ECLI:BE:GBAPD:2024:AVIS.20241018.1

Avis n° 97/2024 du 18 octobre 2024 Objet : Avant-projet de loi transposant la directive (UE) 2021/2167 du Parlement européen et du Conseil du 24 novembre 2021 sur les gestionnaires de crédit et les acheteurs de crédit, et modifiant les directives 2008/48/CE et 2014/17/UE (CO-A-2024-229) Mots-clés : extrait de casier judiciaire - publication de la décision de la FSMA – finalité d’information des emprunteurs concernés - garanties appropriées Version originale Introduction : L’avis concerne un avant-projet de loi qui entend assurer, dans l’ordre juridique belge, la transposition de la directive (UE) 2021/2167 du Parlement européen et du Conseil du 24 novembre 2021 sur les gestionnaires de crédit et les acheteurs de crédit, et modifiant les directives 2008/48/CE et 2014/17/UE (ci-après « l’avant-projet »). Cette directive vise à permettre aux établissements de crédits de vendre des « prêts non performants » figurant à leur bilan à d’autres opérateurs (« acheteurs de crédits »), sur des marchés secondaires. L’Autorité émet des observations notamment afin de mieux encadrer : - le traitement de l’extrait de casier judiciaire visant à démontrer le respect de l’exigence d’honorabilité professionnelle notamment par les membres de l’organe de direction ou d’administration au sein des gestionnaires de crédit ; - la faculté pour la FSMA de rendre publique sa position quant à la constatation d’infraction aux dispositions de la loi en projet. Pour une liste intégrale des remarques, il est renvoyé au dispositif. Le Service d’Autorisation et d’Avis de l’Autorité de protection des données (ci-après « l’Autorité »), Pour les textes normatifs émanant de l’Autorité fédérale, de la Région de Bruxelles-Capitale et de la Commission communautaire commune, les avis sont en principe disponibles en français et en néerlandais sur le site Internet de l'Autorité. La « Version originale » est la version qui a été validée collégialement. Le service de traduction de l’Autorité prépare la « Traduction » sur cette base. Présent.e.s : Mesdames Juline Deschuyteneer, Cédrine Morlière et Griet Verhenneman et Messieurs Yves-Alexandre de Montjoye, Bart Preneel et Gert Vermeulen; Vu la loi du 3 décembre 2017 portant création de l'Autorité de protection des données , en particulier les articles 23 et 26 (ci-après « LCA »); Vu l’article 43 du règlement d’ordre intérieur selon lequel les décisions du Service d’Autorisation et d’Avis sont adoptées à la majorité des voix ; Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après « RGPD »); Vu la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ci-après « LTD ») ; Vu la demande d'avis de Monsieur Pierre-Yves Dermagne, Vice-premier ministre et ministre de l’Economie et du Travail reçue le 4 juillet 2024 ; Vu les informations complémentaires reçues le 30 août et le 13 septembre 2024 ; Émet, le 18 octobre 2024, l’avis suivant : I. OBJET ET CONTEXTE DE LA DEMANDE D’AVI 1. En date du 4 juillet 2024, le Vice-premier ministre et ministre de l’Economie et du Travail a sollicité l’avis de l’Autorité concernant les articles 5, 15° ; 7, §1er, 2°, 3° et 4° ; 8 ; 10, §1er, 4° ; 13, §2 ; 17, §2, 1°, i) ; 22, §1er, alinéa 1er, 1° et 30, §1er, 1° de l’avant-projet. 2. Ainsi que son intitulé l’indique, l’avant-projet vise à assurer une transposition fidèle en droit belge de la directive (UE) 2021/2167 du Parlement européen et du Conseil du 24 novembre 2021 sur les gestionnaires de crédit et les acheteurs de crédits, et modifiant les directives 2008/48/CE et 2014/17/UE (ci-après la « directive 2021/2167 »). Selon l’Exposé des motifs du projet, l’objet principal de cette directive est de « créer un environnement propre à permettre aux établissements de crédit1 de traiter le problème des ‘prêts non performants’ 2 figurant à leur bilan, et de réduire le risque d’une accumulation future de nouveaux prêts de ce type ». Le législateur européen a en effet estimé important que si l’encours des prêts non performants d’un établissement de crédit devenait trop élevé, ce dernier devait être en mesure de vendre de tels prêts à d’autres opérateurs sur des marchés secondaires efficients, concurrentiels et transparents. La directive 2021/2167 vise ainsi à favoriser le développement dans l’Union européenne de marchés secondaires des prêts non performants, en supprimant les obstacles et en établissant des mesures de protection concernant le transfert de tels prêts par les établissements de crédits à des acheteurs de crédits, tout en protégeant les droits des emprunteurs. Dans cette optique, ce cadre européen requiert des gestionnaires de crédits3 qu’ils soient agréés et assujettis à la surveillance d’autorités compétentes nationales de leur Etat membre d’origine et imposent des obligations à charge desdits gestionnaires de crédit, des établissements de crédit et des acheteurs de crédit 4. 3. En Belgique, l’agrément des gestionnaires de crédit de droit belge est octroyé par l’Autorité des services et marchés financiers (FSMA). La demande et l’octroi d’un tel agrément entraîne des traitements de données à caractère personnel des personnes physiques qui sont gérants, administrateurs, membres du conseil de direction et du conseil de surveillance et délégués à la gestion journalière ou qui détiennent des participations qualifiées au sens de l’article 4, §1er, point 36) du règlement (UE) n° 575/20135 (ci-après « les personnes qui détiennent des participations qualifiées ») au sein du gestionnaire de crédit concerné. Les obligations incombant auxdits gestionnaires de crédit, aux établissement de crédits et aux acheteurs de crédit sont susceptibles d’engendrer également des traitements de données à caractère personnel concernant les acheteurs de crédit (ou les personnes qui sont membres de l’organe de direction ou d’administration) et les emprunteurs6. 