Politique de la Protection de la Vie Privée du Collège de supervision des réviseurs d’entreprises

La présente Politique Vie Privée s’applique aux missions et services du Collège et aux sites web, y inclus les guichets digitaux du Collège (comme www.ctr-csr.be).

La présente Politique Vie Privée n’est pas applicable au traitement de données à caractère personnel qui sont régis par une Politique Vie Privée spécifique.

La présente Politique Vie Privée doit être lue en relation notamment avec notre Politique en matière de Cookies. Pour plus d’information, voyez la Politique de Cookies.

Le Collège bénéficie de dérogations à l’obligation d’information qui incombe en principe au responsable du traitement dans les cas visés par l’article 54/3 de la loi du 7 décembre 2016 portant organisation de la profession et de la supervision publique des réviseurs d’entreprises (ci-après la loi du 7 décembre 2016). C’est notamment le cas lorsque le Collège agit (i) en vue de l'exercice de ses missions énumérées à l'article 32 de la loi du 7 décembre 2016 ou d'autres missions qui lui sont dévolues par toute autre disposition du droit national ou européen, lorsque ces données n’ont pas été obtenues auprès de la personne concernée, (ii) dans le cadre des procédures pour l’imposition des mesures et amendes administratives visées aux articles 56, 58 et 59 de la loi du 7 décembre 2016.

Le Collège de supervision des réviseurs d’entreprises (le Collège, Rue du Congrès 12-14, 1000 Bruxelles) est le responsable du traitement de vos données à caractère personnel. Cela signifie que le Collège détermine dans quelles finalités et avec quels moyens vos données à caractère personnel sont traitées.

Le Collège a désigné un délégué à la protection des données (« data protection officer » ou « DPO ») qui est votre point de contact pour toutes questions ou requêtes en lien avec le traitement de vos données à caractère personnel. Vous trouverez les coordonnées du DPO dans la question « Comment pouvez-vous nous contacter ? » de cette Politique Vie Privée.

Le Collège collecte vos données à caractère personnel de plusieurs façons :

1. Les données que vous avez vous-même fournies

Le Collège traite en premier lieu les données que vous nous avez fournies :

• dans le cadre de nos missions d’intérêt public et de l’exercice d’autorité publique : il s’agit, entre autres, des données personnelles que vous nous fournissez (de quelque manière que ce soit, y compris via les guichets digitaux) dans le cadre de notre supervision publique des réviseurs d’entreprises.
  Il s’agit également des données que vous nous avez fournies en tant que lanceur d’alerte, telles que vos coordonnées et autres données (sauf si vous choisissez de rester anonyme et que vous n’êtes effectivement pas identifiable).
• en remplissant un formulaire de contact sur le site du Collège : il s’agit de données telles que votre titre, prénom, nom de famille, e-mail, numéro de téléphone, si vous êtes résident en Belgique ou non, et les données supplémentaires dans votre question, remarque, plainte ou autre message. En ce qui concerne les professionnels, il pourra également s’agir (si d’application) du nom de votre société et votre numéro de registre. 
• le cas échéant, en vous inscrivant à une lettre d’information: il s’agit de données telles que votre e-mail, votre prénom et nom de famille.
• en participant à une éventuelle consultation du Collège : il s’agit des données d’identification, votre fonction et d’autres données à caractère personnel éventuellement transmises dans le cadre de consultations (ouvertes ou limitées), organisées par le Collège, principalement sur des projets de législation.
• en concluant un contrat avec le Collège : il s’agit de vos données en tant que personne physique comme votre nom et votre e-mail, de même que toute autre donnée que vous nous fournissez dans le cadre (pré)contractuel.
• en visitant le Collège : il s’agit des données que vous devez remplir sur le fiche d’enregistrement visiteurs comme votre nom, votre entreprise, votre plaque d’immatriculation et les images qui sont enregistrées par les caméras de sécurité de notre bâtiment et notre parking.

2. Les données obtenues d’un tiers

Le Collège traite également des données à caractère personnel obtenues auprès d’un tiers :

• dans le cadre de nos missions d’intérêt public et de l’exercice d’autorité publique : il s’agit, entre autres, de vos données personnelles qui nous sont fournies (de quelque manière que ce soit, y compris via les guichets digitaux) par un tiers (tel que la personne physique ou morale sous notre supervision avec laquelle vous travaillez ou exécutez une fonction, autres autorités nationales ou étrangères, des lanceurs d’alerte ou quelqu'un qui introduit une plainte ou qui nous pose une question) dans le cadre de notre supervision publique des réviseurs d’entreprises.
• dans le cadre d’un contrat entre la partie contractante pour laquelle vous travaillez et le Collège : il s’agit de votre nom, votre e-mail et autres données comme, dans certains cas, les références à vos travaux antérieurs, qui nous sont fournis par la partie contractante pour laquelle vous travaillez et ce dans le cadre des mesures précontractuelles ou de la prestation de services au Collège.

