Accès à tous les services avec le contrat Infonet Pro : Premier mois à 3 € HT puis forfait à 99 € HT / mois avec 24 mois d'engagement
Services B2B d’analyse et d’information légale, juridique et financière réservés aux entreprises
Infonet est un service privé, commercial et non-officiel. Infonet est distinct et indépendant du Registre National du Commerce et des Sociétés, de l’INSEE, d’Infogreffe et des administrations publiques data.gouv.fr.
Le Répertoire SIRENE, géré par l’INSEE depuis son origine, constitue une base essentielle pour l’identification et la traçabilité des entreprises et de leurs établissements en France. En centralisant les données administratives officielles, il permet à l’État, aux collectivités et aux acteurs privés de disposer d’informations fiables et à jour. Toutefois, cette mise à disposition soulève des questions complexes dès lors que les acteurs économiques cherchent à commercialiser ou enrichir ces données brutes en vue de revente. Depuis l’ouverture des données publiques et la mise en place de licences libres, le marché de la data est en pleine expansion, et les enjeux sont multiples entre opportunités économiques et contraintes réglementaires.
Dans ce contexte, les opérateurs de traitement et de valorisation des données SIRENE doivent naviguer entre des obligations de transparence, des restrictions issues du droit européen et français, et la nécessaire protection des droits des tiers concernés. Cet article, rédigé par un expert juridique, vise à apporter une vue d’ensemble robuste des cadres légaux applicables, à identifier les zones de risque et à proposer des pistes pratiques pour sécuriser la revente commerciale. L’objectif est d’offrir aux professionnels une cartographie précise des obligations, des bonnes pratiques et des évolutions réglementaires à anticiper.
Le répertoire SIRENE, abréviation de « Système informatique pour le Répertoire des Entreprises et de leurs Établissements », a été conçu pour fournir un référentiel unique et unifié des identifiants SIREN (pour chaque entreprise) et SIRET (pour chaque établissement). Son ambition est de faciliter l’échange d’informations administratives entre l’INSEE, les services fiscaux, sociaux et les annuaires publics, afin de garantir l’exactitude des données sur l’activité économique et la démographie d’entreprises. À mesure qu’il s’est développé, SIRENE est devenu un précieux support pour la recherche statistique, la planification publique et les chaînes de valeur privées impliquant la connaissance de l’écosystème entrepreneurial.
Depuis l’adoption de politiques d’open data, la réutilisation commerciale des informations publiques s’est généralisée, engendrant l’émergence de nouveaux modèles d’affaires basés sur la compilation, l’analyse et la vente de jeux de données enrichis. Les acteurs du marketing B2B, les éditeurs de logiciels, les cabinets de conseil et les start-ups analytiques capitalisent aujourd’hui sur la valorisation des données SIRENE pour proposer des services de prospection, de scoring, de géolocalisation et d’intelligence économique. Toutefois, cette professionnalisation accrue du marché de la data impose de respecter un cadre juridique rigoureux, afin de prévenir toute utilisation abusive ou illicite, tout en préservant l’intérêt public initialement servi par la diffusion de ces données.
Le but premier de cet article est d’offrir une vue synthétique et opérationnelle des règles qui gouvernent la revente commerciale des données SIRENE, tant du point de vue national qu’européen. Il s’agit de présenter de manière claire les textes fondamentaux, notamment le Code des relations entre le public et l’administration (CRPA), la directive européenne sur la réutilisation des informations du secteur public (PSI) révisée en 2019, ainsi que la licence ouverte type Etalab. En comprenant l’articulation de ces différentes normes, les professionnels pourront mieux appréhender les droits dont ils disposent et les obligations qui pèsent sur eux.
Au-delà de la simple mise en lumière des textes, cette étude détaille les principales sources de responsabilité et les sanctions encourues en cas de manquement. De la protection des données personnelles régie par le RGPD aux droits sui generis du producteur de bases de données, des clauses contractuelles aux décisions jurisprudentielles, l’article met en évidence les écueils potentiels. Il vise à alerter les entreprises sur les procédures d’autorisation à respecter, les mentions obligatoires à intégrer et les bonnes pratiques à adopter pour se prémunir contre les contentieux.
Les données SIRENE brutes se réfèrent aux informations telles que publiées par l’INSEE : identifiant SIREN, code NAF, adresse, statut juridique, effectif ou date de création. Ces données sont actualisées quotidiennement et releasées sous licence ouverte. En revanche, les données enrichies résultent d’un traitement complémentaire, intégrant des sources tierces (bases sociales, financières ou marketing), des algorithmes d’analyse ou des indicateurs synthétiques. Leur valeur ajoutée réside dans le croisement d’informations et la segmentation, ce qui les distingue des jeux originaux et peut influencer les droits d’utilisation et de céder ces fichiers.