4. Seules les dispositions de l’avant-projet suscitant des commentaires en termes de protection des données à caractère personnel sont analysées dans le cadre du présent avis. II. EXAMEN DE LA DEMANDE D’AVI 1. Articles 7 et 8 de l’avant-projet : conditions et procédure d’agrément 5. L’article 7 de l’avant-projet (qui vise à transposer fidèlement l’article 5 de la directive 2021/2167) liste les conditions d’agrément auxquelles un demandeur doit satisfaire pour se voir octroyer l’agrément en tant que gestionnaire de crédit de droit belge par la FSMA. Parmi celles-ci, figurent l’exigence selon laquelle les gérants, administrateurs, membres du conseil de direction et du conseil de surveillance et délégués à la gestion journalière doivent disposer en permanence de l’honorabilité professionnelle nécessaire à l’exercice de leur fonction. Conformément à l’article 7, §1er, 2°, a), cette exigence d’honorabilité professionnelle est démontrée par le fait que les personnes précitées disposent d’un « casier judiciaire ou tout autre équivalent national vierge de toute infraction pénale pertinente, liée notamment à une atteinte aux biens, à des services et activités financiers, au blanchiment de capitaux, à l’usure, à la fraude, aux infractions fiscales, à la violation du secret professionnel ou à l’intégrité physique, ainsi que de toute autre violation relevant de la législation relative aux sociétés, à la faillite, à l’insolvabilité ou à la protection des consommateurs ». De manière analogue, en vertu de l’article 7, §1er, 4° de l’avant-projet, les personnes qui détiennent des participations qualifiées au sein du gestionnaire de crédit doivent également démontrer le respect d’une condition d’honorabilité professionnelle suffisante, à l’aide d’un extrait du casier judiciaire. 6. L’article 8 de l’avant-projet (qui entend transposer fidèlement l’article 7 de la directive 2021/2167) concerne la procédure d’agrément des gestionnaires de crédit et décrit le contenu du dossier qui doit être transmis à la FSMA en vue de l’octroi de l’agrément. En vertu du paragraphe 2 de l’article 8 de l’avant-projet, le demandeur doit, pour introduire valablement sa demande d’agrément en qualité de gestionnaire de crédits, fournir les données à caractère personnel suivantes et ce, « Sans préjudice du droit de la FSMA de demander les informations complémentaires qu’elle juge nécessaires pour apprécier le dossier » : • les données d’identification des gérants, administrateurs, membres du conseil de direction et du conseil de surveillance et des délégués à la gestion journalière du gestionnaire de crédit ainsi que des personnes qui détiennent des participations qualifiées, Avis 97/2024 - 5/20 • un « extrait de casier judiciaire destiné à des activités réglementées, qui ne remonte pas à plus de trois mois » pour chaque catégorie de personnes précitées, • une note explicative démontrant, « selon les modalités définies par la FSMA », l’honorabilité professionnelle visée, • une note explicative démontrant, « selon les modalités définies par la FSMA », que les gérants, administrateurs, membres du conseil de direction et du conseil de surveillance et des délégués à la gestion journalière du gestionnaire de crédit, disposent, ensemble, de l’expertise adéquate à l’exercice de leur fonction. 7. En l’état de l’avant-projet, la formulation de la partie de phrase (« Sans préjudice du droit de la FSMA de demander les informations complémentaires qu’elle juge nécessaires pour apprécier le dossier ») peut être interprétée comme donnant la possibilité à la FSMA de réclamer des informations totalement autres (non pertinentes) que celles énumérées dans l’avant-projet, ce qui peut poser question au regard du principe de minimisation des données. De plus, elle affecte la prévisibilité de l’avant-projet dans la mesure où cette partie de phrase peut être interprétée comme laissant le demandeur d’agrément dans une incertitude quant aux informations nécessaires et pertinentes qu’il doit soumettre à la FSMA pour obtenir l’agrément. 8. Si l’intention visée par cette partie de phrase est de permettre à la FSMA de réclamer d’autres informations et documents potentiellement pertinents pour lui permettre d’évaluer le respect des exigences requises par la loi en projet afin d’octroyer l’agrément en tant gestionnaire de crédit, il convient de le mentionner de manière explicite dans l’avant-projet. Si l’intention est de permettre à la FSMA de réclamer au demandeur d’agrément des informations pour préciser, clarifier ou compléter sa demande d’agrément qui comporterait des imprécisions, des contradictions ou serait incomplète, cela devrait ressortir explicitement de l’article 8, §2 de l’avant-projet, ce qui n’est pas le cas actuellement. Dans tous les cas, il convient de clarifier la formulation de cette phrase afin qu’y soit reflété l’intention réellement poursuivie et afin de répondre au mieux aux principes de prévisibilité et de minimisation des données. a) Données d’identification 9. En ce qui concerne les données d’identification, l’article 5, 15° de l’avant-projet définit cette notion comme étant : • Le nom, les prénoms, l’adresse du domicile et le numéro de registre national pour les personnes physiques inscrites au registre national, • Le nom, le prénom, le lieu et la date de naissance ainsi que l’adresse du domicile pour les personnes physiques non inscrites au registre national. 10. S’agissant de l’utilisation du numéro d’identification au Registre national (pour les personnes physiques inscrites au Registre national), l’Autorité en profite pour rappeler que conformément à l’article 87 du RGPD, les Etats membres adoptant un numéro d’identification national doivent veiller à ce qu’il ne soit utilisé que sous réserve de garanties appropriées pour les droits et libertés de la personne concernée. L’article 8 de la loi du 8 août 1983 organisant un registre national des personnes physiques limite l’utilisation du numéro d’identification du Registre aux tâches d’intérêt général et dispense d’autorisation préalable par arrêté ministériel les organismes qui sont habilités à utiliser ce numéro à cet effet par ou en vertu d’une loi. Toute disposition légale qui prévoit une telle utilisation doit prévoir un minimum de garanties. Comme la Commission de protection de la vie privée (CPVP), prédécesseur en droit de l’Autorité, a déjà eu l’occasion de le mettre en évidence[1], « de telles garanties impliquent : - que l’utilisation d’un numéro d’identification général soit limitée aux cas où il est strictement nécessaire étant donné que son utilisation implique des risques en termes d’interconnexion de fichiers, - que les finalités de cette utilisation soient précisées clairement et explicitement afin que l’on puisse entrevoir les types de traitements visés[2], - que la durée de conservation de ce numéro et ses éventuelles communications à des tiers soient également encadrées, - que des mesures techniques et organisationnelles encadrent adéquatement son utilisation sécurisée et - que le non-respect des dispositions encadrant son utilisation soit sanctionné au moyen de sanctions effectives, proportionnées et dissuasives ». 