3. Les données automatiquement obtenues​​​​​​​

• via des cookie providers : Le Collège n’enregistre pas de noms ou d’autres données révélant l’identité des visiteurs de son site web. En revanche, des données statistiques importantes pour optimiser le site web sont enregistrées via l’utilisation des cookies. Les cookies collectent des données concernant les accès au site web, les paramètres personnels et le comportement de navigation. Cette information est collectée de manière automatique lors de la navigation sur le site web. Pour plus d’informations, voyez la Politique de Cookies.

Le Collège collecte, stocke, utilise et traite vos données à caractère personnel :

• aux fins de l’exercice des missions d’intérêt public énumérées à l’article 32 de la loi du 7 décembre 2016 ou d’autres missions qui lui sont dévolues par toute autre disposition du droit national ou européen et de l’exercice d’autorité publique dont est investie le Collège ;
• sur base de nos obligations légales, notamment l’obligation de conservation de la loi du 24 juin 1955 sur les archives du Royaume ;
• sur base de votre consentement, sans préjudice des traitements effectués conformément aux bases légales et aux finalités mentionnées ci-dessus :
  • pour vous inscrire en tant qu'utilisateur d'un des guichets digitaux sur le site web (sauf dans la mesure où votre inscription est obligatoire) ;
  • afin de pouvoir éventuellement entrer en contact avec vous dans le cadre d’une consultation ;
  • pour vous envoyer des lettres d’information ;
  • pour répondre à toute autre demande que vous pourriez faire, par exemple via les formulaires de contact ;
• sur base des mesures précontractuelles ou de l’exécution d’un contrat que le Collège a conclu avec vous ou la partie pour laquelle vous travaillez afin de nous fournir toutes les informations nécessaires à la prise de décision de conclure un contrat ou afin de pouvoir communiquer avec vous dans le cadre de la prestation des services ;
• sur base de notre intérêt légitime :
  • pour la gestion des visiteurs. Sur base du nombre de formulaires remplis à l’accueil, nous préparons également des statistiques anonymes sur le nombre de visiteurs ;
  • pour sécuriser notre bâtiment et notre parking ;
  • pour évaluer, sécuriser (y compris contre de la fraude) et améliorer et optimiser notre site web et nos guichets digitaux.

Le Collège ne traite pas les informations personnelles plus longtemps que nécessaire afin d’accomplir le but pour lequel nous les avons recueillies et dans les limites prévues par la loi si elle permet une durée plus longue.

Plus particulièrement :

• Les données à caractère personnel que traite le Collège aux fins de l’exercice de la mission d’intérêt public et de l’exercice d’autorité publique dont est investie le Collège, seront conservées aussi longtemps que vous, ou la personne physique ou morale sous notre supervision avec laquelle vous travaillez ou exercez une fonction ou avec laquelle vous avez exercé une fonction, est supervisée par le Collège. Même si cela n'est plus le cas, le Collège peut encore traiter vos données personnelles plus longtemps, par exemple dans la mesure où celles-ci pourraient redevenir pertinentes pour l'exercice de notre supervision ou dans le cadre d’actions en responsabilité potentielles.
• Sans préjudice des délais de conservation applicables aux traitements cités ci-dessus, les données à caractère personnel que reçoit le Collège :
  • pour vous inscrire en tant qu'utilisateur d'une des guichets digitaux sur le site web : seront conservées tant que vous avez un compte pour l’application concernée ;
  • afin de pouvoir éventuellement entrer en contact avec vous dans le cadre d’une consultation : tant que le projet pour lequel vous avez été consulté n'a pas été clôturé (soit parce qu’il est devenu définitif soit parce qu’il est définitivement supprimé, étant entendu qu'un projet n'est pas considéré comme clôturé tant qu'il est contesté) ;
  • pour vous envoyer des lettres d’information : jusqu’à ce que vous vous désabonniez ;
  • pour répondre à toute autre demande que vous pourriez faire, par exemple via les formulaires de contact : pendant 2 ans à compter de la dernière réaction de notre part ;
  • dans le cadre (pré)contractuel : pendant la durée du contrat et 10 ans après la fin du contrat. Si aucun contrat n’est conclu, vos données seront supprimées plus rapidement ;
  • dans le cadre de votre visite : pendant une durée de 30 jours.

Nonobstant ce qui précède, le Collège est soumis à la loi du 24 juin 1955 sur les Archives du Royaume et certaines informations sont dès lors conservées pendant une période plus longue, telle que prévue par cette loi, à des fins archivistiques moyennant des garanties appropriées.

