RGPD et entrepreneurs individuels: pourquoi certaines données ne diffusent pas

Le RGPD non diffusable est souvent à l’origine de “trous” dans les annuaires B2B: certains champs attendus ne s’affichent pas, ou ne sont accessibles qu’à des conditions strictes. Ce guide pratique vous aide à comprendre, de façon opérationnelle, pourquoi des données liées à des entrepreneurs individuels (EI) ne sont pas diffusées, et comment s’assurer que vos recherches, vos exports et vos alertes restent conformes.

1. Comprendre le périmètre RGPD sur les données des entrepreneurs individuels

Données personnelles et données “d’entreprise” ne se traitent pas pareil

Un entrepreneur individuel est une personne physique. Dès lors qu’une information permet d’identifier directement ou indirectement la personne (ou de la rendre identifiable), elle relève du RGPD. En pratique, la diffusion publique dépend donc de la nature du champ, de la base légale et des règles de minimisation.

• Données d’identification de l’entreprise liées à l’EI (ex: nom, prénom, adresse personnelle ou domicile) peuvent être considérées comme des données personnelles.
• Certaines données “structurantes” (ex: forme juridique, SIREN/SIRET, activité principale) sont généralement traitées comme des données d’entreprise, mais elles peuvent rester associées à une personne dans la finalité de diffusion.

Pourquoi l’annuaire B2B peut afficher moins que ce que vous attendez

Dans un contexte d’annuaire B2B, le point clé est la diffusion. Le RGPD non diffusable intervient quand la diffusion publique ou la mise à disposition large n’est pas justifiée par une base légale suffisante, ou quand les données ne répondent pas au principe de minimisation. Même si une information est disponible dans un registre, sa réutilisation et sa diffusion dans un annuaire ne sont pas automatiques.

Références utiles

• RGPD (règlement (UE) 2016/679): principes de licéité, loyauté, transparence, limitation des finalités, minimisation, et limitation de conservation.
• INSEE (référentiels SIRENE): données d’identification et structurelles.
• INPI (marques, sociétés, formalités): publication et accès aux informations selon les cas.
• BODACC et Infogreffe: annonces et publications légales, avec des modalités de réutilisation à respecter.



schéma en 3 colonnes montrant, à gauche, “source officielle” (INSEE/INPI/BODACC/Infogreffe), au centre “données disponibles”, à droite “diffusion en annuaire B2B” avec des filtres RGPD (minimisation, base légale, finalité). Visuel pédagogique avec des icônes neutres (pictogrammes de document, clé, filtre) et une flèche de transformation “réutilisation conforme”.

2. Les causes fréquentes de “RGPD non diffusable” dans la diffusion

Cause 1 - Le champ concerne le domicile ou une adresse personnelle

Pour les EI, certaines adresses sont proches du domicile. Si l’adresse identifie ou rend identifiable la personne, la diffusion publique peut être restreinte. Un annuaire peut alors afficher une adresse déclarée à des fins professionnelles quand elle est distincte, ou ne pas afficher l’adresse personnelle.

Étapes pour agir côté process:

1. Listez les champs que vous souhaitez exploiter (adresse personnelle, téléphone, email, date de naissance, etc.).

2. Cartographiez la source (INSEE SIRENE, INPI, BODACC, Infogreffe, data.gouv.fr, ou données internes).

3. Vérifiez si le champ est strictement nécessaire à votre finalité B2B (prospection, veille, vérification d’existence).

4. Appliquez une règle d’affichage: champs “personnels” en accès restreint ou non affichés, champs “structurels” affichés.

Cause 2 - La finalité de diffusion ne correspond pas à la finalité d’origine

Une information peut être légalement publiée dans un registre, mais sa diffusion dans un annuaire doit rester compatible avec la finalité initiale, et respecter la base légale. Dans un modèle d’annuaire, la compatibilité et la minimisation sont cruciales.

Exemple concret:

• Un registre publie un élément pour une formalité légale.
• Un annuaire le réutilise pour du démarchage.
• Le RGPD non diffusable apparaît lorsque la réutilisation pour démarchage ne peut pas être justifiée ou encadrée.