11. Il s’ensuit que, conformément aux principes de légalité et de prévisibilité, toute disposition légale qui prévoit l’utilisation du numéro d’identification du Registre national doit prévoir à tout le moins clairement la finalité concrète pour laquelle ce numéro d’identification sera utilisé. Or, l’avant-projet est muet sur ce point. Selon les informations complémentaires, la finalité est de s’assurer de l’identité certaine des gérants, administrateurs, membres du conseil de direction et du conseil de surveillance et des délégués à la gestion journalière ainsi que des personnes qui détiennent des participations qualifiées au sein du gestionnaire de crédit qui fait la demande d’agrément. Il y a dès lors lieu de compléter l’avant-projet à cet égard en mentionnant la finalité concrète pour laquelle l’utilisation du numéro d’identification du Registre national est nécessaire. 12. En ce qui concerne l’identification des personnes physiques qui ne sont pas inscrites au Registre national, l’Autorité suppose que la date de naissance est une donnée adéquate, pertinente et limitée à ce qui est nécessaire afin d’identifier de manière certaine les personnes physiques visées. Pour ce qui concerne la collecte du lieu de naissance7 à cette fin, l’Autorité estime en revanche qu’il ne s’agit pas d’une donnée adéquate, pertinente ni nécessaire. Elle suggère donc de la supprimer de l’article 5, 15° de l’avant-projet, à moins que le caractère nécessaire et pertinent de la collecte de cette donnée ne soit explicitement justifié dans le commentaire de l’article. b) Extrait de casier judiciaire 13. En ce qui concerne l’extrait de casier judiciaire, l’avant-projet gagnerait en prévisibilité si, ainsi que cela ressort des informations complémentaires, l’article 8, §2, 4°, (i) et 5° (i) se référait explicitement à l’extrait de casier judiciaire visé à l’article 596, alinéa 1er du Code d’instruction criminelle afin de démontrer le respect de l’exigence d’honorabilité professionnelle, telle que visée respectivement à l’article 7, §1er, 2°, a) et 4° de l’avant-projet. 14. L’Autorité rappelle que les données à caractère personnel relatives aux condamnations pénales constituent une catégorie particulière de données à laquelle une interdiction de traitement s’applique (article 10 du RGPD). Le traitement de cette catégorie de données ne peut être effectué que sous le contrôle de l'autorité publique, ou si le traitement est autorisé par le droit de l'Union ou par le droit d'un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique. 15. L’Autorité accueille favorablement le fait que l’avant-projet reprend de manière fidèle la liste des infractions pénales pertinentes pour apprécier le respect de l’exigence relative à l’honorabilité professionnelle8, telles qu’énumérées par la directive 2021/2167. Toutefois, afin de respecter le principe de minimisation (qui est une application du principe de proportionnalité) ainsi que le principe de légalité, il conviendrait que cette liste d’infractions soit exhaustive, et que l’utilisation du terme « notamment » soit omise de l’avant-projet9. En effet, le terme « notamment » laisse sous-entendre que d’autres infractions pénales que celles énumérées dans l’avant-projet pourraient être traitées afin de vérifier le respect de la condition relative à l’honorabilité professionnelle, ce qui peut exposer les personnes concernées à un risque de traitement de données disproportionné ou excessif. De plus, l’utilisation du terme « notamment » conduit à reporter dans le chef de la FSMA le soin de décider si d’autres infractions pénales que celles énumérées ne seraient pas pertinentes pour évaluer le respect de l’exigence de l’honorabilité professionnelle, ce qui affecte le respect du principe de prévisibilité. Il y a dès lors lieu de supprimer le terme « notamment » et de compléter, le cas échéant, l’avant-projet par d’autres (catégories d’) infractions pénales qui sont également susceptibles d’impacter l’exercice correct des tâches/fonctions de gestion, d’administration ou de décision au sein du gestionnaire de crédit. 16. Par souci de complétude, l’Autorité constate que l’exigence d’honorabilité professionnelle est remplie pour les gérants, administrateurs, membres du conseil de direction et du conseil de surveillance et les délégués à la gestion journalière lorsqu’elle est nécessaire à l’exercice de leur fonction alors que pour les personnes qui détiennent des participations qualifiées, cette exigence est remplie lorsqu’elle est suffisante. Outre que l’article 5.1.b) et d) de la directive 2021/2167 prévoit que l’honorabilité professionnelle doit être suffisante pour toutes les personnes précitées, l’Autorité ne comprend pas, a priori, la raison de cette distinction entre, d’une part, les gérants, administrateurs, membres du conseil de direction et du conseil de surveillance et les délégués à la gestion journalière et, d’autre part, les personnes qui détiennent des participations qualifiées, dans la mesure où cette dernière catégorie de personnes peut aussi, par le biais de sa participation au sein du gestionnaire de crédit, exercer une influence notable sur la gestion dudit gestionnaire. Il y aurait lieu dès lors de revoir l’article 7, §1er, 2° et 4° de l’avant-projet à la lumière de ces observations. 