Wetsontwerp portant organisation d’un Registre des crédits aux entreprises SOMMAIRE Pages Résumé 3 Exposé des mois 4 Avant-projet 44 Analyse d'impact 58 Avis du Conseil d'État. 73 Projet de loi. 98 Avis APD. 116 Avis BCE. 153 Le gouvernement a déposé ce projet de loi le 30 septembre 2021. Le “bon à tirer” a été reçu à la Chambre le 12 octobre 2021. va Nieuw-Vsamse Alanis Écol-Groen …_: Ecolagstes Conlédérés pour l'organisation de lutte onig

30 septembre 2021 de Belgique SOMMAIRE Pages portant organisation d’un Registre des crédits aux entreprises PROJET DE LOI

N-VA : Nieuw-Vlaamse Alliantie Ecolo-Groen Ecologistes Confédérés pour l’organisation de luttes origi PS Parti Socialiste VB Vlaams Belang MR Mouvement Réformateur CD&V Christen-Democratisch en Vlaams PVDA-PTB Partij van de Arbeid van België – Parti du Travail de Belgi Open Vld Open Vlaamse liberalen en democraten Vooruit Vooruit cdH centre démocrate Humaniste DéFI Démocrate Fédéraliste Indépendant INDEP-ONAFH : Indépendant - Onafhankelijk

RÉSUMÉ

Le législateur a confié une mission de centralisation de données relatives aux crédits à la Banque nationale de Belgique (la Banque). Celle-ci a créé la Centrale des crédits aux entreprises (CCE) à cet effet. Cependant, il est apparu que les données actuellement collectées ne sont pas encore suffisantes et que seule une collecte des données à un niveau beaucoup plus désagrégé ainsi que la centralisation d’un large éventail de caractéristiques pour chaque contrat, peut répondre aux besoins de la Banque pour l’exercice de ses différentes missions, notamment le contrôle prudentiel et la stabilité financière.

Une telle évolution permettrait également d’enrichir les informations transmises au secteur financier pour sa propre évaluation des risques de crédit. En outre, la Banque Centrale Européenne (BCE) a élaboré un cadre légal relatif à la collecte de données granulaires sur le crédit et le risque de crédit (Règlement (UE) 2016/867). Il s’applique aux établissements de crédit, mais ce sont les banques centrales nationales qui doivent mettre en place les systèmes de collecte, de validation et de conservation des données en vue de leur transmission à la BCE.

Par ce projet de loi, les dispositions du Règlement (UE) 2016/867 sont mises à profit par le législateur pour adapter la collecte d’informations au niveau national, élargie par rapport à celle requise par le règlement, ce qui évitera une double transmission de données semblables par les institutions financières, dans le cadre du Règlement (UE) 2016/867 et pour les besoins nationaux de la Banque et du secteur financier.

Lorsque la présente loi entrera en vigueur, le Registre des crédits aux entreprises (le Registre) remplacera la CCE

EXPOSÉ DES MOTIFS

Mesdames, Messieurs, EXPOSÉ GÉNÉRAL Depuis 1967, le législateur a confié une mission de centralisation de données relatives aux crédits à la Banque nationale de Belgique (la Banque). Celle-ci a créé la Centrale des crédits aux entreprises (CCE) à cet effet. La base légale régissant le fonctionnement de celle-ci a évolué plusieurs fois. L’actuelle base légale est constituée de la loi du 4 mars 2012 et de l’arrêté royal du 15 juin 2012 relatifs au fonctionnement de la Centrale des crédits aux entreprises.

La crise financière et économique survenue à partir de 2008 avait montré qu’une bonne maîtrise des risques par les institutions financières, notamment ceux liés au crédit bancaire, était indispensable et que de nouvelles dispositions et des moyens appropriés concernant la centralisation des données sur les crédits pouvaient y contribuer. Or, compte tenu de l’évolution des activités de crédit, la CCE ne pouvait trouver dans les dispositions légales existantes la possibilité de collecter les informations nécessaires à une bonne évaluation, d’une part par les institutions financières, des risques encourus dans leur activité d’octroi de crédit, et d’autre part par les autorités de supervision, des risques supportés par le secteur financier.

Ces constatations ont été à l’origine du cadre légal de la CCE mentionné ci-avant qui est encore d’application en 2021. Il a permis de collecter des données supplémentaires sur les crédits, mais seulement de manière agrégée, de recevoir quelques données importantes pour l’évaluation du risque, de supprimer la limite existante de communication de 25 000 euros et d’inclure dans les institutions tenues à déclarer des données, les sociétés de leasing et de factoring.

Malgré ces améliorations, il est apparu qu’elles n’étaient pas encore suffisantes et que seule une collecte des données à un niveau beaucoup plus désagrégé, au moins contrat par contrat, ainsi que la centralisation d’un large éventail de caractéristiques pour chaque contrat, pouvaient répondre aux besoins de la Banque pour l’exercice de ses différentes missions, notamment le contrôle prudentiel et la stabilité financière.

Une telle évolution permettrait également d’enrichir les informations transmises au secteur financier pour sa propre évaluation des risques de crédit. Dès 2007, alors que la crise n’avait pas encore réellement débuté, la centralisation des données sur les

crédits éveillait déjà l’intérêt de la Banque centrale européenne (BCE). Celle-ci avait pu se rendre compte qu’elle ne disposait pas de données détaillées sur les crédits octroyés par les banques et sur les risques qui y étaient liés alors que de telles données pouvaient donner lieu à de multiples études et que leur suivi régulier pouvait apporter une meilleure connaissance de leur impact sur le fonctionnement des entreprises et des marchés financiers, sur la politique monétaire, les risques encourus par le secteur bancaire, etc.

Pour cela, la BCE ne disposait que de données très agrégées ne lui permettant qu’une approche limitée de ces domaines. L’existence de centrales des crédits dans plusieurs banques centrales européennes, qui se réunissaient régulièrement au sein d’un groupe de travail à la BCE afin de partager leurs expériences et d’améliorer leur fonctionnement a constitué une base d’informations sur laquelle s’est fondée la BCE pour développer un cadre de réflexion approfondi pour l’utilisation, et partant de là, la collecte de données extrêmement détaillées, loin au-delà même de ce qui avait été mis en place pour la CCE en 2012.

Les données granulaires sur le crédit et le risque de crédit sont différentes informations détaillées relatives aux instruments qui génèrent un risque de crédit pour les banques. Ces informations détaillées sont nécessaires à la réalisation des missions de l’Eurosystème, du Système européen de banques centrales (SEBC) et du Comité européen du risque systémique, notamment l’analyse de la politique monétaire, les opérations de politique monétaire, la gestion des risques, la surveillance de la stabilité financière, ainsi que les politiques et la recherche macroprudentielles.

Ces données sont également utiles aux fins de la surveillance prudentielle bancaire prévue dans le cadre du mécanisme de surveillance unique (MSU). De telles données renforcent également la capacité d’analyse et de prévention des risques par la Banque dans le cadre de ses différentes missions. C’est pour répondre à ces multiples besoins que la BCE a élaboré un cadre légal relatif à la collecte de données granulaires sur le crédit et le risque de crédit [Règlement (UE) 2016/867 de la BCE du 18 mai 2016 relatif à la collecte de données granulaires sur le crédit et le risque de crédit (BCE/2016/13), dénommé ci-après le règlement AnaCredit].

Il s’applique aux établissements de crédit, mais ce sont les banques centrales nationales (BCN) appartenant au Système européen de banques centrales qui doivent mettre en place les systèmes de collecte, de validation et de conservation des données en vue de leur transmission à la BCE, selon une périodicité et un calendrier préétabli. Le projet global est prévu en plusieurs étapes. Cette approche progressive permet

de tenir compte du délai dont les agents déclarants, appelés agents déclarants, ont besoin pour satisfaire aux différentes exigences en matière de données à communiquer. Le règlement AnaCredit dans son considérant (15) souligne qu’afin de garantir l’efficacité du dispositif de déclaration et une bonne interopérabilité avec d’autres cadres, déjà en place ou nouveaux, il y a lieu d’autoriser les BCN à collecter les informations destinées à être transmises à la BCE dans le cadre d’un dispositif national de déclaration plus large et à étendre les déclarations de données sur le crédit au-delà du périmètre prévu dans le règlement pour leurs propres objectifs statutaires et conformément à leur droit national.

Les BCN sont autorisées à utiliser l’ensemble commun de données granulaires analytiques pour enrichir les retours d’information et autres services d’information existants des centrales de risques et destinés aux agents déclarants. Ainsi, elles fourniraient à ceux-ci une base plus large pour l’évaluation de la solvabilité de leurs débiteurs, grâce à l’harmonisation des définitions et des attributs des données pour l’ensemble de leurs pratiques en matière de prêt.

Elles amélioreraient la gestion du risque de crédit des établissements de crédit et des autres prêteurs. Par ce projet de loi, les dispositions du règlement AnaCredit sont mises à profit par le législateur pour adapter la collecte d’informations au niveau national, élargie par rapport à celle requise par le règlement, ce qui évitera une double transmission de données semblables par les institutions financières, dans le cadre du règlement AnaCredit et pour les besoins nationaux de la Banque et du secteur financier.

En outre, la présente législation deviendra la seule imposant la collecte d’informations auprès des institutions financières en ce qui concerne les crédits aux entreprises, se substituant également à la législation relative à la Centrale des crédits aux entreprises. Cela ne pourra toutefois se faire avant fin 2021 étant donné les développements informatiques nécessaires pour permettre aux banques et sociétés de leasing de consulter les données du Registre des crédits aux entreprises

COMMENTAIRE DES ARTICLES

TITRE II

Le Registre des crédits aux entreprises Article 2 Cet article définit un certain nombre de concepts utilisés dans ce projet de loi portant organisation d’un Registre des crédits aux entreprises, dénommé ci-après Registre. Certains concepts ont été repris de la traduction française du règlement AnaCredit, bien qu’il y ait des concepts belges généralement utilisés pour ces concepts (par exemple, protection au lieu de garantie), afin d’éviter une confusion possible entre les concepts utilisés dans ce projet de loi et ceux dans ce dernier règlement. En effet, les concepts utilisés dans le règlement AnaCredit ont parfois une interprétation différente ou une nuance différente de celle des concepts belges généralement utilisés. Le présent projet de loi s’applique aux établissements de crédit et aux entreprises de leasing résidents, c’està-dire ceux ayant un centre d’intérêt économique sur le territoire économique belge. Ils relèvent soit du droit belge, soit, en agissant via l’intermédiaire d’une succursale, du droit étranger. Les établissements de crédit et les entreprises de leasing sont les agents déclarants tenus de communiquer leurs données au Registre. La référence au Règlement (CE) n° 2533/98 du Conseil pour définir territoire économique et centre d’intérêt économique permet d’harmoniser les concepts utilisés dans ce projet de loi avec les concepts statistiques utilisés dans le règlement AnaCredit. Les établissements de crédit constituent la cible principale visée dans les différentes missions de la Banque et de la BCE. Les risques liés à leurs activités de crédit exigent une surveillance particulière et de plus en plus intense par les autorités nationales et internationales. Les entreprises de leasing ne tombent pas sous le règlement AnaCredit de la BCE, mais il est probable que ce sera le cas dans une étape ultérieure. En tout cas, il est important pour la Banque d’incorporer les entreprises de leasing dans les agents déclarants dès la mise en œuvre de ce projet de loi. Déjà actuellement, elles font partie des institutions tenues à déclaration à la Centrale des crédits aux entreprises et elles restent indispensables comme fournisseurs de données, tant pour les institutions financières pour une meilleure évaluation des risques liés à leurs débiteurs, que pour le

contrôleur prudentiel devant évaluer les risques encourus par le secteur financier. Pour exercer leurs missions, la Banque et la BCE portent leur attention sur les contreparties ainsi que sur les contrats et toutes les dispositions qu’ils contiennent qui peuvent avoir une influence sur l’appréciation du risque encouru. Tout contrat peut être subdivisé en plusieurs parties ayant chacune des caractéristiques différentes et donnant lieu à des risques différents qui peuvent se traduire par le non-paiement total ou partiel des sommes d’argent selon les conditions prévues dans le contrat.

Ces subdivisions dans les contrats sont appelées instrument et représentent le niveau le plus granulaire sur base duquel l’analyse des risques peut être fondée. Dès sa création, l’instrument possède de nombreuses caractéristiques propres au sein d’un contrat comme le type d’instrument, la devise, le type et les taux d’intérêt, le mode d’amortissement, les dates de prise d’effet et d’échéance, les montants concernés, … Certaines de ces caractéristiques sont adaptées ultérieurement en fonction de l’évolution des relations entre le créancier et le débiteur.

Les montants à rembourser fluctuent eux-mêmes régulièrement. On distingue les contrats de crédit et les contrats de leasing pour tenir compte des caractéristiques de l’activité des entreprises de leasing qui en Belgique est réglementée par un cadre légal spécifique. Les entreprises de leasing agents déclarants sont celles qui sont agréées conformément à l’article 2, § 1er, de l’arrêté royal n° 55 du 10 novembre 1967 organisant le statut juridique des entreprises pratiquant la location-financement.

Cet arrêté royal établit précisément les critères auxquels un contrat de leasing doit répondre dans le cadre de l’agrément accordé à une société de leasing. Seuls les contrats conclus dans un cadre professionnel présentent un intérêt pour le Registre et les finalités de celui-ci. Par ailleurs, les contrats de crédit à la consommation et hypothécaire, lesquels sont conclus par des personnes physiques, font déjà l’objet d’un enregistrement dans la Centrale des crédits aux particuliers.

Il faut noter que les facilités de découvert non autorisées sur un compte sont considérées comme des contrats de crédit puisqu’elles font l’objet de conditions contractuelles de remboursement comme toute autre forme de crédit. Une contrepartie est une unité institutionnelle qui est partie à un instrument, à une protection ou qui est affiliée à une partie à un instrument ou une protection.

On distingue quatre types possibles de contreparties liées à un instrument: le créancier, le débiteur, le fournisseur de protection et l’organe de gestion. Par contre, il n’y a qu’un type de contrepartie liée à la protection: le fournisseur de protection. Chaque instrument est lié à au moins deux contreparties: un ou plusieurs créanciers (établissements de crédit ou entreprises de leasing) ainsi qu’un ou plusieurs débiteurs soumis obligatoirement aux règles d’utilisation et de remboursement prévues dans le contrat.

Le débiteur est soumis à une obligation inconditionnelle d’effectuer les remboursements découlant d’un instrument, tandis que le créancier supporte le risque de crédit d’un instrument. Le risque de crédit est le risque que le débiteur ne paie pas une somme d’argent qu’il est contractuellement tenu de payer. Le fournisseur éventuel d’une protection est une autre contrepartie contractuellement liée à un instrument.

Il supporte également le risque de crédit, avant même le créancier, ce qui amène à le distinguer en tant que contrepartie. Une protection permet de limiter le risque de crédit encouru par le créancier. C’est une garantie qui est sollicitée uniquement dans des conditions précises de survenance d’un incident de crédit, c’est-à-dire lorsque le débiteur ne remplit pas partiellement ou complètement ses obligations de paiement d’une somme qu’il est contractuellement tenu de payer au créancier.

Les protections revêtent de nombreuses formes (numéraire, titres, immobilier, …) et font l’objet d’une description détaillée et précise (type, valeur, méthode d’évaluation, date d’évaluation, …). Elles peuvent être apportées et enregistrées dès le moment où l’instrument est créé ou même plus tard. Les caractéristiques d’une protection peuvent être modifiées dans le temps. L’unité institutionnelle est une unité économique qui se caractérise par une autonomie de décision dans l’exercice de sa fonction principale.

La référence à l’unité institutionnelle définie dans le Règlement (UE) n° 549/2013 du Parlement européen et du Conseil permet de couvrir toutes les entités pouvant induire un risque de crédit, qu’elle soit une personne morale ou physique. Cette référence permet d’harmoniser les concepts utilisés dans ce projet de loi avec ceux utilisés dans le règlement AnaCredit.

Une unité institutionnelle peut être une entité qui est établie sous la forme d’une personne morale. Toutefois, au sein d’une personne morale, plusieurs unités institutionnelles peuvent exister lorsque, par exemple, une personne morale crée des succursales à l’étranger sans formes légales ou des véhicules de titrisation qui disposent de droits et d’obligations propres mais ne constituent pas une personne morale distincte.

Afin de couvrir l’ensemble de ces situations, un concept d’entité juridique a été défini, à l’instar du règlement AnaCredit. Par unité institutionnelle affiliée à une contrepartie, on entend le siège social dont dépend l’entité juridique créée au sein de la personne morale, la maison mère immédiate ou la maison mère ultime. Outre les entités juridiques, les unités institutionnelles peuvent être des personnes physiques agissant ou non dans le cadre de leur activité professionnelle.

Si elle est partie au contrat dans le cadre de son activité professionnelle, elle est qualifiée “entreprise personne physique”, sinon elle est qualifiée “personne physique”. Dans la mesure où seuls les contrats établis dans un cadre professionnel sont couverts par la présente loi, une contrepartie “personne physique” peut uniquement être enregistrée comme débiteur si au moins une autre contrepartie agissant dans un cadre professionnel est enregistrée, et comme fournisseur de protection si ladite protection couvre le risque d’un contrat de crédit professionnel.

Les contreparties, résidentes ou non et quel que soit leur rôle, doivent être identifiées précisément et faire l’objet d’une description au travers d’une liste d’attributs (identifiant, nom, adresse, taille de l’entreprise, chiffre d’affaires, probabilité de défaut et défaut de paiement au niveau de la contrepartie pour les personnes morales, ou identifiant, nom, prénom, date de naissance, adresse, … pour les personnes physiques) dont la connaissance est susceptible notamment d’influencer la perception du risque par la Banque.

Enfin, il faut distinguer si l’agent déclarant agit en tant qu’organe gérant les aspects administratifs et financiers d’un instrument et/ou en tant que créancier. Le plus souvent, il agit en tant que créancier, mais pas toujours. Une banque peut être uniquement créancière sans s’occuper de la gestion administrative et financière d’un instrument, ou être l’organe de gestion sans en être créancière. Cette différenciation permet de nuancer la perception du risque lié à un instrument.

Il est enfin important de connaître le moment où se termine un instrument, appelé fin d’un instrument, c’està-dire le moment où il ne constitue plus un risque de crédit ou ne constitue plus un actif pour l’agent déclarant, qui n’est dès lors plus soumis à la communication de l’instrument. La date de fin d’un instrument peut différer de la date de maturité d’un instrument, par exemple en cas de remboursement anticipé ou de défaut de remboursement.

Article 3 La Banque est chargée de la gestion d’un registre contenant les données relatives aux instruments créés dans le cadre de contrats, aux protections apportées et aux contreparties liées aux instruments et protections. Ces trois éléments constituent les piliers permettant l’évaluation des risques de crédit. À la suite d’un commentaire du Conseil d’État, il est précisé que la Banque est responsable de la gestion du Registre comme décrit plus en détail au paragraphe 3.

Les agents déclarants sont ceux qui communiquent au Registre les données à reprendre dans le Registre et qui sont tenus de mettre à jour ces données si nécessaire. L’article 10 précise qui peut consulter les données du Registre. La plupart des données concernant les instruments, les protections et les contreparties sont susceptibles d’être adaptées par les agents déclarants en fonction de leur relation avec les débiteurs et des conditions d’exercice des contrats aussi longtemps que la fin d’un instrument n’a pas été communiquée.

Elles doivent dès lors être régulièrement mises à jour dans le Registre. Les données initiales des instruments, protections et contreparties, ainsi que leurs modifications ultérieures, doivent être communiquées par les agents déclarants conformément aux dispositions de la présente loi et de ses arrêtés royaux d’exécution. Le Registre est destiné, à terme, à remplacer la base de données de la Centrale des crédits aux entreprises, qui contient des données tant sur les personnes morales que sur les personnes physiques dans le cadre de leurs crédits professionnels.

Pour assurer un même service que la CCE aux agents déclarants qui désirent évaluer les risques de crédit qu’ils prennent sur leurs clients ou pourraient prendre sur les clients potentiels, les mêmes débiteurs que ceux de la CCE doivent être repris dans le Registre. C’est pourquoi la collecte de données concerne toutes les personnes morales ainsi que les personnes

physiques qui sont parties prenantes dans des crédits professionnels, ce qui amène la Banque à traiter des données à caractère personnel. La Banque est le responsable du traitement des données à caractère personnel, conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après règlement général sur la protection des données ou RGPD), sans préjudice des propres responsabilités qui reposent sur les agents déclarants qui sont les seuls capables de vérifier l’exactitude des données transmises au Registre et qui, le cas échéant, doivent introduire la correction de celles-ci dans le Registre.

À la suite d’une remarque de l’Autorité de protection des données, il est clarifié que les données concernant les contreparties enregistrées dans le Registre conformément au point 3 du paragraphe 1er de l’article comprennent notamment les données d’identification et les coordonnées, les données de risque de crédit, la situation de défaut ainsi que les caractéristiques des contreparties qui sont liées aux instruments et aux protections.

Dans les caractéristiques à enregistrer, on entend notamment le fait de savoir si la contrepartie est une entité juridique, une entreprise personne physique ou une personne physique, la forme juridique, le secteur institutionnel, l’activité économique, la taille de l’entreprise, le total du bilan et le chiffre d’affaires annuel d’une entité juridique. Conformément à l’article 4, le Roi fixera ces caractéristiques , raison pour laquelle il n’est pas opportun de les préciser dans la loi.

Article 4 C’est au Roi qu’incombe la détermination des nombreuses données visées à l’article 3 qui doivent être communiquées par les agents déclarants, des délais, fréquences et modalités de communication et de mise à jour des données. Les descriptions techniques feront quant à elles l’objet de manuels détaillés et précis rédigés par la Banque, basés sur ceux de la BCE pour les données requises en vertu du règlement AnaCredit.

Le Roi peut exempter de manière permanente certains agents déclarants de communiquer au Registre les contrats qu’ils ont conclus en fonction du montant d’exposition au risque. Par exemple, les contraintes organisationnelles et techniques qui s’imposeraient à de petites entreprises de leasing n’ayant conclu que

quelques contrats avec des encours de crédit peu élevés, pour des raisons très spécifiques et sans en faire une activité habituelle pourraient s’avérer disproportionnées par rapport à l’utilité des données transmises pour les objectifs poursuivis par le Registre. Le Roi pourrait donc exempter ces agents déclarants sur base de ce critère de volume de portefeuille de crédit. Suite à une remarque du Conseil d’État, la Banque ne peut pas elle-même exempter les agents déclarants de communiquer certains types d’instrument.

Si une exemption permanente est octroyée, elle doit porter sur l’ensemble du portefeuille de crédit. Article 5 Les personnes physiques résidentes que les agents déclarants communiquent doivent être identifiées sur base de leur numéro d’entreprise lorsqu’elles en disposent et que les données communiquées le sont dans le cadre de l’exercice de l’activité professionnelle de ces personnes. Il se peut toutefois que des personnes physiques soient enregistrées parce qu’elles sont conjointement solidaires des crédits octroyés à des personnes morales et/ou des personnes physiques exerçant une activité économique ou parce qu’elles fournissent une protection à un débiteur.

Dans ce cas, les personnes physiques doivent être identifiées par leur numéro de registre national des personnes physiques pour autant qu’elles en disposent. Ce sera le cas même si elles disposent d’un numéro d’entreprise, lorsque leur enregistrement ne résulte pas de crédits octroyés dans le cadre de leurs propres activités professionnelles. La communication du numéro de registre national des personnes physiques est dans ce cas indispensable pour permettre une identification précise et correcte.

Afin de pouvoir identifier un maximum de personnes sans numéro d’entreprise au moyen de leur numéro de registre national des personnes physiques, il est judicieux de permettre aux agents déclarants de réutiliser, lors de leur enregistrement dans le Registre, le numéro de Registre national dont ils disposent déjà dans le cadre d’une autre finalité prévue par ou en vertu de la loi, par exemple dans le cadre et pour les besoins de la Centrale des crédits aux entreprises ou aux particuliers ou du Point de contact central tenu par la Banque nationale.

À la demande du Conseil d’État, il est précisé que la réutilisation du numéro de registre national est conforme à l’article 6, paragraphe 4 du RGPD: il est nécessaire

qu’un maximum de personnes physiques soient inscrites au Registre sans erreur quant à leur identité enregistrée, aux fins conformément à l’article 23, paragraphe 1, e), du RGPD, notamment aux fins énoncées à l’article 9, paragraphe 1, 3°, de cette loi. Cet enregistrement correct peut être obtenu par la réutilisation du numéro de registre national dont les agents déclarants disposent déjà dans le cadre d’autres lois, ce qui rend cette mesure proportionnée.

S’ils ne peuvent retrouver le numéro de registre national selon cette disposition, les agents déclarants n’ont d’autre alternative que de demander aux contreparties, qu’elles soient concernées comme débiteur ou fournisseur de protection, de leur communiquer ce numéro, de l’enregistrer sous une forme numérique et structurée dans leurs fichiers et de l’utiliser à des fins d’identification. Article 6 Pour les personnes physiques qui n’agissent pas dans le cadre de leurs activités professionnelles, la Banque doit pouvoir enregistrer et utiliser le numéro d’identification du Registre national des personnes physiques pour les personnes qui en disposent.

Ce numéro permet de les identifier de manière unique et certaine dans les échanges avec les agents déclarants et dans le cadre des consultations du Registre. L’accès au Registre national des personnes physiques est également indispensable afin d’accéder aux numéros d’identification et aux données qui sont utilisées pour l’identification des personnes lors de leur enregistrement. Le seul numéro de Registre national ne suffit pas.

Quelques autres données d’identification sont également collectées et utilisées pour s’assurer de la validité de l’enregistrement d’une personne physique. Ces données d’identification se limitent, outre le numéro, au nom et prénom, lieu et date de naissance et résidence principale. Dans le cadre de la gestion interne du Registre, une mise à jour périodique des données d’identification détenues dans le Registre avec celles enregistrées au Registre national permettra à la Banque de disposer en permanence de données à jour.

N’ont accès au Registre national et uniquement dans le cadre de l’accomplissement des tâches visées par la loi et ses arrêtés royaux d’exécution que les membres du personnel chargé de la gestion du Registre de manière à strictement limiter le nombre de personnes ayant accès au Registre national. Ces membres font l’objet

d’une désignation formelle et spécifique par le membre du Comité de direction de la Banque qui a le Registre sous son autorité. Article 7 Les informations obtenues du Registre national des personnes physiques peuvent être communiquées aux agents déclarants pour autant que ce soit dans les limites de l’exécution des tâches visées par cette loi. En recevant ces informations, les agents déclarants peuvent ainsi vérifier la correspondance entre les données telles qu’enregistrées dans le Registre et celles qu’ils ont euxmêmes transmises.

Ils peuvent ainsi s’assurer que les personnes enregistrées sont bien celles qui sont liées à des instruments ou protection dans leur base de données. Ils disposent ainsi d’informations à jour dans leur base de données. Article 8 La loi et son arrêté royal d’exécution nécessitent d’être complétés par des instructions administratives et techniques destinées aux agents déclarants, tant en ce qui concerne la communication des données au Registre que la consultation de celui-ci.

TITRE III Devoir d’information à l’égard des entreprises personnes physiques et des personnes physiques Article 9 Les obligations d’information à l’article 9 incombent aux agents déclarants; ceux-ci doivent informer les contreparties – entreprises personnes physiques ou personnes physiques qui sont liées à un instrument, qu’elles soient débiteurs ou fournisseurs de protection, avant le premier enregistrement dans le Registre.

La loi liste les informations qui, au minimum, doivent être fournies à ces contreparties par les agents déclarants. Contrairement à la remarque de l’Autorité de protection des données, les objectifs de l’enregistrement dans le Registre sont bien mentionnés de manière claire et précise au point 3 du paragraphe 1er de l’article. La proposition du Conseil d’État de prévoir, à côté de la première information d’une entreprise personne

physique ou d’une personne physique avant le premier enregistrement dans le Registre, aussi une deuxième information lors du premier enregistrement d’un défaut de paiement n’a pas été suivie. L’article 13, paragraphe 4, du RGPD prévoit une exception à l’obligation de notification si la personne concernée a déjà connaissance des informations obligatoires. Le présent projet prévoit qu’avant la première inscription au Registre, le bénéficiaire d’une convention sera informé par l’agent déclarant, entre autres, que les données relatives aux défaillances éventuelles seront enregistrées.

Lorsqu’un défaut est effectivement enregistré, il n’est plus nécessaire de fournir à nouveau cette information. L’observation du Conseil d’État selon laquelle l’obligation d’information devrait également valoir pour les personnes morales n’a pas été suivie. La protection que prévoit le RGPD ne s’applique en effet pas aux personnes morales. Dans le projet présent, le cadre juridique dans lequel les données sont enregistrées est suffisamment explicite de sorte qu’une obligation d’information complémentaire n’est pas jugée nécessaire.

La Banque est dispensée, tout comme dans le cas de la Centrale des crédits aux particuliers et de la Centrale des crédits aux entreprises, de ce devoir d’information, en conformité avec l’article 14 du RGPD qui prévoit des exceptions lorsque l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union ou de l’État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée.

