Les informations relatives aux entreprises qui sont publiées figurent dans des documents dont la diffusion résulte des lois et règlements en vigueur, en application du principe de la transparence de la vie des affaires. Ce principe trouve ses limites dans le cadre fixé par les législations européenne et française pour la protection des données, à savoir le règlement (UE) 2016/679 modifié du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit règlement général sur la protection des données - RGPD). Il est complété en France par la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés. Lorsqu'une entreprise réalise ses formalités de création, de modification ou de cessation de son activité, elle est informée par son centre de formalités des entreprises (CFE) que, d'une part, les données personnelles recueillies par le biais des centres d'enregistrement et de révision des formulaires administratifs (CERFA) sont nécessaires au respect d'une obligation légale et que les éléments déclarés sont transmis aux organismes habilités pour procéder en particulier aux diverses inscriptions utiles. Il s'agit notamment de l'Institut national de la propriété industrielle (INPI) qui tient le registre national du commerce et des sociétés. D'autre part, les informations à caractère personnel font l'objet d'une protection sous la vigilance de la commission nationale informatique et libertés (CNIL). Les données diffusées ou rendues publiques peuvent ainsi être utilisées par toute personne qui le souhaite à d'autres fins que celles de la mission de service public pour les besoins de laquelle les déclarations ont été produites. La personne concernée a le droit de s'opposer à la réutilisation de ses données à caractère personnel (art. 21, paragraphes 2 et 3 du RGPD) ainsi que, dans le cadre des traitements réalisés par l'Insee concernant les entrepreneurs individuels, à leur diffusion (cette opposition n'est toutefois pas permise dans le cadre d'entreprise sous forme de société). Toutefois, le traitement des données et leur diffusion résultant d'une obligation légale (art. 6, paragraphe 1, point c du RGPD), le droit d'opposition à l'existence du traitement (art. 21, paragraphe 1 du RGPD) et le droit à l'effacement des données personnelles (art. 17 du RGPD) ne sont pas ouverts. Si l'entreprise considère, après avoir contacté le responsable du traitement qu'elle conteste, que les droits que lui octroient le RGPD et la loi n° 78-17 du 6 janvier 1978 modifiée ne sont pas respectés, elle dispose de la possibilité d'introduire une réclamation auprès de la CNIL. Par ailleurs, dans le cadre des travaux en cours de mise en œuvre de l'article 2 de la loi n° 2019-486 du 22 mai 2019 relative à la croissance et la transformation des entreprises (loi PACTE), visant à créer un registre national des entreprises (RNE), la protection des données personnelles fait l'objet d'une attention particulière du Gouvernement. Pour mémoire, le RNE va se substituer, au 1er janvier 2023, à l'ensemble des registres d'entreprises existants, notamment au registre national du commerce et des sociétés diffusé par l'INPI. Dans le cadre du futur dispositif, le champ des données mises à disposition du public sera limité aux obligations du droit national ou européen. Seules auront un accès sans restriction à l'intégralité des informations contenues dans le registre certaines administrations et autorités limitativement énumérées, dans le cadre de leur mission.