Le Collège traite les données personnelles aux seules fins spécifiques pour lesquelles elles ont été collectées. Les données personnelles collectées ne sont en aucun cas utilisées à des fins commerciales.

Le Collège peut partager vos données :

• avec des prestataires de services avec lesquels le Collège travaille (p. ex. des prestataires de service IT, la plateforme à laquelle le collège fait appel pour la gestion des lettres d’information, des avocats ou d’autres fournisseurs de services nécessaires à l’exercice des missions du Collège). L’accès de ces prestataires à vos données sera limité à ce qui est strictement nécessaire à leurs missions ;
• dans les cas prévus par les articles 44 et 45 de la loi du 7 décembre 2016 (et ce même si les données en question ne sont pas couvertes par le secret professionnel visé par ledit article) :
• dans les cas où la communication de telles informations est prévue ou autorisée par ou en vertu de la loi et des lois régissant les missions confiées au Collège (y compris les cas visés par l’article 45 de la même loi et y compris à la FSMA dans le cadre de sa mission d’exercice du secrétariat du Collège) ;
• lors d'un témoignage en justice en matière pénale ;
• pour dénoncer des infractions pénales aux autorités judiciaires (sachant que, dans un tel cas, le Collège peut rendre publique sa décision de dénoncer des infractions pénales aux autorités judiciaires) ;
• dans le cadre de recours administratifs ou juridictionnels contre les actes ou décisions du Collège et dans toute autre instance à laquelle le Collège est partie ;
• sous une forme sommaire ou agrégée de façon que vous ne puissent pas être identifiées.

À moins qu’il n’y soit légalement tenu ou que le lanceur d’alerte n’y consente, le Collège ne partagera pas les données d’un lanceur d’alerte avec le réviseur d’entreprises ou des tiers (pour plus d’informations, veuillez consulter notre procédure pour les signalements effectués par des lanceurs d'alerte - CSR). 

Le Collège ne traitera pas lui-même vos données à caractère personnel en dehors de l’Espace Economique Européen (EEE).

Il est possible que les prestataires de services qui travaillent pour le Collège traitent vos données à caractère personnel en dehors de l’EEE (p. ex. aux Etats-Unis). Lorsque cela a lieu, le Collège s’assure que le prestataire de service conclue un contrat avec le Collège et que le niveau de protection est garanti, par exemple via une décision de la Commission Européenne qu’un pays tiers assure un niveau de protection adéquat (article 45 RGPD), via une certification de l’importateur des données sous le bouclier de protection des données UE-États-Unis (article 45 RGPD), en concluant les clauses types de protection des données adoptées par la Commission Européenne entre les parties qui traitent des données en dehors de l’EEE - article 46 RGPD) ou via un autre instrument juridique contenant des garanties appropriées.

Il est possible que le Collège, dans le cadre de ses missions d’intérêt public et de l’exercice d’autorité publique, et dans les limites prévues par les articles 44 et 45 de la loi du 7 décembre 2016, échange des données à caractère personnel avec une autorité de supervision financière d’un pays tiers hors de l’EEE, à des fins de coopération internationale. 

Lorsque tel est le cas, le Collège s’assure :

• que le pays tiers ou l’organisation internationale assure un niveau de protection adéquat (décision d'adéquation de la Commission européenne – article 45 RGPD) ; ou
• que des garanties appropriées sont fournies (article 46 RGPD), en particulier lorsque l’autorité de supervision financière d’un pays tiers hors de l’EEE s’est engagée à fournir les garanties établies dans un arrangement administratif, comme tel est le cas aujourd’hui avec le Public Company Accounting Oversight Board (PCAOB) ; ou
• qu’il peut se prévaloir d’une dérogation, comme celle applicable en cas de transfert nécessaire pour des motifs importants d’intérêt public (article 49 RGPD).

Si vous avez des questions à ce sujet ou si vous désirez obtenir plus d’informations, vous pouvez adresser au Collège une requête datée et signée à l’attention du data protection officer. Vous trouverez les coordonnées du DPO dans la question « Comment pouvez-vous nous contacter ? » de cette Politique Vie Privée.

Le Collège met en œuvre des moyens techniques et des mesures de sécurité afin de protéger vos données à caractère personnel et pour empêcher la destruction, la perte ou l’altération, l’accès ou la divulgation non autorisée, la modification, de nature accidentelle ou illégale.

En vertu de l’article 44 de la loi du 7 décembre 2016, le Collège, le président et les membres du comité, le personnel de la FSMA contribuant à l’exercice des missions du Collège sont tenus au secret professionnel et ne peuvent divulguer à quelque personne ou autorité que ce soit les informations confidentielles dont elles ont eu connaissance (sous réserve toutefois des exceptions mentionnées à la question « Avec qui partageons-nous vos données ? » de cette Politique Vie Privée).