Suite à une remarque de l’Autorité de protection des données, des garanties appropriées additionnelles ont été prévues. De plus, il est fait remarquer que, contrairement à ce qu’estime l’Autorité de protection des données, l’article 9, paragraphe 1er, de la loi prévoit effectivement que toutes les informations mentionnées aux articles 14.1 et 14.2 du RGPD sont transmises par les agents déclarants aux personnes concernées, excepté les instances mentionnées à l’article 10, paragraphe 2, qui doivent pouvoir consulter les données pour les missions qui leur sont confiées par la loi.

À la demande de l’Autorité de protection des données, il y est prévu que les agents déclarants doivent fournir aux personnes concernées toutes les informations mentionnées à l’article 9, paragraphe 1er.

TITRE IV

Consultation, communication et conservation des données du Registre Article 10 Etant donné que l’un des objectifs du Registre consiste à procurer aux institutions financières des informations leur permettant d’évaluer correctement les risques liés à leur activité d’octroi de crédit, cet article, dans son premier paragraphe, prévoit en première instance d’autoriser les agents déclarants à consulter le Registre préalablement à la conclusion d’un contrat avec un débiteur potentiel, ainsi que dans le cadre de la gestion d’un contrat ou de ses instruments. Les règles relatives à la consultation par les agents déclarants sont établies par le Roi. Celui-ci peut aussi limiter les données communiquées dans les réponses en fonction, par exemple, du caractère confidentiel de certaines informations qui ne peuvent absolument pas être partagées entre agents déclarants (taux d’intérêt offert, report d’échéance, …) ou lorsqu’elles n’ont qu’un intérêt exclusivement pour la Banque. En aucun cas, le Registre ne peut être consulté à des fins autres que celles prévues par la loi, notamment pour de la prospection commerciale. À côté du cadre de consultation ci-dessus, le paragraphe 2 prévoit que les informations collectées peuvent également être transmises à d’autres personnes et organes à des fins spécifiques. Il s’agit notamment de l’Autorité des services et marchés financiers (FSMA) pour l’exécution des missions qui lui ont été confiées par ou en vertu de la loi du 21 décembre 2013 relative à diverses dispositions concernant le financement des petites et moyennes entreprises. Les données communiquées ne permettent toutefois pas d’identifier les débiteurs car elles sont agrégées par agent déclarant et sont limitées aux nombres, montants et types de crédits accordés. Les données à caractère personnel collectées par la Banque lorsque des personnes physiques sont liées à des instruments ou protections peuvent devoir être délivrées à l’Autorité belge de protection des données pour l’exécution de ses missions.

Le Service Public Fédéral Économie doit pouvoir recevoir des informations du Registre qui s’avèrent nécessaires dans le cadre de la constatation d’infraction et d’imposition de sanction. Des informations contenues dans le Registre doivent aussi pouvoir être transmises au cours d’un témoignage en justice en matière pénale, ainsi qu’en réponse à une sollicitation spécifique et motivée du procureur du Roi.

Suite à une remarque du Conseil d’État, il est précisé que la communication de données enregistrées dans le Registre au cours d’un témoignage en matière pénale vise e.a. les cas où la Banque est citée comme témoin au cours d’une instruction criminelle ou d’un procès. Est également visée l’hypothèse d’une demande d’information par un magistrat (p.e. juge d’instruction, procureur du Roi, substitut) dans le cadre de l’information ou de l’instruction judiciaire dont il est chargé.

De plus, des données seront extraites périodiquement du Registre en vue de leur transmission à la BCE conformément au règlement AnaCredit, ce qui évitera de devoir les collecter par ailleurs uniquement à cette fin et d’accroître la charge de reporting des établissements de crédit vis-à-vis de la Banque. Cette transmission ne concerne toutefois que des données relatives à des contreparties qui sont des entités juridiques.

Le Registre, pour ce qui concerne uniquement les entités juridiques, peut être également consulté par des institutions financières étrangères via leur banque centrale nationale. Un tel accès n’est toutefois possible qu’à condition que les finalités poursuivies, les données enregistrées et la protection légale assurée en matière de secret professionnel soient équivalentes à celles du Registre et qu’elles fournissent, à titre de réciprocité, leurs données au Registre.

De telles consultations ne peuvent avoir lieu que dans le cadre du dispositif de transmission, par la Banque centrale européenne, de données granulaires de crédit et de risque de crédit collectées par d’autres banques centrales nationales, et de partage des données aux fins de rétrocessions d’informations pour les agents déclarants, conformément à l’Orientation (UE) 2020/381 de la Banque centrale européenne (BCE) du 21 février 2020 modifiant l’Orientation (UE) 2017/2335 de la Banque Centrale Européenne (BCE) du 23 novembre 2017 relative à la collecte de données granulaires sur le crédit et le risque de crédit (BCE/2017/38).

Le paragraphe 3 rappelle le caractère confidentiel des données et la nécessité pour les personnes qui ont obtenu des données du Registre de garantir ce caractère confidentiel tout en se conformant aux usages prévus par

la loi. C’est précisément le cas des agents déclarants qui reçoivent des informations venant du Registre: seules les personnes ayant besoin des informations dans l’exercice de leurs fonctions peuvent y avoir accès. des données, il est précisé qu’aucun protocole ne doit être conclu au sens de l’article 20 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel lorsque la transmission de données satisfait aux conditions que l’Autorité de protection des données a exposées dans sa Recommandation n° 02/2020 du 31 janvier 2020 “…lorsqu’une norme prévoit explicitement qui (destinataire) se voit transmettre quoi (catégories précises des données communiquées), quand et pourquoi (finalités et modalités de la communication), la communication ne doit pas être formalisée par un protocole entre le responsable du traitement initial et le responsable du traitement destinataire des données, étant donné que le traitement est déjà encadré de manière suffisante par une règlementation générale.”.

Article 11 Conformément au règlement général sur la protection des données, cet article prévoit que chaque entreprise personne physique et chaque personne physique a accès, sans frais, aux données enregistrées à son nom dans le Registre et peut librement et sans frais demander la rectification des données erronées. Dans la mesure où la Banque ne peut pas contrôler ou apprécier en toute indépendance l’exactitude des données enregistrées dans le Registre, elle communiquera toute demande de rectification à l’agent déclarant.

Ce dernier est en effet seul capable de vérifier l’exactitude des données transmises au Registre et doit, le cas échéant, introduire la correction de celles-ci dans le Registre. Une dérogation à l’article 15 du RGPD est prévue et se justifie par le fait que parmi les données enregistrées dans le Registre figureront aussi des données relevant de la gestion interne de l’agent déclarant communiquées au Registre, entre autres, dans le cadre du suivi prudentiel du traitement comptable et de la gestion du risque des instruments de crédit (classification en normes comptables belges et/ou IFRS, impairment dans le cadre de rachat de portefeuille de crédit, part du risque de crédit transférés dans des véhicules de titrisation, etc.).

Il s’agit de données qui sont le résultat d’appréciations, de calculs, d’hypothèses, de modes de comptabilisation et systèmes internes propres à l’agent

déclarant concerné. La collecte de ces données est indispensable dans le cadre de l’analyse des risques encourus par le secteur financier. Toutefois, ces données sont strictement confidentielles et ne sont pas connues des différentes parties au contrat. Elles ne sont, par leur nature, pas propres à être communiquées telles quelles parce qu’elles fournissent un éclairage sur la méthodologie propre à l’agent déclarant et que leur divulgation à n’importe quel moment pourrait avoir une incidence potentiellement considérable sur la gestion de l’entreprise.

Pour autant que les données ne constituent pas des éléments du contrat qui lie juridiquement les parties, ou une modalité d’exécution du contrat connue des parties, et pour autant ces données ne sont pas accessibles aux autres agents déclarants dans le cadre d’une consultation du Registre, une dérogation est dès lors prévue au droit de la personne concernée à recevoir communication de la totalité des données enregistrées à son nom, tout comme il a été prévu pour la Centrale des crédits aux entreprises et la Centrale des crédits aux particuliers.

Vu que ces données découlent de l’application de la méthodologie interne de l’agent déclarant, elles n’entrent donc pas en considération pour rectification par la personne concernée. Il a été tenu compte de la demande de l’Autorité de protection des données afin de délimiter plus précisément le périmètre des données couvertes par cette dérogation. Puisque le Roi détermine quelles données sont enregistrées dans le Registre, c’est également au Roi qu’est attribuée la compétence de déterminer quelles données enregistrées, reposant sur les modèles de gestion de l’agent déclarant concerné, ne sont pas communiquées à l’entreprise personne physique ou la personne physique qui exerce son droit d’accès ou de rectification.

Mise à part l’exception aux droits d’accès et de rectification pour certaines données spécifiques, la Banque doit aussi pouvoir bénéficier d’une exemption plus générale aux droits spécifiques qui sont conférés aux personnes physiques par les articles 12 à 24 et par l’article 34 du RGPD et qui s’appliquent en principe à tout traitement de données à caractère personnel, autrement dit d’une exemption pour la totalité des données à caractère personnel consignées dans le Registre.

Cette exemption est motivée par le souci de ne pas entraver le fonctionnement et la gestion efficaces du Registre, compte tenu des objectifs d’intérêt public général que sert ledit Registre. Le RGPD lui-même prévoit déjà plusieurs exceptions pouvant en tout état de cause s’appliquer au traitement de données à caractère personnel dans le cadre de la

gestion du Registre: l’exception à la fourniture d’informations aux personnes concernées lorsque les données ont été communiquées par des tiers, telle que prévue à l’article 14, paragraphe 5, point c), du RGPD; l’exception au droit à l’effacement (“droit à l’oubli”), telle que prévue à l’article 17, paragraphe 3, point b), et l’exception au droit à la limitation du traitement, telle que prévue à l’article 18, paragraphe 2, du RGPD.

En l’absence de ces exceptions, les personnes concernées pourraient entraver la gestion du Registre par la Banque en exerçant ces droits. La requête de l’Autorité de protection des données visant à supprimer la référence à l’article 17, paragraphe 3, point b, du RGPD, n’est pas suivie puisque le RGPD lui-même prévoit expressément une exception au droit à l’effacement des données si ces dernières sont traitées pour respecter une obligation de traitement légale ou pour remplir une mission d’intérêt public, sans que la nécessité de cette exception ne doive être démontrée.

Dans la même optique, il est nécessaire que, outre ces exceptions prévues dans le RGPD même, des limitations soient également apportées à certains autres droits octroyés par le RGPD aux personnes concernées, ainsi qu’aux obligations y afférentes du responsable du traitement, en ce qui concerne le traitement de données à caractère personnel par la Banque dans le cadre de la gestion du Registre. Ces limitations peuvent être instaurées conformément à l’article 23, paragraphe 1, du RGPD.

Il importe ainsi que la Banque soit dispensée de l’obligation de communiquer aux personnes concernées les informations énumérées aux articles 13 et 14 du RGPD. Il n’est pas donné suite à la demande de l’Autorité de protection des données de supprimer la référence à l’article 13, puisque, dans le cadre de la gestion du Registre, la Banque recevra effectivement et de manière légitime des données à caractère personnel directement de la personne concernée, p. ex. dans le cas d’une communication ou dans le cadre de l’exercice du droit d’accès.

Concrètement, cela signifie que, compte tenu de l’exception déjà prévue à l’article 14, paragraphe 5, point c), du RGPD, il convient d’intégrer dans ce projet une exception explicite en faveur de la Banque à l’application de l’article 13 du RGPD. De plus, l’article 19 du RGPD dispose que le responsable du traitement doit notifier à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18 du RGPD, à moins qu’une telle communication se révèle impossible ou exige des efforts disproportionnés.

Il est évident

que si la Banque était tenue de notifier aux destinataires des données à caractère personnel consignées dans le Registre toute rectification ou toute limitation du traitement de ces données, cela lui demanderait des efforts disproportionnés, compte tenu du nombre élevé de données à caractère personnel que contient le Registre. L’Autorité de protection des données indique que l’envoi d’un message électronique doit être possible dans ces cas-là.

Cela nécessiterait cependant toujours une intervention manuelle. De plus, toute contestation de la personne concernée sera bien indiquée dans le Registre, de sorte que l’agent déclarant en sera informé en cas de prise de décision. Par conséquent, le projet stipule explicitement, par souci de clarté, que l’article 19 du RGPD ne s’applique pas aux traitements de données à caractère personnel effectués par la Banque dans le cadre de la gestion du Registre.

En outre, il est indiqué d’inclure dans le projet une exception explicite à l’application de l’article 21 du RGPD, dont le premier paragraphe définit le droit des personnes concernées de s’opposer à tout moment, pour des raisons tenant à leur situation particulière, à un traitement des données à caractère personnel les concernant fondé sur les motifs de traitement prévus à l’article 6, paragraphe 1, points e) et f), du RGPD.

Ces motifs de traitement concernent respectivement la nécessité du traitement à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, et la nécessité du traitement aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, dans certaines circonstances. L’article 21, paragraphe 1, dispose que, dans le cas d’une telle opposition au traitement, le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.

Bien que le motif de traitement du Registre repose essentiellement sur l’article 6, paragraphe 1, point c), du RGPD, il n’est pas exclu qu’une personne concernée tente de se prévaloir d’un des motifs de traitement mentionnés à l’article 21 du RGPD pour exiger l’application de l’article 21. Compte tenu de la nature des objectifs du Registre, il est évident que l’arrêt du traitement de certaines données à caractère personnel consignées dans le Registre n’est pas acceptable.

Même si la Banque dispose à cet égard d’un motif légitime et impérieux pour le traitement de ces données répondant aux conditions évoquées à l’article 21, paragraphe 1, il est indiqué d’exclure explicitement le traitement de données à caractère personnel

dans le cadre de la gestion du Registre par la Banque de l’application de l’article 21 du RGPD. Les exceptions qui figurent explicitement dans le projet sont basées sur l’article 23, paragraphe 1, du RGPD, qui dispose que le droit de l’État membre auquel le responsable du traitement ou le sous‑traitant est soumis peut, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus dans certains articles de ce règlement.

La condition est que cette limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir l’un des objectifs énumérés aux points a) à j) de cette disposition. La possibilité de prévoir une limitation telle que visée au paragraphe précédent concerne les articles suivants du RGPD: (i) les articles 12 à 22, qui définissent les droits dont bénéficient les personnes concernées; (ii) l’article 34, qui porte sur la communication à la personne concernée d’une violation de ses données à caractère personnel; (iii) l’article 5, qui formule les principes applicables aux traitements de données à caractère personnel, dans la mesure où les dispositions de ces articles correspondent aux droits et obligations prévus aux articles 12 à 22.

Les objectifs pouvant justifier le recours à cette possibilité concernent entre autres “d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale”. Le Registre contient des données concernant les crédits octroyés aux entreprises, y compris à des personnes physiques, ainsi que des informations permettant d’évaluer la solvabilité de ces emprunteurs.

Il peut être consulté par les prêteurs dans le cadre de la procédure précédant la décision d’octroi de crédit. Cela leur permet de prendre cette décision en meilleure connaissance

de cause, ce qui contribue à un objectif d’intérêt public général, à savoir la préservation de la stabilité financière. L’article 23, paragraphe 2, du RGPD dispose que les mesures législatives visant à instaurer les limitations prévues à l’article 23, paragraphe 1, dudit règlement doivent contenir des dispositions spécifiques relatives, au moins, le cas échéant, aux points décrits ci-dessous. a) Les finalités du traitement ou des catégories de traitement Les finalités du traitement de données à caractère personnel consistent en la gestion du Registre par la Banque, conformément aux dispositions du présent projet.

Le traitement vise dès lors l’exécution par la Banque d’une mission d’intérêt public. b) Les catégories de données à caractère personnel et l’étendue des limitations introduites L’exception aux droits d’accès et de rectification prévus aux articles 15 et 16 du RGPD est, comme indiqué, uniquement applicable aux données à caractère personnel consignées dans le Registre qui relèvent des secrets d’affaires des prêteurs qui les ont enregistrées dans le Registre, telles que les données de risque de crédit.

Les autres exceptions prévues ayant essentiellement pour but de garantir la gestion correcte et efficace du Registre de manière générale, elles portent sur l’ensemble des données à caractère personnel consignées dans le c) Les garanties destinées à prévenir les abus ou l’accès ou le transfert illicites Afin de répondre aux remarques formulées par le Conseil d’État, qui estiment que le dernier alinéa du paragraphe 1, relatif aux garanties destinées à prevenir les abus ou l’accès ou le transfert illicites, ne fait que renvoyer à des dispositions du RGPD qui sont d’application directe, le dernier alinéa du paragraphe 1 est supprimé.

Cette suppression permet également de rencontrer l’observation du Conseil d’État selon laquelle ce paragraphe méconnaîtrait l’article 22 de la Constitution en confiant à des institutions l’élaboration des mesures tendant à garantir la protection des droits des personnes concernées contre les ingérences injustifiées dans leur droit au respect de la vie privée sans en fixer les élements essentiels alors que l’article 22 de la Constitution réserve au législateur le pouvoir de

fixer dans quels cas et dans quelles conditions il peut être porté atteinte au droit au respect de la vie privée. Des dispositions législatives spécifiques prévoient des garanties permettant de prévenir les abus, l’accès ou le transfert illicites visés par l’article 23, paragraphe 2, d), du RGPD. Premièrement, l’article 35, paragraphe 1er, de la loi du 22 février 1998 énonce que: “Hors le cas où ils sont appelés à rendre témoignage en justice en matière pénale, la Banque et les membres et anciens membres de ses organes et de son personnel sont tenus au secret professionnel et ne peuvent divulguer à quelque personne ou autorité que ce soit les informations confidentielles dont ils ont eu connaissance en raison de leurs fonctions.”.

Cette obligation de secret professionnel est imposée par la loi non seulement à la Banque elle-même, mais également aux membres (et anciens membres) de son personnel et de ses organes, et son non-respect est sanctionnée pénalement. Cette obligation de secret professionnel constitue une garantie contre les abus, l’accès ou le transfert illicites visés par l’article 23, paragraphe 2, du RGPD. En outre, l’article 10 du projet prévoit de manière exhaustive par qui ou à qui, et dans quelles conditions, les données du Registre peuvent être consultées ou communiquées.

Ces personnes doivent prendre les mesures nécessaires pour garantir la confidentialité des données et leur utilisation exclusive aux fins prévues. En outre, il est interdit d’utiliser les données à des fins de prospection. En plus, afin de fournir les garanties nécessaires, la Banque adapte son cadre de sécurité des informations en ce qui concerne les données à caractère personnel à la méthodologie des risques qu’elle utilise dans les domaines de la gouvernance et de la conformité.

Cette approche intégrée garantit une gestion efficace des risques inhérents au traitement des données à caractère personnel dans le cadre de la gestion du Registre, puisque le niveau de management le plus élevé de la Banque participe à la gestion des risques de ces données et que son délégué à la protection des données (Data Protection Officer) veille, à titre de partie indépendante, à la préservation des droits et libertés des personnes concernées.

La méthodologie des risques de la Banque implique le classement des risques par catégorie – à savoir critique, moyen ou faible – en fonction de l’incidence qu’aurait un événement indésirable relatif à ces données et de la probabilité qu’un tel événement se produise. S’agissant spécifiquement des informations traitées par la Banque,

une attention particulière est accordée à leur confidentialité, à leur disponibilité et à leur intégrité. Conformément au cadre existant au sein de la Banque et compte tenu des exigences imposées par le RGPD, la classification des risques pour les données à caractère personnel au sein de la Banque se déroulera en principe comme suit: — les données à caractère personnel ordinaires recevront un indicateur d’incidence majoré pour la confidentialité et un indicateur moyen pour l’intégrité et pour la disponibilité; au sein de l’organisation des institutions, l’information sera traitée comme une “information confidentielle”; — les données à caractère personnel spéciales ou sensibles au sens des articles 9 et 10 du RGPD recevront un indicateur maximal pour la confidentialité et un indicateur moyen pour l’intégrité et pour la disponibilité; au sein de l’organisation, l’information sera traitée comme une “information secrète”.

D’après cette méthodologie, les données à caractère personnel consignées dans le Registre recevront en principe un indicateur élevé pour la confidentialité et un indicateur moyen pour l’intégrité et pour la disponibilité, mais le délégué à la protection des données pourra toujours proposer, dans le cadre de la validation d’un processus de traitement et des indicateurs de risque qui lui ont été attribués, de relever l’indicateur accordé à l’intégrité et/ou à la disponibilité pour ces données L’indicateur de risque majoré qui sera en principe attribué à la confidentialité des données à caractère personnel implique que le risque général pour ces données sera potentiellement classé dans la zone critique, ce qui nécessitera de le soumettre à la décision du Comité de direction de la Banque.

En fonction de l’indicateur de risque attribué, la Banque établit des mesures permettant de préserver de manière appropriée la confidentialité, l’intégrité et la disponibilité des données à caractère personnel consignées dans le Registre. À cet égard, le principe est – bien entendu – de prévoir des mesures plus fortes pour les données à caractère personnel présentant un indicateur de risque plus élevé.

Les mesures prises peuvent porter sur trois catégories d’aspects: — les aspects techniques, c’est-à-dire le traitement technique des données et leur protection, qui ne se limitent pas aux TIC mais qui concernent également les traitements sur papier, la communication orale, etc.;

— les aspects procéduraux, c’est-à-dire la structuration du processus de traitement de ces données, y compris le flux des données et les procédures prévues; et — les aspects humains, c’est-à-dire les interventions d’individus dans ce processus, en ce compris leur respect des procédures et leur sensibilisation aux risques pour les personnes concernées et à l’importance des procédures. La conformité des mesures prévues par la Banque est évaluée dès la phase de projet.

Au vu de la nature confidentielle de ces données à caractère personnel et de l’indicateur de risque qui y est associé, les mesures qui sont prises à l’égard de ces données sont soumises à un processus de validation qui s’opère selon le modèle dit des trois lignes de défense et qui implique que ces mesures fassent l’objet d’un suivi continu et de contrôles permanents pouvant aller de contrôles de conformité (compliance checks) à des tests de pénétration (penetration tests).

Ce processus de validation débouchera sur la mise au jour de points perfectibles (analyse des lacunes ou gap analysis). Ces points se voient attribuer une estimation de l’incidence possible et du risque de survenance d’un événement ayant une telle incidence et permettent d’établir une évaluation du risque actuel, des mesures (supplémentaires) nécessaires et du risque résiduel après la mise en place desdites mesures supplémentaires.

En d’autres termes, cette analyse complète des lacunes apporte une nouvelle contribution à la politique de gestion des risques menée par la Banque, en ce sens qu’elle permet de fixer des priorités concernant les actions complémentaires à entreprendre pour maîtriser les risques. d) La détermination du responsable du traitement ou des catégories de responsables du traitement La Banque assume la fonction de responsable du traitement, comme le stipule expressément l’article 3, paragraphe 3, du projet. e) Les durées de conservation et les garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement Les durées de conservation sont définies à l’article 12 du projet.

S’agissant des garanties applicables, il importe de mentionner que la Banque ainsi que les membres de

ses organes et de son personnel sont soumis à une obligation de secret professionnel, visée à l’article 35 de la loi du 22 février 1998 fixant le statut organique de la Banque nationale de Belgique, et qui est pénalement sanctionnée.) f) Les risques pour les droits et libertés des personnes concernées Les limitations prévues induisent peu de risques pour les droits et libertés des personnes physiques dont les données sont enregistrées dans le Registre, dès lors que la Banque, qui est responsable de la gestion du Registre, est une autorité administrative tenue au respect des principes de bonne administration.

Par ailleurs, ce qui importe aussi à cet égard est qu’aucune exception n’est prévue à l’ensemble des droits des personnes concernées, qui continuent de pouvoir exercer leur droit d’accès et de rectification envers une partie des données à caractère personnel les concernant qui sont enregistrées dans le Registre. Si, après avoir fait valoir ce droit, elles jugent que le traitement de leurs données à caractère personnel exercé dans le cadre de la gestion du Registre ne garantit pas suffisamment leurs droits et libertés, elles peuvent entreprendre des démarches supplémentaires.

Les personnes concernées disposent en effet, en vertu de l’article 77 du RGPD, de la possibilité d’introduire une réclamation auprès de l’autorité de contrôle désignée par l’article 51, paragraphe 1, du RGPD, si elles estiment que le traitement de données à caractère personnel les concernant constitue une infraction au RGPD. En vertu de l’article 79, ces personnes disposent également d’un droit de recours effectif devant les cours et tribunaux si elles jugent que les droits que leur confère le RGPD ont été violés à la suite d’un traitement de leurs données à caractère personnel non conforme audit règlement. g) Le droit des personnes concernées d’être informées de la limitation, à moins que cela risque de nuire à la finalité de la limitation Les personnes concernées sont informées des limitations prévues dans la mesure où celles-ci sont explicitement mentionnées dans la loi.

Le paragraphe 3 de l’article 11 du projet fixe les modalités de l’exercice du droit de rectification visé aux paragraphes 1er et 2 du projet d’article et qui, pour ce qui est des données relatives à des personnes physiques, est prévu par l’article 16 du RGPD. La Banque tient les données enregistrées dans le Registre des agents déclarants, qui les extraient de leurs propres fichiers

informatiques. Le constat selon lequel les données figurant dans le Registre sont inexactes signifie ipso facto que les mêmes informations erronées sont également présentes dans les fichiers del’agent déclarant concerné. L’exercice efficace du droit de rectification implique dès lors que la personne au nom de laquelle des informations inexactes sont enregistrées dans le Registre, exerce de préférence son droit de rectification directement auprès de l’agent déclarant.

Celui-ci doit alors, dans un premier temps, corriger l’information erronée dans ses propres fichiers avant de communiquer cette rectification au Registre. Si, toutefois, une personne souhaite exercer son droit de rectification auprès de la Banque, cette dernière est alors tenue de transmettre cette demande à l’agent déclarant qui a communiqué les informations litigieuses au Registre, en requérant de cet agent déclarant qu’il corrige les données erronées tant dans ses propres fichiers que dans le Registre.

En effet, la Banque n’est en tout état de cause pas en mesure de vérifier si l’information contestée est inexacte ou non: seul l’agent déclarant le peut. Celui-ci est alors tenu de corriger les informations erronées dans ses fichiers avant de communiquer également cette rectification au Registre. À défaut pour l’agent déclarant de procéder à cette rectification, la Banque pourra l’effectuer elle-même d’office sur la foi d’un jugement ou d’un arrêt exécutoire confirmant l’inexactitude des données enregistrées.

Seuls les cours et tribunaux sont en effet à même de se prononcer en connaissance de cause sur le bien-fondé des points de vue contradictoires de la personne concernée, d’une part, et de l’agent déclarant, d’autre part. Ce qui précède vaut uniquement si l’inexactitude des données figurant dans le Registre ne résulte pas d’une manipulation erronée des données par la Banque elle-même. Dans ce cas, les personnes physiques et morales concernées adressent leur demande de rectification à la Banque.

L’Autorité de protection des données conseille que le droit de rectification soit exercé, en tout état de cause, directement auprès de la Banque, qui soit fera elle-même le nécessaire (si les données erronées étaient imputables à une erreur dans le traitement des données commise par la Banque elle-même), soit prendra contact avec l’agent déclarant concerné. Cette façon de procéder est bel et bien décrite dans le projet d’article et n’est nullement exclue, mais la préférence est donnée à l’exercice du droit de rectification auprès des agents déclarants.

Étant donné que la procédure indiquée comme étant privilégiée dans le projet d’article est la plus efficace, c’est-à-dire celle qui simplifie l’exercice du droit de rectification de la personne concernée, puisque cette dernière est en relation directe avec l’agent déclarant et non avec la Banque, la proposition de l’Autorité de protection des données n’a pas été suivie. Le paragraphe 4 du présent projet d’article stipule que les personnes physiques et morales concernées

peuvent, dans le cadre de leur droit d’accès prévu aux paragraphes 1er et 2 du projet d’article, obtenir un relevé des agents déclarants qui ont consulté les données figurant dans le Registre qui portent sur les personnes physiques et morales concernées dans les six mois civils précédant la date de la demande d’accès, en vertu de l’article 10, paragraphe 1er. Au titre de leur droit d’accès, elles peuvent également obtenir un relevé des instances auxquelles les données les concernant qui figurent dans le Registre ont été communiquées dans les six mois civils précédents conformément à l’article 10, paragraphe 2, du présent projet.

Sur la base de ce relevé, les personnes physiques et morales concernées peuvent ensuite vérifier si lesdits agents déclarants ou lesdites instances qui ont reçu ces données ont respecté les exigences applicables à ces consultations et communications. Il y a toutefois lieu de prévoir une exception à ce droit d’accès aux données relatives aux demandes d’information du Registre introduites conformément à l’article 10, paragraphe 2, du présent projet, lorsque la demande d’information émane du procureur du Roi par sollicitation spécifique et motivée.

Cette exception, qui est prévue par l’article 23(1), d), du RGPD (notamment “la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces”), touche en effet à l’ordre public. Les garanties destinées à prévenir les abus ou l’accès ou le transfert illicite des données, auxquelles se réfère l’article 23(2), d), du RGPD sont décrites dans l’article 10, paragraphe 3.

De même, les risques pour les droits et libertés des personnes concernées, auxquels se réfère l’article 23(2), g), du RGPD, sont limités par l’ensemble des garanties prévues par le cadre légal strict dans lequel ces personnes habilitées à recevoir l’information évoluent. Ces demandes émanent en effet de personnes qui sont chargées par la loi d’importantes missions d’intérêt public et qui n’opèrent que dans le cadre et les limites tracées par la loi.

