Domiciliation et protection des données : ce que vous devez savoir

Quand on parle de « protection des données » pour une entreprise, on pense aussitôt au RGPD et aux fichiers clients. Mais il existe une donnée personnelle qu’on oublie souvent : l’adresse personnelle du dirigeant. Par défaut, elle devient publique dès la création de la société. C’est précisément là que la domiciliation joue un rôle concret. Voici ce qu’elle protège vraiment, et ce que le RGPD exige réellement d’une petite structure.

Votre adresse personnelle est une donnée publique (par défaut)

Lorsque vous immatriculez une société à votre domicile, cette adresse figure sur le Kbis, au Registre national des entreprises (RNE) et sur les annuaires publics comme annuaire-entreprises.data.gouv.fr ou Infogreffe. N’importe qui, client, concurrent ou démarcheur, peut donc retrouver où vous habitez.

Ce n’est pas anodin. Une adresse de domicile exposée sur un registre librement consultable, c’est la porte ouverte au démarchage agressif (de faux organismes facturent chaque année des « inscriptions au registre » sur la base de ces données), aux visites non sollicitées, voire à des situations de tension quand l’activité touche un public sensible. Pour un entrepreneur individuel ou un gérant qui reçoit ses clients, cette confusion entre lieu de vie et lieu de travail brouille aussi l’image renvoyée : une adresse résidentielle inspire rarement la même confiance qu’une adresse professionnelle clairement identifiée.

Domicilier le siège de votre entreprise à une adresse professionnelle résout le problème à la racine : c’est cette adresse, et non votre domicile, qui apparaît sur tous les documents officiels. Vous séparez ainsi votre vie privée de votre activité, sans rien cacher d’illégal : votre siège est une adresse réelle, déclarée et agréée par la préfecture. C’est la solution la plus simple, parce qu’elle agit en amont : votre domicile n’entre jamais dans les registres publics, plutôt que d’avoir à l’en faire retirer ensuite.

Depuis 2025, un droit d’occultation complémentaire

La sensibilité du sujet a conduit à une évolution récente. Le décret n° 2025-840 du 22 août 2025 (en vigueur depuis le 25 septembre 2025) permet à un dirigeant de demander la confidentialité de son adresse personnelle sur le Kbis, le RNE et les actes de la société, qu’il s’agisse de documents passés ou futurs. Sont concernés les personnes physiques, les représentants légaux de sociétés et les associés indéfiniment responsables (notamment en SNC et en société civile).

La demande se fait sur le guichet des formalités des entreprises de l’INPI et est traitée par le greffier du tribunal de commerce dans un délai d’environ 5 jours francs ouvrables. Côté coût, la démarche est gratuite lorsqu’elle accompagne une autre formalité (immatriculation, modification, cessation) et ne porte que sur l’adresse du Kbis. Pour une demande isolée, comptez de l’ordre de 53 € TTC si elle ne concerne que le Kbis, et quelques euros par acte à reprendre, selon le périmètre choisi.

Deux limites à connaître, et elles sont importantes. D’abord, seule l’adresse du domicile peut être occultée : l’adresse du siège social reste publique dans tous les cas. Ensuite, l’occultation n’est pas absolue : certaines autorités (judiciaires, fiscales, douanières) et professions réglementées soumises à la lutte contre le blanchiment conservent l’accès à l’adresse, pour préserver les contrôles et les droits des tiers.

Concrètement, ce droit se combine très bien avec une domiciliation, sans s’y substituer. Si votre siège est déjà établi à une adresse professionnelle, le principal point de fuite est déjà fermé. L’occultation vient alors masquer votre domicile là où il pourrait encore apparaître (un acte ancien, votre qualité d’associé). La domiciliation traite le problème par défaut et de façon durable, l’occultation est un complément ciblé.

Le courrier, l’autre donnée à protéger

Votre courrier professionnel contient lui aussi des informations sensibles : courriers de l’administration fiscale, relevés bancaires, contrats, mises en demeure, données de salariés. Le laisser arriver dans une boîte aux lettres résidentielle partagée, ou dans une boîte d’immeuble accessible à tous, c’est exposer ces documents au premier regard venu.

Une domiciliation sérieuse ne se contente pas de fournir une adresse : elle organise une véritable chaîne de traitement du courrier. Le pli est réceptionné par un personnel identifié, numérisé dès son arrivée, puis mis à disposition dans un espace en ligne sécurisé. Vous le consultez où que vous soyez, sans attendre une réexpédition, et vous décidez ensuite de sa conservation, de sa destruction ou de son envoi. Surtout, l’accès à cet espace est restreint aux personnes que vous habilitez : c’est vous qui choisissez qui, dans votre entreprise, peut voir quoi. On est très loin d’une boîte aux lettres ouverte à tous les vents.

Et vos obligations RGPD, dans tout ça ?

Le RGPD s’applique à toutes les entreprises qui traitent des données personnelles, quelle que soit leur taille, mais ses obligations sont proportionnées à l’activité, au contexte et aux risques. Pour une TPE dont le traitement de données n’est pas le cœur de métier, il faut surtout retenir quelques points.