17. Conformément au principe de minimisation des données, il importe que l’extrait de casier judiciaire se limite à révéler si oui ou non les personnes concernées répondent à l’exigence d’absence de condamnations pénales pertinentes visées, afin que le demandeur puisse obtenir son agréement en tant que gestionnaire de crédit. 18. Conformément à l’article 26 de l’avant-projet, la FSMA doit évaluer le respect continu par les gestionnaires de crédit des exigences énoncées dans les dispositions en projet qui leur sont applicables, dont notamment le respect de la condition relative à l’honorabilité professionnelle par les gérants, administrateurs, membres du conseil de direction et du conseil de surveillance, les délégués à la gestion journalière ainsi que des personnes qui détiennent des participations qualifiées dans le gestionnaire de crédit. L’Autorité relève qu’en vertu de l’article 3, 1°, f) de la loi du 5 mai 2014 garantissant le principe de la collecte unique des données dans le fonctionnement des services et instances qui relèvent de ou exécutent certaines missions pour l'autorité et portant simplification et harmonisation des formulaires électroniques et papier , cette loi s'applique à la FSMA. En application du principe de collecte unique prévu par cette loi, la FSMA doit donc recourir, dans la mesure du possible, au Casier judiciaire central pour effectuer l’évaluation du respect continu de l’exigence relative à l’honorabilité professionnelle qui lui incombe en vertu de l’article 26 de l’avant-projet10. Une telle approche permet en plus de garantir que les données que la FSMA consultera à cette fin sont exactes et mises à jour, conformément à ce qu’exige l’article 5.1.d) du RGPD. 19. De plus, eu égard à l’ingérence importante dans les droits et libertés des personnes concernées engendrée par le caractère sensible que revêt l’extrait de casier judiciaire visé, il convient de compléter l’avant-projet afin qu’il détermine la fréquence/périodicité à laquelle le Casier judiciaire central devra être consulté par la FSMA, dans la mesure de ce qui est strictement nécessaire, afin de lui permettre d’exercer son contrôle continu en vertu de l’article 26 de l’avant-projet et ce, à titre de garantie pour les droits et libertés des personnes concernées. c) Notes explicatives 20. En ce qui concerne la note explicative démontrant l’honorabilité professionnelle, l’article 8, §2, 4°, (ii) et 5°, (ii) de l’avant-projet prévoit que les modalités de cette note sont définies par la FSMA et indique quelles sont les conditions d’honorabilité professionnelle devant être démontrées en se référant à l’article 7, §1er, 2°11 pour les gérants, administrateurs, membres du conseil de direction et du conseil de surveillance et des délégués à la gestion journalière et en se référant à l’article 7, §1er, 4°12, pour les personnes qui détiennent des participations qualifiées. De même, l’article 8, §2, 6° de l’avant-projet prévoit que c’est la FSMA qui définit les modalités de la note explicative démontrant que les gérants, administrateurs, membres du conseil de direction et du conseil de surveillance et les délégués à la gestion journalière du demandeur disposent, ensemble, de l’expertise adéquate à l’exercice de leur fonction, en se référant à l’article 7, §1er, 3° de l’avant-projet. 21. Il convient de rappeler que le respect des principes de légalité et de prévisibilité requiert que les données à caractère personnel qui seront reprises dans les notes explicatives visées et qui sont nécessaires à la vérification par la FSMA du respect des exigences relatives à l’honorabilité professionnelle et à l’expertise adéquate des personnes concernées soient identifiables de manière certaine et non ambigüe dans l’avant-projet. De plus, selon le Conseil d’Etat, l’attribution d’un pouvoir réglementaire à un organisme public, tel que la FSMA, n’est en principe pas conforme aux principes généraux de droit public13. 22. En ce qui concerne la note explicative relative à l’honorabilité professionnelle, bien que la formulation des conditions d’honorabilité professionnelle reprend fidèlement ce que prévoit l’article 5 de la directive 2021/2167, l’Autorité estime toutefois que deux des conditions qui concernent les gérants, administrateurs, membres du conseil de direction et du conseil de surveillance et les délégués à la gestion journalière sont formulées en de termes relativement larges, de sorte que l’application de l’avant-projet afin de vérifier le respect de ces deux conditions pourrait ne pas être suffisamment prévisible pour les personnes concernées. Il s’agit de la condition relative à l’absence d’atteinte à la bonne réputation de ces personnes par les effets cumulatifs d’incidents mineurs (que faut-il comprendre par « incidents mineurs » ? par « bonne réputation » ?) et de la condition relative à la preuve de la transparence, de l’ouverture et de la coopération dans les relations avec les autorités de surveillance et de réglementation (que faut-il comprendre par la « preuve d’ouverture » ?). L’avant-projet gagnerait dès lors en prévisibilité si les notions d’« incidents mineurs », de « bonne réputation » et de « preuve d’ouverture » étaient définies, ou à tout le moins, précisées dans l’avant-projet. Il conviendrait d’adapter l’avant-projet sur ce point. 23. En ce qui concerne la note explicative relative à l’expertise adéquate, l’Autorité estime qu’eu égard à la définition de « gestionnaire de crédits » (article 5, 8° de l’avant-projet) et d’« activités de gestion de crédits » (article 5, 10° de l’avant-projet)14, les données pertinentes et nécessaires à la vérification de l’expertise visée semblent identifiables de manière certaine et non ambiguë. Il reviendra à la FSMA de s’assurer que seules les données nécessaires et pertinentes à cette fin soient bien collectées par le biais de la note explicative. 