Les exceptions précitées respectent dès lors l’essence des libertés et droits fondamentaux de la personne concernée et constituent une mesure nécessaire et proportionnée pour sauvegarder les intérêts légitimes d’une société démocratique. Enfin, aux fins de l’exercice de ce volet du droit d’accès, le paragraphe 4 prévoit que la Banque conserve les données déterminées par le Roi relatives aux consultations et communications concernées.

L’Autorité de protection des données estime, dans son avis, que le projet qui lui a été soumis n’incluait pas tous les points mentionnés à l’article 23 (2) du RGPD. À la suite des remarques du Conseil d’État et de l’Autorité

de protection des données, des modifications et des explications complémentaires ont été apportées, de manière à ce que cela soit à présent bien le cas. Les personnes morales enregistrées dans le Registre disposent également d’un droit d’accès et de rectification. Le Roi fixe les modalités de l’exercice de ce droit d’accès au Registre par les personnes morales enregistrées, ainsi que les frais éventuels que la Banque peut réclamer dans ces cas.

Tout comme pour les personnes physiques, le Roi détermine quelles données enregistrées ne seront pas communiquées à la personne morale qui exerce son droit d’accès ou de rectification. Article 12 Les données du Registre sont consultées par les agents déclarants qui désirent évaluer les risques qu’ils encourent, conformément à l’article 10, paragraphe 1, communiquées auxinstances mentionnées à l’article 10, paragraphe 2, ou utilisées par la Banque dans le cadre des finalités reprises à l’article 20 (scientifiques, statistiques ou pour des activités menées conformément à la loi du 22 février 1998 fixant le statut organique de la Banque).

Les données d’un instrument ou d’une protection ainsi que les données relatives à une contrepartie sont accessibles par les agents déclarants jusqu’à la date de fin de cet instrument ou de cette protection. Les données relatives à une contrepartie sont accessibles par les agents déclarants jusqu’à la date de fin du dernier instrument et de la dernière protection auxquels elle est liée. La période durant laquelle les données d’un instrument ou d’une protection peuvent être communiquées à d’autres institutions telles que visées à l’article 10, paragraphe 2, peut aller jusqu’à deux ans après la fin d’un instrument ou d’une protection.

À des fins de communication, les données relatives à une contrepartie sont également pertinentes durant deux ans après la fin du dernier instrument enregistré ou de la dernière protection. Il s’agit d’une durée maximum au-delà de laquelle les données ne sont plus communiquées par la Banque. À la suite d’un commentaire de l’Autorité de protection des données relatif à cette durée de conservation, il est précisé qu’une telle durée de conservation est nécessaire en raison de la complexité des données, pour permettre à la Banque d’effectuer des contrôles sur la qualité des données et aux agents déclarants de procéder aux corrections exigées et, pour les données communiquées dans le cadre du règlement

AnaCredit, de satisfaire aux exigences de la Banque centrale européenne. Cette durée de deux ans de conservation des données relatives aux instruments, protections et contreparties pourrait toutefois être réduite par le Roi. Dans le cadre des finalités poursuivies par la Banque lorsqu’elle veut utiliser les données du Registre, il est essentiel que la période de consultation possible soit bien plus longue pour pouvoir disposer de séries de données qui permettent d’observer et d’analyser les évolutions à travers le temps.

Une période de 30 ans permet de répondre à de tels objectifs. En ce qui concerne les contreparties qui sont des personnes physiques, et contrairement aux personnes morales, leur identification ne présente pas d’intérêt au-delà de la fin du délai de conservation aux fins de consultation des données qui sont relatives aux instruments et protections auxquelles les contreparties personnes physiques sont liées.

Dès ce moment, les données seront pseudonymisées de manière à conserver la possibilité de les identifier à nouveau si la finalité de la consultation envisagée justifiait le caractère indispensable d’une identification des contreparties. Ce serait le cas si l’on devait croiser les données du Registre avec celles d’une autre base de données reprenant des personnes physiques. L’enregistrement des données relatives aux consultations et aux communications effectuées conformément à l’article 10, paragraphes 1er et 2, de la loi, dont le Roi fixera les modalités sur la base de l’article 11, paragraphe 4, doit notamment permettre à la Banque de déterminer les frais inhérents à la consultation et à la communication des données enregistrées dans le Registre qui sont visés à l’article 21 du présent projet, et d’établir la part de ces frais qui incombe à chaque agent déclarant.

De surcroît, cela permet à la Banque de contrôler la qualité des services qu’elle fournit. À cette fin, la Banque conserve ces données durant cinq ans. Pour autant que ces données portent sur des personnes physiques, elles doivent, à ce moment-là, être effacées conformément à l’article 5, paragraphe 1, point e), du règlement général sur la protection des données à caractère personnel. Ce délai doit être appliqué de manière générale, en ce compris si ces données ont trait à des consultations ou à des communications qui ne portent pas sur les données relatives à des personnes physiques.

TITRE V

Sanctions, recherche et constatations des infractions Le régime de sanctions prévu par la législation actuelle relative à la CCE est jugé insuffisamment efficace et s’avère ne pas fonctionner en pratique. C’est la raison pour laquelle il est proposé d’assurer le respect des règles en la matière en instaurant un système un système qui, d’une part, sera parallèle à la recherche, la poursuite et la sanction des infractions aux dispositions relatives à la Centrale des Crédits aux Particuliers par le SPF Économie prévues dans le Code de droit économique, et, d’autre part, prévoit des astreintes pouvant être imposées par la Banque. Article 13 Sans préjudice de la compétence de principe des agents de police telle que visée à l’article 15, 1°, de la loi sur la fonction de police, des agents spécifiques sont désignés par le ministre de l’Economie afin de rechercher et de constater les infractions à la loi et à ses arrêtés d’exécution. Les infractions qui peuvent être recherchées et constatées sont d’une part les infractions visées à l’article 17, §§ 1er et 3, qui peuvent faire l’objet des poursuites visées dans le Code de droit économique, et d’autre part les infractions qui peuvent faire l’objet d’une astreinte visée à l’article 19. Quand un procès-verbal est dressé par les agents désignés par le ministre ayant l’Économie dans ses attributions, ce procès-verbal fait foi jusqu’à preuve du contraire, et ce par analogie avec l’article XV.2, § 2, du Code de droit économique. L’on peut également se référer à la justification de cette disposition (Doc. parl. Chambre 2012-2013, 2837/001, p. 11-13). L’octroi d’une force probante particulière aux procès-verbaux est justifié et nécessaire en raison du caractère spécifique des infractions détectées. Concrètement, l’article 9 prévoit par exemple une obligation pour l’agent déclarant, préalablement à l’enregistrement dans le registre, de fournir certaines informations à l’autre partie, pour autant qu’il s’agisse d’une personne physique. La fourniture de la preuve du respect de cette obligation d’information n’est pas possible via les moyens de preuve classiques, entre autres parce que les informations peuvent également être fournies oralement ou précisément ne peuvent pas être fournies. Dans ce cas, si la preuve ne peut être fournie d’une autre manière, les agents de contrôle ont la possibilité de se faire passer pour des clients ou des clients potentiels (mystery shopping) afin de vérifier le respect des exigences (art. XV.3, 9°, du Code de droit économique). La constatation sensorielle de l’agent de

contrôle est alors le seul élément via lequel l’infraction peut être démontrée. Conformément à l’avis du Conseil d’État relatif au projet d’article 13 (pp. 15 et 16 de l’avis), il est précisé dans le texte de la loi que la force probante jusqu’à preuve du contraire ne s’applique qu’aux constatations des agents de contrôle. Dans le cadre des droits de la défense, une copie du procès-verbal doit être remise au contrevenant.

Ceci peut se faire par envoi recommandé (électronique) avec accusé de réception, par fax ou par courrier électronique. En ce qui concerne ces deux dernières possibilités, il faut toutefois pouvoir prouver que l’intéressé a bien reçu la copie et attendre une réaction. En l’absence de réaction, la copie doit encore être transmise par envoi recommandé. Les agents désignés peuvent, dans le cadre des missions qui leur sont attribuées, exercer les compétences visées au livre XV, titre 1er, chapitre 1er, du Code de droit économique.

La disposition principale est l’article XV.3 qui prévoit entre autres la possibilité d’accéder à tous les lieux nécessaires à l’enquête (1°), de faire toutes les constatations utiles, procéder à tous examens, contrôles, recherches et recueillir toutes informations (2°), d’interroger toute personne (3°), de se faire produire tous les renseignements et documents pertinents (5°) et de rechercher des flux financiers (5°/2).

Une procédure différente est appliquée en fonction des infractions constatées par les agents désignés. Lorsqu’il est constaté que l’agent déclarant ne respecte pas les dispositions des articles 3 et 4 et des arrêtés et règlements pris en exécution de ceux-ci, les constatations sont transmises à la Banque en vue de l’application de la procédure visée à l’article 19. La Banque peut toutefois également initier cette procédure de sa propre initiative, sur la base de ses propres constatations.

Les constatations des agents désignés par le ministre de l’Économie peuvent être reprises dans un procès-verbal, qui peut alors être intégralement transmis à la Banque, mais cela peut aussi être transmis sous une autre forme, par exemple dans un rapport. L’objectif est que la Banque dispose en tout cas des informations nécessaires afin de décider d’infliger ou non une astreinte telle que visée à l’article 19.

Dans ce contexte, l’on peut également se référer à l’article 16, qui donne à la Banque la possibilité de demander aux agents désignés de vérifier si les informations communiquées à la banque sont correctes et complètes. Le feed-back

éventuel peut à nouveau donner lieu à l’application de la procédure visée à l’article 19. Pour les autres infractions à la loi et aux arrêtés d’exécution et règlements, visées à l’article 17, §§ 1er et 3, les procédures et le régime de sanction du Code de droit économique sont suivis. Il s’agit entre autres de l’application possible de la procédure d’avertissement visée à l’article XV.31 du Code de droit économique et de la procédure de transaction visée à l’article XV.61 du Code de droit économique.

La procédure d’avertissement donne aux agents désignés la possibilité, lorsque cela est approprié, de veiller à ce que la situation soit régularisée sans devoir intervenir pour sanctionner. Si une sanction se révèle nécessaire, la procédure de transaction constitue l’une des possibilités (telles que visées à l’article 14). Article 14 Quand les agents désignés conformément à l’article 13, § 1er, constatent une infraction à l’article 17, §§ 1er ou 3, ils peuvent soit adresser au contrevenant un avertissement tel que visé à l’article 13, § 5, soit dresser un procès-verbal qui sera transmis aux agents visés à l’article XV.60/1, § 2, alinéa 2, du Code de droit économique.

Ces derniers agents décident de la procédure ou du type de poursuites à appliquer. Par analogie avec l’article XV.60/1, § 1er, du Code de droit économique, une infraction peut faire l’objet soit de l’application de la procédure de transaction, soit d’une poursuite administrative, soit de poursuites pénales. Prévoir le choix de l’une des trois procédures, par analogie avec ce que prévoit le Code de droit économique permet d’élaborer une politique uniforme en matière de poursuites.

En réaction à l’avis du Conseil d’État (point 2, page 17), il est accessoirement signalé qu’un objectif important de la procédure de transaction est précisément de soulager les parquets. Une grande partie des infractions à la réglementation économique porte sur les obligations d’information ou sur d’autres obligations administratives, pour lesquelles des poursuites (directes) par le parquet ne sont pas indiquées.

Dans cette optique, la procédure de transaction présente des similitudes avec l’imposition d’une amende administrative, qui a également pour conséquence d’éteindre l’action publique. Toutes deux sont des procédures administratives, la principale différence étant que la procédure de transaction n’inclut aucune obligation de paiement, et qu’en cas de nonpaiement, le dossier est encore transmis au parquet.

Le contrevenant dispose donc d’un choix. Il s’agit d’une procédure rapide et flexible particulièrement adaptée vu la spécificité de la réglementation économique. La poursuite se fait conformément au titre 1/1 du livre XV du Code de droit économique. Outre le choix de la procédure par des agents spécifiquement désignés, cela signifie entre autres que les agents visés à l’article XV.60/4 peuvent prendre la décision d’imposer ou non une amende administrative, soit directement, soit lorsque le ministère public renonce aux poursuites.

Article 15 Si l’on choisit de transmettre le procès-verbal au ministère public (poursuites pénales), le ministère public doit informer les agents visés à l’article XV.60/4 du Code de droit économique, qui peuvent prendre la décision d’infliger ou non une amende administrative, de sa décision de donner suite ou non au procès-verbal. Si aucune suite pénale n’est donnée, ces agents peuvent en effet encore lancer la poursuite administrative.

Si le ministère public ne prend aucune décision dans un délai de trois mois, la poursuite administrative peut également être lancée. Dans la mesure où il y a des documents de procédure ou où des actes d’enquête complémentaires ont été posés, sans poursuites pénales, ces informations sont transmises aux agents visés à l’article XV.60/4 du Code de droit économique. Article 16 La Banque peut demander aux agents visés à l’article 13, § 1er, de vérifier si les données communiquées par l’agent déclarant sont correctes et complètes.

Les agents évaluent les demandes de la Banque et procèdent le cas échéant à une enquête, compte tenu des moyens disponibles et de leurs propres priorités. Les résultats de l’enquête sont, le cas échéant, transmis à la Banque, qui, le cas échéant, peut appliquer la procédure visée à l’article 19, qui prévoit la possibilité d’infliger des astreintes.

Article 17 La pénalisation actuelle ne s’avère pas être un régime de sanction efficace dans la pratique. C’est pourquoi, outre le système des astreintes lorsque les données demandées ne sont pas communiquées, un régime de sanctions est prévu, analogue à celui qui figure dans le Code de droit économique pour la Centrale des Crédits aux Particuliers. Étant donné que, sur la base de la législation relative à la protection de la vie privée, l’Autorité de protection des données est compétente pour infliger des sanctions en cas d’infractions portant sur des données de personnes physiques, il est prévu que les agents compétents du SPF Économie ne peuvent imposer des amendes administratives que dans les cas où l’Autorité de protection des données n’est pas compétente pour intervenir en tant qu’autorité sanctionnatrice.

Des amendes administratives ou pénales de 26 euros à 1 000 000 euros, à majorer des décimes additionnels, peuvent être imposées entre autres en cas de non-respect des obligations d’information visées à l’article 9, de consultation du registre à des fins de prospection, de publication des données du registre ou d’absence de mesures visant à garantir le caractère confidentiel et l’utilisation exclusive des données du registre par les personnes qui ont obtenu les données du registre.

En cas de poursuite administrative, les dispositions du titre 2, chapitre 1/1, du livre XV du Code de droit économique (CDE) sont applicables. Il s’agit entre autres du fait que les agents visés à l’article XV.60/4 CDE peuvent imposer l’amende administrative, que le contrevenant doit avoir la possibilité de présenter ses moyens de défense (article XV.60/7 CDE), que la décision d’infliger une amende administrative doit contenir certains éléments (art.

XV.60/12 CDE) et de l’existence d’une possibilité de recours devant le Conseil d’État (art. XV.60/15 CDE). Il est précisé que l’article XV.60/20 CDE, qui porte sur la détermination du montant, ne s’applique pas, parce qu’il concerne spécifiquement le régime repris dans le Code de droit économique lui-même. Article 18 Dans le cadre des poursuites pénales, il est fait référence à certaines dispositions du Code de droit économique.

Il s’agit entre autres de l’applicabilité des

dispositions du livre Ier du Code pénal (art. XV.69 CDE) et des règles en cas de récidive (art. XV.72 CDE). Article 19 Dans la mesure où les données qui sont transmises à la Banque en vue de leur enregistrement dans le Registre pourront aussi en partie être utilisées dans le cadre des obligations imposées par le règlement AnaCredit, il est crucial que les données exigées fassent l’objet d’une communication opportune.

C’est pourquoi un régime de sanctions est proposé, habilitant la Banque à imposer aux agents déclarants qui ne respectent pas leurs obligations en matière de fourniture de données des astreintes qui seront définies par jour civil de retard dans la communication des données requises. Le régime d’astreintes proposé a pour finalité d’amener efficacement les agents déclarants négligents à régulariser leur situation en communiquant les données manquantes dans les plus brefs délais et, ce faisant, à assurer la qualité et l’exhaustivité du registre des crédits.

La Banque tient compte lors de sa prise de décision des sanctions qui ont déjà été infligées ou qui le seront par la Banque centrale européenne (“BCE”) dans le cadre d’une procédure d’infraction portant sur les mêmes faits et consulte la BCE à ce sujet. En effet, sans préjudice de la possibilité pour la Banque d’infliger des astreintes, la BCE a également la possibilité, conformément à l’article 18 du règlement AnaCredit, d’infliger des sanctions dans ce cadre dans la mesure où l’infraction porte sur des données que l’agent déclarant doit communiquer conformément au règlement AnaCredit.

Au cours de la consultation, la Banque indiquera quelles infractions ont été constatées et qu’elle entend infliger une sanction. À ce moment, la BCE peut communiquer que, si elle n’a pas encore prévu de sanction pour ces faits, elle a également l’intention d’imposer une sanction pour ces faits ou qu’elle n’a pas l’intention de le faire. Les montants des astreintes fixés dans le présent projet pour une procédure d’infraction relative aux mêmes faits s’élèvent au maximum à 10 000 euros par jour de retard, étant entendu que le montant total pour une procédure d’infraction relative aux mêmes faits ne peut excéder un plafond de 1 000 000 d’euros.

Les montants maximums proposés correspondent aux montants prévus à titre d’astreintes par d’autres réglementations financières, et ont vocation à être considérés par l’agent déclarant concerné comme une sanction financière suffisamment

élevée pour l’inciter à transmettre les données plutôt qu’à verser des astreintes considérables. Lors de la fixation du montant de l’astreinte dans un cas concret, il est tenu compte de la gravité du manquement constaté, du caractère éventuellement répété de l’infraction,de l’assise financière de l’agent déclarant concerné et des sanctions qui ont déjà été infligées ou qui le seront par la Banque centrale européenne dans le cadre d’une procédure d’infraction portant sur les mêmes faits.

Les montants et les critères de détermination du montant des astreintes s’inspirent des dispositions du règlement (CE) 2533/98 concernant les pouvoirs de la Banque centrale européenne en matière de sanction et auquel se réfère l’article 18 du règlement AnaCredit. Le montant maximum par jour de retard est identique. Suite à un commentaire du Conseil d’État, les mots “pour une procédure d’infraction relative aux mêmes faits” sont précisés.

Si de nouveauxfaits ayant trait à une procédure d’infraction en cours ou terminée sont découverts, cela n’entraînera pas lune nouvelle procédure d’infraction. L’habilitation au Roi pour déterminer la qualification des infractions concerne les critères selon lesquels une infraction est qualifiée d’infraction répétée ou de faute grave. Le mode de fixation proposé des astreintes prévoit que les astreintes dues sont perçues au profit du Trésor par l’Administration générale de la perception et du recouvrement du Service public fédéral Finances.

Dans le souci de garantir une plus grande flexibilité quant à l’évolution future de la structure organisationnelle du SPF Finances, une terminologie générale (“l’administration du Service public fédéral Finances en charge de la perception et du recouvrement de créances non fiscales”) a été privilégiée pour désigner cette administration dans le présent projet de loi. Ce mode de perception par une instance tierce est également utilisé pour les astreintes que la Banque peut imposer dans le cadre de la loi sur la balance des paiements et dans le domaine prudentiel en vertu de la loi organique de la Banque ou des lois prudentielles sectorielles.

TITRE VI

Dispositions diverses Article 20 Étant donné que l’un des objectifs du Registre consiste à procurer à la Banque en tant qu’autorité de supervision les données nécessaires à une bonne évaluation des risques supportés par le secteur financier, les données enregistrées dans le Registre pourront bien sûr être utilisées par la Banque à ces fins. Comme les données enregistrées dans le Registre sont aussi précieuses à des fins scientifiques ou statistiques, le cas échéant en combinaison avec d’autres données dont dispose la Banque, il est indiqué que la Banque puisse utiliser ces informations à ces fins. En outre, la Banque pourra également utiliser ces informations pour ses autres activités menées conformément à la loi du 22 février 1998 fixant le statut organique de la Banque, tel que la politique monétaire et autres. En ce qui concerne les données relatives à des personnes physiques, il va de soi que la Banque pourra uniquement traiter les données personnelles en respectant les dispositions du règlement général sur la protection des données et la législation belge relative à la protection des données à caractère personnel. Par conséquent, il sera toujours nécessaire de vérifier si l’utilisation est autorisée. Ce sera le cas lorsque le traitement est nécessaire afin de respecter une obligation légale à laquelle la Banque est soumise ou lorsqu’il est nécessaire pour l’exécution d’une tâche d’intérêt général ou relevant de l’exercice de l’autorité publique dont est investi la Banque, ou encore pour la défense des intérêts légitimes de la Banque qui priment alors l’intérêt ou les libertés et droits fondamentaux de la personne à laquelle se rapportent les données. Par conséquent, vu le principe de proportionnalité, aucune donnée non pseudonymisée ne pourra être utilisée si les données pseudonymisées suffisent et, aucune donnée pseudonymisée ne pourra être utilisée si des données anonymisées suffisent. L’observation du Conseil d’État d’inclure explicitement ce dernier dans l’article n’a pas été abordé car cette règle découle des principes concernant le traitement des données à caractère personnel décrites dans l’article 5 du RGPD. Au lieu de cela, il a été opté de déterminer explicitement dans l’article que le RGPD s’applique sans préjudice à ces traitements.

Article 21 La création et la gestion du Registre ont un coût. Par gestion, on entend la collecte, l’enregistrement, le traitement, le contrôle et la diffusion des données pour lesquels la Banque utilise des moyens humains, techniques et financiers. Les coûts imputables à la présente loi seront récupérés en tout ou en partie auprès des agents déclarants. Les modalités et le tarif d’indemnisation seront déterminés par la Banque en concertation avec les associations professionnelles qui les représentent.

La suggestion du Conseil d’État de faire approuver par arrêté ministériel le règlement en matière de remboursement des frais à la Banque n’est pas suivie parce qu’il s’agit d’un simple remboursement de frais exposés. Article 22 Les arrêtés prévus par la présente loi ne pourront être pris qu’après avis de la Banque, qui est chargée de collecter les données conformément à la loi. Suite à l’observation du Conseil d’État, l’article ne prévoit plus que l’avis de l’Autorité de protection des données doit également être obtenu, une telle obligation étant déjà prévue à l’article 36.4 du RGPD.

Article 23 Les articles concernant la CCE repris dans la loi du 4 mars 2012 relative à la CCE peuvent être abrogés lorsque la présente loi entre en vigueu. Cependant il est prévu que la Banque peut autoriser un pronlongement de six mois de la période de consultation de la CCE, pour une partie ou la totalité des agents déclarants, si des difficultés, liées à la mise en oeuvre de la consultation des données dans le Registre devaient être constatées.

Les données historiques détenues par la CCE au moment de l’abrogation des articles de cette loi garderont leur utilité dans le cadre des activités de la Banque. Leur conservation est donc prévue par le projet de loi. La proposition de l’Autorité de protection des données d’adapter le délai de conservation en fonction, par exemple, de la date de fin des instruments ne peut pas être suivie: les données ne sont pas conservées

par instrument, mais reflètent l’exposition globale par débiteur, sans information relative à la date de fin des instruments. Vu que les données de la CCE portant sur des entreprises personnes physiques et des personnes physiques ne seront plus utilisées qu’à des fins purement statistiques ou de recherche, elles pourront de ce fait être pseudonymisées. Article 24 Pour les contrats conclus avant la date d’entrée en vigueur de la présente loi, la notification visée à l’article 9 prend la forme d’un avis non nominatif au Moniteur belge, émanant du ministre ayant les Finances dans ses attributions.

En ce qui concerne les facilités de découvert non autorisées sur un compte, cet avis non nominatif vaut pour tous les comptes ouverts avant la date d’entrée en vigueur de la présente loi. Article 25 À l’exception de l’article 10, § 1, l’entrée en vigueur de la loi est fixée à la date de sa publication au Moniteur belge abstraction faite des travaux préparatoires nécessaires faites par la Banque et les agents déclarants afin de construire le Régistre et de tester les fonctionalités du Registre.

Les spécifications pour la communications des données, identiques à celles pour la communications des données dans le cadre du règlement AnaCredit, ont été communiquées pour le première fois le 5 mai 2017, ce qui permet aux agents déclarants de se conformer aux exigences pratiques de communication des données telles qu’elles sont détaillées dans un arrêté royal d’exécution et de modifier leurs contrats pour y mentionner la communication des données au Registre et y inclure, en ce qui concerne les personnes physiques, les informations qu’ils sont tenus de transmettre en vertu de l’article 9 de la loi relatif au devoir d’information à l’égard des personnes physiques.

L’article 10, § 1, qui régle la consultation du Registre par les agents déclarants, entre en vigueur le 1er janvier 2022. Les agents déclarants ont jusqu’à cette date pour compléter le Registre avec des informations relatives aux contrats qui existaient déjà avant l’entrée en vigueur de la loi. La CCE sera interrompu à la même date. Les établissements de crédit doivent rapporter les données relatives aux entités juridiques pour les contrats existant au 30 septembre 2018 ou à partir de cette date.

Cette date du 30 septembre 2018 est alignée sur

la date des données que les établissements de crédit doivent communiquer en vertu de l’article 2 du règlement AnaCredit. Les données relatives aux entreprises personnes physiques et aux personnes physiques doivent en revanche être rapportées par les établissements de crédit pour les contrats existant au 31 décembre 2020 ou à partir de cette date. Les entreprises de leasing doivent rapporter les données relatives aux contrats existant au 31 décembre 2020 ou à partir de cette date.

Lorsque un agent déclarant rencontre des difficultés pour communiquer son portefeuille de contrats de crédit ou de contrats de leasing (par exemple, la communication de données relatives à des personnes physiques), et ce malgré les actions menées avec la diligence requise,la Banque est habilitée à autoriser que tout ou partie du périmètre des données à communiquer par l’agent déclarant soit restreint.

Pour les données dont la date de première communication débute ou est postérieure au 31 décembre 2020, l’allègement des obligations de communication ne peut toutefois excéder six mois. Il s’agit uniquement de dérogations individuelles temporaires octroyées au début de l’entrée en vigueur de la loi ou lorsque de nouvelles institutions tombent dans le champ d’application de la loi (par exemple, à la suite d’une scission ou d’un transfert de siège social d’une société).

Dès lors, la Banque évalue les situations au cas par cas et la définition de règles générales par le Roi ne semble pas opportune. Le ministre des Finances, Vincent VAN PETEGHEM Le ministre de l’Économie, Pierre-Yves DERMAGNE

AVANT-PROJET DE LOI Soumis à l’avis du Conseil d’État

Avant-projet de loi portant organisation d’un Registre des crédits aux entreprises TITRE 1er – Disposition générale Article 1er. La présente loi règle une matière visée à l’article 74 de la Constitution

TITRE

2 – Le Registre des crédits aux entreprises

Art. 2. Pour l’application de la présente loi, on entend par :

1° Banque: la Banque Nationale de Belgique, visée par la loi du 22 février 1998 fixant le statut organique de la Banque nationale de Belgique;

2° Registre: le Registre des crédits aux entreprises visé à l’article 3;

3° agent déclarant : a) établissement de crédit: un établissement de crédit résident au sens de l’article 4, paragraphe 1, point 1), du Règlement (UE) n° 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d’investissement et modifiant le Règlement (UE) n° 648/2012; b) entreprise de leasing: une entreprise résidente agréée conformément à l’article 2, § 1er de l’arrêté royal n° 55 du 10 novembre 1967 organisant le statut juridique des entreprises pratiquant la location-financement;

4° résident: ayant un centre d’intérêt économique sur le territoire économique belge;

5° territoire économique: le territoire économique tel que défini à l’annexe A, point 2.05 du Règlement (CE) n° 2533/98 du Conseil du 23 novembre 1998 concernant la collecte d’informations statistiques par la Banque centrale européenne;

6° centre d’intérêt économique: le centre d’intérêt économique tel que défini à l’annexe A, point 2.07 du Règlement (CE) n° 2533/98 du Conseil du 23 novembre 1998 concernant la collecte d’informations statistiques par la Banque centrale 7° contrat : un accord juridiquement contraignant entre deux parties ou plus en vertu duquel un ou plusieurs instruments sont créés: contrat de crédit : un contrat conclu entre un ou plusieurs établissements de crédit agissant en tant que créancier et une ou plusieures parties agissant en tant que débiteur, par lequel le créancier met des fonds à disposition du débiteur, dans le cadre d’une activité professionnelle, y

compris par des facilités de découvert non autorisées sur un compte, ou s’engage à mettre des fonds à disposition, et le débiteur s’engage à les rembourser ; contrat de leasing : un contrat conclu entre une ou plusieurs entreprises de leasing et un ou plusieurs débiteurs résidents, dans le cadre d’une activité professionnelle, pour autant que le contrat réponde aux critères établis dans l’article 1er de l’arrêté royal n° 55 du 10 novembre 1967 organisant le statut juridique des entreprises pratiquant la location-financement ;

8° instrument: une disposition spécifique faisant partie d’un contrat et présentant des caractéristiques particulières, qui permet à un débiteur de recevoir des fonds d’un créancier ou de bénéficier de droits d’usage sur un actif;

9° risque de crédit: le risque qu’une contrepartie ne paie pas une somme d’argent qu’elle est contractuellement tenue de payer;

10° protection: une assurance ou couverture contre un incident de crédit;

11° unité institutionnelle: une entité économique caractérisée par une autonomie de décision dans l’exercice de sa fonction principale, telle que définie aux paragraphes 2.12 et 2.13 de l’annexe A du Règlement (UE) n° 549/2013 du Parlement européen et du Conseil du 21 mai 2013 relatif au système européen des comptes nationaux et régionaux dans l’Union européenne;

12° entreprise: une unité institutionnelle qui agit dans le cadre de ses activités professionnelles;

13° entité juridique : toute unité institutionnelle constituée sous la forme d’une personne morale, ou toute unité institutionnelle partie d’une personne morale, qui, en vertu de la législation nationale qui lui est applicable, peut bénéficier de droits et être soumise à des obligations juridiques. L’expression entité juridique a le même sens qu’à l’article 1, point 5) du Règlement (UE) 2016/867 ;

14° entreprise personne physique : toute unité institutionnelle personne physique qui ne peut être considérée comme une entité juridique et qui agit dans le cadre de ses activités professionnelles ;

15° personne physique : toute unité institutionnelle personne physique qui ne peut être considérée comme une entité juridique et qui n’agit pas dans le cadre de ses activités professionnelles;

16° contrepartie : une unité institutionnelle a) qui est partie à un instrument en tant que débiteur, créancier, organe de gestion ou initiateur ; qui est partie à une protection en tant que fournisseur de protection ; ou

c) qui est affiliée à une partie à un instrument ou une protection en tant que siège social, entreprise mère immédiate, ou entreprise mère ultime.

