(1)

En vertu de l’article 47, paragraphe 1, de la directive 2006/43/CE, les États membres ne peuvent autoriser la communication de documents d’audit ou d’autres documents détenus par des contrôleurs légaux des comptes ou des cabinets d’audit agréés par eux, ainsi que de rapports d’inspection ou d’enquête en rapport avec les audits en question, aux autorités compétentes d’un pays tiers que pour autant que ces dernières répondent à des critères qui ont été déclarés adéquats par la Commission et qu’il existe des modalités de travail fondées sur la réciprocité entre ces autorités compétentes et celles des États membres concernés.

(2)

Une décision d’adéquation adoptée en vertu de l’article 47, paragraphe 3, de la directive 2006/43/CE ne traite pas d’autres critères spécifiques régissant la communication de documents d’audit ou d’autres documents détenus par des contrôleurs légaux des comptes ou des cabinets d’audit, ainsi que de rapports d’inspection ou d’enquête, comme l’accord entre autorités compétentes sur des modalités de travail fondées sur la réciprocité prévu à l’article 47, paragraphe 1, point d), de ladite directive, ou les exigences relatives à la communication de données à caractère personnel prévues à son article 47, paragraphe 1, point e).

(3)

La coopération en matière de communication de documents d’audit ou d’autres documents détenus par des contrôleurs légaux des comptes ou des cabinets d’audit, ainsi que de rapports d’inspection ou d’enquête, aux autorités compétentes d’un pays tiers va dans le sens de l’intérêt public important que constitue l’exercice d’une supervision publique indépendante. En conséquence, les autorités compétentes des États membres devraient, dans le cadre des modalités de travail visées à l’article 47, paragraphe 2, de la directive 2006/43/CE, s’assurer que l’autorité compétente de l’Afrique du Sud utilise tous les documents qui lui ont été communiqués conformément à l’article 47, paragraphe 1, de ladite directive uniquement afin d’exercer ses fonctions de supervision publique, d’assurance qualité externe et d’enquête à l’égard de contrôleurs des comptes et de cabinets d’audit.

(4)

Lors d’inspections ou d’enquêtes, les contrôleurs légaux des comptes et les cabinets d’audit n’ont pas le droit d’autoriser l’autorité compétente de l’Afrique du Sud à accéder à leurs documents d’audit ou autres documents, ni de les lui transmettre, dans des conditions autres que celles énoncées à l’article 47 de la directive 2006/43/CE et dans la présente décision.

(5)

Sans préjudice de l’article 47, paragraphe 4, de la directive 2006/43/CE, les États membres devraient veiller à ce qu’aux fins de la supervision publique, de l’assurance qualité et des enquêtes relatives aux contrôleurs légaux des comptes et aux cabinets d’audit, les contacts entre les contrôleurs légaux des comptes et les cabinets d’audit par eux agréés, d’une part, et l’autorité compétente de l’Afrique du Sud, d’autre part, passent par les autorités compétentes des États membres concernés.

(6)

Conformément à l’article 47, paragraphe 1, point d), de la directive 2006/43/CE, la possibilité, pour les États membres, d’autoriser la communication à l’autorité compétente de l’Afrique du Sud de documents d’audit ou autres documents détenus par des contrôleurs légaux des comptes ou des cabinets d’audit agréés par eux, ainsi que de rapports d’inspection ou d’enquête, est subordonnée à la condition que des modalités de travail soient convenues entre les autorités compétentes concernées.

(7)

Les États membres devraient veiller à ce que ces modalités de travail entre leurs autorités compétentes et l’autorité compétente de l’Afrique du Sud soient convenues sur une base de réciprocité et soient soumises aux conditions énoncées à l’article 47, paragraphes 1 et 2, de la directive 2006/43/CE, notamment pour ce qui est de la protection d’éventuels secrets professionnels ou intérêts commerciaux, dont la propriété industrielle et intellectuelle, qui seraient contenus dans les documents communiqués et qui concerneraient les entités contrôlées ou les contrôleurs des comptes et cabinets d’audit qui les ont contrôlées.