Par ailleurs, le Collège demande à ses prestataires de service traitant des données à caractère personnel pour le Collège d’également toujours prendre les mesures de sécurité nécessaires.

Notre site web contient des liens vers des sites de tiers (p. ex. réseaux sociaux comme LinkedIn et Twitter) dont les conditions d’utilisation ne tombent pas sous le champ d’application de cette Politique Vie Privée ni sous notre responsabilité. Nous vous recommandons par conséquent de lire attentivement leur politique vie privée pour savoir comment ils respectent votre vie privée.

Vous disposez d’une série de droits liés à vos Données. Certains de ces droits ont un champ d’application très spécifique ou sont soumis à des conditions spéciales ou à des exceptions. Ainsi, vous ne pourrez pas faire valoir vos droits d’information (selon les articles 12 et 13 RGPD), d’accès, de rectification, de notification de l’exercice de certains droits aux destinataires des Données, et d’opposition dans les cas visés par l’article 54/3 de la loi du 7 décembre 2016. C’est notamment le cas lorsque :

i.  le Collège agit en vue de l'exercice de ses missions énumérées à l'article 32 de la loi du 7 décembre 2016 ou d'autres missions qui lui sont dévolues par toute autre disposition du droit national ou européen, lorsque ces données n’ont pas été obtenues auprès de la personne concernée ;

ii. le Collège agit dans le cadre des procédures pour l’imposition des mesures et amendes administratives visées aux articles 56, 58 et 59 de la loi du 7 décembre 2016 pour autant que les Données concernées soient liées à l’objet de l’enquête ou du contrôle.

Les dérogations visées au point (i) valent tant que vous n’avez pas, le cas échéant, obtenu légalement l’accès au dossier administratif vous concernant tenu par le Collège et qui contient les Données en cause.

Hormis ces cas, vous pouvez à tout moment exercer votre droit d’accès aux informations personnelles vous concernant, afin de les compléter, de les modifier, de les rectifier, de les effacer ou de vous opposer à leur traitement pour des motifs légitimes conformément aux lois applicables en matière de protection des données.

En outre, vous pouvez dans certains cas demander à ce que le traitement de vos données à caractère personnel soit limité et, dans certains cas, vous pouvez nous demander de vous transférer vos données ou (si c’est techniquement possible et dans les limites du secret professionnel du Collège) à un autre responsable du traitement.

Lorsque le traitement de vos données à caractère personnel repose sur le consentement, vous avez toujours le droit de retirer votre consentement. Lorsque vous retirez votre consentement, cela est sans conséquence sur la validité du traitement de vos données à caractère personnel avant le retrait.

Si vous souhaitez exercer ces droits, vous devez envoyer une demande avec une copie du recto de votre carte d'identité, passeport ou toute autre preuve d'identité à dataprotection@fsma.be, ou par écrit au data protection officer du Collège. Vous trouverez les coordonnées du DPO dans la question « Comment pouvez-vous nous contacter ? » de cette Politique Vie Privée. Nous vous demandons une preuve de votre identité afin d'être certain de respecter vos données personnelles et de ne pas les envoyer à un tiers.

Nous nous réservons le droit de ne pas répondre aux demandes manifestement infondées ou excessives. Les informations que nous détenons sur vous, ou un avis spécifiant que nous n'en détenons pas vous seront envoyées sans frais, endéans le mois de votre demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Votre demande sera conservée tant qu’un recours est possible.

À tout moment, si vous considérez que vos droits n'ont pas été respectés, vous pouvez également déposer une plainte auprès de l’Autorité de protection des données, rue de la Presse, 35, 1000 Bruxelles, adresse électronique : contact@apd-gba.be (voir aussi www.autoriteprotectiondonnees.be).

La présente Politique Vie Privée a été modifiée en dernier lieu le 6 septembre 2021.

Il est possible que cette Politique Vie Privée subisse des modifications. Vous pouvez toujours consulter la dernière version de notre Politique Vie Privée sur notre site web. Par ailleurs, nous ferons de notre mieux pour vous tenir au courant des modifications les plus importantes via d’autres canaux de communication.

Dans le cadre de la mission de la FSMA de l’exercice du secrétariat du Collège, et en accord avec la FSMA, le Collège a nommé le data protection officer de la FSMA en tant que data protection officer du Collège.

Si vous avez des questions ou des commentaires relatifs à la présente Politique Vie Privée, si vous souhaitez exercer vos droits ou mettre à jour les informations que nous avons à votre sujet, veuillez nous contacter ici :

• via un e-mail à dataprotection@fsma.be ;
• par poste à

Collège de supervision des réviseurs d’entreprises
A l’attention du Data Protection Officer
rue du Congrès 12-14
1000 Bruxelles (Belgique)