17° débiteur : la contrepartie soumise à une obligation inconditionnelle d’effectuer les remboursements découlant d’un instrument;.

18° créancier : la contrepartie qui supporte le risque de crédit d’un instrument, hormis un fournisseur de protection ;

19° fournisseur de protection : la contrepartie qui accorde une protection contre un incident de crédit contractuellement couvert et qui supporte le risque de crédit de cet incident ;

20° organe de gestion : la contrepartie responsable de la gestion administrative et financière d’un instrument ;

21° initiateur : la contrepartie d’une opération de titrisation d’un instrument telle que définie à l’article 1er, paragraphe 3, du règlement (UE) no 1075/2013 (BCE/2013/40);

22° entreprise du siège social : entité juridique dont une unité institutionnelle partie d’une personne morale est juridiquement dépendante ;

23° entreprise mère immédiate : entité juridique qui détient un pouvoir de contrôle direct sur une entité juridique distincte. L’expression entreprise mère a le même sens qu’à l’article 2, point 9) de la directive (UE) 2013/34 ;

24° entreprise mère ultime : entité juridique qui détient un pouvoir de contrôle ultime sur une entité juridique distincte et n’est contrôlée par aucune autre entité juridique. L’expression entreprise mère a le même sens qu’à l’article 2, point 9) de la directive (UE) 2013/34 ;

25° date fin d’un instrument: date à partir de laquelle un agent déclarant n’est plus soumis à l’obligation de communication d’un instrument selon les conditions définies par le Roi, tel que prévu à l’article 4 de la présente Loi ;

26° Règlement 2016/679 : le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

Art. 3. La Banque est chargée d’enregistrer dans le Registre les données relatives: aux instruments créés en vertu de contrats définis à l’article 2, 7°; aux protections reçues;

Les agents déclarants doivent communiquer ces données et leurs modifications ultérieures au Registre, conformément aux dispositions de la présente loi et de ses arrêtés d’exécution. Sans préjudice des obligations propres aux agents déclarants, la Banque est le responsable du traitement des données à caractère personnel enregistrées dans le Registre en ce qui concerne la réception de ces données transmises par les agents déclarants, leur classement et leur conservation, leur utilisation dans les limites fixées par la loi, leur communication dans les cas où elle y est habilitée par la loi, ainsi que la protection, l’effacement ou la destruction de données à caractère personnel sous les conditions prévues par la loi.

Art. 4. Le Roi, sur proposition du ministre des Finances, détermine: les données visées à l’article 3 qui doivent être communiquées par les agents déclarants les délais et fréquences de communication; les conditions et les modalités de communication et de mise à jour des données. Le Roi peut fixer des critères exemptant certains agents déclarants de communiquer au Registre tous leurs contrats ou certains types d’instrument.

La Banque est habilitée, le cas échéant dans les limites fixées par le Roi, à déterminer, par voie de règlements, pour chaque catégorie de contrats mentionnée à l’article 2, 7°, quels types d’instrument ne doivent pas être communiqués. Ces règlements sont soumis à l’approbation du ministre des Finances et publiés au Moniteur belge.

Art. 5. Pour l’application de la présente loi et de ses arrêtés d’exécution, et afin d’identifier une contrepartie qui est une personne physique et qui n’agit pas dans le cadre de ses activités professionnelles, les agents déclarants utilisent le numéro d’identification du Registre national des personnes physiques que ces personnes physiques sont tenues de leur communiquer préalablement à la conclusion d’un contrat s’ils disposent de ce numéro.

Pour les contrats existant à la date d’entrée en vigueur de la loi, les agents déclarants sont habilités : à réutiliser le numéro d’identification du Registre national des personnes physiques dont ils disposeraient déjà dans le cadre d’une autre finalité prévue par ou en vertu de la loi ; s’ils ne disposent pas de ce numéro d’identification, de demander à leur contrepartie de leur communiquer ce

numéro s’ils en disposent, de l’enregistrer dans leurs fichiers sous une forme numérique et structurée, et de l’utiliser pour l’identifier.

Art. 6. La Banque est habilitée à enregistrer le numéro

d’identification du Registre national des personnes physiques et à l’utiliser dans ses relations avec les agents déclarants dans le cadre de la présente loi. La Banque est également habilitée à utiliser le numéro d’identification du Registre national des personnes physiques en vue de la gestion interne du Registre, ainsi que dans ses relations avec le Registre national des personnes physiques et avec la Banque-Carrefour des Entreprises.

Aux fins exclusives de l’accomplissement des tâches visées par la présente loi et ses arrêtés d’exécution, la Banque, agissant à l’intervention des membres de son personnel, désignés à cette fin nommément et par écrit par le membre de son comité de direction ayant le Registre sous son autorité en raison de leurs fonctions et dans les limites de leurs attributions spécifiques, est autorisée à accéder aux informations mentionnées à l’article 3, alinéa 1er, 1°, 2° et 5°, et alinéa 2 de la loi du 8 août 1983 organisant un Registre national des personnes physiques, et à enregistrer ces informations.

Art. 7. Les informations obtenues en application de l’article 6, alinéa 2 ne peuvent être communiquées, dans les limites de l’exécution des tâches visées par cette loi, qu’aux seuls agents déclarants et aux personnes qui, en vertu des dispositions légales et des dispositions d’exécution applicables, sont autorisés à recevoir de la Banque les informations enregistrées au nom de la personne physique concernée.

Art. 8. Afin de compléter les informations enregistrées

dans le Registre et pour autant que les agents déclarants représentés par leurs associations professionnelles y consentent, la Banque est habilitée à interroger, pour compte des agents déclarants, le fichier central des avis de saisie, de délégation, de cession, de règlement collectif de dettes et de protêts, visé à l’article 1389bis/1 du Code judiciaire, ainsi que d’autres fichiers pouvant contribuer à une meilleure appréciation du risque de crédit, aux conditions fixées par le Roi, sur proposition du ministre des Finances,. Le Roi détermine les données qui peuvent être consultées.

Art. 9. La Banque élabore les instructions administratives et techniques à respecter par les agents déclarants et par les personnes autorisées à consulter les données du Registre

TITRE

3 - Devoir d’information à l’égard des entreprises personnes physiques et des personnes physiques

Art. 10. Lorsqu’une contrepartie d’un contrat est une entreprise personne physique ou personne physique, l’agent déclarant est tenu de communiquer à cette personne, préalablement au premier enregistrement dans le Registre, les informations

suivantes ou, s’il le renvoie au présent article,au moins les informations reprises aux points 1° et 4° : le nom du Registre, la gestion du Registre par la Banque et les coordonnées du délégué à la protection des données de la Banque ; le fait que les données visées à l’article  3 de la présente loi et portant sur la personne concernée sont enregistrées dans le Registre conformément aux dispositions de la présente loi ; les finalités de l’enregistrement dans le Registre, notamment la gestion du Registre en vue de procurer aux agents déclarants des informations leur permettant d’évaluer correctement les risques liés à leurs débiteurs et de procurer à la Banque, en tant qu’autorité de supervision, les données nécessaires à une bonne évaluation des risques supportés par le secteur financier, ainsi que pour ses activités scientifiques ou statistiques ou pour les autres activités menées conformément à la loi du 22 février 1998 fixant le statut organique de la Banque, telles que la politique monétaire et autre, et le fait que la présente loi constitue la base juridique de cet enregistrement ; le nom et l’adresse de l’agent déclarant qui communique les données au Registre ainsi que les coordonnées du délégué à la protection des données de cet établissement ;

5° l’existence d’un droit d’accès aux données et de rectification de celles-ci, conformément aux dispositions de l’article 12, paragraphe 1er, de la présente loi ; les délais de conservation qui sont applicables aux données visées à l’article 3 de la présente loi et portant sur la personne concernée, conformément à l’article 13 de la présente loi ; le droit de la personne concernée de déposer une plainte auprès de l’Autorité de protection des données. La Banque est dispensée de cette obligation

TITRE

4 - Consultation, communication et conservation

Art. 11. § 1er. Selon les règles établies par le Roi, sur

proposition du ministre des Finances, le Registre peut être consulté par les agents déclarants, soit préalablement à la conclusion d’un contrat dans le cadre d’une évaluation des risques concernant une contrepartie potentielle, soit dans le cadre de la gestion d’un contrat. Le Roi peut, le cas échéant par catégorie d’agents déclarants, limiter les données enregistrées dans le Registre qui leur sont communiquées. Le Registre ne peut pas être consulté à des fins de prospection

commerciale. § 2. La Banque peut communiquer les données du Registre:

1° à l’Autorité des services et marchés financiers, pour l’exécution des missions qui lui ont été confiées par ou en vertu de la loi du 21 décembre 2013 relative à diverses dispositions concernant le financement des petites et moyennes entreprises. Dans ce cadre, l’Autorité des services et marchés financiers est uniquement autorisée à obtenir des informations agrégées concernant le nombre, le montant et le type de crédit accordé par l’agent déclarant;

2° à l’Autorité belge de protection des données, pour autant qu’il s’agisse de données à caractère personnel ou de l’information dont elle a besoin pour l’exécution des missions qui lui ont été confiées par ou en vertu du Règlement 2016/679 et par ou en vertu de la loi;

3° à la Banque centrale européenne (BCE) en vertu du Règlement (EU) n° 2016/867 de la BCE du 18 mai 2016 relatif à la collecte de données granulaires sur le crédit et le risque de crédit. Dans ce cadre, les données communiquées pourront être consultées et utilisées par la BCE et les banques centrales nationales étrangères conformément au règlement précité, y compris pour la création et le maintien par les banques centrales nationales de retour de données vers leurs agents déclarants, à condition que leurs finalités, les données enregistrées et la protection légale qu’elles assurent en matière de secret professionnel soient équivalentes à celles du Registre et qu’elles fournissent leurs données à titre de réciprocité;

4° au cours d’un témoignage en justice en matière pénale ainsi que par sollicitation spécifique et motivée du procureur du Roi;

5° aux agents du Service Public Fédéral Economie, P.M.E., Classes moyennes et Energie compétents pour agir dans le cadre du titre 5 ;

6° dans les cas où la communication de telles données est prévue ou autorisée par ou en vertu d’une loi. § 3. Les personnes qui ont obtenu des données du Registre doivent prendre les mesures nécessaires pour garantir le caractère confidentiel de ces données et leur usage aux seules fins prévues aux §§ 1 et 2. Les données du Registre ne peuvent être rendues publiques. Les agents déclarants qui ont obtenu des données du Registre doivent veiller à ce que seules les personnes agissant sous leur autorité et ayant besoin des données du Registre dans l’exercice de leurs fonctions aient accès à ces données.

Art. 12. § 1er Selon les modalités fixées par le Roi, sur

proposition du ministre des Finances, chaque personne physique et chaque entreprise personne physique a accès, sans frais, aux données enregistrées à son nom

dans le Registre et peut librement et sans frais demander la rectification des données erronées, conformément aux articles 15 et 16 du Règlement 2016/679. Ces droits sont néanmoins limités dans le sens que les personnes concernées ne disposent pas d’un droit d’accès visé à l’article 15 du Règlement 2016/679 et du droit de rectification visé à l’article 16 du même règlement pour ce qui concerne certaines données dans le Registre qui sont purement internes aux agents déclarants.

Le Roi détermine les données dont le traitement est soumis à cette exception au droit d’accès et au droit de rectification. Outre les exceptions prévues aux articles 14, paragraphe 5, point c), 17, paragraphe 3, point b), 18, paragraphe 2, et 20, paragraphe 3 du Règlement 2016/679, les articles 12, 13, 19 et 21 de ce règlement ne sont pas applicables aux traitements de données à caractère personnel exercés par la Banque dans le cadre de la gestion du Registre.

L’article 5 du Règlement 2016/679 ne s’applique pas à ces mêmes traitements dans la mesure où les dispositions de cet article 5 correspondent aux droits et obligations prévus aux articles 12 à 22 du Règlement 2016/679. Dans le cadre de l’application du présent paragraphe, la Banque tient compte des risques pour les droits et libertés des personnes concernées et prend les mesures nécessaires destinées à garantir la prévention des abus ainsi que de l’accès et du transfert illicite des données à caractère personnel, notamment les mesures techniques et organisationnelles appropriées visées à l’article 32 du Règlement 2016/679. § 2.

Chaque personne morale a accès aux données enregistrées à son nom dans le Registre et peut demander la rectification des données erronées. Le Roi, sur proposition du ministre des Finances, fixe les modalités de la consultation et de rectification du Registre par les personnes morales bénéficiaires, ainsi que les frais éventuels que le Registre peut réclamer pour la consultation. La limitation et l’autorisation pour le Roi y afférente telles que prévues dans le deuxième alinéa du premier paragraphe valent également pour les personnes morales exerçant leur droit d’accès ou de rectification. § 3.

Sauf lorsque les données figurant dans le Registre sont erronées en raison d’une mauvaise manipulation de ces données par la Banque elle-même, la personne au nom de laquelle ces données ont été enregistrées est tenue d’exercer le droit de rectification prévu aux paragraphes  1er et 2 du présent article, de préférence directement auprès de l’agent déclarant qui a communiqué ces données au Registre. Au cas où une demande de rectification est transmise à la Banque en vertu des paragraphes 1er et 2 du présent article et où les données figurant dans le Registre ne sont pas erronées en raison d’une mauvaise manipulation par la Banque, celle-ci a l’obligation de transmettre cette demande de rectification à l’agent déclarant qui a communiqué les données litigieuses au Registre, en requérant de cet agent déclarant qu’il corrige les données erronées tant dans ses propres fichiers que dans le Registre.

À défaut pour l’agent déclarant de procéder à la

rectification, la Banque peut l’effectuer elle-même d’office sur la foi d’un jugement ou arrêt exécutoire confirmant l’inexactitude des données enregistrées. §  4. Le droit d’accès prévu aux paragraphes  1er et 2 du présent article accorde aux entreprises personnes physiques, personnes physiques et morales concernées le droit de disposer d’un relevé : concernées dans les six mois précédant la date de la demande d’accès, en vertu de l’article 11, paragraphe 1er, des instances auxquelles les données figurant dans le Registre qui portent sur les personnes concernées ont été communiquées dans les six mois précédant la date de la demande d’accès, en vertu de l’article  11, paragraphe  2, de la présente loi, à l’exception des communications au procureur du Roi.

À cette fin, la Banque conserve les données déterminées par le Roi, sur proposition du ministre des Finances, relatives à ces consultations et communications.

Art. 13. § 1er. En vue de leur consultation, les données visées à l’article 3 : relatives à un instrument ou une protection sont conservées dans le Registre jusqu’à deux ans après la fin de cet instrument ou de cette protection ; relatives à une contrepartie sont conservées dans le Registre jusqu’à deux ans après la fin du dernier instrument et de la dernière protection auxquels elle est liée. Le Roi, sur proposition du ministre des Finances, peut réduire les délais de conservation précités. § 2.

En vue de leur utilisation pour les finalités visées à l’article 18, la Banque peut conserver les données visées à l’article 3 : relatives à un instrument ou une protection jusqu’à trente ans après la fin de cet instrument ou de cette protection ; relatives à une contrepartie jusqu’à trente ans après la fin du dernier instrument et de la dernière protection auxquels elle est liée. Pour autant que les données concernent des entreprises personnes physiques ou des personnes physiques, la conservation visée dans le présent paragraphe se fait sous une forme pseudonymisée. §  3.

La Banque conserve les données relatives aux consultations et aux communications déterminées par le Roi en vertu de l’article 12, paragraphe 4, de la présente loi, durant une période de deux ans à compter de la date des

consultations et communications respectives

TITRE

5 - Sanctions, recherche et constatation des infractions

Art. 14. § 1er. Sans préjudice des compétences des

fonctionnaires de police de la police locale et fédérale, les agents commissionnés par le ministre ayant l’Economie dans ses attributions sont compétents pour rechercher et constater les infractions à la présente loi et aux règlements pris en exécution de celle-ci. § 2. Les procès-verbaux établis par les agents visés au paragraphe 1er font foi jusqu’à preuve du contraire. Dans les trente jours qui suivent la constatation de l’infraction, une copie du procès-verbal est remis au contrevenant, de la manière prévue à l’article XV.2, § 2 du Code de droit économique. § 3.

Les agents visés au paragraphe 1er recherchent et constatent les infractions conformément aux dispositions du livre XV, titre 1er, chapitre 1re du Code de droit économique. § 4. Lorsque l’on constate que l’agent déclarant ne respecte pas les dispositions des articles 3 et 4 et des arrêtés et règlements pris en exécution de ceux-ci, les agents visés au paragraphe 1er transmettent les constatations à la Banque en vue de l’application de la procédure visée à l’article 20. § 5.

Lorsqu’il est constaté qu’un acte constitue une infraction visée à l’article 18, §§ 1er et 3, les agents visés au paragraphe 1er peuvent adresser au contrevenant un avertissement le mettant en demeure de mettre fin à cet acte, conformément à l’article XV.31 du Code de droit économique. § 6. Lorsque des infractions telles que visées à l’article 18, §§ 1er et 3 sont constatées, le directeur général de la Direction générale de l’Inspection économique du Service public fédéral Economie, P.M.E., Classes moyennes et Energie peut proposer une transaction aux contrevenants, conformément à l’article XV.61 du Code de droit économique.

Le montant de la transaction ne peut être supérieur au montant maximum de l’amende fixé à l’article 18, §§ 1er et 3, majoré des décimes additionnels. Les modalités de paiement et de perception de cette transaction sont celles visées dans l’arrêté royal du 10 avril 2014 relatif au règlement transactionnel des infractions aux dispositions du Code de droit économique et ses arrêtés d’exécution.

Art. 15. § 1er. Sans préjudice de la procédure d’avertissement visée à l’article 14, § 5, les infractions visées à l’article 18, §§ 1er et 3 peuvent faire l’objet de :

1° soit l’application de la procédure de transaction visée à l’article 14, § 6 ;

2° soit une poursuite administrative avec application de la procédure visée au titre 1/2 du livre XV du Code de droit économique ;

3° soit une poursuite pénale. § 2. La poursuite se fait conformément au titre 1/1 du livre XV du Code de droit économique.

Art. 16. § 1er. Le ministère public notifie aux agents compétents visés à l’article XV.60/4 du Code de droit économique sa décision d’intenter ou non les poursuites pénales, ou de proposer ou non l’extinction de l’action publique moyennant le paiement d’une somme d’argent comme visé à l’article 216bis du Code d’instruction criminelle ou une médiation pénale visée à l’article 216ter du même Code. Lorsque le ministère public renonce à intenter les poursuites pénales, ou à proposer une transaction visée à l’article 216bis du Code d’instruction criminelle ou une médiation pénale visée à l’article 216ter du même Code, ou si le ministère public n’a pas pris de décision dans un délai de trois mois à compter du jour de la réception du procès-verbal consignant l’infraction, les agents compétents visés à l’article XV.60/4 du Code de droit économique décident s’il y a lieu d’entamer la procédure d’amende administrative. § 2.

Si le ministère public renonce à intenter les poursuites pénales ou à proposer une transaction visée à l’article 216bis visée à l’article 216ter du même Code, il envoie une copie des pièces de procédure des actes d’enquête complémentaires aux agents compétents visés à l’article XV.60/4 du Code de droit économique.

Art. 17. La Banque peut demander aux agents visés à l’article 14, § 1er de vérifier, en ce qui concerne un agent déclarant, que les données communiquées à la Banque en vertu de la présente loi sont correctes et complètes. Les agents visés à l’article 14, § 1er évaluent la demande de la Banque et procèdent si nécessaire à une enquête. Le cas échéant, ils informent la Banque du résultat de leur enquête.

Art. 18. § 1er. À l’exception des cas visés à l’article 11, §  2, 2° dans lesquels l’Autorité de protection des données est compétente pour infliger des sanctions en vertu des dispositions du

chapitre 8

du règlement 2016/679, sont punis d’une amende administrative ou pénal de 26 euros à 1.000.000 euros :

1° ceux qui ne se conforment pas à l’obligation visée à l’article 10 ;

2° ceux qui ne se conforment pas au prescrit de l’article 11, § 1er, dernier aliéna ou § 3 ;

§ 2. Les dispositions du titre 2, chapitre 1/1 du livre XV du Code de droit économique, à l’exception de l’article XV.60/20, sont applicables aux amendes administratives visées par la présente loi. Les décimes additionnels visés à l’article 1er, alinéa 1er, de la loi du 5 mars 1952 relative aux décimes additionnels sur les amendes pénales sont également applicables aux amendes administratives. § 3. Est puni d’une amende pénale de 50 à 10.000 euros, celui qui, volontairement, empêche ou entrave l’exécution de la mission des personnes mentionnées à l’article 14, § 1er, chargées de rechercher et de constater les infractions aux dispositions de la présente loi.

Art. 19. Les articles XV.69, XV.71, XV.73 et XV.74 du Code de droit économique sont applicables aux infractions pénales visées à l’article 18. Art.  20. §  1er. Si l’agent déclarant ne respecte pas les dispositions des articles  3 et 4 ainsi que des arrêtés et règlements pris pour leur exécution, la Banque peut imposer des astreintes à cet agent déclarant. La Banque tient compte lors de sa prise de décision des sanctions qui ont déjà été infligées ou qui le seront par la Banque centrale européenne dans le cadre d’une procédure d’infraction portant sur les mêmes faits et consulte la Banque centrale européenne à ce sujet. § 2.

Ces astreintes s’élèvent, pour une procédure d’infraction relative aux mêmes faits, au maximum à 1.000.000  euros au total et au maximum à 10.000 euros par jour de retard. Lors de la détermination du montant de l’astreinte, il est tenu particulièrement compte : de la gravité et du caractère répété de l’infraction ; de l’assise financière de l’agent déclarant concerné, telle qu’elle ressort entre autres du chiffre d’affaires annuel mondial total ou de l’actif net consolidé de l’agent déclarant; des sanctions qui ont déjà été infligées ou qui le seront par la Banque centrale européenne dans le cadre d’une procédure d’infraction portant sur les § 3. Le Roi, sur proposition du ministre des Finances, détermine les modalités d’application du présent article, en ce compris la qualification des infractions et la procédure d’infraction que la Banque est tenue de suivre pour imposer ces astreintes.

Les astreintes imposées en application du paragraphe  1er sont perçues au profit du Trésor par l’administration du Service public fédéral Finances en charge de la perception et du recouvrement des créances non fiscales. §  4. L’agent déclarant peut, selon la procédure accélérée déterminée par le Roi en vertu de l’article  36/22 de la loi du 22  février  1998 fixant le statut organique de la Banque nationale de Belgique, ouvrir un recours auprès du Conseil

d’État contre la décision permettant à la Banque d’imposer des astreintes à cet agent déclarant

TITRE

6 – Dispositions diverses

Art. 21. La Banque est habilitée à utiliser les informations enregistrées dans le Registre à des fins scientifiques ou statistiques ou dans le cadre de ses activités menées conformément à la loi du 22 février 1998 fixant le statut organique de la Banque nationale de Belgique.

Art. 22. La Banque est habilitée à demander aux agents

déclarants le remboursement des frais qu’elle expose pour la collecte, l’enregistrement, la gestion, le contrôle et la diffusion des données du Registre. Les modalités et le tarif de l’indemnisation sont arrêtés par la Banque en concertation avec les agents déclarants représentés par leurs associations professionnelles

Art. 23. Les arrêtés prévus par la présente loi seront pris après avis de la Banque et de l’Autorité de protection des données.

Art. 24. Les articles 2 à 20 et 23 de la loi du 4 mars 2012 relative à la Centrale des crédits aux entreprises sont abrogés le 1er janvier 2022. La Banque est autorisée à prolonger la période pendant laquelle la Centrale des crédits aux entreprises peut être utilisée de 6 mois pour une partie ou la totalité des agents déclarants. Les données qui ont été collectées en vertu de la loi précitée peuvent être conservées par la Banque durant 30 ans après la date d’abrogation précitée uniquement aux fins prévues à l’article 21 et après pseudonymisation des entreprises personnes physiques et personnes physiques dont les données seront conservées.

Art. 25. Pour les contrats conclus avant la date d’entrée en vigueur de la présente loi, la notification visée à l’article 10 prend la forme d’un avis non nominatif au Moniteur belge, émanant du ministre ayant les Finances dans ses attributions. En ce qui concerne les facilités de découvert non autorisées sur un compte, cet avis non nominatif vaut pour tous les comptes ouverts avant la date d’entrée en vigueur de la

Art. 26. Excepté en ce qui concerne l’article 11, § 1er qui entrera en vigueur le 1er janvier 2022, la présente loi entre en vigueur à la date de sa publication au Moniteur belge. Avant le 1er janvier 2022 les établissements de crédit doivent avoir communiqués au Registre les données visées à l’article 3 relatives aux contrats existant depuis le 30 septembre 2018; à l’exception des données relatives aux contreparties entreprise personne physique ou personnes physiques pour lesquelles les données relatives aux contrats existant depuis le 31 décembre 2020 doivent avoir été communiquées.

Avant le 1er janvier 2022, les entreprises de leasing doivent avoir communiquées au Registre les données visées à l’article 3 relatives aux contrats existant depuis le 31 décembre 2020. La Banque est habilitée à autoriser que tout ou partie du périmètre des données à communiquer par l’agent déclarant en vertu de l’article 3 soit restreint. Pour les données dont la date de première communication débute ou est postérieure au 31 décembre 2020, l’allègement des obligations de communication ne peut toutefois excéder six mois.

Analyse d'impact de RiA- :: Remplissez de préférence le form :: Contactez le Helpdesk si nécessa :: Consultez le manuel, les FAQ, et Fiche sign Auteur .a. Membre du Gouvernement compétent Ministre des F l’Economie et Contact cellule stratégique (nom, email, tél.) Frederic Reyn Administration compétente AA trésor Contact administration (nom, email, tél.) Jan Remue, ja Projet .b. Titre du projet de réglementation Avant-projet crédits aux e Description succincte du projet de réglementation en mentionnant l'origine réglementaire (traités, directive, accord de coopération, actualité, …), les objectifs poursuivis et la mise en œuvre.

Par ce proje AnaCredit s adapter la c élargie par ce qui évite semblables cadre du rè nationaux d Grâce à cet entreprises Analyses d'impact déjà réalisées ☐ Oui ☒ Non Consultations sur le projet de réglementation .c. Consultations obligatoires, facultatives ou informelles : Données de cons Sources utilisées pour effectuer l’analyse d’impact .d. Statistiques, documents de référence, organisations et personnes de référence : CMR AIR du 12-05-2021 (2021A20400.010)

Date de finalisation de l’analyse d’impact .e. 26/04/2021

Quel est l’impact du projet de rég > Un projet de réglementation aura généra Une liste non-exhaustive de mots-clés es S’il y a des impacts positifs et / ou négati indiquez les mesures prises pour alléger / Pour les thèmes 3, 10, 11 et 21, des ques Consultez le manuel ou contactez le help Lutte contre la pauvreté .1. Revenu minimum conforme à la dignité humaine, accès à des services de compris chez les mineurs), illettrisme, fracture numérique. ☐ Impact positif ☐ Impact négatif ↓ Expliquez. _ _ Égalité des chances et cohésion sociale .2.

Non-discrimination, égalité de traitement, accès aux biens et services, ac effectivité des droits civils, politiques et sociaux (en particulier pour les p handicapées et les minorités). Égalité entre les femmes et les hommes .3. Accès des femmes et des hommes aux ressources : revenus, travail, resp mobilité, temps, loisirs, etc. Exercice des droits fondamentaux par les femmes et les hommes : droits 1.

Quelles personnes sont directement et indirectement conc groupe(s) de personnes ? Si aucune personne n’est concernée, expliquez pourquoi.

Aucune personne n'est concernée, le règlement s'applique

↓ Si des personnes sont concernées, répondez à la ques

2. Identifiez les éventuelles différences entre la situation au projet de réglementation.

S’il existe des différences, répondez aux question

3. Certaines de ces différences limitent-elles l’accès femmes ou des hommes (différences problémati

4. Compte tenu des réponses aux questions précéd l’égalité des femmes et les hommes ?

S’il y a des impacts négatifs, répondez à la q

5. Quelles mesures sont prises pour alléger /

Santé .4. Accès aux soins de santé de qualité, efficacité de l’offre de soins, espéra (maladies cardiovasculaires, cancers, diabètes et maladies respiratoires c alimentation, pollution), qualité de la vie. Emploi .5. Accès au marché de l’emploi, emplois de qualité, chômage, travail au no bien-être au travail, accidents de travail, maladies professionnelles, équi possibilités de formation professionnelle, relations collectives de travail.