Cause 3 - L’information est trop “granulaire” et augmente la ré-identification

Même sans nom complet, la combinaison de champs (adresse, activité, date, identifiants additionnels) peut rendre une personne identifiable. Les équipes données appliquent alors des règles de réduction de granularité.

Indicateur pratique:

• Si la probabilité de ré-identification augmente fortement dès l’ajout d’un champ, il devient candidat à la restriction.

Cause 4 - Absence de base légale robuste pour la mise à disposition large

Le RGPD exige une base légale. En diffusion, la base “intérêt légitime” doit faire l’objet d’une analyse de balance des intérêts. Si elle n’est pas suffisamment étayée, la diffusion peut être limitée.

Bon réflexe:

• Documentez votre analyse de licéité pour chaque catégorie de données, pas uniquement pour l’annuaire dans son ensemble.

Cause 5 - Règles de minimisation et de conservation

Même si la donnée est obtenue légalement, sa diffusion doit rester proportionnée. Un annuaire peut décider de ne pas diffuser certains champs, ou de ne les conserver que le temps nécessaire.

Approche opérationnelle:

1. Définissez des catégories de données (structurelles, contact, personnelles).

2. Associez à chaque catégorie une durée de conservation.

3. Définissez des règles d’affichage (public, restreint, export contrôlé).

3. Ce que les sources officielles apportent (et ce qu’elles ne garantissent pas)

INSEE - Référentiels SIRENE: utile pour l’identification, pas pour tout diffuser

L’INSEE fournit des données d’identification et de structure via SIRENE. Ces informations sont précieuses pour la recherche B2B (SIREN, NAF, effectifs quand disponibles, etc.). En revanche, le fait qu’une donnée existe dans un référentiel ne signifie pas qu’elle doit être diffusée telle quelle dans tous les usages.

Étape 1: utilisez SIREN/SIRET comme clé d’appariement.

Étape 2: limitez l’affichage aux champs nécessaires.

Étape 3: évitez d’ajouter des champs personnels non indispensables.

INPI, BODACC, Infogreffe: publications légales, diffusion à encadrer

• BODACC: annonces relatives aux procédures et événements d’entreprises.
• Infogreffe: informations issues des formalités et registres.
• INPI: formalités et publications selon les domaines.

Ces sources sont essentielles pour la veille et la vérification. Mais la réutilisation en annuaire B2B doit être conforme aux règles RGPD. En particulier, la diffusion de données personnelles peut être restreinte, même si l’information est publiée dans un contexte légal.

data.gouv.fr: attention à la réutilisation et au contexte

data.gouv.fr agrège des jeux de données. Le point de vigilance est la réutilisation: licence, contexte d’usage, et, pour le RGPD, la qualification des données comme personnelles ou non.

Conseil:

• Faites une lecture “données personnelles” avant de programmer un pipeline d’export.

4. Comment Firmium gère la conformité dans la recherche, l’API et les alertes

Une logique “minimisation d’abord” dans la fiche et l’export

Firmium, annuaire B2B + intelligence économique française, s’appuie sur une approche pragmatique: la recherche et l’enrichissement servent des finalités professionnelles, avec des règles d’affichage et d’accès alignées sur les exigences RGPD.

Concrètement, certains champs peuvent ne pas être diffusés ou être restreints. Cela ne signifie pas une absence d’information, mais une décision de diffusion conforme.

Recherche et tunnel IA: transformer sans exposer

Dans une logique d’intelligence économique, un “tunnel IA” peut aider à:

• structurer une recherche,
• résumer des éléments,
• prioriser des signaux (changements d’activité, événements, etc.).

Mais la règle reste la même: ne pas “reconstituer” des données personnelles non diffusable. Le système doit éviter de renvoyer des champs restreints dans les résultats, même si l’IA pourrait les déduire à partir de sources.

Étapes recommandées (côté utilisateur Firmium):

1. Lancez une recherche par identifiants (SIREN/SIRET) ou par critères d’activité.

2. Vérifiez quels champs sont effectivement affichés sur la fiche éditable.

3. Si vous avez besoin d’un champ non affiché, privilégiez un usage conforme (demandes ciblées, workflow interne, ou accès restreint selon le cadre applicable).

