ECLI:BE:GBAPD:2024:AVIS.20241129.9

Avis n° 105/2024 du 29 novembre 2024 Objet : Avis concernant un projet d'arrêté royal fixant un règlement relatif à la revue qualité, les modalités des mesures et sanctions administratives et d'utilisation de la lettre de mission des professionnels de l'Institut des Conseillers fiscaux et des Experts comptables (CO-A-2024-269) Mots-clés : revue qualité positive et négative - catégories de données à caractère personnel définies dans la norme d'exécution - questionnaire préalable - délai de conservation maximal (renvoi explicite vers la disposition fixant le délai de prescription) Traduction Introduction Les dispositions du projet d'arrêté royal soumis pour avis visent l'harmonisation et l'actualisation conformément au cadre réglementaire actuellement en vigueur. Dans ce contexte, le précédent arrêté royal est remplacé par le projet qui, bien qu'en grande partie similaire, contient une extension du champ d'application, sans impact significatif sur le cadre de la protection des données. À cet égard, l’Autorité observe un suivi minutieux des recommandations d'un avis précédent, raison pour laquelle le présent avis ne contient pas de remarque particulière, sauf pour : i) les catégories de données à caractère personnel et en particulier l'intention de ne plus les définir dans l'arrêté royal et ii) le délai de conservation maximal dans le cadre de la revue qualité positive et négative, tel qu'exposé dans le dispositif. Le Service d’Autorisation et d’Avis de l’Autorité de protection des données (ci-après "l’Autorité"), présent.e.s : Mesdames Cédrine Morlière et Nathalie Ragheno et Messieurs Yves-Alexandre de Montjoye, Bart Preneel et Gert Vermeulen ; Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données , en particulier les articles 23 et 26 (ci-après "la LCA") ; Pour les textes normatifs émanant de l’Autorité fédérale, de la Région de Bruxelles-Capitale et de la Commission communautaire commune, les avis sont en principe disponibles en français et en néerlandais sur le site Internet de l'Autorité. La « Version originale » est la version qui a été validée collégialement. Vu le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE (Règlement général sur la protection des données, ci-après le "RGPD") ; Vu la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ci-après "la LTD") ; Vu la demande d'avis de Monsieur Pierre-Yves Dermagne Vice-Premier ministre et Ministre de l’Économie et du Travail(ci-après "le demandeur"), reçue le 8 octobre 2024; Émet, le 29 novembre 2024, l'avis suivant : I. OBJET DE LA DEMANDE D'AVI 1. Le 8 octobre 2024, le demandeur a sollicité l'avis de l'Autorité concernant un projet d'arrêté royal fixant un règlement relatif à la revue qualité, les modalités des mesures et sanctions administratives et d'utilisation de la lettre de mission des professionnels de l'Institut des Conseillers fiscaux et des Experts comptables (ci-après : le projet). 2. En vue de l'actualisation conformément au cadre réglementaire actuellement en vigueur et en vue de l'exécution des dispositions qui y sont établies1, le projet remplace l'actuel "arrêté royal du 9 décembre 2019 fixant un règlement relatif à la revue qualité des membres externes de l'Institut des experts-comptables et des conseils fiscaux et fixant les modalités d'utilisation de la lettre de mission" (ci-après : l'arrêté royal du 9 décembre 2019), qui constituait un arrêté d'exécution de la loi abrogée du 22 avril 1999 relative aux professions comptables et fiscales. 3. Par rapport à l'arrêté royal précédent, les changements les plus significatifs apportés par le projet sont les suivants : i) une extension du champ d'application à tous les professionnels, membres de l'Institut des Conseillers fiscaux et des Experts-comptables ; ii) I'intégration du respect des obligations en matière d'anti-blanchiment dans Ie régime de revue qualité ; iii) la prévision des modalités d'adoption des mesures administratives et de prononcé des sanctions administratives par le Conseil en cas d'infractions à la législation anti-blanchiment ; iv) l'introduction d'un système de "revue qualité à distance" et la désignation des rapporteurs par la Commission Revue Qualité au lieu d'un choix laissé au professionnel ; v) un seul plan d'amélioration pourra être imposé en cas de manquements.2 4. Tout ceci suppose le traitement de données à caractère personnel par l'Institut3 en vue de permettre la revue qualité des professionnels. II. CONTEXTE 5. L'Institut des Conseillers fiscaux et des Experts-comptables (ICE)4 a pour mission : la protection des droits et intérêts professionnels communs des personnes inscrites au registre public ; la supervision