Modes de consommation et production .6. Stabilité/prévisibilité des prix, information et protection du consommate externalités (environnementales et sociales) tout au long du cycle de vie Développement économique .7. Création d’entreprises, production de biens et de services, productivité d accès au marché et à la profession, transparence du marché, accès aux m balance des importations/exportations, économie souterraine, sécurité d organiques.

Investissements .8. Investissements en capital physique (machines, véhicules, infrastructure humain, niveau d’investissement net en pourcentage du PIB. Recherche et développement .9. Opportunités de recherche et développement, innovation par l’introduct pratiques d’entreprises ou de nouveaux produits et services, dépenses d

PME .10.

Impact sur le développement des PME. Quelles entreprises sont directement et indirectement concer Détaillez le(s) secteur(s), le nombre d’entreprises, le % de PME travailleurs). Si aucune entreprise n’est concernée, expliquez pourquoi.

Institutions financières belges

Si des PME sont concernées, répondez à la question 2.

Identifiez les impacts positifs et négatifs du projet sur les N.B. les impacts sur les charges administratives doivent ê

S’il y a un impact négatif, répondez aux questions 3

Ces impacts sont-ils proportionnellement plus lourd expliquez

Ces impacts sont-ils proportionnels à l'objectif pou

Quelles mesures sont prises pour alléger / compen

Charges administratives .11. Réduction des formalités et des obligations administratives liées directemen droit, d’une interdiction ou d’une obligation. Si des citoyens (cf. thème 3) et/ou des entreprises (cf. thème Identifiez, par groupe concerné, les formalités et les obligation S’il n’y a aucune formalité ou obligation, expliquez pourquoi.

a. _ _réglementation actuelle*

S’il y a des formalités et des obligations dans la réglementation actuelle*, répondez aux questions 2a à 4a.

Quels documents et informations chaque groupe concer

_ _*

Comment s’effectue la récolte des informations et des d

Quelles est la périodicité des formalités et des obligation

Quelles mesures sont prises pour alléger / compenser le

Création d'un registre unique pour remplacer les ancien Énergie .12. Mix énergétique (bas carbone, renouvelable, fossile), utilisation de la bioma d’énergie de l’industrie, des services, des transports et des ménages, sécuri Mobilité .13. Volume de transport (nombre de kilomètres parcourus et nombre de véhicu et fluviale pour les transports de marchandises, répartitions des modes de t Alimentation .14.

Accès à une alimentation sûre (contrôle de qualité), alimentation saine et à Changements climatiques .15. Émissions de gaz à effet de serre, capacité d’adaptation aux effets des chan d’énergies renouvelables, utilisation rationnelle de l’énergie, efficacité éner Ressources naturelles .16. Gestion efficiente des ressources, recyclage, réutilisation, qualité et consom qualité et utilisation du sol (pollution, teneur en matières organiques, érosio déforestation.

Air intérieur et extérieur .17.

Qualité de l’air (y compris l’air intérieur), émissions de polluants (agents chi NH3), particules fines. Biodiversité .18. Niveaux de la diversité biologique, état des écosystèmes (restauration, cons des habitats, biotechnologies, brevets d’invention sur la matière biologique écosystèmes (purification de l’eau et de l’air, …), espèces domestiquées ou Nuisances .19. Nuisances sonores, visuelles ou olfactives, vibrations, rayonnements ionisan Autorités publiques .20.

Fonctionnement démocratique des organes de concertation et consultation d’exécution, investissements publics. Cohérence des politiques en faveur du développement .21. Prise en considération des impacts involontaires des mesures politiques bel Identifiez les éventuels impacts directs et indirects du projet s

○sécurité alimentaire ○santé et accès aux médicaments ○travail décent ○commerce local et international ○revenus et mobilisati ○mobilité des personn ○environnement et ch propre) ○paix et sécurité

Expliquez si aucun pays en développement n’est concerné.

Aucun impact, applicable uniquement aux institutions financi

S’il y a des impacts positifs et/ou négatifs, répondez à la q

Précisez les impacts par groupement régional ou économ

S’il y a des impacts négatifs, répondez à la question

Quelles mesures sont prises pour les alléger / comp

CMR RIA van 12-05-2021 (2021A20400.010)

Geen personen betrokken, regelgeving van toepassing op o

Indien er personen betrokken zijn, beantwoord dan vr

Indien er verschillen zijn, beantwoord dan vragen

Identificeer de positieve en negatieve impact van houdend met de voorgaande antwoorden?

Indien er een negatieve impact is, beantwo

Welke maatregelen worden genomen om d

Belgische financiele instellingen

Indien er kmo’s betrokken zijn, beantwoord dan vraag 2.

Indien er een negatieve impact is, beantwoord dan

Is deze impact verhoudingsgewijs zwaarder voor de

Indien er formaliteiten en/of verplichtingen zijn in de huidige* regelgeving, beantwoord dan vragen 2a tot 4a.

Welke documenten en informatie moet elke betrokken d

Hoe worden deze documenten en informatie, per betrok

Welke is de periodiciteit van de formaliteiten en verplich

Welke maatregelen worden genomen om de eventuele n

○voedselveiligheid ○gezondheid en toegang tot geneesmiddelen ○waardig werk ○lokale en internationale handel ○inkomens en mo ○mobiliteit van pe ○leefmilieu en klim ○vrede en veilighe

Indien er geen enkelen ontwikkelingsland betrokken is, leg uit

Geen impact, enkel van toepassing op de Belgische financiele

Indien er een positieve en/of negatieve impact is, beantw

Verduidelijk de impact per regionale groepen of econom

Indien er een negatieve impact is, beantwoord dan v

Welke maatregelen worden genomen om de negati

AVIS DU CONSEIL D’ÉTAT

N° 69.453/2 DU 24 JUIN 2021 Le 27 mai 2021, le Conseil d’État, section de législation, a été invité par le Vice‑Premier ministre et ministre des Finances, chargé de la Coordination de la lutte contre la fraude à com‑ muniquer un avis, dans un délai de trente jours, sur un avantprojet de loi ‘portant organisation d’un Registre des crédits aux entreprises’. L’avant‑projet a été examiné par la deuxième chambre le 24 juin 2021. La chambre était composée de Pierre Vandernoot, président de chambre, Patrick Ronvaux et Christine Horevoets, conseillers d’État, Jacques Englebert, assesseur, et Béatrice Drapier, greffier. Le rapport a été présenté par Anne‑Stéphanie Renson, auditeur adjoint. La concordance entre la version française et la version néer‑ landaise a été vérifiée sous le contrôle de Pierre Vandernoot. L’avis, dont le texte suit, a été donné le 24 juin 2021. *

Comme la demande d’avis est introduite sur la base de l’article 84, § 1er, alinéa 1er, 2°, des lois ‘sur le Conseil d’État’, coordonnées le 12 janvier 1973, la section de législation limite son examen au fondement juridique de l’avant‑projet1‡, à la compétence de l’auteur de l’acte ainsi qu’à l’accomplissement des formalités préalables, conformément à l’article 84, § 3, des lois coordonnées précitées.

Sur ces trois points, l’avant‑projet appelle les observations suivantes. Formalités préalables Interrogé à cet égard, le délégué du ministre a confirmé que les avis de l’Autorité de protection des données et de la Banque centrale européenne avaient été sollicités parallèlement à la saisine de la section de législation. L’auteur de l’avant‑projet n’a donc pas pu en prendre connaissance pour rédiger celui soumis à la section de législation du Conseil d’État.

Il est regrettable que des formalités aussi importantes n’aient pas été accomplies avant que l’avant‑projet ne soit soumis au Conseil d’État, si bien que celui présentement soumis à la section de législation peut difficilement être qualifié de définitif2. Il est rappelé qu’au cas où la prise en compte de ces avis amènerait l’auteur de l’avant‑projet à revoir celui‑ci sur des points différents de ceux faisant l’objet du présent avis, il devrait à nouveau saisir la section de législation.

L’exposé des motifs devra en tout état de cause être adapté pour indiquer la manière dont il aura été tenu compte de l’avis de l’Autorité de protection des données et de celui de la Banque centrale européenne. Observations générales relatives au droit au respect de la vie privée 1. L’avant‑projet à l’examen envisage des traitements particuliers de données à caractère personnel dans le cadre de la création du Registre des crédits aux entreprises3, qui constituent des ingérences dans le droit au respect de la vie privée des personnes concernées, garanti notamment par l’article 22 de la Constitution et l’article 8 de la Convention européenne des droits de l’homme.

1‡  S’agissant d’un avant‑projet de loi, on entend par “fondement juridique” la conformité aux normes supérieures. Voir not. en ce sens l’avis n° 66.830/2 donné le 13 janvier 2020 sur un projet devenu l’arrêté royal du 18 mars 2020 ‘portant l’introduction de la Banque des actes notariés’, http://www. raadvstconsetat.be/dbx/avis/66830.pdf. Le commentaire de l’article 3 précise ainsi que “la collecte de données concerne toutes les personnes morales ainsi que les personnes physiques qui sont parties prenantes dans des crédits professionnels, ce qui amène la Banque à traiter des données à caractère personnel”.

Pour être admissible au regard des dispositions précitées, l’ingérence dans l’exercice du droit au respect de la vie pri‑ vée doit être définie en des termes clairs et suffisamment précis, qui permettent d’appréhender de manière prévisible les hypothèses dans lesquelles le législateur autorise pareille ingérence. Toute ingérence dans le droit au respect de la vie privée doit en outre reposer sur une justification objective et raisonnable et, par conséquent, être proportionnée aux buts poursuivis par le législateur4.

2.1. S’agissant plus particulièrement du principe de légalité, l’assemblée générale de la section de législation a récemment rappelé ce qui suit dans son avis n° 68.936/AG du 7 avril 2021: “Conformément à l’article 22 de la Constitution, tout traite‑ ment de données à caractère personnel et, plus généralement, toute atteinte au droit à la vie privée, sont soumis au respect d’un principe de légalité formelle5.

En réservant au législateur compétent le pouvoir de fixer dans quels cas et à quelles conditions il peut être porté atteinte au droit au respect de la vie privée, l’article 22 de la Constitution garantit à tout citoyen qu’aucune ingérence dans l’exercice de ce droit ne peut avoir lieu qu’en vertu de règles adoptées par une assemblée délibérante, démocratiquement élue. Une délégation à un autre pouvoir n’est toutefois pas contraire au principe de légalité, pour autant que l’habilitation soit définie de manière suffisamment précise et porte sur l’exécution de mesures dont les ‘éléments essentiels’ sont fixés préalablement par le législateur6.

Par conséquent, les ‘éléments essentiels’ des traitements de données à caractère personnel doivent être fixés dans la loi elle-même. À cet égard, la section de législation considère que, quelle que soit la matière concernée, constituent, en principe, des ‘éléments essentiels’ les éléments suivants: 1°) les caté‑ gories de données traitées; 2°) les catégories de personnes concernées; 3°) la finalité poursuivie par le traitement; 4°) les Avis n° 63.192/2 donné le 19 avril 2018 sur un avant‑projet devenu la loi du 30 juillet 2018 ‘relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel’ (Doc. parl., Chambre, 2017‑2018, n° 54‑3126/001, pp. 402 à 456, http://www.raadvst-consetat.be/dbx/avis/63192.pdf); avis n° 63.202/2 donné le 26 avril 2018 sur l’avant‑projet devenu la loi du 5 septembre 2018 ‘instituant le comité de sécurité de l’information et modifiant diverses lois concernant la mise en œuvre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE’ (Doc. parl., Chambre, 2017‑2018, n° 54‑3185/001, pp. 120 à 145, http://www.raadvstconsetat.be/dbx/avis/63202.pdf).

Note de bas de page n° 174 de l’avis cité: Déjà invoqué plus avant, numéros 70 et s. Note de bas de page n° 175 de l’avis cité: Jurisprudence constante de la Cour constitutionnelle: voir notamment C.C., 18 mars 2010, n° 29/2010, B.16.1; 20 février 2020, n° 27/2020, B.17.

catégories de personnes ayant accès aux données traitées; et 5°) le délai maximal de conservation des données”7. 2.2.1. À cet égard, les éléments suivants peuvent être relevés en l’espèce. 2.2.2. S’agissant des catégories de données traitées, l’article 3, alinéa 1er, identifie trois catégories de données devant être communiquées au Registre. L’article 4, alinéa 1er, 1°, habilite le Roi à “détermine[r] les données visées à l’article 3 qui doivent être communiquées par les agents déclarants”.

Le commentaire de l’article précise ainsi que “[c]’est au Roi qu’incombe la détermination des nombreuses données visées à l’article 3 qui doivent être communiquées par les agents déclarants […]”. Comme la section de législation l’a déjà fait observer dans son avis portant les nos 67.425/3, 67.426/3 et 67.427/3 du 26 mai 2020, “[d]ans la mesure où les délégations proposées se rap‑ portent à des catégories supplémentaires de données à caractère personnel ou à des finalités supplémentaires de traitement de telles données, les catégories et finalités visées doivent être réglées dans le texte de la proposition [de loi] et elles ne peuvent pas être déléguées par le législateur.

Par contre, s’il s’agit uniquement de poursuivre la concrétisation de catégories et de finalités déjà définies dans la proposition, ladite concrétisation peut être déléguée8”9. Avis n° 68.936/AG donné le 7 avril 2021 sur un avant‑projet devenu le projet de loi ‘relatif aux mesures de police administrative lors d’une situation d’urgence épidémique’ (Doc. parl., Chambre, 2020‑2021, n° 55‑1951/001, p. 119, http://www.raadvst-consetat. be/dbx/avis/68936.pdf).

Note de bas de page n° 15 de l’avis cité: Comparer avec C.C., 4 avril 2019, n° 49/2019, B.46.7 et B.47.2. Avis portant les nos 67.425/3, 67.426/3 et 67.427/3 donné le 26 mai 2020 sur une proposition de loi ‘portant création d’une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID‑19’ et sur des amendements à cette proposition de loi (Doc. parl., Chambre, n° 55‑1249/006, http://www.raadvst-consetat.be/dbx/avis/67425. pdf).

Voir également dans le même sens l’avis n° 67.717/VR donné le 15 juillet 2020 sur un avant‑projet devenu le décret de la Région wallonne du 30 septembre 2020 ‘portant assentiment à l’accord de coopération du 25 aout 2020 entre l’État fédéral, la Communauté flamande, la Région wallonne, la Communauté germanophone et la Commission communautaire commune, concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les entités fédérées compétentes ou par les agences compétentes, par les services d’inspection d’hygiène et par les équipes mobiles dans le cadre d’un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus COVID‑19 se fondant sur une base de données auprès de Sciensano’, observation n° 11.3 (Doc. parl., Parl. wall., 2019‑2020, n° 244/1, p. 171, http://www.raadvst-consetat.be/dbx/ avis/67717.pdf).

Ce n’est que dans cette stricte mesure que la délégation au Roi figurant à l’article 4, alinéa 1er, 1°, est admissible. 2.2.3. S’agissant des finalités poursuivies par le traite‑ ment, celles‑ci sont définies à l’article 10, alinéa 1er, 3°, de l’avant‑projet. Il s’agit “notamment [de] la gestion du Registre en vue de procu‑ rer aux agents déclarants des informations leur permettant d’évaluer correctement les risques liés à leurs débiteurs et de procurer à la Banque, en tant qu’autorité de supervision, les données nécessaires à une bonne évaluation des risques supportés par le secteur financier, ainsi que pour ses activités scientifiques ou statistiques ou pour les autres activités menées conformément à la loi du 22 février 1998 fixant le statut orga‑ nique de la Banque, telles que la politique monétaire et autre”.

Le dispositif sera revu de manière à définir avec précision (et non de manière non exhaustive) les finalités poursuivies par le traitement des données à caractère personnel. 2.2.4. S’agissant des catégories de personnes ayant directe‑ ment accès au Registre, la lecture de l’avant‑projet ne permet pas de distinguer clairement les personnes qui disposent d’un droit d’écriture dans le Registre de celle qui ont un accès en vue d’une simple consultation des données qui y sont enregistrées.

Il semble ressortir de l’article 3, alinéa 1er, que c’est la Banque nationale qui est chargée d’enregistrer les données dans le Registre tandis que les agents déclarants doivent y corriger les données erronées en vertu de l’article 12, § 3. Plusieurs dispositions visent les personnes qui sont habi‑ litées à consulter le Registre ou à recevoir les informations qui y sont enregistrées (articles 6, 7, 9 et 11).

Interrogé à cet égard, le délégué du ministre a répondu que, “[o]m deze onduidelijkheid op te lossen zullen we lid 1 als volgt aanpassen: ‘La Banque est chargée d’enregistrer dans le Registre de la gestion d’un registre contenant les données relatives’:”. Le dispositif sera clarifié afin de mieux faire apparaître les catégories de personnes ou d’institutions visées selon qu’elles disposent d’un droit de consultation du Registre ou d’écriture dans celui‑ci.

3. Il faut enfin relever que fait actuellement défaut l’analyse d’impact relative à la protection des données que le respon‑ sable du traitement doit effectuer avant le début des opérations de traitement conformément à l’article 35 du règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ‘relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

(règlement général sur la protection des données)’ (ci‑après: “le RGPD”)10, qui dispose comme suit: “1. Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est suscep‑ tible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel […]. […] 3. L’analyse d’impact relative à la protection des données visée au paragraphe 1 est, en particulier, requise dans les cas suivants: b) le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, […]”.

10 À la question de savoir si cette analyse d’impact avait déjà été effectuée, le délégué du ministre a répondu ce qui suit:

L’auteur de l’avant‑projet veillera par conséquent au bon accomplissement de cette étude d’impact, si possible avant l’adoption par l’assemblée législative du projet à l’examen11‑12. Observations particulières 1. Aux 5° et 6°, la référence à l’annexe A du règlement (CE) n° 2533/98 du Conseil du 23 novembre 1998 ‘concernant la européenne’ est erronée dès lors que ce règlement ne contient pas d’annexe A.

Interrogé à cet égard, le délégué du ministre a répondu ce qui suit: “De laatste versie van verordening 2533/98 bevat bijlage A inderdaad niet meer. We stellen echter voor om de punten 5° voegd om punt 4° nader toe te lichten, te schrappen en punt 4° als volgt aan te vullen: ‘‘résident’: ayant un centre d’intérêt économique sur le territoire économique belge tel que défini à l’article 1 (4) du Règlement (CE) n° 2533/98 du Conseil du 23 novembre 1998 concernant la collecte d’informations sta‑ tistiques par la Banque centrale européenne;’.

Op die manier wordt de coherentie behouden met de Anacredit Verordening, art. 1 (4) van Verordening 2533/98”. Le dispositif sera par conséquent revu en ce sens. 2. Au 13°, l’intitulé complet du règlement (UE) n° 2016/867 visé sera mentionné, sauf à compléter l’article 2 par une Avis n° 67.717/VR donné le 15 juillet 2020 sur un avant‑projet devenu le décret de la Région wallonne du 30 septembre 2020 ‘portant assentiment à l’accord de coopération du 25 aout 2020 entre l’État fédéral, la Communauté flamande, la Région wallonne, la Communauté germanophone et la Commission communautaire commune, concernant le traitement conjoint de données par Sciensano et les centres de contact désignés par les entités fédérées compétentes ou par les agences compétentes, par les services d’inspection d’hygiène et par les équipes mobiles dans le cadre d’un suivi des contacts auprès des personnes (présumées) infectées par le coronavirus COVID‑19 se fondant sur une base de données auprès de Sciensano’, observation 11.3 (Doc. parl., Parl. wall., 2019‑2020, n° 244/1, p. 171, http://www.raadvst-consetat. be/dbx/avis/67717.pdf); avis n° 68.832/VR du 18 février 2021 sur un avant‑projet devenu le décret de la Région wallonne du 1er avril 2021 ‘portant assentiment à l’accord de coopération du 12 mars 2021 entre l’État fédéral, la Communauté flamande, la Communauté française, la Communauté germanophone, la Commission communautaire commune, la Région wallonne et la Commission communautaire française concernant le traitement de données relatives aux vaccinations contre la COVID‑19’ (Doc. parl., Parl. wall., 2020‑2021, n° 509/1).

12 Il ressort de la jurisprudence de la Cour constitutionnelle que l’analyse d’impact ne doit pas nécessairement précéder l’adoption de la norme elle‑même qui prévoit le traitement (C.C., 14 janvier 2021, n° 2/2021, B.7.3).

définition de cet acte, comprenant alors cet intitulé, à l’instar de ce que propose le 26° pour le “règlement 2016/679”. Une observation analogue vaut pour les 21°, 23° et 24°. 3. Au 25°, les mots “de la présente loi” seront omis. La même observation vaut s’agissant des articles 10, 2°13, 5° et 6°, 12, § 4, et 13, § 3. 4. Au 26°, il paraît préférable de remplacer la notion de “règlement 2016/679” par l’acronyme, “RGPD”, qui est géné‑ ralement mieux connu et d’ailleurs utilisé largement dans l’exposé des motifs.

La suite de l’avant‑projet sera adaptée en conséquence. 1. L’alinéa 2 en projet prévoit que le Roi peut fixer des cri‑ tères exemptant certains agents déclarants de communiquer au Registre tous les contrats ou certains types d’instruments. Selon le commentaire de la disposition, il se peut que certains agents déclarants soient exemptés complètement des obligations de transmission, par exemple en raison de contraintes organisationnelles et techniques qui s’impose‑ raient à de petites entreprises de leasing n’ayant conclu que quelques contrats pour des raisons très spécifiques, sans en faire une activité habituelle, et pour lesquelles une obligation de communication des données dans le Registre pourrait s’avérer disproportionnée.

Compte tenu de l’objectif poursuivi par l’avant‑projet, qui est d’assurer une bonne maîtrise des risques par les institutions financières, notamment ceux liés aux crédits bancaires, et de ce que la disposition en cause peut aboutir au fait que des données relatives à certains crédits ne fassent pas l’objet d’une communication transparente afin d’en assurer le contrôle, le dispositif sera complété afin de préciser les critères sur la base desquels le Roi peut exempter certains agents d’une telle communication14.

2. Aux termes de l’alinéa 3, la Banque nationale est habilitée, le cas échéant dans les limites fixées par le Roi, à déterminer, par voie de règlements, pour chaque catégorie de contrats, quels types d’instruments ne doivent pas être communiqués. 13 Uniquement pour ce qui concerne la première occurrence de ces mots. 14 Il est renvoyé sur ce point aux critères figurant à l’article 16, paragraphe 1, du règlement (UE) n° 2016/867 de la Banque centrale européenne du 18 mai 2016 ‘relatif à la collecte de données granulaires sur le crédit et le risque de crédit (BCE/2016/13)’ (ci‑après: “le règlement AnaCredit”).

Ces règlements doivent être soumis à l’approbation du ministre des Finances et publiés au Moniteur belge. On peut lire dans le commentaire de la disposition que “[l]es descriptions techniques feront l’objet de manuels détaillés et précis rédigés par la Banque, basés sur ceux de la BCE pour les données requises en vertu du règlement AnaCredit”. Par les mots “le cas échéant” à l’alinéa 3, il n’est pas garanti que le Roi est tenu de fixer les limites de l’habilitation à la Banque nationale et au ministre.

En outre, la loi ne peut en principe conférer des habilitations réglementaires à un ministre et encore moins à une autorité qui, telle la Banque nationale, ne peut engager sa respon‑ sabilité politique devant les élus de la Nation, et le caractère inadmissible de ces habilitations est renforcé en une matière qui, telle celle faisant l’objet de l’avant‑projet de loi, peut, dans son règlement, conduire à des limitations du droit au respect de la vie privée, soumis au principe de légalité formelle.

Si l’intention est en revanche de ne confier à la Banque nationale que l’établissement de manuels comprenant des descriptions techniques et de détail, comme cela ressort du commentaire de l’article 4, le dispositif sera adapté dans ce sens. L’article 5, alinéa 2, 1°, entend autoriser les agents déclarants à réutiliser, dans le cadre du Registre, le numéro d’identifica‑ tion du Registre national des personnes physiques dont ils disposeraient déjà dans le cadre d’une autre finalité prévue par ou en vertu d’une loi.

Concernant le traitement ultérieur de données pour des finalités autres que celles pour lesquelles elles avaient été collectées, l’article 6, paragraphe 4, du RGPD dispose ce qui suit: “Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consen‑ tement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres: a) de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé;

b) du contexte dans lequel les données à caractère per‑ sonnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement; c) de la nature des données à caractère personnel, en par‑ ticulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10; d) des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées; e) de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation”15.

Il résulte de cette disposition que les données collectées par une personne, en ce compris une autorité publique, pour une finalité déterminée ne peuvent être utilisées pour une autre finalité que dans trois hypothèses: le consentement de la personne concernée, le fondement d’une règle de droit qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 116, ou la “compatibilité”, appréciée par le responsable du traitement, avec la finalité de la collecte initiale des données.

Le commentaire de l’article se contente d’exposer à cet égard qu’il est “judicieux” de prévoir une telle réutilisation “afin de pouvoir identifier un maximum de personnes sans numéro d’entreprise au moyen de leur numéro de registre national des personnes physiques”. Le considérant n° 50 du RGPD précise à cet égard que,

“[…] [s]i le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, le droit de l’Union ou le droit d’un État membre peut déterminer et préciser les missions et les finalités pour lesquelles le traitement ultérieur devrait être considéré comme compatible et licite […]”. Ces objectifs sont: “a) la sécurité nationale; b) la défense nationale; c) la sécurité publique; d) la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces; e) d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale; f) la protection de l’indépendance de la justice et des procédures judiciaires; g) la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière; h) une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique, dans les cas visés aux points a) à e) et g); i) la protection de la personne concernée ou des droits et libertés d’autrui; j) l’exécution des demandes de droit civil”.

Il conviendrait toutefois de compléter ce commentaire afin de démontrer plus avant en quoi cette réutilisation est nécessaire et proportionnée dans une société démocratique pour garantir un ou plusieurs des objectifs d’intérêt général énumérés à l’article 23, paragraphe 1, du même RGPD. 1. L’article 10 organise l’information de l’entreprise per‑ sonne physique et de la personne physique avant le premier enregistrement dans le Registre et non lors du premier défaut de paiement.

La section de législation a toutefois déjà fait observer à cet égard ce qui suit: “Compte tenu de l’importance de l’enregistrement du premier défaut de paiement, une telle information consti‑ tuerait une protection efficace de la vie privée garantie par l’article 22 de la Constitution. Il appartient dès lors aux auteurs de l’avant‑projet de justifier pourquoi elle n’est pas prévue et de compléter l’exposé des motifs afin d’en exposer les raisons, sans se limiter, comme dans l’exposé joint à la demande d’avis, à justifier sa compatibilité avec l’article 9, § 2, de la loi du 8 décembre 1992 ‘relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel’”17.

Interrogé à cet égard, le délégué du ministre a précisé ce “Artikel 13.4 van de AVG voorziet een uitzondering op de kennisgevingsplicht indien de betrokkene reeds op de hoogte is van de verplicht te verstrekken informatie. Voorliggend vóór de eerste registratie in het Register door de informatie‑ geregistreerd. Wanneer daadwerkelijk een wanbetaling wordt geregistreerd, is het niet meer nodig deze informatie nogmaals te verstrekken”.

Ces précisions seront utilement reprises dans l’exposé des motifs. 2. L’article 10 n’organise une telle obligation d’information qu’à l’égard des entreprises personnes physiques et des per‑ sonnes physiques, et non à l’égard des personnes morales. La section de législation a déjà fait observer à cet égard qu’ “[i]l est toutefois admis que les personnes morales doivent également bénéficier de garanties analogues.

Or, le projet ne Avis n° 50.133/2/V donné le 26 août 2011 sur un avant-projet devenu la loi du 4 mars 2012 ‘relative à la Centrale des crédits aux entreprises’ (Doc. parl., Chambre, 2011‑2012, n° 1850/1, pp. 32 à 39, http://www.raadvst-consetat.be/dbx/avis/50133. pdf).

contient aucune disposition visant à informer les personnes morales. L’avant‑projet doit être complété en ce sens”18. Pareille observation peut être réitérée en l’espèce. 1. Au paragraphe 2, 4°, il conviendrait, à tout le moins dans le commentaire de l’article, d’expliciter la portée exacte de la disposition et notamment l’étendue de son champ d’application19. 2. Tel que le paragraphe 2, 5°, est rédigé, les agents du Service Public Fédéral Économie, P.M.E., Classes moyennes et Énergie compétents pour agir dans le cadre du titre peuvent se voir communiquer par la Banque nationale toutes les don‑ nées du Registre, sans finalité particulière.

Interrogé à cet égard, le délégué du ministre a suggéré la reformulation suivante: van de Federale Overheidsdienst Economie die bevoegd hoofdstuk 5’”. Le dispositif sera adapté en ce sens. 1.1 L’article 12, § 1er, entend mettre en œuvre l’article 23 du RGPD, qui autorise les États membres à limiter la portée des droits et obligations des personnes concernées, tels qu’ils sont prévus par le même RGPD.