2. Articles 13, §2 et 17, §2 : obligation de communication imposée aux acheteurs de crédit, gestionnaires de crédits et établissements de crédits 24. L’article 13 de l’avant-projet (qui vise à transposer l’article 10 de la directive 2021/2167) mentionne en son paragraphe 2 les informations/données qui doivent être communiquées à l’emprunteur par l’acheteur de crédits ou le gestionnaire de crédit, après le transfert des droits d’un créancier au titre d’un contrat de crédit non performant ou la cession du contrat de crédit non performant lui-même, à un acheteur de crédits, et en tout état de cause avant le premier recouvrement de créances, mais également à chaque fois que cela est demandé par l’emprunteur. L’article 13, §2, précise que cette communication comprend « au moins » les éléments suivants : « 1° des informations sur le transfert qui a eu lieu, y compris la date du transfert ; 2° l’identité et les coordonnées de l’acheteur de crédits ; 3° l’identité et les coordonnées du gestionnaire de crédits, de l’établissement de crédit ou du prêteur qui a été nommé pour exercer des activités de gestion de crédits; 4° s’il a été nommé, la preuve de l’agrément du gestionnaire de crédits ; 5° le cas échéant, l’identité et les coordonnées du prestataire de services de gestion de crédits; 6° présenté de manière bien visible, un point de contact auprès de l’acheteur de crédits ou du gestionnaire de crédits, de l’établissement de crédit ou du prêteur qui a été nommé pour exercer des activités de gestion de crédits, ainsi que, le cas échéant, du prestataire de services de gestion de crédits, qui fourniront des informations si nécessaire ; 7° des informations sur les montants dus par l’emprunteur au moment de la communication, précisant ce qui est dû au titre du capital, des intérêts, des commissions et des autres frais autorisés ; 8° une déclaration indiquant que toutes les dispositions légales pertinentes du droit de l’Union et du droit belge relatives notamment à l’exécution des contrats, à la protection des consommateurs, aux droits des emprunteurs et au droit pénal continuent de s’appliquer ; 9° le nom, l’adresse et autres coordonnées des autorités compétentes de l’État membre dans lequel l’emprunteur est domicilié ou dans lequel son siège statutaire est situé ou, s’il n’a pas de siège statutaire au titre de son droit national, l’État membre dans lequel son administration centrale est située, et auprès desquelles l’emprunteur peut déposer une réclamation. » 25. L’Autorité comprend que cette disposition entend assurer une transposition fidèle de l’article 10.2 de la directive 2021/2167. Toutefois, elle est d’avis qu’il conviendrait de supprimer l’expression « au moins », dans la mesure où l’utilisation d’une telle expression laisse sous-entendre que des données autres que celles qui sont mentionnées peuvent être traitées, ce qui affecte le principe de prévisibilité et de minimisation des données. Il conviendrait dès lors de supprimer les termes « au moins », tout en s’assurant que les (catégories de) données qui doivent être communiquées à l’emprunteur soient listées de manière exhaustive dans l’avant-projet. 26. L’article 17 de l’avant-projet (qui vise à transposer l’article 15 de la directive 2021/2167) prévoit en son paragraphe 2 les informations qui doivent « au moins » être communiquées par les établissements de crédits de droit belge qui transfèrent à un acheteur de crédits les droits d’un créancier au titre d’un contrat de crédit non performant ou cèdent le contrat de crédit non performant lui-même, aux autorités compétentes de l’Etat membre dans lequel l’emprunteur est domicilié ou dans lequel son siège statutaire est situé ou, s’il n’a pas de siège statutaire au titre de son droit national, l’Etat membre dans lequel son administration centrale est située. En termes de données à caractère personnel, l’article 17, §2 prévoit qu’en l’absence d’identifiant d’entité juridique (legal entity identifier, LEI) 15 de l’acheteur de crédits ou, le cas échéant, de son représentant désigné en vertu de l’article 21 16, les données suivantes doivent « au moins » être communiquées : « i) l’identité de l’acheteur de crédits ou des gérants, administrateurs, membres du conseil de direction et du conseil de surveillance ou des délégués à la gestion journalière de l’acheteur de crédits et des personnes qui détiennent des participations qualifiées dans l’acheteur de crédits, au sens de l’article 4, paragraphe 1, point 36), du règlement (UE) n° 575/2013 ; et ii) l’adresse de l’acheteur de crédits ou, le cas échéant, de son représentant désigné en vertu de l’article 21 ». 27. A l’instar des observations formulées ci-dessus au point 25 du présent avis, il conviendrait de supprimer l’expression « au moins », tout en s’assurant que les (catégories de) données qui doivent être communiqués aux autorités compétentes visées soient listées de manière exhaustive dans l’avant-projet. 3. Article 30 : publication de la position de la FSMA quant à la constatation d’infraction à la loi en projet 28. L’article 30, §1er, alinéa 2, 1° de l’avant-projet prévoit que si la personne responsable de l’infraction aux dispositions de la loi en projet reste en défaut de remédier à la situation constatée au terme du délai fixé par le FSMA, la FSMA peut, la personne ayant pu faire valoir ses moyens, rendre publique sa position quant aux constatations qu’elle a faites en précisant l’identité de la personne responsable de la violation et la nature de celle-ci. 29. Il ressort des informations complémentaires qu’il s’agit d’une publication sur le site internet de la FSMA et que la personne responsable de l’infraction qui sera, par définition, la personne sur laquelle repose l’obligation légale concernée (à savoir soit un gestionnaire de crédit, soit un acheteur de crédit, soit, dans l’hypothèse visée à l’article 21 de l’avant-projet d’un acheteur de crédit relevant du droit d’un Etat tiers, un représentant désigné17) sera, dans la plupart des cas, une personne morale18. L’auteur de l’avant-projet indique que la seule hypothèse dans laquelle la personne responsable de l’infraction serait une personne physique est celle où un acheteur de crédit relevant d’un pays tiers, aurait désigné une personne physique comme représentant désigné en Belgique conformément à l’article 21 de l’avant-projet. 