Consommateurs
Professionnels
search_api_autocomplete
Accueil

Annexe GDPR

  • La FSMA intervient en tant que responsable du traitement des données à caractère personnel obtenues dans le cadre de signalements internes d’atteintes à l’intégrité. Elle traite ces données aux fins de recevoir et de suivre les signalements, de vérifier l’exactitude des allégations qui y sont formulées, de prendre éventuellement des mesures pour traiter l’atteinte à l’intégrité et d’assurer la protection contre les représailles. Le traitement des données à caractère personnel est par conséquent nécessaire à l’exécution des missions d’intérêt public ou des missions relevant de l’exercice de l’autorité publique, qui ont été confiées à la FSMA par la loi sur les atteintes à l’intégrité.  
  • La FSMA collecte les données à caractère personnel des personnes concernées[1] suivantes :
    • l’auteur de signalement (sauf dans le cas d’un signalement totalement anonyme) : il s’agit notamment de données d’identification, de données professionnelles (par exemple : la fonction ou la nature de la relation de travail entre l’auteur de signalement et la FSMA) et d’éventuelles autres données à caractère personnel ayant trait au contenu du signalement effectué ;
    • la personne accusée qui fait l’objet d’un signalement : il s’agit notamment de données d’identification, de données professionnelles (par exemple : la fonction), de données judiciaires (y compris des données concernant des infractions pénales) et d’éventuelles autres données à caractère personnel qui sont communiquées à la FSMA dans le cadre de la description de l’atteinte à l’intégrité ;
    • les facilitateurs : il s’agit notamment de données d’identification et de données professionnelles (par exemple : la fonction) ;
    • les tiers en lien avec l’auteur de signalement : il s’agit notamment de données d’identification et, le cas échéant, de données professionnelles (par exemple : la fonction), ainsi que d’informations sur la relation avec l’auteur de signalement ; et
    • les personnes invitées à collaborer à l’enquête : il s’agit notamment de données d’identification et de données professionnelles (par exemple : la fonction).

    La FSMA reçoit ces données à caractère personnel en premier lieu de l’auteur de signalement. Il est toutefois possible aussi que, dans le cadre de l’enquête portant sur le signalement, la FSMA reçoive des données à caractère personnel supplémentaires par le biais des autres personnes susvisées.

  • La FSMA ne partage, avec des personnes autres que les personnes autorisées, les données qu’elle collecte dans le cadre d’un signalement d’atteinte à l’intégrité que dans les limites des règles de confidentialité strictes qui s’appliquent en la matière (voir à ce sujet : « Quelles sont les règles de confidentialité applicables ? »).
  • Le service Audit interne archive tous les signalements d’atteinte à l’intégrité reçus. Il tient à cet effet un registre auquel seuls les membres du personnel autorisés ont accès. Tous les documents pertinents relatifs à une enquête, les comptes rendus écrits des déclarations individuelles et les rapports d’enquête sont conservés pendant une période de dix ans[2]. Si, toutefois, une procédure judiciaire ou une mesure disciplinaire est engagée contre la personne accusée, contre l’auteur de signalement ou contre toute autre personne impliquée dans le dossier, les données à caractère personnel sont conservées jusqu’à ce que la procédure en question soit clôturée et le délai pour intenter un recours écoulé.
  • En vertu du Règlement général sur la protection des données (plus connu sous le nom « GDPR »)[3], l’auteur de signalement et toutes les autres personnes concernées visées ci‑dessus peuvent en principe exercer un certain nombre de droits concernant leurs données à caractère personnel. Elles peuvent ainsi demander à la FSMA d’accéder à ces données, de les rectifier ou de les effacer. Elles ont en outre le droit de s’opposer au traitement de celles‑ci pour des motifs légitimes spécifiques et elles peuvent dans certains cas demander que le traitement de leurs données à caractère personnel soit limité. L’auteur de signalement qui a consenti à ce que la FSMA divulgue son identité peut également retirer ce consentement à tout moment, sans que cela porte atteinte à la légitimité du traitement de ces données sur la base du consentement avant son retrait. 
     

    La FSMA n’est toutefois pas obligée de donner suite dans chaque cas à une demande d’exercice des droits en matière de vie privée mentionnés ci-dessus :

    • Certains de ces droits ont un champ d’application très spécifique ou sont soumis dans le GDPR à des conditions spéciales ou à des exceptions qui sont pertinentes dans le cas de la FSMA (par exemple, des exceptions dans le cadre de l’intérêt public)[4].
    • Afin de garantir la confidentialité de l’enquête et le suivi du signalement, la FSMA peut, dans le contexte spécifique du canal interne pour les signalements d’atteintes à l’intégrité, également appliquer des restrictions aux droits suivants :
      • le droit de recevoir des informations lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée (au sens du GDPR) elle-même,
      • le droit d’accès aux données à caractère personnel ; et
      • le droit de rectification de ces données.

      Pour l’auteur de signalement, ces restrictions concernent uniquement le suivi du signalement. Pour les autres personnes, ces restrictions sont également applicables au signalement lui-même. Cela signifie concrètement que la FSMA peut refuser ou différer entièrement ou partiellement l’exercice des droits énumérés ci-dessus si cet exercice nuirait à la confidentialité de l’enquête, au suivi du signalement ou au secret de l’enquête. La FSMA examinera et soupèsera ce point au cas par cas.

      Ces restrictions des droits s’appliquent pendant dix ans, à compter de la date du signalement. Elles ne visent pas les données qui sont étrangères à l’objet de l’enquête ou du contrôle justifiant le refus ou la limitation d’accès aux données.

    • En raison du secret professionnel auquel la FSMA est tenue, certains droits prévus par le GDPR (tels que le droit d’accès, de rectification et d’opposition) sont, de manière plus générale, restreints lorsque la FSMA traite des données à caractère personnel aux fins de l’exercice de l’une des missions qui lui ont été confiées par la loi, si ces données à caractère personnel n’ont pas été collectées auprès de la personne concernée elle‑même[5].

    Si vous souhaitez exercer vos droits en matière de vie privée, vous devez envoyer une demande en ce sens au service Audit interne, qui la traitera, dans le respect des règles de confidentialité, en concertation avec le Data Protection Officer (DPO). Si vous estimez que vos droits n’ont pas été respectés, vous pouvez également à tout moment déposer une plainte auprès de l’Autorité de protection des données, rue de la Presse 35, 1000 Bruxelles, adresse e-mail : contact@apd-gba.be (voir aussi www.autoriteprotectiondonnees.be) ou intenter une action en justice auprès du président du tribunal de première instance, siégeant comme en référé[6].

  • Pour toute question générale sur le traitement des données à caractère personnel par la FSMA dans le cadre du canal interne pour les signalements d’atteintes à l’intégrité, vous pouvez prendre contact avec le DPO (dataprotection@fsma.be).
 

[1]     Il s’agit ici des personnes concernées au sens du GDPR (personnes physiques identifiées ou identifiables) et non au sens de la loi sur les atteintes à l’intégrité (uniquement les personnes accusées).

[2]     Ce délai court à compter de la clôture du dossier.

[3]     Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (« GDPR »).

[4]     Voir le chapitre III du GDPR.

[5]     Article 46bis de la loi du 2 août 2002 relative à la surveillance du secteur financier et aux services financiers.

[6]     Voir les articles 209 et suivants de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.