(8)

Lorsque la communication à l’autorité compétente de l’Afrique du Sud de documents d’audit ou autres détenus par des contrôleurs légaux des comptes ou des cabinets d’audit, ou de rapports d’inspection ou d’enquête, implique le transfert de données à caractère personnel, ce transfert n’est licite que s’il respecte également les exigences applicables aux transferts internationaux de données énoncées dans le règlement (UE) 2016/679 du Parlement européen et du Conseil (2). L’article 47, paragraphe 1, point e), de la directive 2006/43/CE impose donc aux États membres de veiller à ce que le transfert de données à caractère personnel entre leurs autorités compétentes et l’autorité compétente de l’Afrique du Sud respecte tous les principes et règles applicables en matière de protection des données et, en particulier, les dispositions du chapitre V du règlement (UE) 2016/679. Les États membres devraient veiller à encadrer le transfert de données à caractère personnel de garanties appropriées, comme le prévoit l’article 46 du règlement (UE) 2016/679. Ils devraient également s’assurer que l’autorité compétente de l’Afrique du Sud ne divulguera pas à son tour les données à caractère personnel contenues dans les documents communiqués sans avoir obtenu l’accord préalable des autorités compétentes des États membres concernés.

(9)

L’Independent Regulatory Board for Auditors (IRBA) est l’autorité compétente de l’Afrique du Sud chargée de la supervision publique, de l’assurance qualité externe et des enquêtes concernant les contrôleurs des comptes et les cabinets d’audit. Elle met en œuvre des garanties appropriées qui interdisent et sanctionnent la divulgation, par les personnes qu’elle emploie ou qu’elle a employées, d’informations confidentielles à toute personne ou autorité tierce. En vertu de la loi sud-africaine de 2005 sur la profession d’audit et de son propre code de conduite, l’IRBA peut transférer aux autorités compétentes des États membres des documents équivalents à ceux visés par l’article 47, paragraphe 1, de la directive 2006/43/CE.

(10)

Les documents obtenus par l’IRBA dans le cadre d’inspections et de l’établissement de rapports d’inspection ne peuvent être partagés qu’avec le consentement du contrôleur des comptes ou du cabinet d’audit enregistré auprès d’elle. Cette exigence peut soulever des difficultés quant au respect des exigences prévues en matière de coopération réglementaire par l’article 47 de la directive 2006/43/CE. Il conviendrait donc que la coopération réglementaire entre l’IRBA et les autorités compétentes des États membres fasse l’objet d’un suivi étroit et d’un réexamen par la Commission, afin que celle-ci évalue si cette exigence de consentement fait en pratique obstacle à l’échange d’informations.

(11)

L’IRBA est l’autorité compétente chargée de coopérer et de conclure des accords bilatéraux avec les autorités compétentes des États membres pour la communication de documents d’audit. La confidentialité des documents d’audit est assurée par la «common law» d’Afrique du Sud en matière de secret professionnel, qui impose au contrôleur des comptes une obligation professionnelle générale de préservation de la confidentialité des documents de ses clients.

(12)

En vertu des lois et réglementations d’Afrique du Sud, l’IRBA peut être soumise à l’obligation de partager avec un «régulateur approprié» («an “appropriate regulator””) les informations visées à l’article 47, paragraphe 1, de la directive 2006/43/CE, mais elle a le pouvoir discrétionnaire de décider si ce partage ultérieur irait dans le sens de la protection du public et de l’intérêt public. Lors de la signature d’accords de travail bilatéraux avec l’IRBA, les autorités compétentes des États membres pourraient exiger que l’IRBA sollicite leur consentement préalable si elle se voit contrainte de transférer à un «régulateur approprié» des informations non publiques reçues dans le cadre de cette coopération. Elles devraient également envisager d’exiger que l’IRBA ne puisse partager ces informations qu’avec les entités visées dans ces accords, en précisant que ces entités doivent respecter le secret professionnel et la confidentialité de ces informations. En outre, le traitement de données à caractère personnel ne doit pouvoir être effectué que dans le but précis mentionné dans la présente décision, comme indiqué au considérant 3 et à l’article 1er, et sous réserve des conditions mentionnées, en particulier, au considérant 8.

(13)

En vertu de l’article 1er de la décision d’exécution (UE) 2016/1010 de la Commission (3), plusieurs autorités compétentes de pays ou territoires tiers, dont l’IRBA, ont été déclarées adéquates au sens de l’article 47, paragraphe 1, point c), de la directive 2006/43/CE aux fins de la communication de documents d’audit ou autres, ainsi que de rapports d’inspection et d’enquête. Conformément à l’article 3 de la décision d’exécution (UE) 2016/1010, cette décision d’exécution ne s’applique plus à l’IRBA depuis le 1er août 2019.