La revente commerciale implique toute opération où un tiers acquiert, transforme ou exploite sous forme monétisée un jeu de données issues du domaine public. Juridiquement, il convient de distinguer la réutilisation — gratuite ou payante — au sens du CRPA, de la simple consultation. La revente commerciale intègre souvent la notion de mise à disposition, de cession ou de licence payante à destination d’utilisateurs finaux ou d’entreprises partenaires. Cette distinction conditionne l’application de certaines clauses contractuelles, mais aussi la portée des obligations de transparence et de reporting.
Le Code des relations entre le public et l’administration (CRPA) consacre le principe selon lequel les informations produites ou reçues par les administrations doivent, par défaut, être accessibles et réutilisables. Le régime de la réutilisation distingue cependant les données publiques ouvertes sans restriction et celles soumises à des contraintes liées à la protection des droits d’auteur, à la vie privée ou à la sécurité publique. Ainsi, même lorsque les données SIRENE sont couvertes par une licence ouverte, certaines informations sensibles, comme les coordonnées personnelles d’un entrepreneur individuel, peuvent être exclues.
La directive européenne PSI, révisée en 2019, impose aux États membres d’encourager la mise à disposition et la réutilisation des documents du secteur public à des conditions non discriminatoires. Transposée en droit français, elle renforce les obligations de transparence et limite les frais de reproduction à un coût marginal. Elle introduit également la notion d’« information de haute valeur », susceptible de favoriser l’innovation mais soumise à un encadrement particulier, voire à des licences spécifiques.
La licence ouverte type Etalab, adoptée par l’INSEE pour la diffusion de SIRENE, permet une réutilisation libre à des fins commerciales ou non, sous réserve de citer la source et de respecter l’intégrité du jeu de données. Le périmètre de la licence couvre la quasi-totalité des champs disponibles, à l’exception des données personnelles sensibles, protégées par le RGPD. Elle interdit en revanche toute restriction supplémentaire, comme la mise en place de DRM, et proscrit la revente brute des fichiers sans ajout de valeur.
Par ailleurs, l’INSEE peut proposer certains fichiers sous forme de redevance, notamment lorsqu’il s’agit de volumes très importants ou de services à forte valeur ajoutée (API en temps réel, mises à jour quotidiennes). Ces modalités contractuelles soumettent alors l’utilisateur à des obligations de confidentialité et de reporting plus strictes, tout en préservant le principe du libre accès aux informations essentielles.
Bien que les données SIRENE ne contiennent pas directement d’informations relatives à la vie privée de personnes physiques, certaines rubriques (nom de l’entrepreneur individuel, coordonnées personnelles dans les micro-entreprises) peuvent relever du RGPD. La qualification de ces données impose aux revendeurs de respecter les principes de minimisation et de proportionnalité, et de procéder, le cas échéant, à une anonymisation ou pseudonymisation préalable. La CNIL recommande d’évaluer tout risque de ré-identification avant la commercialisation.
L’anonymisation sécurisée, via des techniques statistiques ou cryptographiques, permet de transformer un dataset pour en supprimer tout caractère personnel identifiable. Les professionnels doivent documenter ce processus et se tenir prêts à fournir un Déroulé d’Activités de Traitement (DAT) ou un registre RGPD. À défaut, la revente pourrait être qualifiée d’infraction aux dispositions du RGPD, avec amendes jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial.
Tout opérateur désireux de revendre des données SIRENE doit d’abord s’assurer qu’il a obtenu un titre valide, soit via la licence ouverte Etalab, soit par un accord spécifique avec l’INSEE. Les formalités diffèrent selon la volumétrie et la nature de l’usage : un simple téléchargement en open data ne génère pas de redevance, tandis que l’accès à une API commerciale en temps réel nécessite la signature d’un contrat avec redevance annuelle ou mensuelle.
Les revendeurs agréés, reconnus pour leur expertise et leur capacité à garantir un service de qualité, peuvent proposer à leur tour des contrats de distribution. Toutefois, ces derniers doivent impérativement clarifier leur statut (mandataire de l’INSEE ou distributeur tierce partie) et indiquer si le fichier est fourni en mode gratuit ou payant, en précisant toujours le montant de la redevance et la périodicité de facturation.
Les contrats encadrant la réutilisation des données SIRENE comprennent généralement des clauses interdisant la cession à des tiers non autorisés, afin de préserver la traçabilité des fichiers et de garantir le respect des conditions initiales. Ces dispositions visent à éviter que des sous-revendeurs ne diffusent massivement des jeux de données sans contrôle ni reporting.
L’obligation de mention de la source (« Sources : INSEE – Répertoire SIRENE sous licence ouverte Etalab ») est systématique. Elle garantit la visibilité de l’origine des données et facilite le repérage de modifications non autorisées. Par ailleurs, les contrats prévoient souvent des mécanismes de reporting périodique, permettant à l’INSEE de vérifier le nombre d’utilisateurs finaux, le volume de téléchargements et l’usage réellement effectué.
