Consommateurs
Professionnels
search_api_autocomplete
Accueil

Annexe RGPD

La FSMA intervient en tant que responsable du traitement des données à caractère personnel traitées dans le cadre de signalements internes d’atteintes à l’intégrité. 

Elle traite ces données aux fins de recevoir et de suivre les signalements, de vérifier l’exactitude des allégations qui y sont formulées, de prendre éventuellement des mesures pour traiter l’atteinte à l’intégrité et d’assurer la protection contre les représailles et d’établir des rapports (de manière agrégée) relatifs à l’exécution de la législation applicable. 

Le traitement des données à caractère personnel est nécessaire à l’exécution des missions d’intérêt public ou des missions relevant de l’exercice de l’autorité publique, qui ont été confiées à la FSMA par la loi sur les atteintes à l’intégrité et ont été précisées par l’arrêté royal sur les atteintes à l’intégrité. 

Comme indiqué dans le FAQ « Qui peut effectuer un signalement ? », le canal de signalement interne d’atteintes à l’intégrité mis en place au sein de la FSMA est également utilisé par le Collège de supervision des réviseurs d’entreprises (ci-après « le Collège »). Dans ce cas, le Collège est conjointement responsable avec la FSMA pour ce traitement de données à caractère personnel.

QUELLES DONNÉES À CARACTÈRE PERSONNEL SONT TRAITEES DANS LE CADRE DE LA GESTION DES SIGNALEMENTS ? 

La FSMA collecte les données à caractère personnel des personnes concernées[1] suivantes :

  • l’auteur de signalement (sauf dans le cas d’un signalement totalement anonyme) : il s’agit notamment de données d’identification, de données professionnelles (par exemple : la fonction ou la nature de la relation de travail entre l’auteur de signalement et la FSMA ou le Collège) et d’éventuelles autres données à caractère personnel ayant trait au contenu du signalement effectué ;
  • la personne accusée qui fait l’objet d’un signalement : il s’agit notamment de données d’identification, de données professionnelles (par exemple : la fonction), de données judiciaires (y compris des données concernant des infractions pénales) et d’éventuelles autres données à caractère personnel qui sont communiquées à la FSMA dans le cadre de la description de l’atteinte à l’intégrité ;
  • les facilitateurs : il s’agit notamment de données d’identification et de données professionnelles (par exemple : la fonction) ;
  • les tiers en lien avec l’auteur de signalement qui risquent de faire l’objet de représailles dans un contexte professionnel (par exemple, de proches ou des collègues de l’auteur de signalement) : il s’agit notamment de données d’identification et, le cas échéant, de données professionnelles (par exemple : la fonction), ainsi que d’informations sur la relation avec l’auteur de signalement ; et
  • les personnes invitées à collaborer à l’enquête : il s’agit notamment de données d’identification et de données professionnelles (par exemple : la fonction).

La FSMA reçoit ces données à caractère personnel en premier lieu de l’auteur de signalement. Il est toutefois possible aussi que, dans le cadre de l’enquête portant sur le signalement, la FSMA reçoive des données à caractère personnel supplémentaires par le biais des autres personnes susvisées. 

AVEC QUI VOS DONNEES SONT-ELLES PARTAGEES ? 

La FSMA ne partage, avec des personnes autres que les personnes autorisées, les données qu’elle collecte dans le cadre d’un signalement d’atteinte à l’intégrité que dans les limites des règles de confidentialité strictes qui s’appliquent en la matière (voir à ce sujet : « Quelles sont les règles de confidentialité applicables ? »).

COMBIEN DE TEMPS LES DONNÉES A CARACTÈRE PERSONNEL SONT-ELLES CONSERVEES ?

Le service Audit interne archive tous les signalements d’atteinte à l’intégrité reçus. Il tient à cet effet un registre auquel seuls les membres du personnel autorisés ont accès. Les dossiers de signalement sont conservés pendant une période de dix ans[2]. Si, toutefois, une procédure judiciaire ou une mesure disciplinaire est engagée contre la personne accusée, contre l’auteur de signalement ou contre toute autre personne impliquée dans le dossier, les données à caractère personnel sont conservées jusqu’à ce que la procédure en question soit clôturée et le délai pour intenter un recours écoulé. 

QUELS SONT VOS DROITS EN MATIERE DE PROTECTION DES DONNEES ?