30. Pour autant que la mesure de publication, telle qu’envisagée par l’article 30, §1er, alinéa 2, 1°, de l’avant-projet, engendre un traitement de données à caractère personnel (et concerne donc une personne physique), l’Autorité souhaite attirer l’attention du demandeur sur le fait qu’elle a rendu récemment plusieurs avis sur la question de la publication de décisions judiciaires : • Dans son avis n° 98/2022 du 13 mai 202219, l’Autorité s’est prononcée sur la question de la publication de décisions judiciaires dans le cadre de la création d’un registre central pour les décisions de l’ordre judiciaire ; • Dans son avis n° 108/2023 du 29 juin 202320, l’Autorité s’est prononcée sur la question de la publication de décisions par lesquelles le juge constate l’existence d’une discrimination dans le cadre d’une action en indemnisation ; • Dans son avis n° 136/2023 du 19 septembre 202321, l’Autorité s’est prononcée sur la question de la publication de décisions par lesquelles le juge constate l’existence d’une discrimination, dans le cadre d’une action en cessation. 31. Bien que l’avant-projet concerne la publication de décisions administratives et non judiciaires et que le contexte est différent (le secteur financier) de celui des avis précités, l’Autorité estime cependant que des enseignements généraux peuvent se dégager des avis précités et trouver à s’appliquer à l’avant-projet, soumis pour avis. En particulier, les enseignements suivants peuvent être relevés22 : - La publication de décisions « nominatives » (c’est-à-dire qui identifie le contrevenant), à titre de sanction (et de dissuasion), dans le seul but de « naming and shaming » ne peut pas, en principe, être considérée comme poursuivant une finalité légitime au sens de l’article 5.1.b) du RGPD, à moins qu’un objectif d’intérêt général ne soit recherché 23 et que cette publication ne soit permise que dans des cas exceptionnels ; - Pour autant que la finalité poursuivie puisse être considérée comme légitime, il importe que la norme législative qui met en place la faculté de publication énonce la/les finalité(s) poursuivie(s) par la publication de manière claire et précise ; - Dans le respect du principe de minimisation, la publication doit être limitée à ce qui est strictement nécessaire à l’accomplissement de la/des finalité(s) qu’elle poursuit. Ceci a pour conséquence notamment qu’en principe, il faudra procéder à une publication anonymisée (ou pseudonymisée lorsqu’une anonymisation complète n’est pas possible compte tenu de la/des finalité(s) poursuivies) et que ce n’est que à titre d’exception, qu’une publication « nominative » peut avoir lieu. D’autres mesures comme la publication d’un résumé anonymisé de la décision ou une motivation rigoureuse de la décision de publier peuvent également être jugées nécessaires. 32. Etant donné l’existence de ce précédent, l’Autorité limite ici son analyse aux aspects qui sont propres à l’avant-projet. 33. L’auteur de l’avant-projet a été interrogé quant à la finalité concrète poursuivie par la publication envisagée ainsi que quant au caractère nécessaire et proportionné d’un tel traitement de données eu égard à la finalité poursuivie. 34. Il a répondu que l’article 30, §1er, alinéa 2, 1°, en projet constitue une transposition de l’article 23.1 et 2 de la directive 2021/2167 qui concerne les sanctions administratives et les mesures correctives que les autorités compétentes nationales peuvent adopter lorsqu’elles constatent une infraction aux dispositions nationales transposant ladite directive et que cet article laisse une certaine marge de manœuvre aux Etats membres pour déterminer dans leur droit national ces sanctions et mesures qui doivent être effectives, proportionnées et dissuasives 24. Le demandeur indique également que la publication d’une position des autorités compétentes est une mesure prévue habituellement dans les lois de contrôle du secteur financier comme alternative (facultative) à l’astreinte. Est ainsi cité, à titre d’exemples, notamment, les articles 314 et 315 de la loi du 4 avril 2014 relative aux assurances ou encore l’article XV.31/3 du Code de droit économique qui concerne les infractions audit Code commises par un prêteur ou un intermédiaire de crédit. Le demandeur précise que « si la FSMA devait publier une position sans publier l’identité de l’entité concernée, la mesure perdrait son caractère effectif et dissuasif, sans compter l’intérêt que représente également cette mesure de publication pour prévenir le public (en l’occurrence les emprunteurs concernés) des constatations de la FSMA. Cette information du public n’est pas prévue dans l’hypothèse d’une procédure d’imposition d’astreintes. » 35. Interrogé quant à l’objectif d’intérêt général concret qui est poursuivi par l’information du public visé, le demandeur a répondu ce qui suit : « Selon l’infraction constatée et les circonstances factuelles du dossier, informer le public (et donc les emprunteurs existants ou potentiels) des constats de la FSMA (après que la personne responsable de l’infraction a été invitée, sans résultat, à remédier à la situation) peut présenter un intérêt pour éviter que cette infraction puisse leur causer des dommages. Tel serait, par exemple, le cas d’infractions aux obligations des gestionnaires de crédit et des acheteurs de crédit prescrites aux articles 12 et 13 en projet, notamment si l’infraction constatée par la FSMA consiste à fournir aux emprunteurs des informations fausses ou trompeuses (auquel cas il conviendrait d’informer le public du risque de recevoir de telles informations fausses ou trompeuses de la part de ce gestionnaire ou acheteur de crédit), ou si un gestionnaire de crédit devait réclamer des paiements qui contreviendraient à son interdiction de recevoir ou détenir des fonds d’emprunteurs. La mise en balance de tels intérêts avec les intérêts de la personne concernée par la publication sera réalisée par le comité de direction de la FSMA qui, en tant qu’organe de décision d’une autorité administrative, doit appliquer les principes de droit administratif, dont le principe de proportionnalité et de motivation de sa décision. Le comité de direction de la FSMA tiendra notamment compte, dans sa décision, du fait que, le cas échéant, la personne responsable de l’infraction est une personne physique. » 36. L’Autorité comprend, à la lumière des informations complémentaires, que la finalité poursuivie par la publication, telle qu’envisagée par l’avant-projet, est non seulement de permettre le respect effectif, par la personne responsable de l’infraction, de la mesure d’injonction adoptée par la FSMA de remédier à l’infraction qu’elle a constatée (et donc de sanctionner cette personne de ne pas avoir remédier à l’infraction constatée dans le délai fixé par la FSMA), mais également d’informer le public, à savoir les emprunteurs existants ou potentiels, de l’infraction constatée afin qu’ils puissent se prémunir du risque de préjudice découlant de cette infraction. Elle rappelle25 également que si la publication concerne une personne physique (ce qui sera rare), poursuivre une finalité de dissuasion ne peut pas être considéré comme admissible. 