(14)

Bien que l’IRBA n’ait conclu d’accord bilatéral sur des modalités de travail avec aucune des autorités compétentes des États membres avant le 31 juillet 2019, certains États membres ont exprimé leur intérêt pour une coopération avec elle.

(15)

Le comité des organes européens de supervision de l’audit (CEAOB) a réévalué le cadre légal de l’Afrique du Sud en se basant sur la loi de 2005 sur la profession d’audit, qui n’a pas été modifiée depuis la décision d’exécution (UE) 2016/1010. D’après l’évaluation technique du CEAOB prévue par l’article 30, paragraphe 7, point c), du règlement (UE) no 537/2014 du Parlement européen et du Conseil (4), l’IRBA remplit des critères qui devraient être déclarés adéquats aux fins de l’article 47, paragraphe 1, point c), de la directive 2006/43/CE.

(16)

La présente décision est sans préjudice des accords de coopération visés à l’article 25, paragraphe 4, de la directive 2004/109/CE du Parlement européen et du Conseil (5).

(17)

Le fait de conclure à l’adéquation des critères remplis par les autorités compétentes d’un pays tiers en vertu de l’article 47, paragraphe 3, premier alinéa, de la directive 2006/43/CE ne préjuge d’aucune décision que la Commission peut adopter en vertu de l’article 46, paragraphe 2, de cette directive quant à l’équivalence des systèmes de supervision publique, d’assurance qualité, d’enquête et de sanctions auxquels sont soumis les contrôleurs des comptes et les entités d’audit de ce pays tiers.

(18)

La présente décision vise à favoriser une coopération efficace entre les autorités compétentes des États membres et l’IRBA. Sa finalité est de permettre à ces autorités d’exercer leurs fonctions de supervision publique, d’assurance qualité externe et d’enquête, tout en protégeant les droits des parties concernées. Tout État membre dont les autorités compétentes décident de conclure avec l’IRBA un accord sur des modalités de travail fondées sur la réciprocité afin de permettre la communication de documents d’audit et autres détenus par des contrôleurs légaux des comptes ou des cabinets d’audit, ainsi que de rapports d’inspection ou d’enquête, est tenu de communiquer cet accord à la Commission, pour permettre à celle-ci d’apprécier si cette coopération est conforme à l’article 47 de la directive 2006/43/CE.

(19)

L’objectif ultime d’une coopération entre les autorités compétentes des États membres et l’IRBA en matière de supervision du contrôle des comptes est de créer une confiance mutuelle dans les systèmes de supervision de l’autre partie et de favoriser la convergence du contrôle des comptes sur le plan qualitatif. Cette confiance mutuelle et cette convergence accrue reposeraient sur l’équivalence des systèmes respectifs de supervision du contrôle des comptes de l’Union et de l’Afrique du Sud. À terme, la communication de documents d’audit ou autres détenus par des contrôleurs légaux des comptes ou des cabinets d’audit, ou de rapports d’inspection ou d’enquête, devrait ainsi devenir l’exception.

(20)

Compte tenu de l’absence d’expérience pratique d’une coopération avec l’IRBA en matière de supervision, et donc d’une incapacité à évaluer pour l’instant si l’obligation pour l’IRBA d’obtenir l’accord préalable du contrôleur des comptes ou du cabinet d’audit pour pouvoir partager les documents obtenus lors d’inspections, ainsi que les rapports d’inspection, fait en pratique obstacle à l’échange d’informations, il convient que la présente décision soit applicable sur une période limitée.

(21)

Nonobstant cette limitation temporelle, la Commission suivra régulièrement l’évolution des marchés, l’évolution des cadres réglementaires et de supervision et l’efficacité de la coopération en matière de supervision, en tenant compte de l’expérience tirée de cette dernière, et en se basant sur les retours fournis par les États membres. En particulier, la Commission pourra entreprendre un réexamen spécifique de la présente décision à tout moment, avant l’expiration de sa période de validité, si des évolutions pertinentes imposent de réévaluer la reconnaissance d’adéquation qu’elle accorde. Cette réévaluation peut conduire à l’abrogation de la présente décision.

(22)

Le Contrôleur européen de la protection des données a rendu son avis le 3 décembre 2019.

(23)

Les mesures prévues dans la présente décision sont conformes à l’avis du comité institué en application de l’article 48, paragraphe 1, de la directive 2006/43/CE,