de l'accès à la profession d'expert-comptable certifié et de conseiller fiscal certifié, par l'organisation d'un examen d'admission et d'un stage, ainsi que d'un examen d'aptitude ; la tenue d'un registre public ; la supervision de la formation permanente ; la supervision de l'exercice de la profession, en prenant toutes les garanties nécessaires en termes de compétence, d'indépendance et d'intégrité professionnelle par la mise en place d'un règlement disciplinaire ; l'octroi de l'accès à la profession à des professionnels d'un autre État membre souhaitant exercer les activités visées aux articles 3 et 6 en Belgique ; la supervision du respect des modalités et des conditions par les personnes qui exercent temporairement et occasionnellement en Belgique les activités professionnelles visées à l'article 23 ; dans le cadre de la coopération administrative organisée entre États membres pour assurer le bon fonctionnement du marché intérieur, l'échange sécurisé d'information et de données avec les autorités compétentes d'autres États membres, en particulier via le système d'information du marché intérieur (IMI) en ce qui concerne la profession et les professionnels, conformément aux articles XV.49 et XV.52 du Code de droit économique et aux articles 27 et 27/1 de la loi du 12 février 2008 instaurant un cadre général pour la reconnaissance des qualifications professionnelles UE.5 6. Dans le cadre de ces missions, une Commission Revue Qualité est créée par le Roi, en vertu de l'article 60 de la loi du 17 mars 2019 6, laquelle est chargée de l'organisation de la revue qualité. 7 Ceci constitue, en l'espèce, l'objet du projet qui est soumis pour avis. 7. La Commission Revue Qualité est chargée de l'organisation des revues qualité. Dans le cadre des revues qualité, elle rend un avis au Conseil de l'Institut 8. Elle rend cet avis par la formulation de propositions en ce qui concerne les conditions, les procédures et les méthodes de travail de la revue qualité ainsi que Ie contenu et la forme des questionnaires préalables ; par l'élaboration des conditions de nomination des rapporteurs et de la procédure de sélection des rapporteurs ; par la composition d'une liste de rapporteurs ; par l'élaboration du contenu et de la pratique de la revue qualité ; par la proposition de mesures administratives et/ou d'une sanction administrative (interdiction d'exercer la profession, rappel à l'ordre, ...).9 8. Comme indiqué précédemment au point2, le projet qui est soumis pour avis remplace l'arrêté royal du 9 décembre 2019. Compte tenu du fait que ce précédent arrêté royal avait déjà été soumis à l'avis de l'Autorité de protection des données10 et que les recommandations ont été en grande partie intégrées - tant dans le cadre réglementaire actuel (à remplacer) que dans le projet -, l'Autorité limite son analyse aux éléments essentiels et aux nouvelles dispositions du projet. Par ailleurs, plusieurs aspects n'ayant pas été entièrement suivis sont repris et, le cas échéant, rattachés aux parties pertinentes de l'avis rendu précédemment. III. EXAMEN QUANT AU FOND a. Base juridique 9. Rappel des principes : Chaque traitement de données à caractère personnel doit avoir une base juridique ou de licéité, comme le prévoit l’article 6, paragraphe 1 du RGPD. Les traitements de données qui sont instaurés par une mesure normative sont presque toujours basés sur l’article 6.1, point c) ou e) du RGPD.11 Le lecteur est renvoyé à l’application de ces principes telle que définie ci-après. 10. En plus de devoir être nécessaire et proportionnée, toute norme régissant le traitement de données à caractère personnel (et constituant par nature une ingérence dans le droit à la protection des données à caractère personnel) doit répondre aux exigences de prévisibilité et de précision afin que les personnes concernées au sujet desquelles des données sont traitées aient une idée claire du traitement de leurs données. En vertu de l’article 6.3 du RGPD, lu en combinaison avec les articles 22 de la Constitution et 8 de la CEDH, une telle norme doit décrire les éléments essentiels des traitements allant de pair avec l'ingérence de l'autorité publique. Dans ce cadre, il s'agit au moins : - de la (des) finalité(s) précise(s) et concrète(s) des traitements de données ; - de la désignation du (des) responsable(s) du traitement (à moins que cela ne soit clair) ; Si les traitements de données à caractère personnel allant de pair avec l'ingérence de l'autorité publique représentent une ingérence importante dans les droits et libertés des personnes concernées, la disposition légale doit également comprendre les éléments essentiels (complémentaires) suivants : - les (catégories de) données à caractère personnel traitées qui sont pertinentes et non excessives ; - les catégories de personnes concernées dont les données à caractère personnel seront traitées ; - les catégories de destinataires des données à caractère personnel ainsi que les circonstances dans lesquelles ils reçoivent les données et les motifs y afférents ; - le délai maximal de conservation des données à caractère personnel enregistrées ; - l'éventuelle limitation des obligations et/ou des droits visé(e)s aux articles 5, 12 à 22 et 34 du RGPD. 11. Application concrète : Le traitement de données à caractère personne auquel le projet soumis pour avis donne lieu repose sur l'article 6.1.e) du RGPD.12. Étant donné que le projet vise à établir la procédure de la revue qualité à laquelle les professionnels 13 sont soumis tous les 7 ans14 et que ce contrôle concernera les professionnels qui exercent leur profession au sein d'une entreprise ou en tant qu'indépendant et consistera, dans certains cas, à collecter des informations relatives à des tiers, tels que des clients, qui peuvent être des personnes physiques, ce contrôle engendrera donc un traitement de données à caractère personnel qui : i) est réalisé à des fins de surveillance ou de contrôle ; ii) communique les données à des tiers ou rend les données accessibles à des tiers ; iii) peut conduire. à des effets négatifs pour les personnes concernées. Au vu de ces éléments, l'Autorité estime qu'en l'espèce, il est question d'une ingérence importante. 12. Dans un souci d’exhaustivité, l’Autorité rappelle que conformément à l’article premier du RGPD, lu à la lumière du considérant 14 du RGPD, la protection conférée par le RGPD concerne des personnes physiques et ne s’étend donc pas au traitement de données relatives à des personnes morales et, plus concrètement, à des entreprises constituées en tant que personnes morales. Dès lors, le présent avis concerne uniquement le traitement de données de personnes physiques qui sont concernées par les dispositions du projet, pour autant que ces traitements doivent être qualifiés de traitements de données à caractère personnel au sens des articles 2 et 3 du RGPD. Cela ne porte toutefois pas préjudice à la protection dont ces personnes morales bénéficient, le cas échéant, en vertu des articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne.15 13. L’Autorité vérifie ci-après dans quelle mesure le projet répond à ces conditions. b. Finalités 14. Conformément à l'article 5.1.b) du RGPD, le traitement de données à caractère personnel ne peut être effectué que pour des finalités déterminées, explicites et légitimes. 15. À cet égard, il est indiqué dans le formulaire de demande que les finalités sont définies à l'article 72 du projet. Une lecture plus attentive de la disposition en question indique que les finalités de la revue qualité sont définies à l'article 56 de la loi du 17 mars 2019. 16. À cet égard, l'article 56, premier alinéa de la loi du 17 mars 2019 dispose ce qui suit : “La revue qualité a notamment pour objectif de vérifier que le professionnel est doté d'une organisation appropriée par rapport à la nature et à l'étendue de ses activités professionnelles et que le professionnel effectue ses activités professionnelles conformément au cadre légal, réglementaire et normatif.” 17. En vertu de l'article 62, § 2 de la loi du 17 mars 2019, l'Institut est habilité à traiter les données nécessaires à l'exercice de ses missions. Comme expliqué aux points 5et 6 , la revue qualité fait partie des missions confiées à l'Institut et fait l'objet du projet soumis pour avis. 18. L'étendue de la revue qualité de l'exercice des activités professionnelles effectuées par le professionnel conformément au cadre légal, réglementaire et normatif est conforme à l'article 1 er, 9° du projet : "Le cadre légal, réglementaire et normatif : a) la loi du 17 mars 2019 et ses arrêtés d’exécution ; b) les normes et recommandations de l'Institut applicables en vue d'exercer la profession, telles que visées à l'article 72, 2°, de la loi du 17 mars 2019 ; c) d'autres législations et réglementations applicables au professionnel, en ce compris : i) ) les dispositions relatives aux pratiques du marché et à la protection du consommateur qui lui sont applicables, telles que reprises dans Ie livre VI du Code de droit économique ; ii) les dispositions du droit de l'insolvabilité, telles que reprises dans Ie livre XX du Code du droit économique ; iii) la loi du 18 septembre 2017 et ses arrêtés d'exécution ;" 19. Par souci d'exhaustivité, il est également renvoyé à la remarque du Conseil supérieur16 dans le rapport au Roi selon laquelle le sujet est particulièrement vaste. 