37. Dans la mesure où la finalité d’information du public poursuivie par la publication de la position de la FSMA, peut être considérée comme étant une « mesure de prévention » visant à informer les emprunteurs existants et potentiels de la constatation d’une infraction afin qu’ils puissent se prémunir du risque de préjudice découlant de cette infraction, une mesure de publication, telle qu’envisagée par l’avant-projet (avec précision de l’identité de la personne responsable de l’infraction) peut être considérée comme poursuivant une finalité légitime au sens de l’article 5.1.b) du RGPD et par conséquent, comme étant admissible, pour autant que les principes de proportionnalité ainsi que de légalité et de prévisibilité soient respectés et que des garanties appropriées soient prévues. 38. Afin de respecter le principe de proportionnalité26, il y a lieu de rappeler qu’il revient à l’auteur de l’avant-projet de justifier dans l’Exposé des motifs le caractère nécessaire et proportionné de permettre à la FSMA de rendre publique sa position quant aux infractions constatées pour accomplir la finalité poursuivie. Ce qui n’est pas le cas en l’état de l’avant-projet. 39. Afin de garantir que la FSMA puisse procéder à une mise en œuvre proportionnelle de la mesure de publication envisagée (et par conséquent, assurer que le traitement de données découlant de cette mesure de publication soit limité à ce qui est strictement nécessaire et proportionné afin d’atteindre la finalité poursuivie), l’avant-projet devrait prévoir des critères ou des conditions à l’aune desquelles la FSMA serait en mesure d’apprécier le caractère nécessaire et proportionné de la mesure de publication de sa position, eu égard aux circonstances factuelles du dossier concerné. 40. L’Autorité constate à cet égard que l’avant-projet met en place une gradation avant de permettre à la FSMA de rendre publique sa position, ce qui est une approche qui contribue à respecter le principe de proportionnalité. En effet, cette possibilité n’est permise que pour autant que la personne responsable de l’infraction n’a pas remédié à la situation constatée dans le délai que la FSMA a déterminé. 41. Cependant, la mesure de publication telle qu’envisagée par l’avant-projet pose question au regard du principe de proportionnalité. En effet, l’Autorité comprend que la mesure de publication envisagée peut être nécessaire et proportionné si l’ensemble des emprunteurs sont concernés par l’infraction constatée par la FSMA. Mais qu’en est-il dans l’hypothèse où l’infraction constatée ne concerne qu’un seul emprunteur ou un nombre limité d’emprunteurs qui peuvent être raisonnablement joignables de manière directe (seuil qu’il appartiendrait au législateur de fixer) ? Dans cette hypothèse, ne serait-il pas suffisant, pour atteindre la finalité poursuivie, que la FSMA communique directement à l’/aux emprunteur(s) concerné(s) sa position quant aux infractions constatées qui leur sont préjudiciables (pour autant que la FSMA dispose de l’identité du/des emprunteurs impacté(s)) ? De plus, même si l’ensemble des emprunteurs est impacté par l’infraction constatée par la FSMA ou si le nombre d’emprunteurs impactés par l’infraction constatée est important, l’Autorité se demande dans quelle mesure la publication de sa position sur son site Internet serait réellement de nature à informer les emprunteurs concernés, si par exemple, il s’agit d’emprunteurs de crédit à la consommation. 42. Dans ces conditions, il incombe à l’auteur de l’avant-projet de veiller au respect du principe de proportionnalité, qui peut être à géométrie variable, selon les circonstances du cas d’espèce, ainsi que cela a été illustré au point ci-dessus. Il revient ainsi à l’auteur de l’avant-projet d’apprécier de manière rigoureuse le caractère nécessaire et proportionné de la possibilité de permettre à la FSMA de rendre publique sa position sur son site Internet afin d’atteindre la finalité d’information qui est poursuivie et de le justifier dans l’Exposé des motifs. Dans ce cadre, il lui revient de fixer dans l’avant-projet, le seuil au-dessus duquel la publication de la position de la FSMA est justifié et/ou tout autre condition/critère, à l’aune duquel/desquels la FSMA pourra apprécier le caractère nécessaire et proportionné de sa décision de rendre publique sa position, dans la mesure de ce qui est strictement nécessaire afin d’atteindre la finalité d’information qui est visée, et trouver le juste équilibre entre l’objectif d’intérêt général qui est poursuivi et les inconvénients causés par la publication envisagée dans les droits et libertés de la personne responsable de l’infraction. Cela permettra d’assurer une mise en œuvre proportionnelle de la faculté octroyée à la FSMA de rendre publique sa position et participera également au respect des principes de légalité et de prévisibilité qui requièrent que les circonstances et les conditions dans lesquelles un traitement de données à caractère personnel peut avoir lieu soient précisées dans une norme de rang de loi. 43. Par ailleurs, pour autant que la publication envisagée par l’avant-projet concerne une personne physique (ce qui sera rare), il est important que l’avant-projet mentionne de manière suffisamment claire et précise la finalité d’information