La distinction entre revente brute et données enrichies est cruciale : lorsqu’un opérateur se contente de revendre le fichier SIRENE tel quel, sans ajout de valeur, il se heurte à l’interdiction formelle de redistribution. En revanche, dès lors qu’il procède à un enrichissement technique ou analytique (corrections, nettoyages, géocodages, indicateurs statistiques), il crée un nouvel actif intellectuel. Cette transformation ouvre la voie à une licence spécifique sur l’œuvre dérivée.
Pour opérer légalement cette transformation, l’enrichisseur doit documenter les traitements effectués : provenance des sources tierces, algorithmes appliqués, procédures d’anonymisation. Un Data Processing Agreement (DPA) ou un avenant de licence peut ainsi formaliser l’étendue du droit de cession sur la donnée enrichie, tout en respectant les obligations de conservation des preuves et de traçabilité.
Au-delà du droit d’auteur, le producteur d’une base de données bénéficie d’un droit sui generis qui protège l’investissement substantiel réalisé pour constituer, vérifier ou présenter le contenu. Ce droit empêche l’extraction ou la réutilisation systématique de la base dans son intégralité, sans autorisation ou licence adaptée. Ainsi, même si SIRENE est en open data, la revente non autorisée de la totalité du répertoire pourrait être considérée comme une atteinte au droit sui generis.
La protection du contenu original inclut les modalités de classement, les nomenclatures propres à l’INSEE, ainsi que les formats de diffusion. Toute reproduction mécanique, y compris le scrapping ou l’usage non encadré d’API, peut être contestée si elle porte atteinte à la structure ou au mode de présentation originel. Les revendeurs doivent donc veiller à ne pas dupliquer l’ensemble du schéma de données sans y apporter de modifications substantielles.
Sur le plan contractuel, le revendeur est responsable de l’exécution de toutes les obligations issues de sa licence : mentions de sources, respect des clauses d’usage, reporting et mise à jour des données. En cas de manquement, l’INSEE peut résilier le contrat, réclamer des dommages-intérêts ou suspendre l’accès aux API. À ce titre, la responsabilité pour inexécution ou exécution tardive pèse fortement, notamment lorsque la continuité du service est essentielle pour les clients finaux.
Du point de vue délictuelle, la diffusion de données incorrectes ou périmées peut exposer l’opérateur à des actions pour préjudice commercial ou diffamation, si des tiers subissent un dommage lié à l’usage des informations inexactes. De même, l’atteinte à la vie privée, par exemple en cas de restitution involontaire de données personnelles identifiables, engage la responsabilité pénale du dirigeant et de l’entreprise.
Les sanctions administratives, prononcées par la CNIL ou par l’INSEE via injonction, peuvent aller de l’amende à la suspension temporaire de l’autorisation de réutiliser les données. La CADA peut également ordonner le retrait ou la correction de données diffusées illégalement. Ces mesures peuvent porter un coup d’arrêt significatif à une activité de revente et à la réputation de l’entreprise.
Les sanctions civiles consistent en dommages-intérêts versés aux victimes d’un préjudice contractuel ou délictuelle, tandis que les sanctions pénales peuvent être appliquées en cas d’atteinte aux secrets protégés (fiscal, industriel) ou de violation grave du RGPD. Les amendes administratives du RGPD peuvent atteindre 20 millions d’euros, renforçant la nécessité d’une conformité sans faille.
La CADA a rendu plusieurs avis déterminants sur la réutilisation des listes d’entreprises publiques ou parapubliques. Dans un arrêt de 2020, elle a précisé qu’une collectivité ne pouvait imposer des frais de reproduction supérieurs au coût marginal pour la fourniture de la liste SIRENE utilisée dans un contexte de prospection. Ce principe renforce l’interdiction de marges excessives pour des données relevant du domaine public.
La CNIL surveille particulièrement les opérations d’enrichissement de données, notamment lorsque celles-ci comportent un risque de ré-identification de personnes physiques. Dans un contrôle réalisé en 2021, l’autorité a infligé une mise en demeure à un revendeur qui n’avait pas mis en place de mesures d’anonymisation suffisantes avant commercialisation de listes d’entreprises détenues par des micro-entrepreneurs, exposant leurs noms et numéros de téléphone personnels.
Un différend majeur a opposé en 2022 une plateforme de marketing B2B à un éditeur de logiciels, autour de l’extraction massive non autorisée de la base SIRENE par crawling. Le tribunal a condamné la plateforme pour atteinte au droit sui generis, ordonnant la destruction des données et le paiement de 200 000 € de dommages-intérêts. Ce cas rappelle l’importance de respecter les limites du scraping et de privilégier les accès officiels via API ou licence.