Si l’article 23, paragraphe 1, du RGPD permet la limitation de la portée des droits prévus par les articles 5, 12 à 22 et 34 du RGPD, il exige également que l’État membre justifie pour ce faire d’un objectif légitime et qu’“une telle limitation res‑ pecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique”. Compte tenu de son caractère dérogatoire, cette disposition doit, du reste, faire l’objet d’une interprétation stricte.

Une ingérence des pouvoirs publics dans l’exercice du droit au respect de la vie privée doit reposer non seulement sur une disposition législative suffisamment précise mais aussi sur une justification raisonnable et être proportionnée aux buts poursuivis par le législateur. Celui‑ci dispose en la matière d’une marge d’appréciation. Cette marge n’est toutefois pas illimitée: pour qu’une norme soit compatible avec le droit au respect de la vie privée, il faut que le législateur ait établi un juste équilibre entre tous les droits et intérêts en cause.

Avis n° 50.133/2/V précité. Dans le même sens, voir l’avis n° 50.133/2/V précité.

L’exercice des droits prévus par les articles 5, 12 à 22 et 34 du RGPD participe à l’existence d’un tel équilibre20. 1.2. En ce qui concerne les objectifs poursuivis, le com‑ mentaire de l’article invoque les motifs prévus à l’article 23.1, e), du RGPD, à savoir “d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt écono‑ mique ou financier important de l’Union ou d’un État membre, de la santé publique et de la sécurité sociale”.

Il précise à cet égard que “[l]e Registre contient des données concernant les crédits octroyés aux entreprises, y compris à des personnes phy‑ siques, ainsi que des informations permettant d’évaluer la solvabilité de ces emprunteurs. Il peut être consulté par les prêteurs dans le cadre de la procédure précédant la décision d’octroi de crédit. Cela leur permet de prendre cette décision en meilleure connaissance de cause, ce qui contribue à un objectif d’intérêt public général, à savoir la préservation de la stabilité financière”.

1.3.1. Quant à la proportionnalité, on relève que la limita‑ tion aux articles 15 et 16 du RGPD prévue à l’article 12, § 1er, alinéa 2, de l’avant‑projet concerne uniquement certaines données dans le Registre qui sont purement internes aux agents déclarants. Le commentaire de l’article précise à cet égard qu’ “[i]l s’agit de données qui sont le résultat d’appréciations, de calculs, d’hypothèses, de modes de comptabilisation et systèmes internes propres à l’agent déclarant concerné.

La collecte de ces données est indispensable dans le cadre de l’analyse des risques encourus par le secteur financier. Toutefois, étant donné que ces données sont strictement confidentielles et résultent de la gestion interne de ses contre‑ parties et des instruments par l’agent déclarant concerné, et qu’elles ne sont par leur nature pas propres à être communi‑ quées telles quelles, une dérogation est prévue au droit de la personne concernée à recevoir communication de la totalité des données enregistrées en son nom”.

À cet égard, on peut également relever que l’article 12, paragraphe 2, a), du règlement AnaCredit prévoit la possibilité pour les Banques centrales nationales de refuser “à une entité juridique ou aux parties d’une entité juridique l’accès aux données sur le crédit déclarées qui les concerne uniquement dans la mesure où un tel accès constituerait une violation des intérêts confidentiels légitimes de l’agent déclarant, par exemple s’agissant des évaluations internes du Voir notamment l’avis n° 63.470/2‑4 donné le 7 juin 2018 sur un avant‑projet devenu la loi du 30 juillet 2018 ‘portant des dispositions financières diverses’ et les références qui y sont citées (Doc. parl., Chambre, 2017‑2018, n° 54‑3172/001, pp. 356 à 366, http://www.raadvst-consetat.be/dbx/avis/63470.pdf).

risque de crédit, ou de tiers, notamment des entités juridiques dont les données sur le crédit ont été déclarées”. Eu égard à ces éléments et en l’absence d’un examen plus approfondi de cette disposition par l’Autorité de protection des données, les limitations ainsi prévues par l’article 12, § 1er, alinéa 2, semblent admissibles. 1.3.2. Par ailleurs, l’article 12, § 1er, alinéa 3, de l’avant‑pro‑ jet entend soustraire les traitements de données à caractère personnel exercés par la Banque nationale dans le cadre de la gestion du Registre à l’applicabilité des articles 5, 12, 13, 19 et 21 du RGPD.

D’après le commentaire de l’article, “cette exemption est motivée par le souci de ne pas entraver le fonc‑ tionnement et la gestion efficaces du Registre, compte tenu des objectifs d’intérêt public général que sert ledit Registre”. S’agissant plus spécifiquement de la dérogation à l’article 19 du RGPD, le commentaire de l’article justifie celle-ci “au vu du nombre élevé de données à caractère personnel que contient le Registre”, qui demanderait à la Banque nationale “des efforts disproportionnés”.

Dès lors que l’avant‑projet ne définit pas avec précision les données à traiter21 et en l’absence d’un examen plus appro‑ fondi par l’Autorité de protection des données, la section de législation n’est pas en mesure d’établir si l’exclusion totale des droits prévus aux articles 5, 12, 13, 19 et 21 du RGPD pour tous les traitements considérés, sans même que la Banque nationale ne doive établir qu’une telle exclusion est nécessaire au bon accomplissement de ses missions, résulte d’une mise en balance adéquate des droits en présence afin que les limitations apportées aux droits des personnes concer‑ nées ne dépassent pas ce qui est strictement nécessaire à la réalisation des objectifs légitimes poursuivis.

1.3.3. S’agissant spécifiquement de la dérogation au droit d’opposition (article 21 du RGPD) prévue à l’article 12, § 1er, alinéa 3, l’on remarque que la tenue du Registre visée par l’avant‑projet est prévue et organisée par des dispositions légales de telle sorte que le traitement de données à caractère personnel qui en découle repose sur l’article 6, paragraphe 1, c), du RGPD. Par conséquent, le droit d’opposition n’est pas applicable aux personnes concernées par le traitement de données à caractère personnel dans ce cadre.

L’article 21, paragraphe 122, Article 4, alinéa 1er, 1°, du projet. Article 21, paragraphe 1, du RGPD:

“La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice”.

du RGPD fait en effet – de manière logique – uniquement référence aux points e) et f)23 de l’article 6, paragraphe 1, du RGPD et non au littera c)24 de celui‑ci25. 1.4. En outre, l’article 23, paragraphe 2, du RGPD prévoit que toute mesure législative visée au paragraphe 1 du même article “contient des dispositions spécifiques relatives, au moins, le cas échéant: d) aux garanties destinées à prévenir les abus ou l’accès ou le transfert illicites; g) aux risques pour les droits et libertés des personnes concernées; […]”.

L’article 12, § 1er, alinéa 4, de l’avant‑projet, en ce qu’il se borne à prévoir que la Banque nationale “tient compte des risques pour les droits et libertés des personnes concernées et prend les mesures nécessaires destinées à garantir la préven‑ tion des abus, de l’accès ou du transfert illicites des données à caractère personnel, notamment les mesures techniques et organisationnelles appropriées visées à l’article 32 du [RGPD]” méconnait non seulement l’article 23, paragraphe 2, du RGPD, en ce qu’il ne constitue pas des “dispositions législatives spécifiques” puisqu’il se limite à reproduire ou à renvoyer aux dispositions d’application générale du RGPD, mais également l’article 22 de la Constitution dès lors qu’il confie Article 6, paragraphe 1, e) et f), du RGPD:

“Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. […]”. Article 6, paragraphe 1, c), du RGPD:

c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis; […]”. Voir not. dans le même sens l’avis n° 64.101/2/V donné le 10 septembre 2018 sur un avant‑projet de loi ‘modifiant diverses lois concernant la mise en œuvre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à ces données, et abrogeant la directive 95/46 CE’ (http://www. raadvst-consetat.be/dbx/avis/64101.pdf).

aux institutions en cause l’élaboration des mesures tendant à garantir la protection des droits des personnes concernées contre les ingérences injustifiées dans leur droit au respect de la vie privée, sans en fixer les éléments essentiels, alors que l’article 22 de la Constitution réserve au législateur le pouvoir de fixer dans quels cas et dans quelles conditions il peut être porté atteinte au droit au respect de la vie privée26‑27.

2. L’article 12, § 1er, alinéa 1er, entend permettre la consul‑ tation du Registre sans frais pour les personnes physiques et les entreprises personnes physiques, conformément à l’article 15, paragraphe 3, du RGPD. L’article 12, § 2, alinéa 1er, de l’avant-projet prévoit par contre la possibilité de réclamer des frais aux personnes morales souhaitant consulter le Registre. S’il est vrai que le RGPD ne s’applique pas aux données des personnes morales, il n’en demeure pas moins que l’auteur de l’avant‑projet doit être en mesure de démontrer que cette différence de traitement est raisonnablement justifiée au regard des articles 10 et 11 de la Constitution.

3. Sans préjudice de l’observation précédente, de l’accord du délégué du ministre, à l’article 12, § 2, alinéa 1er, les mots “que le Registre” seront remplacés par les mots “que la Banque”. 1. Le paragraphe 2, alinéa 1er, prévoit que les procès‑ver‑ baux dressés par les agents commissionnés par le ministre ayant l’Économie dans ses attributions font foi jusqu’à preuve du contraire. La Cour constitutionnelle a indiqué que pareille règle constitue une exception à la règle générale selon laquelle un procès‑verbal vaut en tant que simple renseignement et constitue dès lors également une exception au régime de la libre administration de la preuve en matière répressive, selon lequel le juge apprécie, en fonction de sa propre conviction, la valeur probante d’un élément déterminé, de sorte que la différence de traitement qui résulte de cette exception doit être raisonnablement justifiée et que les droits du prévenu ne peuvent être restreints de manière disproportionnée28.

Toutefois, la Cour a déjà jugé également que, compte tenu du caractère très technique d’une certaine réglementation et de la difficulté corrélative de constater les infractions à Voir sur la portée formelle et matérielle de ce principe de légalité en ce qui concerne la protection de la vie privée lors de traitement de données à caractère personnel, C.C., 15 mars 2018, n° 29/2018, B.13.1 et B.13.3. Voir dans le même sens, not. l’avis n° 63.470/2-4 donné le 7 juin 2018 sur un avant‑projet devenu la loi du 30 juillet 2018 ‘portant des dispositions financières diverses’ (Doc. parl., Chambre, 2017‑2018, n° 3172/1, pp. 356 à 366, http://www.raadvst-consetat. be/dbx/avis/63470.pdf).

Voir par exemple C.C., 6 avril 2000, n° 40/2000, B.14.1; 14 février 2001, n° 16/2001, B.12.1.

celle‑ci, il n’est pas manifestement déraisonnable d’attribuer aux procès‑verbaux rédigés par les agents commissionnés une force probante particulière29. Le commentaire de l’article fait référence à l’article XV.1, § 2, du Code de droit économique et à la justification apportée dans les travaux préparatoires relatifs à cette disposition30. Cela étant, le commentaire de l’article ne précise pas les raisons pour lesquelles une telle mesure est justifiée en l’espèce au regard de la spécificité des infractions recherchées. “L’octroi d’une force probante particulière aux procès‑verbaux est justifié et nécessaire en raison du caractère spécifique des infractions détectées.

Sans cette force probante spéciale jusqu’à preuve contraire, il est quasiment impossible d’exécuter de façon efficace la mission de constatation des infractions. Concrètement, l’article 10 prévoit par exemple une obligation pour l’agent déclarant, préalablement à l’enregistrement dans le registre, de fournir certaines informations à l’autre partie, pour autant qu’il s’agisse d’une personne physique.

La fourni‑ ture de la preuve du respect de cette obligation d’information n’est pas nécessairement possible via les moyens de preuve classiques, entre autres parce que les informations peuvent également être fournies oralement ou précisément ne peuvent pas être fournies. Dans ce cas, si la preuve ne peut être fournie d’une autre manière, les agents de contrôle ont la possibilité de se faire passer pour des clients ou des clients potentiels (mystery shopping) afin de vérifier le respect des exigences (art. XV.3, 9° du Code de droit économique).

La constatation sensorielle de l’agent de contrôle est alors le seul élément via lequel l’infraction peut être démontrée. La même logique s’applique pour les infractions à l’article 11, § 1er, dernier ali‑ néa, et § 3, où il peut arriver que l’infraction soit uniquement visible ou audible mais pas démontrable d’une autre manière. Il convient de signaler que cette force probante jusqu’à preuve du contraire est limitée aux ‘constatations sensorielles’ des agents de contrôle spécifiquement désignés.

D’autres élé‑ ments n’ont valeur que de renseignement. Le verbalisé peut également toujours, via tous les moyens possibles, apporter la preuve que les constatations de l’agent de contrôle ne correspondent pas à la réalité. Cette exception à la règle générale revient souvent dans le droit pénal économique, entre autres de façon générale dans le Code de droit économique et en particulier pour la recherche des infractions dans le cadre de la Centrale des Crédits aux Particuliers (prévues à l’article XV.88 CDE).

Ces infractions sont similaires à celles prévues dans l’avant‑projet, et la recherche et la constatation des infractions se déroulent aussi de manière semblable. La ‘force probante jusqu’à preuve du contraire’ est en outre également prévue pour les procès‑verbaux rédigés par des agents de contrôle dans de nombreux autres secteurs, comme par exemple le secteur social”. Il ressort de la réponse du délégué que l’auteur de l’avant‑projet est conscient de la nature exceptionnelle de C.C., 14 octobre 2010, n° 111/2010, B.12.3.

Doc. parl., Chambre, 2012-2013, n° 2837/001, pp. 11 à 13.

l’attribution d’une force probante particulière aux procès‑ver‑ baux et que celle‑ci se justifie au regard de la spécificité des infractions recherchées. Ces motifs figureront utilement dans le commentaire de l’article. La réponse du délégué fait toutefois apparaître la volonté de n’attribuer cette force probante particulière qu’à certains éléments du procès‑verbal, les autres éléments ne valant que comme simples renseignements.

Cette intention n’est cependant pas traduite dans le dispositif, qui sera adapté en ce sens. 2. Le paragraphe 6, alinéa 1er, prévoit que, “[l]orsque des infractions telles que visées à l’article 18, §§ 1er et 3 sont constatées, le directeur général de la Direction générale de l’Inspection économique du Service public fédé‑ ral Économie, P.M.E., Classes moyennes et Energie peut à l’article XV.61 du Code de droit économique”.

Le Conseil d’État a déjà observé à maintes reprises ce qui suit à propos d’un tel dispositif, qui est répandu de longue date dans la législation économique: “De la sorte, le ministère public se voit ‘couper la route’31, dès lors qu’il est privé de son pouvoir d’apprécier s’il y a lieu ou non d’exercer l’action publique, lequel est conféré à des fonctionnaires32 sans aucune forme de contrôle du ministère public33.

Le Conseil d’État, section de législation, est conscient de ce que, dans le passé, le législateur a déjà introduit des dispositions de portée identique34. Il estime néanmoins devoir rappeler que ces dispositions ne sont guère conciliables avec les principes généraux qui régissent l’intervention du ministère public. Dans son avis 11.461/1, la section de législation a déjà souligné que, contrairement aux magistrats du ministère public, Note de bas de page n° 19 de l’avis cité: J. Matthijs, “Een dwingende noodzaak: het systematiseren en het opbouwen van een zelfstandig gestructureerd economisch strafrecht en strafprocesrecht”, RW 1975‑76, 340; voir aussi R. DECLERCQ, Beginselen van Strafrechtspleging, Mechelen, 2007, p. 92, n° 153 et J. Leclercq, “Variations sur le thème pénalisation – dépénalisation”, RDP 1978, (807) 833‑837.

Note de bas de page n° 20 de l’avis cité: H. Bosly, “Aspects actuels du droit pénal des affaires en Belgique”, RDP 1983, (27) 47. Note de bas de page n° 21 de l’avis cité: Les fonctionnaires visés à l’article 48 du projet ne sont pas placés sous le contrôle du ministère public. 34 Note de bas de page n° 22 de l’avis cité: Voir, notamment, l’article 84 de la loi du 12 juin 1991 ‘relative au crédit à la consommation, l’article 116 de la loi du 14 juillet 1991 sur les pratiques du commerce et sur l’information et la protection du consommateur’ et l’article 13, § 3, de la loi du 25 juin 1993 ‘sur l’exercice et l’organisation des activités ambulantes et foraines’.

les fonctionnaires ne peuvent pas être considérés comme étant indépendants de l’autorité hiérarchique du ministre35. Notamment dans l’avis 24.896/836, la section de législation a observé ce qui suit: ‘Ainsi que le Conseil d’État l’a laissé entendre dans son avis L. 16.350/1 […] le 16 janvier 1985, ‘il est à remarquer’ (donc inhabituel) qu’un fonctionnaire de l’administration active reçoive la faculté de proposer une transaction éteignant l’action publique.

Dans des avis antérieurs, entre autres les avis L. 13.883/1 et L. 13.934/1 […], le Conseil d’État a rappelé qu’aux termes de l’article 138 du Code judiciaire, il appartient au ministère public d’exercer l’action publique. Si un fonction‑ naire de l’administration peut empêcher ou faire s’éteindre l’action publique au moyen d’une transaction, cette faculté du ministère public s’en trouve amputée, en ce qui concerne les faits punissables en question.

Dans ce cas, l’administra‑ tion se substitue au pouvoir judiciaire et, plus généralement, les missions de l’administration et celles des parquets sont, toujours en ce qui concerne les faits en question, mises sur le même plan. Cette situation irait à l’encontre de la répar‑ tition des compétences qui caractérise un système étatique tel que le nôtre, qui admet que les membres des parquets agissent auprès des cours et tribunaux en qualité de membres du pouvoir judiciaire et non en qualité de fonctionnaires de l’administration’37.

Ces observations sont d’autant plus nécessaires au vu de la disposition de l’article 151, § 1er, deuxième phrase, de la Constitution, en vertu de laquelle le ministère public est indépendant dans l’exercice des recherches et poursuites individuelles. Eu égard aux objections qui viennent d’être exposées, il est suggéré d’instaurer un système permettant aux fonctionnaires compétents de proposer une transaction, mais uniquement après que le ministère public a eu la possibilité de décider, dans un délai déterminé, qu’il n’y a pas lieu, compte tenu de Note de bas de page n° 23 de l’avis cité: Voir également, à ce propos, A. De Nauw, Les métamorphoses administratives du droit pénal de l’entreprise, Gand, 1994.

Note de bas de page n° 24 de l’avis cité: Avis 24.896/8 du 21 mai 1996 sur un avant‑projet de loi ‘portant des dispositions diverses relatives à l’expertise vétérinaire’ (Doc. parl., Chambre, 1996‑97, n° 782/1, 23). Note de bas de page n° 25 de l’avis cité: Voir également à cet égard, A. De Nauw, o.c., 53 et 55.

la gravité du délit ou des circonstances dans lesquelles il a été commis, de poursuivre l’intéressé pénalement38”39. Pareille observation, qui vaut également pour l’article 15, peut être réitérée en l’espèce. 3. Il ne convient pas, dans une loi, de se référer à titre normatif à un arrêté réglementaire. Dès lors qu’une référence doit en principe être considérée comme dynamique40, il résulte en effet de pareil procédé que toute modification ultérieure de l’acte réglementaire a pour effet de modifier la portée de la disposition législative qui s’y réfère, ce qui revient à permettre au pouvoir exécutif de modifier la loi.

Au paragraphe 6, alinéa 3, les solutions suivantes paraissent pouvoir se présenter à l’auteur de l’avant‑projet pour rencon‑ trer cette difficulté liée à la référence qui y est faite à l’arrêté royal du 10 avril 2014 ‘relatif au règlement transactionnel des infractions aux dispositions du Code de droit économique et ses arrêtés d’exécution’: – énoncer dans le texte même de l’avant‑projet le dispositif envisagé41; – rendre la référence expressément statique42; – habiliter le Roi à déterminer les modalités de paiement et de perception de la transaction dont il est question au paragraphe 6, ce qui lui permettra, le cas échéant, de faire la référence au texte mentionné ou d’adopter un texte autonome.

1. Au paragraphe 2, alinéa 1er, il y a lieu d’observer que l’article X.60/20 du Code de droit économique ne fait pas partie du titre 2, chapitre 1/1, du livre XV de ce même Code. Note de bas de page n° 26 de l’avis cité: Comparer avec le système qui s’applique, en droit pénal social, en ce qui concerne les amendes administratives (articles 5 et 7 de la loi du 30 juin 1971 ‘concernant les amendes administratives applicables en cas d’infractions à certaines lois sociales’).

Avis n° 47.084/1/V du 8 septembre 2009 sur un avant‑projet devenu la loi ‘sur les services’ du 26 mars 2010 (Doc. parl., Chambre, 2009‑2010, n° 52-2338/1, n° 44, pp. 125 à 127). Cons. dans le même sens l’avis n° 52.800/1 donné le 6 mars 2018 sur un avant‑projet devenu la loi du 20 novembre 2013 ‘portant insertion du Livre XV, “Application de la loi” dans le Code de droit économique’ (http://www.raadvst-consetat.be/dbx/avis/52800.pdf) et l’avis n° 50.133/2/V donné le 26 août 2011 sur un avant‑projet devenu la loi du 4 mars 2012 ‘relative à la Centrale des crédits aux entreprises’ (http://www.raadvst-consetat.be/dbx/avis/52800.pdf).

Principes de technique législative ‑ Guide de rédaction des textes législatifs et réglementaires, www.raadvst-consetat.be, onglet “Technique législative”, recommandation n° 74. Ibidem, recommandation n° 213. Ibidem, recommandation n° 74.2.

Dès lors que de telles sanctions n’ont pas encore été infligées par la Banque centrale européenne et qu’elles sont donc inexistantes, l’on n’aperçoit pas comment la Banque nationale pourrait être en mesure d’en tenir compte. “Artikel 20 voorziet dat er hierover een consultatie plaatsvindt tussen de Bank en de ECB. Tijdens deze consultatie zal de NBB meedelen wat de vastgestelde inbreuken zijn en dat de NBB het voornemen heeft om een dwangsom op te leggen.

Op dat moment kan de ECB meedelen dat zij, indien zijzelf nog deze intentie niet heeft”. Ces précisions seront utilement reprises dans le commen‑ taire de l’article. 2. Au paragraphe 2, les mots “pour une procédure d’infrac‑ tion relative aux mêmes faits” manquent de clarté. Le montant des astreintes est en effet en principe fixé “par infraction et par jour de retard”. Le dispositif, ou à tout le moins le commentaire de l’article, sera clarifié à cet égard.

Il en va de même au paragraphe 3, s’agissant de la portée de l’habilitation au Roi pour déterminer “la qualification de l’infraction”. 3. Interrogé quant à la discordance existant entre le texte français et le texte néerlandais du paragraphe 4, le délégué a précisé ce qui suit: “De NL versie was correct. FR versie wordt aangepast naar ‘introduire devant le Conseil d’État un recours contre la décision par laquelle la Banque nationale de Belgique impose des astreintes à ces déclarants’”.

Le texte français du paragraphe 4 sera adapté en ce sens. S’agissant des données relatives à des personnes phy‑ siques, le commentaire de l’article précise que, “vu le principe de proportionnalité, aucune donnée non pseudonymisée ne pourra être utilisée si les données pseu‑ donymisées suffisent et, aucune donnée pseudonymisée ne pourra être utilisée si des données anonymisées suffisent”. Cette précision n’est toutefois pas traduite dans l’avant‑pro‑ jet examiné.

Il y a lieu de le compléter afin de prévoir explicitement cette garantie du droit au respect de la vie privée des personnes faisant l’objet d’un enregistrement43. Ainsi que l’a déjà fait observer le Conseil d’État dans son avis n° 50.133/2/V précité, “[i]l convient à tout le moins que le règlement qui sera adopté par la Banque nationale en matière de remboursement de ses frais soit approuvé par arrêté ministériel”.

Pareille observation peut être réitéré en l’espèce. S’agissant de l’obligation de consultation de l’Autorité de protection des données, la question se pose de savoir comment cette obligation peut être intégrée dans la réglementation‑cadre du RGPD ou de la loi du 3 décembre 2017 ‘portant création de l’Autorité de protection des données’. Force est de constater que cette obligation n’apporte, en elle‑même, aucune plus‑value par rapport à l’obligation qui découle de l’article 36, paragraphe 4, du RGPD, étant donné que cet avis pourrait uniquement être utile pour le traitement de données à caractère personnel dans le cadre duquel un avis doit de toute façon déjà être demandé à l’Autorité de protection des données44.

Au contraire, la référence à l’avis de celle‑ci peut être source de confusion au regard des obligations de l’Union européenne existantes45. La référence à cet avis sera dès lors omise. Article 26 1. Le commentaire des alinéas 2 et 3 est rédigé comme suit: “À l’exception des établissements de crédit qui rapportent des données relatives aux entités juridiques depuis le 1er janvier 2019 pour des situations existantes au 30 septembre 2018 en vertu du règlement Anacredit, les premières données à communiquer par l’ensemble des agents déclarants (y inclus les entreprises de leasing) et pour l’ensemble des débiteurs (y inclus les personnes physiques parties à un contrat de crédit ou de leasing professionnel), sont celles qui sont enregistrées au 31 décembre 2020 dans les livres de ces agents déclarants”.

Voir notamment C.E., 6 janvier 2021, n° 249 405, Verhaeghe, cons. 26. Voir dans le même sens, l’avis n° 69.435/AG donné le 3 juin 2021 sur des amendements au projet de loi ‘relatif aux mesures de police administrative lors d’une situation d’urgence épidémique’ (Doc. parl., Chambre, 2020‑2021, n° 55‑1951/011, http://www. raadvst-consetat.be/dbx/avis/69435.pdf).

Le dispositif de ces alinéas 2 et 3 ne correspond pas entièrement à ce qui est ainsi exposé: 1° l’alinéa 2 présente comme une exception ce qui est présenté comme étant la règle dans le commentaire, inversant donc la règle et l’exception46; 2° plutôt que d’utiliser les expressions “contrats existant depuis le 30 septembre 2018” (italiques ajoutés) (à l’alinéa 247) et “contrats existant depuis le 31 décembre 2020” (italiques ajoutés) (aux alinéas 2 et 3), il serait plus clair, dans le dis‑ positif, d’évoquer, par analogie à ce qu’écrit le commentaire lorsqu’il évoque les “situations existantes au 30 septembre 2018” (italiques ajoutés) ou “celles qui sont enregistrées au 31 décembre 2020” (italiques ajoutés), les “contrats existant au 30 septembre 2018” (italiques ajoutés) (à l’alinéa 2) et “contrats existant au 31 décembre 2020” (aux alinéas 2 et 3) (italiques ajoutés), et d’y viser ensuite les contrats conclus depuis ces dates; 3° à la fin du texte actuel de l’alinéa 2, il semble qu’il faille ajouter, toujours dans un but de clarté normative, les mots “au plus tard le 31 décembre 2021”.

Les alinéas 2 et 3 seront revus en ce sens si ce qui précède correspond à l’intention de l’auteur de l’avant‑projet. Ils seront en tout état de cause clarifiés. Le commentaire mériterait en outre d’être complété dans le même but de clarification. 2. L’alinéa 4 dispose que “[l]a Banque est habilitée à autoriser que tout ou partie du en vertu de l’article 3 soit restreint”. Tel qu’elle est rédigée, cette disposition est en contradiction avec l’habilitation faite au Roi en vertu de l’article 4, alinéa 2, de l’avant‑projet pour restreindre l’obligation de communication de certaines données vis-à-vis de certains agents déclarants.

Interrogé à cet égard, le délégué du ministre a indiqué ce “Lid 4 betreft een tijdelijke beperking in het begin van de verplichte rapportering die kan worden toegekend wanneer een informatieplichtige moeilijkheden ondervindt bij het meedelen van zijn portefeuille van krediet– of leaseovereenkomsten Quelle que soit la rédaction qui sera finalement adoptée de l’alinéa 2, les mots “à l’exception”, dans la version française, doivent être précédés d’une virgule, comme dans la version néerlandaise, et non d’un point‑virgule.

En outre, à l’alinéa 2, on écrira “communiqué” plutôt que “communiqués” dans la version française.

