonnes pratiques. De mon côté, je propose parfois des ateliers pratiques sur la mise en conformité RGPD, axés sur les spécificités des TPE et des indépendants. Être bien entouré vous évitera bien des tracas, et vous aidera à décrypter sereinement la législation.

Le mot de la fin

Pour résumer, le SIRET est un identifiant d’établissement qui, dans la plupart des cas, concerne uniquement l’entité professionnelle, et non la personne physique. Toutefois, dans les situations où l’on peut établir un lien direct ou indirect avec la vie privée d’un individu (travail à domicile, micro-entreprise, profession libérale), il est raisonnable de considérer le SIRET comme une donnée personnelle au sens du RGPD.

En tant qu’entrepreneur ou gestionnaire de base de données, prenez quelques précautions simples : définissez clairement pourquoi vous collectez le SIRET, combien de temps vous le conservez, comment vous protégez l’information, et dans quels cas vous informez les personnes concernées de leurs droits. C’est non seulement un gage de conformité, mais aussi une preuve de sérieux et de respect envers vos partenaires.

Quant à moi, je trouve ce sujet passionnant : il illustre parfaitement la frontière parfois floue entre le monde professionnel et le monde personnel. Les évolutions législatives, la digitalisation des entreprises et l’essor de l’auto-entrepreneuriat nous obligent à adopter des pratiques toujours plus responsables. Alors, prêt à passer à l’action et à vérifier comment vous gérez les SIRET dans votre organisation ? Rappelez-vous : la protection des données n’est pas une contrainte, mais un levier de confiance pour tous.