17 Sans préjudice de ce qui précède, l’Autorité estime que les données à caractère personnel sont traitées pour des finalités déterminées, explicites et légitimes. c. Minimisation des données/Proportionnalité 20. L'article 5.1.c) du RGPD prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités visées (principe de ‘minimisation des données’). 21. À cet égard, l'Autorité estime pertinent de revenir sur le raisonnement de l'avis précédent n° 126/2019, analysant l'arrêté royal du 9 décembre 2019. Cet avis abordait les deux phases du traitement de données ayant lieu lors de l'exécution de la revue qualité. Il y a été observé que la première phase - à savoir la collecte de données via un questionnaire envoyé aux professionnels - intervient avant la revue qualité proprement dite, l'arrêté royal du 9 décembre 2019 prévoyant pour cette collecte une liste des données qui pouvaient être traitées. Le point 29 de l'avis précédent soulignait déjà l'importance d'une liste de données explicite, à savoir : Y est déterminée la liste des données qui seront collectées par le biais de ce questionnaire. L’Autorité relève tout d’abord que cette liste de données se doit d’être exhaustive afin d’assurer à la norme qui encadre cette collecte de données un niveau de prévisibilité correct pour que les professionnels concernés puissent entrevoir clairement comment leurs données seront traitées.18 22. L'analyse du projet révèle toutefois que la liste des données n'est plus reprise dans un arrêté royal. Cette liste serait en outre établie par le Conseil de l'Institut, sur proposition de la Commission Revue Qualité. Ainsi, l'article 29 du projet dispose ce qui suit : "Le Conseil de l'Institut détermine, sur proposition de la Commission Revue Qualité, le contenu détaillé du questionnaire préalable qui peut être ventilé par thème et par catégorie professionnelle. Le professionnel peut toujours prendre connaissance du contenu du questionnaire, que Ie Conseil de l'Institut met à sa disposition par voie électronique." 23. Dans le rapport au Roi, il est spécifié que la finalité de la revue qualité est très vaste et qu'une approche basée sur le risque s'impose lors de sa mise en œuvre. 19 Dans ce contexte, l'importance du questionnaire est motivée, à savoir pour définir le profil de risque d'un professionnel. Le nouveau système aura donc toujours recours à un questionnaire, mais celui-ci ne sera plus établi par arrêté royal mais au moyen d'une norme élaborée par le Conseil de l'Institut. 24. Cette modification se justifie par le caractère évolutif du contenu des questionnaires préalables. De ce fait, des questions pourraient être abandonnées ou des informations complémentaires pourraient être demandées sans qu'une modification de l'arrêté royal soit nécessaire à cette fin. Par mesure de protection, pour contrebalancer le fait qu’aucun arrêté royal n’est utilisé pour établir les questionnaires, ceux-ci doivent être soumis par l'Institut à l'approbation du Conseil supérieur, en vertu de l'article 80 de la loi du 17 mars 2019. En outre, tant qu'aucune norme (promulguée par le Conseil de l'Institut) n'est en vigueur, une notification préalable obligatoire du questionnaire au Conseil supérieur s'applique, en vertu de l'article 71 du projet. 25. L’Autorité n'est pas du tout rassurée par la suppression et la mesure de protection proposées. Comme déjà indiqué dans l'avis précédent, la reprise du questionnaire dans l'arrêté royal permet d'assurer la prévisibilité pour les personnes concernées à propos du type de données qui peuvent être traitées à leur sujet. Par ailleurs, on rappelle également le principe selon lequel la définition des éléments essentiels du traitement de données à caractère personnel est une compétence qui est limitée au pouvoir législatif et, par délégation, au pouvoir exécutif. En l'espèce, une norme du Conseil de l'Institut ne peut ici y être assimilée. Dès lors, l'Autorité demande que le projet définisse au moins les catégories de données qui peuvent être réclamées dans un questionnaire. Si ultérieurement, un questionnaire contient uniquement des catégories de données définies dans le projet, ceci sera considéré comme acceptable. 26. En ce qui concerne 'l'exécution de la revue qualité sur place', l'article 34 du projet dispose ce qui suit : "Le professionnel ou, le cas échéant, la personne de contact désignée, permet l'accès au cabinet et à toutes les informations dont le rapporteur a besoin pour sa mission." 