Le greffier, Le président, Béatrice DRAPIER Pierre VANDERNOOT

PHILIPPE

Roi des Belges, À tous, présents et à venir, Salut. Sur la proposition du ministre de l’Économie et du ministre des Finances, Nous avons arrêté et arrêtons: Le ministre de l’Économie et le ministre des Finances sont chargés de présenter en notre nom à la Chambre des représentants le projet de loi dont la teneur suit: TITRE 1ER Disposition générale Article 1er La présente loi règle une matière visée à l’article 74 de la Constitution. TITRE 2 Art. 2 Pour l’application de la présente loi, on entend par:

1° Banque: la Banque Nationale de Belgique, visée par la loi du 22 février 1998 fixant le statut organique de la Banque nationale de Belgique;

2° Registre: le Registre des crédits aux entreprises visé à l’article 3;

3° agent déclarant: a) établissement de crédit: un établissement de crédit résident au sens de l’article 4, paragraphe 1, point 1), du Règlement (UE) n° 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d’investissement et modifiant le Règlement (UE) n° 648/2012;

b) entreprise de leasing: une entreprise résidente agréée conformément à l’article 2, § 1er, de l’arrêté royal n° 55 du 10 novembre 1967 organisant le statut juridique des entreprises pratiquant la location-financement;

4° résident: ayant un centre d’intérêt économique sur le territoire économique belge tel que défini à l’article 1 (4) du Règlement (CE) n° 2533/98 du Conseil du 23 novembre 1998 concernant la collecte d’informations statistiques par la Banque centrale européenne;

5° contrat: un accord juridiquement contraignant entre deux parties ou plus en vertu duquel un ou plusieurs instruments sont créés: a) contrat de crédit: un contrat conclu entre un ou plusieurs établissements de crédit agissant en tant que créancier et une ou plusieures parties agissant en tant que débiteur, par lequel le créancier met des fonds à disposition du débiteur, dans le cadre d’une activité professionnelle, y compris par des facilités de découvert non autorisées sur un compte, ou s’engage à mettre des fonds à disposition, et le débiteur s’engage à les rembourser; b) contrat de leasing: un contrat conclu entre une ou plusieurs entreprises de leasing et un ou plusieurs débiteurs résidents, dans le cadre d’une activité professionnelle, pour autant que le contrat réponde aux critères établis dans l’article 1er de l’arrêté royal n° 55 entreprises pratiquant la location-financement;

6° instrument: une disposition spécifique faisant partie d’un contrat et présentant des caractéristiques particulières, qui permet à un débiteur de recevoir des fonds d’un créancier ou de bénéficier de droits d’usage sur un actif;

7° risque de crédit: le risque qu’une contrepartie ne paie pas une somme d’argent qu’elle est contractuellement tenue de payer;

8° protection: une assurance ou couverture contre un incident de crédit;

9° unité institutionnelle: une entité économique caractérisée par une autonomie de décision dans l’exercice de sa fonction principale, telle que définie aux paragraphes 2.12 et 2.13 de l’annexe A du Règlement (UE) n° 549/2013 du Parlement européen et du Conseil du 21 mai 2013 relatif au système européen des comptes nationaux et régionaux dans l’Union européenne;

10° entreprise: une unité institutionnelle qui agit dans le cadre de ses activités professionnelles;

11° entité juridique: toute unité institutionnelle constituée sous la forme d’une personne morale, ou toute unité institutionnelle partie d’une personne morale, qui, en vertu de la législation nationale qui lui est applicable, peut bénéficier de droits et être soumise à des obligations juridiques. L’expression entité juridique a le même sens qu’à l’article 1, point 5), du Règlement (UE) 2016/867 de la Banque centrale européenne du 18 mai 2016 relatif à la collecte de données granulaires sur le crédit et le risque de crédit (BCE/2016/13);

12° entreprise personne physique: toute unité institutionnelle personne physique qui ne peut être considérée comme une entité juridique et qui agit dans le cadre de ses activités professionnelles;

13° personne physique: toute unité institutionnelle personne physique qui ne peut être considérée comme une entité juridique et qui n’agit pas dans le cadre de 14° contrepartie: une unité institutionnelle créancier, organe de gestion ou initiateur; b) qui est partie à une protection en tant que fournisseur de protection; ou c) qui est affiliée à une partie à un instrument ou une protection en tant que entreprise du siège social, entreprise mère immédiate, ou entreprise mère ultime.

15° débiteur: la contrepartie soumise à une obligation inconditionnelle d’effectuer les remboursements découlant d’un instrument;

16° créancier: la contrepartie qui supporte le risque de crédit d’un instrument, hormis un fournisseur de protection;

17° fournisseur de protection: la contrepartie qui accorde une protection contre un incident de crédit contractuellement couvert et qui supporte le risque de crédit de cet incident;

18° organe de gestion: la contrepartie responsable de la gestion administrative et financière d’un instrument;

19° initiateur: la contrepartie d’une opération de titrisation d’un instrument telle que définie à l’article 1er, paragraphe 3, du règlement (UE) no 1075/2013 de la

Banque centrale européenne du 18 octobre 2013 relatif aux statistiques sur les actifs et les passifs des véhicules de titrisation (BCE/2013/40);

20° entreprise du siège social: entité juridique dont une unité institutionnelle partie d’une personne morale est juridiquement dépendante;

21° entreprise mère immédiate: entité juridique qui détient un pouvoir de contrôle direct sur une entité juridique distincte. L’expression entreprise mère a le même sens qu’à l’article 2, point 9), de la directive (UE) 2013/34 du Parlement européen et du Conseil du 26 juin 2013 relative aux états financiers annuels, aux états financiers consolidés et aux rapports y afférents de certaines formes d’entreprises, modifiant la directive 2006/43/ CE du Parlement européen et du Conseil et abrogeant les directives 78/660/CEE et 83/349/CEE du Conseil;

22° entreprise mère ultime: entité juridique qui détient un pouvoir de contrôle ultime sur une entité juridique distincte et n’est contrôlée par aucune autre entité juridique. L’expression entreprise mère a le même sens qu’à l’article 2, point 9) de la directive (UE) 2013/34 du 23° date fin d’un instrument: date à partir de laquelle un agent déclarant n’est plus soumis à l’obligation de communication d’un instrument selon les conditions définies par le Roi, tel que prévu à l’article 4;

24° RGPD: le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. Art. 3 contenant les données relatives:

1° aux instruments créés en vertu de contrats définis à l’article 2, 5°;

2° aux protections reçues;

3° aux contreparties liées aux instruments et protections. Les agents déclarants doivent communiquer ces données et leurs modifications ultérieures au Registre, ses arrêtés d’exécution. Sans préjudice des obligations propres aux agents déclarants, la Banque est le responsable du traitement des données à caractère personnel enregistrées dans le Registre en ce qui concerne la réception de ces données transmises par les agents déclarants, leur classement et leur conservation, leur utilisation dans les limites fixées par la loi, leur communication dans les cas où elle y est habilitée par la loi, ainsi que la protection, l’effacement ou la destruction de données à caractère personnel sous les conditions prévues par la loi.

Art. 4 Le Roi, sur proposition du ministre des Finances, 1° les données visées à l’article 3 qui doivent être communiquées par les agents déclarants;

2° les délais et fréquences de communication;

3° les conditions et les modalités de communication et de mise à jour des données. Le Roi peut fixer un seuil minimal de montant total de risque de crédit exemptant certains agents déclarants de communiquer au Registre leurs contrats. Art. 5 Pour l’application de la présente loi et de ses arrêtés d’exécution, et afin d’identifier une contrepartie qui est une personne physique et qui n’agit pas dans le cadre de ses activités professionnelles, les agents déclarants utilisent le numéro d’identification du Registre national des personnes physiques que ces personnes physiques sont tenues de leur communiquer préalablement à la conclusion d’un contrat s’ils disposent de ce numéro.

Pour les contrats existant à la date d’entrée en vigueur de la loi, les agents déclarants sont habilités:

1° à réutiliser le numéro d’identification du Registre vertu de la loi;

2° s’ils ne disposent pas de ce numéro d’identification, de demander à leur contrepartie de leur communiquer ce numéro s’ils en disposent, de l’enregistrer dans leurs Art. 6 La Banque est habilitée à enregistrer le numéro d’identification du Registre national des personnes physiques et à l’utiliser dans ses relations avec les agents déclarants dans le cadre de la présente loi. La Banque est également habilitée à utiliser le numéro physiques en vue de la gestion interne du Registre, ainsi que dans ses relations avec le Registre national des personnes physiques et avec la Banque-Carrefour des Entreprises.

Aux fins exclusives de l’accomplissement des tâches visées par la présente loi et ses arrêtés d’exécution, la Banque, agissant à l’intervention des membres de son personnel, désignés à cette fin nommément et par écrit par le membre de son comité de direction ayant le Registre sous son autorité en raison de leurs fonctions et dans les limites de leurs attributions spécifiques, est autorisée à accéder aux informations mentionnées à l’article 3, alinéa 1er, 1°, 2° et 5°, et alinéa 2 de la loi du 8 août 1983 organisant un Registre national des personnes physiques, et à enregistrer ces informations.

Art. 7 Les informations obtenues en application de l’article 6, alinéa 2 ne peuvent être communiquées, dans les limites applicables, sont autorisés à recevoir de la Banque les informations enregistrées au nom de la personne physique concernée.

Art. 8 La Banque élabore les instructions administratives et techniques à respecter par les agents déclarants et par les personnes autorisées à consulter les données du Registre. TITRE 3 Art. 9 Lorsqu’une contrepartie d’un contrat est une entreprise personne physique ou personne physique, l’agent déclarant est tenu de communiquer à cette personne, préalablement au premier enregistrement dans le Registre, les informations suivantes:

1° le nom du Registre, la gestion du Registre par la des données de la Banque;

2° le fait que les données visées à l’article 3 et portant sur la personne concernée sont enregistrées dans le Registre conformément aux dispositions de la présente loi;

3° les finalités de l’enregistrement dans le Registre, à savoir la gestion du Registre en vue de procurer aux agents déclarants des informations leur permettant d’évaluer correctement les risques liés à leurs débiteurs et de procurer à la Banque, en tant qu’autorité de supervision, les données nécessaires à une bonne fait que la présente loi constitue la base juridique de cet enregistrement;

4° le nom et l’adresse de l’agent déclarant qui communique les données au Registre ainsi que les coordonnées du délégué à la protection des données de cet établissement; de l’article 11, paragraphe 1er;

6° les délais de conservation qui sont applicables aux données visées à l’article 3 et portant sur la personne concernée, conformément à l’article 12;

7° le droit de la personne concernée de déposer une TITRE 4 Art. 10 § 1er. Selon les règles établies par le Roi, sur proposition du ministre des Finances, le Registre peut être consulté par les agents déclarants, soit préalablement à la conclusion d’un contrat dans le cadre d’une évaluation des risques concernant une contrepartie potentielle, soit dans le cadre de la gestion d’un contrat. Le Roi peut, le cas échéant par catégorie d’agents déclarants, limiter les données enregistrées dans le Registre qui leur sont communiquées.

Le Registre ne peut pas être consulté à des fins de prospection commerciale. § 2. La Banque peut communiquer les données du Registre:

1° à l’Autorité des services et marchés financiers, pour l’exécution des missions qui lui ont été confiées par ou en vertu de la loi du 21 décembre 2013 relative à diverses dispositions concernant le financement des petites et moyennes entreprises. Dans ce cadre, l’Autorité des services et marchés financiers est uniquement autorisée à obtenir des informations agrégées concernant le nombre, le montant et le type de crédit accordé par RGPD et par ou en vertu de la loi; du Règlement (EU) n° 2016/867 de la BCE du 18 mai

celles du Registre et qu’elles fournissent leurs données à titre de réciprocité;

4° au cours d’un témoignage en justice en matière pénale ainsi que par sollicitation spécifique et motivée du procureur du Roi;

5° aux agents du Service Public Fédéral Économie, PME, Classes moyennes et Énergie dans la mesure où ils doivent intervenir dans le cadre du titre 5;

6° dans les cas où la communication de telles données est prévue ou autorisée par ou en vertu d’une loi. § 3. Les personnes qui ont obtenu des données du Registre doivent prendre les mesures nécessaires pour garantir le caractère confidentiel de ces données et leur usage aux seules fins prévues aux §§ 1 et 2. Les données du Registre ne peuvent être rendues publiques. Les agents déclarants qui ont obtenu des données du Registre doivent veiller à ce que seules les personnes agissant sous leur autorité et ayant besoin des données du Registre dans l’exercice de leurs fonctions aient accès à ces données.

Art. 11 § 1er Selon les modalités fixées par le Roi, sur proposition du ministre des Finances, chaque personne physique et chaque entreprise personne physique a accès, rectification des données erronées, conformément aux articles 15 et 16 du RGPD. Ces droits sont néanmoins limités dans le sens que les personnes concernées ne disposent pas d’un droit d’accès visé à l’article 15 du RGPD et du droit de rectification visé à l’article 16 du même règlement pour ce qui concerne certaines données purement internes des agents déclarants dans le Registre qui ne constituent pas des éléments du contrat visé à l’article 2, 5°.

Le Roi

détermine les données dont le traitement est soumis à cette exception au droit d’accès et au droit de rectification. Outre les exceptions prévues aux articles 14, paragraphe 5, point c), 17, paragraphe 3, point b), et 18, paragraphe 2 du RGPD, les articles 13, 19 et 21 de ce règlement ne sont pas applicables aux traitements de données à caractère personnel exercés par la Banque dans le cadre de la gestion du Registre.

L’article 5 du RGPD ne s’applique pas à ces mêmes traitements dans la mesure où les dispositions de cet article 5 correspondent aux droits et obligations prévus aux articles 12 à 22 du RGPD. § 2. Chaque personne morale a accès, sans frais, aux données enregistrées à son nom dans le Registre et peut demander la rectification des données erronées. Le Roi, sur proposition du ministre des Finances, fixe les modalités de la consultation et de rectification du Registre par les personnes morales bénéficiaires.

La limitation et l’autorisation pour le Roi y afférente telles que prévues dans le deuxième alinéa du premier paragraphe valent également pour les personnes morales exerçant leur droit d’accès ou de rectification. § 3. Sauf lorsque les données figurant dans le Registre sont erronées en raison d’une mauvaise manipulation de ces données par la Banque elle-même, la personne au nom de laquelle ces données ont été enregistrées est tenue d’exercer le droit de rectification prévu aux paragraphes 1er et 2 du présent article, de préférence directement auprès de l’agent déclarant qui a communiqué ces données au Registre.

Au cas où une demande de rectification est transmise à la Banque en vertu des paragraphes 1er et 2 du présent article et où les données figurant dans le Registre ne sont pas erronées en raison d’une mauvaise manipulation par la Banque, celle-ci a l’obligation de transmettre cette demande de rectification à l’agent déclarant qui a communiqué les données litigieuses au Registre, en requérant de cet agent déclarant qu’il corrige les données erronées tant dans ses propres fichiers que dans le Registre.

À défaut pour l’agent déclarant de procéder à la rectification, la Banque peut l’effectuer elle-même d’office sur la foi d’un jugement ou arrêt exécutoire confirmant l’inexactitude des données enregistrées. § 4. Le droit d’accès prévu aux paragraphes 1er et 2 du présent article accorde aux entreprises personnes physiques, personnes physiques et morales concernées le droit de disposer d’un relevé:

1° des agents déclarants qui ont consulté les données demande d’accès, en vertu de l’article 10, paragraphe 1er;

2° des instances auxquelles les données figurant dans date de la demande d’accès, en vertu de l’article 10, paragraphe 2, à l’exception des communications au procureur du Roi. À cette fin, la Banque conserve les données déterminées par le Roi, sur proposition du ministre des Finances, relatives à ces consultations et communications. Art. 12 § 1er. En vue de leur communication, conformément à l’article 10, paragraphe 2, les données visées à l’article 3:

1° relatives à un instrument ou une protection sont période de consultation, visée à l’article 10, paragraphe 1, qui court jusqu’à la date de fin de cet instrument ou de cette protection;

2° relatives à une contrepartie sont conservées dans le Registre jusqu’à deux ans après la période de consultation, visée à l’article 10, paragraphe 1, qui court jusqu’à la date de fin du dernier instrument et de la dernière protection auxquels elle est liée. Le Roi, sur proposition du ministre des Finances, peut réduire les délais de conservation précités. § 2. En vue de leur utilisation pour les finalités visées à l’article 20, la Banque peut conserver les données visées à l’article 3:

1° relatives à un instrument ou une protection jusqu’à trente ans après la fin de cet instrument ou de cette 2° relatives à une contrepartie jusqu’à trente ans après la fin du dernier instrument et de la dernière protection Pour autant que les données concernent des entreprises personnes physiques ou des personnes physiques, la conservation visée dans le présent paragraphe se fait sous une forme pseudonymisée.

§ 3. La Banque conserve les données relatives aux consultations et aux communications déterminées par le Roi en vertu de l’article 11, paragraphe 4, durant une période de cinq ans à compter de la date des consultations et communications respectives. TITRE 5 Sanctions, recherche et constatation des infractions Art. 13 § 1er. Sans préjudice des compétences des fonctionnaires de police de la police locale et fédérale, les agents commissionnés par le ministre ayant l’Économie dans ses attributions sont compétents pour rechercher et constater les infractions à la présente loi et aux règlements pris en exécution de celle-ci. § 2.

Les constatations des agents visés au paragraphe 1er reprises dans les procès-verbaux établis par eux font foi jusqu’à preuve du contraire. Dans les trente jours qui suivent la constatation de l’infraction, une copie du procès-verbal est remis au contrevenant, de la manière prévue à l’article XV.2, § 2, § 3. Les agents visés au paragraphe 1er recherchent et constatent les infractions conformément aux dispositions du livre XV, titre 1er, chapitre 1re, du Code de droit § 4.

Lorsque l’on constate que l’agent déclarant ne respecte pas les dispositions des articles 3 et 4 et des les agents visés au paragraphe 1er transmettent les constatations à la Banque en vue de l’application de la procédure visée à l’article 19. § 5. Lorsqu’il est constaté qu’un acte constitue une infraction visée à l’article 17, §§ 1er et 3, les agents visés au paragraphe 1er peuvent adresser au contrevenant un avertissement le mettant en demeure de mettre fin à cet acte, conformément à l’article XV.31 du Code de § 6.

Lorsque des infractions telles que visées à l’article 17, §§ 1er et 3, sont constatées, le directeur général de la Direction générale de l’Inspection économique du Service public fédéral Économie, PME, Classes moyennes et Énergie peut proposer une transaction aux contrevenants, conformément à l’article XV.61 du Code de droit économique.

montant maximum de l’amende fixé à l’article 17, §§ 1er et 3, majoré des décimes additionnels. transaction sont celles visées dans l’arrêté royal du 10 avril 2014 relatif au règlement transactionnel des infractions aux dispositions du Code de droit économique et ses arrêtés d’exécution, dans sa version en vigueur au 9 mai 2014. Art. 14 § 1er. Sans préjudice de la procédure d’avertissement visée à l’article 13, § 5, les infractions visées à l’article 17, §§ 1er et 3, peuvent faire l’objet de: visée à l’article 13, § 6;

2° soit une poursuite administrative avec application de la procédure visée au titre 1/2 du livre XV du Code de droit économique, à l’exception de l’article XV.60/20; § 2. La poursuite se fait conformément au titre 1/1 du livre XV du Code de droit économique. Art. 15 § 1er. Le ministère public notifie aux agents compétents proposer ou non l’extinction de l’action publique moyennant le paiement d’une somme d’argent comme visé à l’article 216bis du Code d’instruction criminelle ou une médiation pénale visée à l’article 216ter du même Code.

Lorsque le ministère public renonce à intenter les poursuites pénales, ou à proposer une transaction visée à l’article 216bis du Code d’instruction criminelle ou une médiation pénale visée à l’article 216ter du même Code, ou si le ministère public n’a pas pris de décision dans un délai de trois mois à compter du jour de la réception du procès-verbal consignant l’infraction, les agents compétents visés à l’article XV.60/4 du Code de droit économique décident s’il y a lieu d’entamer la procédure d’amende administrative.

§ 2. Si le ministère public renonce à intenter les poursuites pénales ou à proposer une transaction visée à il envoie une copie des pièces de procédure des actes d’enquête complémentaires aux agents compétents visés à l’article XV.60/4 du Code de droit économique. Art. 16 La Banque peut demander aux agents visés à l’article 13, § 1er, de vérifier, en ce qui concerne un agent déclarant, que les données communiquées à la Banque en vertu de la présente loi sont correctes et complètes.

Les agents visés à l’article 13, § 1er, évaluent la demande de la Banque et procèdent si nécessaire à une enquête. Le cas échéant, ils informent la Banque du résultat de leur enquête. Art. 17 § 1er. À l’exception des cas visés à l’article 10, § 2, 2°, dans lesquels l’Autorité de protection des données est compétente pour infliger des sanctions en vertu des dispositions du chapitre 8 du RGPD, sont punis d’une amende administrative ou pénale de 26 euros à 1 000 000 d’euros:

1° ceux qui ne se conforment pas à l’obligation visée à l’article 9;

2° ceux qui ne se conforment pas au prescrit de l’article 10, § 1er, dernier aliéna, ou § 3. § 2. Les dispositions du titre 2, chapitre 1/1, du livre XV du Code de droit économiquesont applicables aux amendes administratives visées par la présente loi. Les décimes additionnels visés à l’article 1er, alinéa 1er, de la loi du 5 mars 1952 relative aux décimes additionnels sur les amendes pénales sont également applicables aux amendes administratives. § 3.

Est puni d’une amende administrative ou pénale de 50 à 10 000 euros, celui qui, volontairement, empêche ou entrave l’exécution de la mission des personnes mentionnées à l’article 13, § 1er, chargées de rechercher et de constater les infractions aux dispositions de la

Art. 18 Les articles XV.69, XV.71, XV.72 XV.73 et XV.74 du Code de droit économique sont applicables aux infractions pénales visées à l’article 17. Art. 19 § 1er. Si l’agent déclarant ne respecte pas les dispositions des articles 3 et 4 ainsi que des arrêtés et règlements pris pour leur exécution, la Banque peut imposer des astreintes à cet agent déclarant. La Banque tient compte lors de sa prise de décision des sanctions qui ont déjà été infligées ou qui le seront par la Banque centrale européenne dans le cadre d’une procédure d’infraction portant sur les mêmes faits et consulte la Banque centrale européenne à ce sujet. § 2.

Ces astreintes s’élèvent, pour une procédure d’infraction relative aux mêmes faits, au maximum à 1 000 000 d’euros au total et au maximum à 10 000 euros par jour de retard. Lors de la détermination du montant de l’astreinte, il est tenu particulièrement compte: a) de la gravité et du caractère répété de l’infraction; b) de l’assise financière de l’agent déclarant concerné, telle qu’elle ressort entre autres du chiffre d’affaires annuel mondial total ou de l’actif net consolidé de l’agent c) des sanctions qui ont déjà été infligées ou qui le seront par la Banque centrale européenne dans le cadre d’une procédure d’infraction portant sur les mêmes faits. § 3.

Le Roi, sur proposition du ministre des Finances, détermine les modalités d’application du présent article, en ce compris la qualification des infractions et la procédure d’infraction que la Banque est tenue de suivre pour imposer ces astreintes. Les astreintes imposées en application du paragraphe 1er sont perçues au profit du Trésor par l’administration du Service public fédéral Finances en charge de la perception et du recouvrement des créances non fiscales. § 4.

L’agent déclarant peut, selon la procédure accélérée déterminée par le Roi en vertu de l’article 36/22 la Banque nationale de Belgique, introduire devant le Conseil d’État un recours contre la décision par laquelle

la Banque nationale de Belgique impose des astreintes à ces déclarants. TITRE 6 Art. 20 La Banque est habilitée à utiliser les informations conformément à la loi du 22 février 1998 fixant le statut organique de la Banque nationale de Belgique, sans préjudice de l’application du RGPD en ce qui concerne les données à caractère personnelles qui sont enregistrées dans le Registre. Art. 21 La Banque est habilitée à demander aux agents déclarants le remboursement des frais qu’elle expose pour la collecte, l’enregistrement, la gestion, le contrôle et la diffusion des données du Registre.

Les modalités et le tarif de l’indemnisation sont arrêtés par la Banque en concertation avec les agents déclarants représentés par leurs associations professionnelles. Art. 22 Les arrêtés prévus par la présente loi seront pris après avis de la Banque. Art. 23 Les articles 2 à 20 et 23 de la loi du 4 mars 2012 abrogés le 1er janvier 2022. La Banque est autorisée à prolonger la période pendant laquelle la Centrale des crédits aux entreprises peut être utilisée de 6 mois pour une partie ou la totalité des agents déclarants.

Les données qui ont été collectées en vertu de la loi précitée peuvent être conservées par la Banque durant 30 ans après la date d’abrogation précitée uniquement aux fins prévues à l’article 20 et après pseudonymisation

des entreprises personnes physiques et personnes physiques dont les données seront conservées. Art. 24 vigueur de la présente loi et qui doivent être communiqués au Registre conformément à l’article 25, la notification visée à l’article 9 prend la forme d’un avis non nominatif au Moniteur belge, émanant du ministre ayant les Finances dans ses attributions. En ce qui concerne les facilités de Art. 25 Excepté en ce qui concerne l’article 10, § 1er, qui entrera en vigueur le 1er janvier 2022, la présente loi entre en Avant le 1er janvier 2022 les établissements de crédit doivent avoir communiqués au Registre les données visées à l’article 3 relatives aux contrats existant au ou à partir du 30 septembre 2018, à l’exception des données relatives aux contreparties entreprise personne physique ou personnes physiques pour lesquelles les données relatives aux contrats existant au ou à partir du 31 décembre 2020 doivent avoir été communiquées avant le 1er janvier 2022.

Avant le 1er janvier 2022, les entreprises de leasing doivent avoir communiqué au Registre les données à partir du 31 décembre 2020.

La Banque est habilitée à autoriser que tout ou partie du périmètre des données à communiquer par un agent déclarant en vertu de l’article 3 soit temporairement restreint. Pour les d onnées dont la date de première communication débute ou est postérieure au 31 décembre 2020, l’allègement des obligations de communication ne peut toutefois excéder les six premiers mois. Donné à Bruxelles, le 23 septembre 2021 PHILIPPE PAR LE ROI:

Objet : Avis concernant un avant-proje crédits aux entreprises (CO-A-2021-114

Le Centre de Connaissance de l’Autorité de p Présent.e.s : Mesdames Marie-Hélène Desca Frank Robben;

Vu la loi du 3 décembre 2017 portant créatio les articles 23 et 26 (ci-après « LCA »);

Vu le Règlement (UE) 2016/679 du Parleme protection des personnes physiques à l'égard libre circulation de ces données, et abroge protection des données, ci-après "le RGPD") ;

Vu la loi du 30 juillet 2018 relative à la protec de données à caractère personnel (ci-après "

Vu la demande d'avis de Monsieur Vincent Finances, chargé de la Coordination de la lutt

Vu le rapport d’Alexandra Jaspar ;

émet le 8 juillet 2021 l’avis suivant :

I

OBJET DE LA DEMANDE

L’article 3 de la loi du 4 mars 2012 re la Banque nationale de Belgique (ci-après BN Entreprises des contrats1 conclus à titre prof ainsi que des données relatives aux bénéficia

Le Registre des crédits aux entrepr l’avant-projet de loi portant organisation d’un remplacera la Centrale des Crédits aux Entrep

Le remplacement de la Centrale des d’une collecte de données plus large. Selon l considération selon laquelle on évitera ainsi u institutions financières, dans le cadre du règ Banque [BNB] et du secteur financier. Ce so de crédit et les entreprises de leasing, qui fou

Le projet vise les entreprises, à savoi de personnes physiques (indépendants). L'Au

II

EXAMEN DE LA DEMANDE

Base juridique

Tout traitement de données à caractè sens de l'article 6 du RGPD.

1 Cela concerne : les contrats de crédit, les contrats assurances-crédit (voir l’article 2, 6° de la loi du 4 mars 2 Les contrats de crédit à la consommation et les contr l’objet d’un enregistrement dans la Centrale des Crédits 3 Voir la p. 4 de l'Exposé des motifs du projet. 4 Il s’agit du Règlement (UE) 2016/867 de la Banque c granulaires sur le crédit et le risque de crédit. Le Systèm données granulaires analytiques sur le crédit (ci-après " les États membres dont la monnaie est l'euro.

AnaCred systémique (CERS) dans l'accomplissement de leurs miss politique monétaire, la gestion des risques, la surveilla macroprudentielles, et à la surveillance prudentielle ban résidant dans un État membre déclarant doivent déclarer à la banque centrale nationale (BCN) de cet État membr ces données à la Banque centrale européenne (BCE).

6. Dans le formulaire de demande d’av données à caractère personnel repose sur l’ La BNB est chargée de créer une base de don leur tour obligés légalement de fournir à la B qu’elles soient reprises dans le registre. L’Aut

7. Conformément à l’article 6.3 du RG traitement de données à caractère personne et/ou à l'exécution d'une mission d'intérêt pu est investi le responsable du traitement7 doit l’application doit être prévisible pour les perso la Constitution, il est nécessaire que les "élém au moyen d’une norme légale formelle (loi, d

8. Lorsque le traitement de données co les droits et libertés des personnes concerné suivants doivent être définis par le législateur

• la (les) finalité(s) précise(s)8 dont traitement de données seront effectu l’identité du ou des responsables du t le type de données nécessaires à conservation de ces données9, les catégories de personnes concerné catégories de destinataires auxquels dans lesquelles elles le seront, l'éventuelle limitation des obligations

5 “41. Lorsque le présent règlement fait référence à u nécessairement que l'adoption d'un acte législatif par un de l'ordre constitutionnel de l'État membre concerné. Ce claire et précise et son application devrait être prévisible justice de l'Union européenne (ci-après dénommée "Cou 6 Article 6.1.c) du RGPD. 7 Article 6.1.e) du RGPD. 8 Voir également l'article 6.3 du RGPD.

9 La Cour constitutionnelle a reconnu que "le législateur à caractère personnel, ainsi que la durée de cette conser 10 Voir par exemple Cour constitutionnelle, Arrêt n° Arrêt n° 44/2015 du 23 avril 2015, points B.36.1 e.s.

prudentiel et le contrôle de la stabilité financ sont pertinentes.

c) Proportionnalité

14. L'article 5.1.c) du RGPD prévoit que le pertinentes et limitées à ce qui est nécess données).

15. L’article 3, premier alinéa du projet sont enregistrés dans le registre, à savoir les c et les assurances ou couvertures contre un in personnes qui sont les contreparties liées à u également enregistrées.