En vertu du Règlement général sur la protection des données (plus connu sous le nom « RGPD »)[3], l’auteur de signalement et toutes les autres personnes concernées visées ci‑dessus peuvent en principe exercer un certain nombre de droits concernant leurs données à caractère personnel. Elles peuvent ainsi demander à la FSMA d’accéder à ces données, de les rectifier ou de les effacer. Elles ont en outre le droit de s’opposer au traitement de celles‑ci pour des motifs légitimes spécifiques et elles peuvent dans certains cas demander que le traitement de leurs données à caractère personnel soit limité. L’auteur de signalement qui a consenti à ce que la FSMA divulgue son identité peut également retirer ce consentement à tout moment, sans que cela porte atteinte à la légitimité du traitement de ces données sur la base du consentement avant son retrait.  

La FSMA n’est toutefois pas obligée de donner suite dans chaque cas à une demande d’exercice des droits en matière de vie privée mentionnés ci-dessus :

  • Certains de ces droits ont un champ d’application très spécifique ou sont soumis dans le RGPD à des conditions spéciales ou à des exceptions qui sont pertinentes dans le cas de la FSMA (par exemple, des exceptions dans le cadre de l’intérêt public)[4].

  • Afin de garantir la confidentialité de l’enquête et le suivi du signalement, la FSMA peut, dans le contexte spécifique du canal interne pour les signalements d’atteintes à l’intégrité, également appliquer des restrictions aux droits suivants :

    • le droit de recevoir des informations lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée (au sens du RGPD) elle-même,
    • le droit d’accès aux données à caractère personnel ; et
    • le droit de rectification de ces données.

    Pour l’auteur de signalement, ces restrictions concernent uniquement le suivi du signalement. Pour les autres personnes, ces restrictions sont également applicables au signalement lui-même. Cela signifie concrètement que la FSMA peut refuser ou différer entièrement ou partiellement l’exercice des droits énumérés ci-dessus si cet exercice nuirait à la confidentialité de l’enquête, au suivi du signalement ou au secret de l’enquête. La FSMA examinera et soupèsera ce point au cas par cas. 

    Ces restrictions des droits s’appliquent pendant dix ans, à compter de la date du signalement. Elles ne visent pas les données qui sont étrangères à l’objet de l’enquête ou du contrôle justifiant le refus ou la limitation d’accès aux données.

  • En raison du secret professionnel auquel la FSMA est tenue, certains droits prévus par le RGPD (tels que le droit d’accès, de rectification et d’opposition) sont, de manière plus générale, restreints lorsque la FSMA traite des données à caractère personnel aux fins de l’exercice de l’une des missions qui lui ont été confiées par la loi, si ces données à caractère personnel n’ont pas été collectées auprès de la personne concernée elle‑même[5].

Si vous souhaitez exercer vos droits en matière de vie privée, vous devez envoyer une demande en ce sens au service Audit interne, qui la traitera, dans le respect des règles de confidentialité, en concertation avec le Data Protection Officer (DPO).

Si votre demande d'exercice de vos droits relatifs à vos données à caractère personnel concerne le signalement d'une atteinte à l'intégrité en lien avec le Collège, la FSMA consultera, si besoin, le Collège dans le cadre du traitement de votre demande.

Si vous estimez que vos droits n’ont pas été respectés, vous pouvez également à tout moment déposer une plainte auprès de l’Autorité de protection des données, rue de la Presse 35, 1000 Bruxelles, adresse e-mail : contact@apd-gba.be (voir aussi www.autoriteprotectiondonnees.be) ou intenter une action en justice auprès du président du tribunal de première instance, siégeant comme en référé[6].

COMMENT POUVEZ-VOUS NOUS CONTACTER ?

Pour toute question générale sur le traitement des données à caractère personnel par la FSMA dans le cadre du canal interne pour les signalements d’atteintes à l’intégrité, vous pouvez prendre contact avec le DPO via le formulaire de contact DPO.
 

[1]     Il s’agit ici des personnes concernées au sens du RGPD (personnes physiques identifiées ou identifiables) et non au sens de la loi sur les atteintes à l’intégrité (uniquement les personnes accusées). 

[2]     Ce délai court à compter de la clôture du dossier.

[3]     Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (« RGPD »).

[4]     Voir le chapitre III du RGPD.

[5]     Article 46bis de la loi du 2 août 2002 relative à la surveillance du secteur financier et aux services financiers.

[6]     Voir les articles 209 et suivants de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.