Le DPO n’est obligatoire que dans trois cas

Contrairement à une idée reçue tenace, désigner un délégué à la protection des données (DPO) n’est pas obligatoire pour toutes les entreprises. Selon l’article 37 du RGPD et la CNIL, l’obligation ne vise que trois situations :

Cas où le DPO est obligatoire	Exemples
Organismes publics	Communes, établissements publics, administrations
Suivi régulier et systématique à grande échelle des personnes	Banques, assurances, opérateurs télécoms, FAI
Traitement à grande échelle de données sensibles ou pénales	Santé, biométrie, opinions, infractions

La très grande majorité des TPE et PME ne relève d’aucun de ces cas : elles ne sont donc pas tenues de nommer un DPO. La CNIL recommande simplement de désigner un référent interne chargé de piloter le sujet, rôle souvent assuré par le dirigeant lui-même dans une petite structure. Désigner un DPO volontairement reste possible et encouragé, mais ce n’est pas une contrainte.

Le registre des traitements, lui, est requis en pratique

Vous devez tenir un registre de vos traitements de données. L’exemption parfois évoquée pour les structures de moins de 250 salariés est en réalité très limitée : elle ne couvre que des traitements occasionnels, non routiniers et sans risque pour les personnes. Or, dès qu’il y a un fichier clients, de la prospection, des bulletins de paie, de la vidéosurveillance ou des cookies publicitaires, le registre devient obligatoire. En pratique, la quasi-totalité des entreprises doit donc le tenir par écrit et pouvoir le présenter en cas de contrôle. La CNIL propose un modèle gratuit adapté aux TPE pour le remplir sans s’y noyer.

Trois réflexes simples qui couvrent l’essentiel

Au-delà du registre, trois bonnes pratiques suffisent à couvrir le socle attendu d’une petite structure. Informer les personnes d’abord : indiquez à vos clients, prospects ou candidats ce que vous faites de leurs données, qui y a accès, combien de temps vous les conservez et comment exercer leurs droits. Permettre l’exercice des droits ensuite : toute personne doit pouvoir accéder à ses données, les faire corriger ou supprimer dans des délais raisonnables. Sécuriser les données enfin : comptes individuels (jamais de mot de passe partagé), mots de passe robustes, sauvegardes, mises à jour et accès limités à ceux qui en ont réellement besoin. La CNIL considère ces mesures comme élémentaires, et leur absence est régulièrement sanctionnée.

C’est exactement la logique d’accès maîtrisé qu’une bonne domiciliation applique déjà à votre courrier : seules les personnes habilitées consultent les documents numérisés.

En résumé

La domiciliation est un réflexe simple et efficace de protection de vos données : elle met votre adresse personnelle à l’abri des registres publics dès le départ et sécurise la circulation de votre courrier. Le droit d’occultation de 2025 vient compléter le dispositif, et le RGPD, pour une TPE, se ramène à quelques obligations proportionnées que l’on peut tenir sans usine à gaz. Chez Whosbox, votre siège est établi à une adresse professionnelle à Montpellier ou à Lyon dès 16,60 € HT/mois, dans une agence agréée, et votre courrier est numérisé dans un espace en ligne dont vous maîtrisez les accès.

Questions fréquentes

Mon adresse personnelle est-elle visible sur le Kbis ? Oui, par défaut. Si vous immatriculez votre société à votre domicile, cette adresse apparaît sur le Kbis, au RNE et sur les annuaires publics comme annuaire-entreprises.data.gouv.fr. Tout le monde peut donc la consulter, sauf si vous y faites obstacle.

Comment masquer mon adresse personnelle des registres ? Deux voies, complémentaires. La plus directe consiste à domicilier le siège à une adresse professionnelle : votre domicile n’entre alors jamais dans les registres. Vous pouvez aussi demander l’occultation de votre adresse de domicile depuis le décret n° 2025-840 (en vigueur le 25 septembre 2025), via le guichet des formalités des entreprises, traitement sous 5 jours environ.

Une domiciliation suffit-elle pour être conforme au RGPD ? Non, ce sont deux sujets distincts. La domiciliation protège l’adresse du dirigeant et sécurise le courrier, mais la conformité RGPD dépend de la façon dont vous traitez les données de vos clients et salariés (registre, information, sécurité). La domiciliation aide sur un point précis ; elle ne remplace pas votre propre mise en conformité.

Dois-je nommer un DPO dans ma TPE ? Le plus souvent, non. Le DPO n’est obligatoire que pour les organismes publics, le suivi à grande échelle des personnes, ou le traitement à grande échelle de données sensibles. Une TPE classique en est dispensée : la CNIL recommande simplement de désigner un référent interne, souvent le dirigeant.

Qui peut voir mon courrier chez le domiciliataire ? Chez un domiciliataire sérieux, le courrier est réceptionné par un personnel identifié, numérisé, puis déposé dans un espace en ligne accessible uniquement aux personnes que vous habilitez. Vous gardez la main sur les accès. Chez Whosbox, c’est vous qui décidez qui consulte vos documents.

L’occultation de mon adresse est-elle totale ? Non. Seule l’adresse du domicile peut être masquée, jamais celle du siège social, qui reste publique. Et certaines autorités (judiciaires, fiscales, douanières) ainsi que des professions réglementées conservent l’accès à votre adresse pour les besoins de contrôle et de lutte contre la fraude.

Pour aller plus loin, découvrez la domiciliation à Montpellier ou à Lyon, ou lancez votre souscription en ligne.