16. Ces descriptions ne donnent aucune qui sont enregistrées dans le registre et ne catégories de données à caractère personne sont reprises dans le registre doivent être clai finalités du registre11. Le texte actuel ne per proportionnalité. Lorsque le projet sera ada nouveau à l’avis de l’Autorité en vue de ce co

17. Dans la mesure où les catégories d celles-ci peut être précisé par la suite dans un une délégation au Roi pour déterminer les do l’article 3 du projet ne précise pas actuelleme sont enregistrées, cette délégation au Roi ne Constitution interdit au législateur de renonce peuvent venir restreindre le droit au respect

11 Le fait que les annexes du règlement AnaCredit ment cette obligation vu que le registre poursuit également d pas visées par le règlement AnaCredit. 12 Avis n° 63.202/2 du 26 avril 2018 du Conseil d'État é de l’information et modifiant diverses lois concernant la et du Conseil du 27 avril 2016 relatif à la protection des personnel et à la libre circulation de ces données, et abrog 122. Voir dans le même sens les avis suivants du Conseil d'Ét l'Avis n° 26.198/2 rendu le 2 février 1998 su transposant la Directive 95/46/CE du 24 octob des personnes physiques à l’égard du traitem données”, Doc.

Parl. Chambre, 1997-98, n° 4

Roi "n’est pas contraire au principe de légalit suffisamment précise et porte sur l’exécutio préalablement par le législateur"13.

18. Les articles 5 et 6 du projet accorde national et à l’accès aux informations du Regi

19. L’article 5 du projet règle l’utilisation d Il ressort du commentaire des articles que l identifiées à l’aide de leur numéro d’entrepris et qui n’agissent pas dans le cadre de leurs numéro de Registre national. À cet effet, la pe déclarant avant de conclure le contrat. Pour d en ce qui concerne le numéro de Registre nat

les agents déclarants sont habilités à physiques dont ils disposent déjà en loi ; si les agents déclarants ne disposent p à la contrepartie de le communiquer.

20. L’article 6, premier alinéa du projet national dans le registre et à l’utiliser dans le

21. Vu la taille du registre et l’importan concernées (problème d’homonymie, orthogra numéro unique, permet si pas d’exclure ce ris de toutes les personnes physiques impliquée projet est pertinente en vue par exemple de l numéro de Registre national en la matiè La réutilisation du numéro de Registre na application d’une autre législation n’est pas p finalités d’identification. Par pur souci d’ex

Avis n° 33.487/1/3 des 18 et 20 juin 2002 relat des mesures en matière de soins de santé”, D Avis n° 37.765/1/2/3/4 rendu le 4 novembre loi-programme du 27 décembre 2004, Doc. Pa 13 Voir également Cour constitutionnelle, Arrêt n° 29/201 point B.8.1 ; Arrêt n° 44/2015 du 23 avril 2015, point B.36 du 5 octobre 2017, point B.6.4 ; Arrêt n° 29/2010 du point B.7.2. ; Avis du Conseil d’État n° 63.202/2 du 26 a

l’article 10 de la loi du 8 août 1983 organisant oblige un utilisateur du numéro de Registre na et à le notifier à l’Autorité.

22. La différence dans la description de national est utilisé est toutefois problématiqu

pour la BNB : des personnes physiqu pour les agents déclarants : des per pas dans le cadre de leurs activités p

23. Les personnes sont enregistrées dan les agents déclarants. L’Autorité constate que Registre national est plus limité que celui pou numéro de Registre national. Cela donne lieu Registre national qui n’est pas couvert par l’a d’une erreur et celle-ci doit dès lors être rect lors être précisé dans le commentaire des art

24. L’article 6, deuxième alinéa du projet et dans ses arrêtés d’exécution, un accès aux aux données mentionnées à l’article 3, prem 8 août 198314. Le fait que la BNB contrôle l’ex national et l’orthographe correcte du nom et dans le registre ne donne lieu à aucune remar d’une personne concernée n’a pas été comm le lieu et la date de naissance constituent le En vertu des annexes du règlement AnaCredit Dès lors, l’accès à l’information "résidence pri

d) Délai de conservation

25. En vertu de l'article 5.1.e) du RGPD, conservées sous une forme permettant l’iden excédant celle nécessaire à la réalisation des

14 Ce sont les nom et prénoms, lieu et date de naissance

26. L’article 13 du projet donne l’impre reprises dans le registre. L’Autorité constate q

la période pendant laquelle les donné le délai de conservation proprement d le délai de conservation des donn communications du registre.

27. En fait, c’est l’article 13, § 2 du proje savoir :

pour l’instrument ou une protection j pour une contrepartie jusqu’à 30 an protection auxquels elle est liée.

28. Un si long délai de conservation ne s’ BNB ou du contrôle de la stabilité financière p ou statistiques ainsi qu’en vue d’autres de Concernant cette dernière finalité, l’Autor Le commentaire des articles précise que :

ce délai de conservation doit perme travers le temps ; les données des contreparties qui s terme de la période de consultatio permettre un couplage avec une aut personnel lorsque la finalité le just l’importance de préciser les finalités p

29. Compte tenu de ces éléments, le déla l'article 5.1.e) du RGPD. Concernant la pseu l’attention sur :

les rapports de l’Agence de l’Union e et meilleures pratiques de pseudonym

15 L’article 13, § 2 du projet renvoie aux finalités mentionn qui sont visées

ENISA

: https://www.enisa.europa.eu/publicatio https://www.enisa.europa.eu/news/enisa-news/enisa-pr

le fait que ce traitement devra être e principes prévalant en la matière17.

30. L’article 13, § 1er, premier alinéa du relatives à un instrument/une protection instrument/cette protection. La même règle correspond pas au prescrit de l’article 13, §

31. Comme déjà indiqué au point 26 l’article 13, § 1er, premier alinéa du projet e temps. Le texte du premier alinéa doit donc qui est visé. Cela requiert de préciser dans le déclarants (cela ne transparaît pas dans le qu’il est préférable de remplacer le terme "co

32. Indépendamment de ces remarques à un instrument, une protection ou une con fin de l’instrument ou de la protection. Il n’ap encore être consultables après la fin de l’ins justifie ce terme en affirmant que "Les don être pertinentes durant deux ans après la protection." Le fait que les données soient pr d’encore accorder un accès à ces données. Su l’Autorité estime que cet accès est dispropor

33. En vertu de l’article 13, § 3 du p communications sont conservées pendant communications. Il s’agit en substance de d en vue de récupérer les coûts du registre et également pertinentes en vue de l’applicatio personnes morales que les personnes physiq données au cours des 6 derniers mois.

34. À la lumière de cet élément, l’Autor court. La consultation/communication non au

17 Il en va ainsi du principe de proportionnalité renvoy que les données à caractère personnel doivent être ad finalités pour lesquelles elles sont traitées, conforméme

(délit).

35. L’article 24, deuxième alinéa du pro dans l’actuelle Centrale des Crédits aux Entr conservation des données de cette centrale. Centrale des Crédits aux Entreprises établit pendant un délai plus long. La conservation p qui est amenée à être supprimée est disp instruments qui étaient déjà terminés depui seraient encore conservés pendant 30 ans de données de la Centrale des Crédits aux Entre données du registre.

e) Différents rôles de la BNB

36. La BNB est le responsable du traiteme L’Autorité en prend acte.

37. En outre, l’article 8 du projet dispose par leurs associations professionnelles y cons compte des agents déclarants, le fichier cen règlement collectif de dettes et de protêts v fichier central), ainsi que d’autres fichiers po de crédit.

38. Cet article accorde aux agents décla n’importe quelle base de données en vue d’un les associations professionnelles qui les repré le Roi l’autorise ensuite. Seule 1 base de don ne fournit aucune indication sur les autres ba provenant de plusieurs bases de données co citoyen. Afin de garantir la prévisibilité dan mentionner dans le projet quelles bases de do crédit n’est pas nouvelle. Il est donc parfaitem pertinentes.

39. Il ressort du texte de l’article 8 du p que responsable du traitement du registre ma

de la consultation du registre par un agent d données pour cet agent déclarant, elle agit en d’intégration la BNB preste : s’agit-il d’une in d’une intégration d’infrastructures ou d’une clairement par exemple si les données que la du règlement AnaCredit) sont intégrées dans précisé. La mesure dans laquelle tout doit êtr concerné. À cet égard, l’Autorité renvoie à la droit, la Commission de la protection de la public18. L’auteur du projet devra compléter l en tenant compte de ce qui est précisé dans

40. Par pur souci d’exhaustivité, l’Autorité concerne des bases de données dépendant l’exigence de conclure un protocole. L’artic électronique de données administratives co données dépendant d’instances flamandes.

41. Concernant le fichier central, l’article les avis visés à l’article 1390quater/1 du Cod mesure où l’article 8 du projet ne vise que ces Quant aux autres données du fichier central, l’ limitative les personnes ayant accès à ces do accordé. Ni la BNB, ni les agents déclarants ne du fichier central dans le chef des agents dé mentionné dans le projet. Cette remarque va concernant lesquelles la loi détermine qui y huissiers de justice est considérée comme u fédéral, il faudra établir par la suite, au mo (article 20 de la LTD).

f) Destinataires des données

42. L’article 11, § 1er du projet accorde u soit avant la conclusion d’un contrat dans le c gestion d’un contrat. Pour autant que les div

18 https://www.autoriteprotectiondonnees.be/publication

dans le projet (voir les points 11 - 13), cet acc ce qui suit : "En aucun cas, le Registre ne pe la loi, notamment pour de la prospection co prospection commerciale dans le projet est po

43. Par pur souci d’exhaustivité, l’Autori correcte de l’accès au registre dépend entièr que lors de l’accès, le dossier concret po journalisation.

44. L’article 11, § 1er, deuxième alinéa d catégorie d’agents déclarants, les données en L’absence d’un tel arrêté ne signifie pas que et simplement toutes les données du regist l’obligation de veiller à ce que le principe de p de la consultation/communication.

45. La consultation des données du regis de la conclusion d’un protocole. En tant que fédéral19, l’article 20 de la LTD s’applique à l’article 11, § 1er, deuxième alinéa du projet e LTD, cela doit être explicitement mentionné d

46. L’article 11, § 2 du projet énumère 5 être communiquées. Pour chaque instance, i peuvent leur être communiquées et pour 1 données agrégées seront communiquées. La remarque particulière à l’exception de celle f de l’article 20 de la LTD.

47. L’article 11, § 2, 6° du projet dispose est prévue ou autorisée par ou en vertu d’un la communication au départ du registre à d’au dans un souci de transparence à l’égard des j dans l’article discuté ici.

19 Voir la page 8 de la recommandation n° 02/2020 du conclure un protocole afin de formaliser les communicatio fédéral (https://www.autoriteprotectiondonnees.be/publ

g) Droits des personnes concernées

48. Concernant les contrats qu’ils con traitement. Dans une large mesure, ils obtienn et doivent donc fournir des informations, premier alinéa du projet ne peut pas modi déclarants en vertu de l’article 13 du RGPD.

49. La BNB est un responsable du traitem des personnes concernées elles-mêmes, de l’article 14 du RGPD s’applique à la BNB. L’ar son obligation de fournir des informations commentaire des articles que la BNB est d l’exception mentionnée à l’article 14.5.c) du R de mention claire de diverses finalités - primai de données traitées, l’imprécision concernan peut difficilement affirmer que ce projet prév légitimes de la personne concernée.

50. Si le but de l’article 10, premier alin laquelle sont tenus les agents déclarants en agents déclarants à fournir des informations devant normalement être communiquées par alors être considéré comme une mesure qu personnes concernées dans la mesure où i articles 14.1 et 14.2 du RGPD. Toutefois, l’Au en vertu de l’article 10, premier alinéa du proj son obligation d’information de manière satisf

20 "Les paragraphes 1 à 4 ne s'appliquent pas lorsque et la personne concernée dispose déjà de ces infor b) La fourniture de telles informations se révèle impos traitement à des fins archivistiques dans l'intérêt pu statistiques sous réserve des conditions et garanties visée au paragraphe 1 du présent article est susceptib des objectifs dudit traitement. En pareils cas, le resp les droits et libertés ainsi que les intérêts légitimes publiquement disponibles ; c) l'obtention ou la communication des informat droit de l'État membre auquel le responsab appropriées visant à protéger les intérêts légit d) les données à caractère personnel doivent rester réglementée par le droit de l'Union ou le droit des Éta

renvoi par les 4 premiers points des 7 poin conciliable avec l’obligation d'informer la pe compréhensible et aisément accessible, en de l’article 10 du projet implique que le respons au détriment du droit de la personne concern traitement de ses données (articles 13 et 14 d

51. L’article 12, § 1er, premier alinéa du p frais d’un droit d’accès et d’un droit de rectific fixées par le Roi.

52. L’article 12, § 1er, deuxième alinéa du et du droit de rectification. Ces droits ne s’app registre, à savoir les données purement inter concernée. L’Autorité constate tout d’abord q interprétation très large rendant possible de représentent plus rien. Vu que la limitation d’ formulée aussi précisément que possible.

53. L’article 23.1 du RGPD énumère les Il ressort du commentaire des articles que Le registre que la BNB gère relève d’une fina membre. Afin d’instaurer une limitation à un comporter tous les points mentionnés à l’arti Par conséquent, les conditions pour instaurer

54. En outre, l’Autorité constate que la lim à des données purement internes à l’agent Selon le commentaire des articles, ces inform risques encourus par le secteur financier et s L’instauration d’une limitation à un droit du R de la réalisation des finalités poursuivies du re Même les explications fournies dans le com cette nécessité : il n’apparaît pas que l’accès l’agent déclarant qui se rapportent à cette

21 "D'autres objectifs importants d'intérêt public général d financier important de l'Union ou d'un État membre, y c publique et de la sécurité sociale." 22 Selon le commentaire des articles, il s’agit : d'apprécia

finalités. Même lorsque cette nécessité est maintenir cet accès à ces données de manièr

55. Les mêmes remarques peuvent ê rectification.

56. L’article 12, § 1er, troisième alinéa du L’auteur du projet estime ainsi que la BNB pe 17.3.b, 18.2 et 20.3 du RGPD.

57. Concernant la non applicabilité de l’a formulée au point 49.

58. L’article 17 du RGPD régit le droit à l'e à l’effacement ne s’applique pas dans la me respecter une obligation prévue par le droit d du droit à l’effacement soit nécessaire pou concernant le registre ou que la gestion du reg des articles. L’effacement ne peut tout d’abord ne sont plus nécessaires au regard des fina scientifiques et statistiques du registre qui conservation qui y est associé, aucun efface encore traitées pour ces finalités.

59. L’effacement de données peut ég traitement illicite ou lorsqu’elles doivent ê inacceptable qu’une personne concernée se v si la BNB les traite de manière illicite dans le délai de conservation légal. Le renvoi à l’artic

60. L’article 20 du RGPD régit le droit à dans 2 cas23 :

les données sont traitées sur la base le cas en l'occurrence. en l'occurrence.

61. La BNB traite les données sur la base du RGPD n’est pas d’application et le renvoi à

62

RGPD

ne sont purement et simplement pas a

63. Il est précisé dans le commentaire de obligations reprises à l’article 12 du RGPD. La être supprimé.

64. L’article 13 du RGPD régit la commun les données sont collectées auprès d’elle. En BNB ne collecte aucune donnée auprès de la l’application de cet article ne se pose pas et le

65. L’article 19 du RGPD oblige le respo auquel il a communiqué les données à caract toute limitation du traitement, à moins qu’une efforts disproportionnés. Le commentaire d disproportionnés compte tenu du nombre él registre et que par conséquent, par souci d s’applique pas. L’Autorité ne partage pas cett

66. Sur la base des données du registre, l concernant notamment des personnes phys

23 Voir également la page 10 des Lignes directrices relativ sur la protection des données, adoptées le 13 (https://ec.europa.eu/newsroom/article29/items/611233 Groupe de travail "Article 29" sur la protection des donné (https://edpb.europa.eu/sites/default/files/files/news/en

utilisées dans le contexte d’une affaire pénale conséquences importantes pour la personne donc important que les données à l’aide des dès lors que la correction de données ayant ont utilisé les données car cela peut condui l’interaction avec le registre se fait par voi automatiquement un message électronique lo de l’idée que l’auteur du projet prête princip déclarants et limite à cet effet les droits du maximale. Le renvoi à l’article 19 du RGPD do

67. L’article 21 du RGPD régit le droit d concernée lorsque ses données sont traitées s dans le formulaire de demande d’avis que le l’article 6.1.c) du RGPD. Par conséquent, cet a cet article doit être supprimé.

68. Lorsque les données du registre sont concernée à exercer son droit de rectification qui a communiqué les données au registre. l’erreur ne résulte pas d’une mauvaise manip l’agent déclarant concerné. Il s’agit à nouve autant que possible le responsable du trait personne concernée qui constate que ses do cette erreur résulte d’une manipulation de la B doit donc être adressée au responsable du tra à la BNB, selon le cas, de faire le nécessaire Cet article doit être adapté en ce sens.

69. L’article 12, § 4 du projet établit que t peuvent disposer d’un relevé des agents déc dans les 6 mois précédant la date de la dema Roi). Il s’agit d’une disposition similaire à ce relative aux registres de la population, au documents de séjour en ce qui concerne les c national. Cette disposition offre au citoyen l l’objet d’une consultation illicite, ce qui est po prévoit que ce droit peut être exercé via l’e-ID

et authentification électroniques, ce n’est pas de le prévoir, d’autant plus que cela est plus s personnel (pas de circulation de copies de titr

70. Enfin, l’article 25 du projet régit la m dans le cas d’instruments/de protections conc le cas de facilités de découvert non autorisée informations mentionnées à l’article 10 du pro

71. Tant que le projet n’est pas entré en d’application et ces instruments/protections Centrale des Crédits aux Entreprises, avec l’ celle-ci est compatible avec les dispositions sont d’application. Par conséquent, on ne s Ce mode d’information est-il prévu car le but Entreprises vers le registre ? Si tel est le cas du texte et des explications éventuellement c nécessaires.

PAR CES MOTIFS, l'Autorité

considère que le projet doit être adapté

les finalités du registre dans le chef de d’autre part doivent être définies clai les catégories de données doivent ê (points 16 - 17) ; la disparité entre les groupes-cibles d levée (points 22 - 23) ; le délai pendant lequel les agents dé doit être revu (points 30 - 32) ; le délai de conservation des fichiers d qu’un accès ou une consultation non le délai de conservation des donné Entreprises doit être aligné sur celui d les autres bases de données qui sont le rôle de la BNB en tant que sous-tra

si un accès au fichier central conce personne, cela doit être prévu dans le l’article 20 de la LTD s’applique à la dérogation à ce principe doit êt (points 44 - 45) ; les articles traitant des droits d (points 48 - 71).

Pour le Centre de Connaissances, Alexandra Jaspar, Directrice

Het Kenniscentrum van de Gegevensbesc mevrouw Marie-Hélène Descamps en mevro Robben;

I

VOORWERP VAN DE AANVRAAG

Het ontwerp viseert ondernemingen, natuurlijke personen (zelfstandigen). De Auto

II

ONDERZOEK VAN DE AANVRAAG

Rechtsgrond

Elke verwerking van persoonsgegeve

artikel 6 AVG.

de eventuele beperking van de verpli 22 en 34 AVG.

9. Hierna zal de Autoriteit nagaan of de

b) Doeleinde(n)

10. Volgens artikel 5.1.b) AVG kan de ver voor welbepaalde, uitdrukkelijk omschreven e

c) Proportionaliteit

14 Dit zijn de naam en de voornamen, de geboorteplaats

d) Bewaartermijn

Rekening houdend hiermee is de vo AVG aanvaardbaar. M.b.t. de pseudonimise aandacht op:

In het licht hiervan is de Autoriteit va De ongeoorloofde raadpleging/mededeling va

e) Verschillende rollen van de NBB

De NBB is de verwerkingsverantwoo ontwerp). De Autoriteit neemt hiervan akte.

18 https://www.gegevensbeschermingsautoriteit.be/publ

f) Ontvangers van gegevens

het ontwerp.

g) Rechten van de betrokkenen

Artikel 23.1 AVG somt de gevallen o

Dezelfde opmerkingen kunnen gem verbetering.

De Autoriteit verwijst voor wat de n opmerking in punt 49.

Artikel 20 AVG regelt het recht op ov

toepassing in 2 gevallen23:

aangepast.

OM DEZE REDENEN, de Autoriteit

de doeleinden van het register in informatieplichtigen anderzijds mo (punten 11 - 13);

Voor het Kenniscentrum, Alexandra Jaspar, Directeur

FR AVIS DE LA BANQUE C du 16 ju sur le Registre des c (CON/ Introduction et fondement juridique Le 27 mai 2021, la Banque centrale européenne (B ministre belge des finances portant sur un projet de royal y afférent (ci-après, le « projet d’arrêté royal (RCE) (ci-après ensemble le « projet législatif »). La BCE a compétence pour émettre un avis en v paragraphe 5, du traité sur le fonctionnement de troisième et quatrième tirets, de la décision 98/415 concerne la Banque Nationale de Belgique (BNB) e monétaires, financières, bancaires et relatives aux Conformément à l’article 17.5, première phrase, du le présent avis a été adopté par le conseil des gouv Objet du projet législatif Le projet législatif modifie et remplace le ca relative à la Centrale des Crédits aux Entrepr Centrale des Crédits aux Entreprises3, en v Belgique doivent déclarer à la BNB certa bénéficiaires.

D’après le rapport joint au proj de mettre fin à la double déclaration des donn crédit selon le cadre juridique en vigueur en B de données différentes : l’une sert à collecter cadre juridique national et l’autre sert à collec au règlement (UE) 2016/867 de la Banqu « règlement AnaCredit »), selon lequel les données sur le crédit à la banque centrale n Décision du Conseil du 29 juin 1998 relative à la co nationales au sujet de projets de réglementation (98/4 Loi relative à la Centrale des Crédits aux Entreprises Arrêté royal relatif à la Centrale des Crédits aux Entre Règlement (UE) 2016/867 de la Banque centrale granulaires sur le crédit et le risque de crédit (BCE/20 Article 3 du règlement AnaCredit.

dans le rapport, il y a double transmission de Le projet législatif crée un dispositif par leque données, à savoir celle gérée aux fins du rè donc plus tenus qu’à une seule déclaration de 1.2 De plus, le projet législatif propose de complét AnaCredit par des données supplémentaires règlement AnaCredit qui contient un seuil d débiteur est égal ou supérieur à 25 000 EU déclaration au cours de la période de référ Ensuite, le projet législatif inclut les entre déclarants » qui ont l’obligation de collecter législatif7, alors que la population déclarante des établissements de crédit et des succursa Enfin, si le règlement AnaCredit ne prévoit pa physiques, le projet législatif prévoit la collec lorsque la contrepartie de crédits conclus à titr privé comme les crédits hypothécaires ou les qu’elle agisse dans le cadre de ses activi conformes aux obligations de déclaration e Belgique.

1.3 Le projet de loi autorise la BNB à échanger a octroyés aux entités juridiques, ce qui perme données conformément au règlement Ana l’Autorité des services et marchés financi l’Inspection économique9. Pour chaque institu les données peuvent être partagées avec cett les mesures nécessaires pour assurer la con prévues dans le projet de loi. La BCE et les données communiquées conformément au r maintien par les BCN de retour de données ve enregistrées et la protection légale qu’elles équivalentes à celles du RCE et qu’elles Conformément au projet d’arrêté royal, il est données enregistrées dans le RCE, à l’except de leasing ; 2) des données relatives aux pers juridiques pour les instruments de type « Enga entités juridiques dont le montant de l'eng Article 5 du règlement AnaCredit.

Article 2, point 3°, point b), du projet de loi et article 3 Article 2, points 14°et 15°, du projet de loi et article 4 Article 11, paragraphe 2, du projet de loi. Article 11, paragraphe 3, du projet de loi.

« Crédits et dépôts » auprès d’un même agen transférera à la BCE et aux BCN toutes le AnaCredit, comme le précise également ce rè 1.4 Conformément au projet législatif, les agents RCE, soit préalablement à la conclusion d’u évaluation des risques concernant une contre contrat13. 1.5 Le projet de loi prévoit qu’en cas de non-resp et déclarer les données selon les dispositio imposer des astreintes journalières à cet agen d’imposer de telles astreintes, de tenir compte par la BCE dans le cadre d’une procédure d’i BCE à ce sujet.14 La BNB doit, de plus, tenir détermine le montant de l’astreinte journal maximaux et les critères pour déterminer le dispositions du règlement (CE) nº 2533/98 matière de sanctions, auxquelles l’article 18 maximal de l’amende journalière par jour dispositions.

1.6 Le projet de loi autorise la BNB à demander expose pour la collecte, l’enregistrement, la ge Observations générales 2.1 La BCE est favorable au projet législatif puis vigueur portant sur les obligations de déclar entités juridiques, dans le but de parvenir à granulaires sur le crédit, nécessaires à des f projet législatif permet aux établissements fin et aux autorités de surveillance d’évaluer p financier.

De plus, le projet législatif fusion déclaration qui ont un effet direct en ra supplémentaires imposées par le droit nation un des principaux objectifs à long terme d’An et les pratiques de mise en œuvre. La BC législateur belge pour éviter à l’avenir les do Article 10 de l’arrêté royal. Considérant 15 du règlement AnaCredit. Article 11, paragraphe 1, du projet de loi. Article 20, paragraphes 1 et 2, du projet de loi.

Règlement (CE) nº 2533/98 du Conseil du 23 novem Banque centrale européenne (JO L 318 du 27.11.199 Article 22 du projet de loi.

convient de noter que le projet de loi devrait étendu pour inclure les données supplémenta 2.2 Les données supplémentaires à déclarer d règlement AnaCredit. Ledit règlement précis banques centrales (SEBC) sont autorisées au-delà du périmètre prévu dans le règ conformément à leur droit national17. Par aille de déclaration statistique qu’il prévoit sont s actuelle ou à venir concernant des donnée dispositifs de déclaration18.

Observations spécifiques 3.1 Concernant la possibilité pour la BNB de institutions, dans la mesure où elle souhaite tr collectées par d’autres BCN à d’autres institut à la protection et à l’utilisation des informatio sont énoncées dans le règlement (CE) n° 2 règlement (CE) n° 2533/98 autorise l’utilisa SEBC « exclusivement pour l’accomplisseme circonstances bien définies. De plus, les para autorisent la transmission d’informations stat sous réserve du respect d’un certain nom dispositions sont particulièrement importante BCN conformément au règlement AnaCredit, 3.2 La BCE souhaite également attirer l’attention qui s’applique en cas de non-respect, par d statistique de la BCE, et qui est également m notamment habilitée à infliger des sanction obligations de déclaration définies dans ses r banque centrale nationale ne reçoit aucune b) les informations statistiques sont incorrecte répondant pas aux exigences posées21.

La sanction en cas d’infractions, prévues par le régime de sanctions distinct applicable par l (UE). S’il est vrai que le régime de sancti AnaCredit est mentionné dans le projet de l Article 8, paragraphe 3, du règlement AnaCredit. Articles 8 à 8 quater du règlement (CE) n° 2533/98. Article 18 du règlement AnaCredit. Article 7 du règlement (CE) n° 2533/98.

toute ambiguïté, que le régime de sanctions du régime de sanctions prévu par la BCE conf du règlement AnaCredit précise que le po non-respect des obligations de déclaration dé droit d’une BCN de sanctionner, conforméme de déclaration statistique ou des autres oblig en vertu de leur cadre juridique national cor dudit règlement. C’est pourquoi le pouvoir de de la BNB d’infliger des sanctions concernant loi, qui dépassent le périmètre du règlement A 3.3 De plus, l’article 2, paragraphe 1, du règ européenne (BCE/1999/4)22 prévoit qu’il n'y contre une même entreprise sur la base des ne prennent de décision relative à l'eng mutuellement informées et consultées23.

Ce non-respect d’une obligation de déclaration non-respect d’une obligation de déclaration p il n’existe pas de priorité particulière quant à voie de consultation entre la BCE et la BCN d’infraction contre le même agent déclarant p procédure de consultation entre la BNC et ell tant pour infliger une astreinte que pour en d principe non bis in idem, selon lequel aucune les mêmes faits. 3.4 Concernant les données supplémentaires à indiqué dans les considérants du règlement étendu pour inclure des données personnelle des personnes physiques en matière de col devrait être garantie.

Il est important de veille protéger les données à caractère personn conformément au règlement (UE) 2016/679 d Règlement (CE) n° 2157/1999 du 23 septembre1999 matière de sanctions (BCE/1999/4) (JO L 264 du 12. Article 2, paragraphe 1, du règlement (CE) n° 2157/1 Article 20 du projet de loi. Considérant 12 du règlement AnaCredit. Règlement (UE) 2016/679 du Parlement européen et physiques à l'égard du traitement des données à c abrogeant la directive 95/46/CE (règlement général s

la BCE est satisfaite que le projet de loi prév caractère personnel collectées à propos de p 3.5 Comme la BCE l’a précédemment relevé28, financement de la mission de la BNB qui co agents déclarants collectent et déclarent à c BNB peut demander aux agents déclarants le Le présent avis sera publié sur EUR-Lex. Fait à francfort-sur-le Main, le 16 juillet 2021. La présidente de la BCE Christine LAGARDE Article 12 du projet de loi. Cf. point 3.1 de l’avis CON/2011/20. Tous les avis de