des emprunteurs concernés qui est poursuivie par la publication de la position de la FSMA (ainsi qu’elle a été identifiée au point 37 ci-dessus) sur son site Internet, afin de respecter les principes de légalité et de prévisibilité. Eu égard à l’ingérence importante causée par une telle publication dans les droits et libertés de la personne responsable de l’infraction, l’avant-projet devrait préciser que ce n’est qu’à titre exceptionnel, lorsque les conditions/critères (à définir par l’auteur de l’avant-projet) sont remplies que la FSMA peut décider de rendre publique sa position en précisant l’identité de la personne responsable de l’infraction, dans la mesure de ce qui est strictement nécessaire pour atteindre la finalité d’information poursuivie. Afin de satisfaire au mieux les principes de légalité et de prévisibilité, l’avant-projet devrait prévoir explicitement que la publication se fera sur le site Internet de la FSMA. 44. En ce qui concerne le respect du principe de minimisation, l’Autorité constate que l’article 30, §1 er, alinéa 2, 1° prévoit que la publication concerne les constatations d’infraction faites en vertu de l’alinéa 1er dudit article 30, §1er, l’identité de la personne responsable de la violation et la nature de celle-ci. Cela n’appelle pas de remarques particulières. 45. A titre de garanties appropriées, l’Autorité estime que l’article 30, §1er, alinéa 2, 1° de l’avant-projet pourrait imposer à charge de la FSMA une obligation de motivation spécifique quant à sa décision de publier sa position en ce qui concerne l’infraction constatée et de rendre cette motivation publique, en même temps que sa position. De plus, l’Autorité relève l’importance de limiter dans le temps l’accès à la publication d’une telle décision à ce qui est strictement nécessaire afin d’atteindre la finalité poursuivie, à savoir, en l’occurrence, dès que la FSMA a constaté qu’il a été remédié à la situation infractionnelle constatée. Il convient de souligner la difficulté pratique et technique qui existe lorsqu’il s’agit de retirer des données qui ont été publiées sur Internet, même si la publication était de courte durée (par exemple, elles restent disponibles dans les moteurs de recherche et dans les archives Internet https://archive.org/). 46. Par souci de complétude, l’Autorité souhaite rappeler que même si la personne responsable de l’infraction sera, dans la plupart des cas, une personne morale et que par conséquent, la publication de l’identité du contrevenant ne tombera pas dans le champ d’application du RGPD, la personne morale concernée peut toutefois se prévaloir de la protection des articles 7 et 8 de la Charte à l’égard d’une telle identification dans la mesure où le nom légal de la personne morale identifie une ou plusieurs personnes physiques27. PAR CES MOTIFS, L’AUTORITE Est d’avis qu’il convient de : 1. clarifier la formulation de la partie de phrase introductive (« Sans préjudice du droit de la FSMA de demander les informations complémentaires qu’elle juge nécessaires pour apprécier le dossier ») à l’article 8, §2 de l’avant-projet (points 7 et 8) ; 2. compléter l’avant-projet afin de mentionner la finalité concrète pour laquelle l’utilisation du numéro d’identification du Registre national est nécessaire (point 11) ; 3. supprimer le lieu de naissance à l’article 5, 15° de l’avant-projet, à moins que le caractère nécessaire et pertinent de la collecte de cette donnée ne soit explicitement justifié dans le commentaire de l’article (point 12) ; 4. compléter l’article 8, §2, 4°, (i) et 5° (i) afin de se référer explicitement à l’extrait de casier judiciaire visé à l’article 596, alinéa 1er du Code d’instruction criminelle afin de démontrer le respect de l’exigence d’honorabilité professionnelle, telle que visée respectivement à l’article 7, §1er, 2°, a) et 4° de l’avant-projet (point 13) ; 5. à l’article 7, §1er, 2°, a) et 4° de l’avant-projet, supprimer le terme « notamment » et compléter, le cas échéant, l’avant-projet par d’autres (catégories d’) infractions pénales qui sont également susceptibles d’impacter l’exercice correct des tâches/fonctions de gestion, d’administration ou de décision au sein du gestionnaire de crédit (point 15) ; 6. compléter l’avant-projet afin qu’il détermine la fréquence/périodicité à laquelle le Casier judiciaire central devra être consulté par la FSMA afin de lui permettre d’exercer son contrôle continu en vertu de l’article 26 de l’avant-projet (point 19) ; 7. adapter l’articles 8, §2, 4°, (ii) et 5°, (ii) de l’avant-projet afin de définir les notions d’« incidents mineurs », de « bonne réputation » et de « preuve d’ouverture », ou à tout le moins de les y préciser (point 22) ; 8. supprimer les termes « au moins » à l’article 13, §2 et 17, §2 (points 25 et 27) ; 9. en ce qui concerne la faculté octroyée à la FSMA de rendre publique sa position sur son site Internet, en application de l’article 30, §1er, alinéa 2, 1° de l’avant-projet : - apprécier de manière rigoureuse le caractère nécessaire et proportionné de cette faculté afin d’atteindre la finalité d’information qui est poursuivie et le justifier dans l’Exposé des motifs (point 42) ; - prévoir les conditions/critères, à l’aune desquels la FSMA pourra apprécier le caractère nécessaire et proportionné de sa décision de rendre publique sa position dans la mesure de ce qui est strictement nécessaire afin de réaliser la finalité d’information du public qui est visée (point 42) ; - mentionner de manière suffisamment claire et précise la finalité d’information des emprunteurs concernés qui est poursuivie par la publication de la position de la FSMA ; préciser que ce n’est qu’à titre exceptionnel que la publication envisagée pourra avoir lieu, et qu’elle aura lieu sur le site Internet de la FSMA (points 37 et 43) ; - prévoir les garanties appropriées accompagnant la mesure de publication visée à l’article 30, §1er, alinéa 2, 1°, de l’avant-projet (point 44). Pour le Service d’Autorisation et d’Avis, (sé.) Cédrine Morlière, Directrice Document PDF ECLI:BE:GBAPD:2024:AVIS.20241018.1 Publication(s) liée(s) précédé par: ECLI:BE:GBAPD:2024:DEC.20240716.1