4. En cas d’export, appliquez des filtres de champs: n’exportez que ce qui est nécessaire à la finalité.

API et Wallet: contrôler le périmètre des données consommées

Pour les équipes techniques, l’API Firmium et le Wallet permettent de consommer des données et d’organiser des alertes. Le contrôle passe par:

• la sélection de champs,
• la limitation des requêtes,
• et la gouvernance de l’usage.

Exemple opérationnel:

• Vous construisez une veille sur les changements d’activité des EI.
• Vous n’avez pas besoin du domicile personnel: vous configurez l’API pour ne récupérer que les champs structurels et les signaux d’événements.

Alertes: réduire les données à l’essentiel

Les alertes sont un levier B2B puissant: elles évitent de répliquer des exports massifs. Dans le cadre RGPD, c’est souvent préférable à la diffusion large.

Étape 1: définissez un événement déclencheur (changement d’activité, événement légal, etc.).

Étape 2: configurez l’alerte avec un périmètre minimal de champs.

Étape 3: limitez l’accès aux équipes habilitées.



capture stylisée d’un panneau de configuration d’alertes (sans marque), avec des cases à cocher par catégorie de champs: “identification entreprise”, “activité”, “événements”, “contact personnel (désactivé)”. Une barre d’état indique “périmètre minimal”.

5. Étapes de mise en conformité pour vos équipes (prospection, veille, data)

Étape 1 - Segmenter les données par catégorie

Créez une grille interne:

• Catégorie A: données structurelles (raison sociale, SIREN/SIRET, code NAF, statut, événements).
• Catégorie B: données de contact professionnelles (si distinctes et justifiées).
• Catégorie C: données personnelles sensibles ou à risque d’identification (domicile, coordonnées personnelles, champs biographiques).

Objectif: décider ce qui est “diffusable” dans votre contexte.

Étape 2 - Définir la base légale et la finalité par usage

Pour chaque usage:

• prospection,
• veille,
• scoring,
• contrôle de conformité fournisseur,
• enrichissement CRM.

Vous devez documenter la licéité et vérifier la compatibilité. En pratique, un traitement peut être licite pour la veille, mais non pour la diffusion publique ou la prospection non encadrée.

Étape 3 - Appliquer la minimisation et le contrôle d’accès

Mettez en place:

• des filtres de champs,
• des rôles utilisateurs (accès restreint),
• des logs d’accès,
• et des règles d’export.

Indicateur concret:

• Taux de champs exportés par fiche: visez un périmètre minimal (ex: 5 à 10 champs utiles) plutôt que “tout exporter”.

Étape 4 - Vérifier la chaîne de réutilisation

Si vous alimentez un CRM ou un DWH:

1. Qui reçoit la donnée ?

2. Où est-elle stockée ?

3. Quelle durée ?

4. Quel usage exact ?

5. Quelles suppressions ?

Sans cette gouvernance, vous risquez d’aboutir à une diffusion non maîtrisée, et donc à un risque RGPD.

Étape 5 - Mettre en place une gouvernance d’exceptions

Certaines demandes métiers peuvent nécessiter un champ non affiché. La règle premium est de ne pas “contourner” la restriction via des déductions ou des recoupements non justifiés.

Cadre de décision:

• Demande motivée,
• analyse de nécessité,
• validation conformité,
• traçabilité.

6. Cas d’usage B2B: ce qui doit rester “non diffusable” et comment contourner légalement

Cas d’usage 1 - Prospection d’EI: privilégier l’identification sans contact personnel

Pour une prospection, l’objectif est d’identifier des cibles. Les données structurelles (SIREN/SIRET, activité, signaux d’événements) suffisent souvent à qualifier un pipeline.

Recommandation:

• Utilisez Firmium pour la recherche et les alertes sur événements.
• Évitez d’intégrer des champs personnels non diffusable dans des listes “publicitaires”.
• Travaillez avec des canaux autorisés et des règles internes de conformité.