Il est essentiel de négocier des licences claires, comprenant des annexes précisant la nature exacte des données fournies, la périodicité des mises à jour et les obligations de reporting. En particulier, les litiges naissent souvent d’ambiguïtés sur le périmètre de cession et sur l’usage autorisé par les utilisateurs finaux. Un contrat détaillé, validé par un avocat spécialisé en propriété intellectuelle et droit public industriel, sécurise l’activité.
La mise en place d’audits réguliers de conformité permet de vérifier que les processus internes respectent les engagements contractuels. Ces audits devront porter à la fois sur le respect des mentions de source, sur le niveau d’anonymisation des données et sur la lisibilité des conditions d’utilisation pour les clients finaux. Un plan d’action correctif rapide limite les risques de non-conformité et de sanctions.
L’anonymisation et l’agrégation constituent des techniques clefs pour éviter la requalification en données à caractère personnel. Les méthodes de **k-anonymat**, de **perturbation différentielle** ou de **pseudonymisation** garantissent un niveau de protection suffisant, documenté dans un registre des traitements. Ces mesures techniques doivent être testées et validées à l’aide de scénarios de ré-identification pour s’assurer de leur efficacité.
Par ailleurs, l’archivage des preuves d’autorisation (contrats signés, factures, échanges de courriels) se révèle indispensable en cas de contrôle. Un système de gestion documentaire sécurisé, avec horodatage et traçabilité des accès, permet de démontrer la bonne foi de l’entreprise et la légitimité de la revente.
La formation régulière des équipes juridiques, techniques et commerciales constitue un pilier de la conformité. Les sessions de sensibilisation doivent couvrir les principes du RGPD, les droits sui generis sur les bases de données et le régime spécifique d’open data. Des manuels internes et des procédures standardisées facilitent l’appropriation des règles et limitent les erreurs opérationnelles.
Enfin, une veille réglementaire permanente, appuyée par des solutions de legaltech, permet de suivre l’évolution du CRPA, de la directive PSI et des décisions jurisprudentielles. Les partenariats avec des cabinets d’avocats spécialisés assurent une mise à jour efficace des procédures internes et un accompagnement en cas de litige.
Une plateforme de marketing a construit son modèle économique sur la vente de listes d’entreprises segmentées par secteur et taille. Après un premier contentieux lié au non-respect de la licence ouverte, elle a revu son approche : ajout d’indicateurs de scoring, anonymisation des micro-entrepreneurs et souscription d’un contrat de redevance avec l’INSEE. Résultat : une offre plus solide, conforme et mieux différenciée, avec un taux de rétention client en hausse de 15 %.
Un éditeur d’ERP a intégré un module de mise à jour automatique des données SIRENE enrichies par des scores financiers et des informations sectorielles. Pour sécuriser cette fonctionnalité, il a négocié une licence spécifique avec redevance et mis en place un mécanisme d’audit trimestriel des volumes. En cas de mise à jour tardive, l’application génère un ticket de support, garantissant ainsi la qualité du service et limitant la responsabilité contractuelle.
Une start-up spécialisée dans l’analyse sectorielle a constitué un data lake où elle combine SIRENE, des données financières et des retours de crédit. Grâce à des protocoles d’anonymisation avancés et à un Data Processing Agreement strict, elle propose à ses clients des dashboards personnalisés sans jamais exposer les fichiers bruts. Cette démarche a valu à la jeune pousse un agrément de la CNIL, renforçant sa crédibilité sur un marché concurrentiel.
Les travaux de révision de la directive PSI et l’actualisation du CRPA laissent entrevoir une plus grande harmonisation européenne et un renforcement des droits sui generis des producteurs de bases. Les futurs textes pourraient introduire des obligations accrues en matière de traçabilité des réutilisations et de transparence tarifaire, tout en facilitant la circulation transfrontalière des jeux de données. Les acteurs devront suivre ces évolutions pour adapter leurs pratiques contractuelles et techniques.
L’essor des initiatives open data, couplé à la montée en puissance de l’intelligence artificielle, crée de nouvelles opportunités pour valoriser les données SIRENE. Les modèles hybrides de partenariat public-privé, associant administrations et entreprises technologiques, devraient favoriser l’émergence de services à forte valeur ajoutée tout en garantissant un équilibre entre accès libre et protection juridique. La qualité des traitements d’anonymisation et la robustesse des contrats seront alors des facteurs clés de différenciation.
Dans ce contexte en mutation, les professionnels de la revente commerciale de données doivent anticiper les changements réglementaires, investir dans la gouvernance des données et renforcer leur posture de conformité. Ceux qui sauront conjuguer agilité, rigueur juridique et excellence technique seront les mieux placés pour tirer parti de la valeur stratégique offerte par le répertoire SIRENE tout en préservant la confiance des parties prenantes.