27. À cet égard, en ce qui concerne "permet l'accès au cabinet et à toutes les informations dont le rapporteur a besoin pour sa mission", il est fait référence au raisonnement repris aux points 31 et 32 de l'avis n° 126/2019 rendu précédemment, qui s'applique ici par analogie : • l'Autorité rappelle que pour 'toutes les données pertinentes dont le rapporteur a besoin', les rapporteurs20 devront agir dans le respect du principe de proportionnalité ; • le raisonnement suivi au point 32, selon lequel le secret professionnel peut être levé pour les échanges entre les professionnels et les rapporteurs et la Commission Revue Qualité mais dans la stricte mesure du nécessaire à l’accomplissement de la revue qualité, est également réitéré. 28. En ce qui concerne l'article 35 du projet, le raisonnement de l'avis n° 126/2019, point 33 s'applique également, par analogie. Celui-ci stipule que : "[...] encadre la façon dont le rapporteur pourra choisir un nombre limité de dossiers représentatifs du professionnel en vue de procéder à la vérification de son bon respect du cadre légal dans la gestion de ses dossiers. Il est précisé que les dossiers représentatifs seront choisis sur base d’une liste de clients "anonymisée au niveau du nom". À ce sujet, l’autorité relève que la simple omission du nom d’une personne n’est pas suffisante pour assurer son anonymat. Il serait plus adéquat de préciser les caractéristiques relatives à la clientèle qui doivent être communiquées au rapporteur (ville du siège des affaires, tranche moyenne dans laquelle se situe le chiffre d’affaires, activités nationales ou internationales, domaine d’activités, durée moyenne de la mission, …) afin que ce dernier soit en mesure d’en déterminer un nombre limité représentatif pour réaliser ses vérifications et ce en veillant à ce que l’identification des clients ne soit pas possible sur base de cette liste de caractéristiques.” d. Responsable(s) du traitement 29. La désignation du responsable du traitement doit correspondre au rôle que cet acteur jouera dans la pratique et au contrôle qu’il a sur les finalités et les moyens qui seront mis en œuvre pour le traitement.21 Dans la pratique, ceci doit être vérifié pour chaque traitement de données à caractère personnel. 30. À cet égard, l'Autorité constate que la recommandation du précédent avis n° 126/2019, concernant la désignation du responsable du traitement, a été prise en compte par le législateur et que cette cohérence continue à s’appliquer dans le présent projet. 31. Vu que la Commission Revue Qualité fait partie de l'ICE, l'Institut joue, comme indiqué à l’article 72 du projet, le rôle de responsable du traitement, conformément à l'article 62, § 2 de la loi du 17 mars 2019. L’Autorité en prend acte. e. Délai de conservation 32. En vertu de l'article 5.1.e) du RGPD, les données à caractère personnel ne peuvent pas être conservées sous une forme permettant l’identification des personnes concernées pendant une durée excédant celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées. 33. En ce qui concerne le délai de conservation, l'article 73 du projet distingue deux situations, chacune avec un délai de conservation spécifique. Lorsque la revue qualité est jugée positive, les documents relatifs à la revue qualité sont immédiatement détruits, à l'exception des rapports et des lettres du Conseil de l'Institut. À cet égard, il est observé que les rapports et les lettres peuvent également contenir des données à caractère personnel des professionnels contrôlés. C'est la raison pour laquelle il convient pour ces documents aussi de fixer un délai de conservation maximum, conformément au principe de proportionnalité et à l’exigence de nécessité. 34. Dans le cas d'une revue négative, "Lorsque la constatation d'une infraction a mené à une peine disciplinaire, les données ne peuvent pas être conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées, avec un délai de conservation maximum qui ne peut pas excéder un an après la date de prescription des actions pouvant être intentées dans le cadre de la revue qualité et de la procédure disciplinaire." Bien que les critères pour déterminer le délai de conservation maximum soient mentionnés, il est recommandé de se référer explicitement à la disposition fixant le délai de prescription. PAR CES MOTIFS, l’Autorité, formule les remarques suivantes concernant le projet (dispositif) : - prévoir une disposition définissant au moins les catégories de données à caractère personnel qui peuvent être réclamées dans un questionnaire (point25) ; - prévoir un délai de conservation maximal pour les lettres et les rapports en cas de revue positive (point 33) ; - prévoir un renvoi explicite à la disposition qui fixe le délai de prescription (point 34). Pour le Service d’Autorisation et d’Avis, (sé.) Cédrine Morlière, Directrice Document PDF ECLI:BE:GBAPD:2024:AVIS.20241129.9