Cas d’usage 2 - Due diligence fournisseur: l’essentiel est dans les événements et la structure

Pour auditer un fournisseur, vous avez besoin de:

• statut,
• activité,
• événements légaux,
• historique d’activité.

Plan d’action:

1. Configurez une veille.

2. Stockez uniquement les champs nécessaires.

3. Documentez l’usage (évaluation du risque, continuité d’activité).

Cas d’usage 3 - Data enrichment interne: ne pas “réhydrater” les champs restreints

Quand vous enrichissez un dataset, ne reconstruisez pas des champs restreints via des croisements. Le RGPD non diffusable s’applique aussi à la reconstitution et à la diffusion résultante.

Étape 1: définissez un schéma de données interne.

Étape 2: bloquez les champs interdits par politique.

Étape 3: validez les requêtes d’API et les exports.

Cas d’usage 4 - Automatisation via API: contrôlez les champs au moment de la requête

Avec l’API Firmium, le meilleur contrôle est en amont:

• sélection de champs,
• segmentation par finalité,
• et tests sur un échantillon.

Exemple chiffré (pratique de gouvernance):

• Sur 1 000 fiches EI, si vous exportez 25 champs au lieu de 8, vous augmentez fortement la surface RGPD. Un périmètre réduit peut diviser le volume de données personnelles et faciliter la conformité.

7. Checklist opérationnelle: “RGPD non diffusable” en pratique dans vos workflows

Checklist avant diffusion ou export

1. Le champ est-il une donnée personnelle pour l’EI (identification directe ou indirecte) ?

2. Est-il nécessaire à votre finalité B2B ?

3. Disposez-vous d’une base légale adaptée à cette diffusion ou réutilisation ?

4. Le champ est-il minimisé (pas de sur-collecte) ?

5. La durée de conservation est-elle définie ?

6. L’accès est-il restreint aux rôles habilités ?

7. Le pipeline évite-t-il la reconstitution de champs non diffusable ?

Checklist pour l’usage Firmium (recherche, API, alertes, Wallet)

• Recherche: sélectionnez des critères d’activité et des identifiants pour éviter la collecte inutile.
• Fiche éditable: respectez le périmètre affiché.
• API: limitez les champs à ceux nécessaires.
• Alertes: configurez un signal utile, sans élargir les données.
• Wallet: organisez l’accès et la traçabilité.

---

FAQ

Pourquoi certaines données ne s’affichent pas pour un entrepreneur individuel ?

Pour un EI, des champs peuvent être qualifiés de données personnelles et ne pas être justifiés pour une diffusion large. Le RGPD non diffusable s’applique alors via la minimisation et la base légale, ce qui conduit à restreindre l’affichage ou l’accès selon le contexte.

Est-ce que le fait que l’information existe dans un registre signifie qu’elle est diffusable ?

Non. Une information peut être disponible dans un registre officiel, mais sa réutilisation et sa diffusion dans un annuaire B2B doivent rester conformes au RGPD. La compatibilité de finalité, la minimisation et la licéité du traitement restent déterminantes.

Comment vérifier rapidement si un champ est “RGPD non diffusable” dans mon cas ?

Commencez par qualifier le champ: identifie-t-il directement ou indirectement la personne ? Ensuite, vérifiez la nécessité par rapport à votre finalité (veille, prospection, due diligence). Enfin, documentez la base légale et appliquez des règles d’accès et d’export.

Firmium peut-il fournir des champs non affichés sur la fiche ?

Dans un cadre conforme, l’accès peut dépendre du périmètre réellement diffusé et des modalités applicables à votre usage. L’approche recommandée consiste à utiliser la recherche, les alertes et l’API avec un périmètre minimal, puis à demander un cadrage conformité si un besoin spécifique existe.

Quels sont les risques si on exporte “tout” depuis un annuaire B2B ?

Le principal risque est d’augmenter la surface RGPD: sur-collecte, diffusion ou réutilisation non justifiée, et difficulté à respecter la minimisation et la conservation limitée. Sur le plan opérationnel, cela complique aussi la gouvernance et les contrôles d’accès.

RGPD non diffusable