(1)

Par sa décision d’exécution (UE) 2016/1156 (2), la Commission a considéré que les autorités compétentes des États-Unis, à savoir le Public Company Accounting Oversight Board et la Securities and Exchange Commission, répondent à des critères qui sont adéquats aux fins de l’article 47, paragraphe 1, point c), de la directive 2006/43/CE. Cette décision d’exécution cessera de s’appliquer le 31 juillet 2022. Il est donc nécessaire de déterminer si les autorités compétentes des États-Unis continuent de répondre à des critères qui sont adéquats aux fins de la communication, à ces autorités, de documents d’audit ou d’autres documents détenus par des contrôleurs légaux des comptes ou des cabinets d’audit, ainsi que de rapports d’inspection ou d’enquête.

(2)

Lorsque des inspections ou des enquêtes sont menées, les contrôleurs légaux des comptes et les cabinets d’audit ne devraient pas être autorisés à donner aux autorités compétentes des États-Unis accès à leurs documents d’audit ou à d’autres documents, ni à leur transmettre ces documents, dans des conditions autres que celles énoncées à l’article 47 de la directive 2006/43/CE.

(3)

Les États membres doivent s’assurer que les modalités de travail requises par l’article 47, paragraphe 1, point d), de la directive 2006/43/CE pour la communication de documents d’audit ou d’autres documents détenus par des contrôleurs légaux des comptes ou des cabinets d’audit ainsi que de rapports d’inspection ou d’enquête entre leurs autorités compétentes et les autorités compétentes des États-Unis soient convenues sur la base de la réciprocité et prévoient la protection du secret professionnel et des informations commerciales sensibles qui sont contenues dans lesdits documents et qui concernent les entités contrôlées, y compris leur propriété industrielle et intellectuelle, ou les contrôleurs légaux des comptes et les cabinets d’audit qui ont contrôlé ces entités.

(4)

Lorsque la communication, aux autorités compétentes des États-Unis, de documents d’audit ou d’autres documents détenus par des contrôleurs légaux des comptes ou des cabinets d’audit, ainsi que de rapports d’inspection ou d’enquête, implique le transfert de données à caractère personnel, celui-ci n’est licite que s’il respecte également les exigences applicables aux transferts internationaux de données énoncées dans le règlement (UE) 2016/679 du Parlement européen et du Conseil (3). L’article 47, paragraphe 1, point e), de la directive 2006/43/CE impose donc aux États membres de veiller à ce que le transfert de données à caractère personnel entre leurs autorités compétentes et celles des États-Unis respecte tous les principes et règles applicables en matière de protection des données et, en particulier, les dispositions du chapitre V du règlement (UE) 2016/679. Les États membres devraient veiller à encadrer le transfert de données à caractère personnel de garanties appropriées, comme le prévoit l’article 46 dudit règlement. Les États membres devraient également s’assurer que les autorités compétentes des États-Unis ne divulgueront pas à leur tour les données à caractère personnel contenues dans les documents communiqués sans avoir obtenu l’accord préalable de leurs propres autorités compétentes.

(5)

Les États membres peuvent accepter que leurs autorités compétentes effectuent leurs inspections conjointement avec les autorités compétentes des États-Unis si cela est nécessaire pour garantir une surveillance efficace. Les États membres peuvent permettre qu’une coopération avec les autorités compétentes des États-Unis ait lieu sous la forme d’inspections conjointes, ou par l’intermédiaire d’observateurs sans pouvoirs d’inspection ou d’enquête et sans accès aux documents d’audit confidentiels, aux autres documents détenus par des contrôleurs légaux ou des cabinets d’audit, ou aux rapports d’inspection ou d’enquête. Il est nécessaire qu’une telle coopération ne se déroule que dans les conditions prévues à l’article 47, paragraphe 2, de la directive 2006/43/CE, en particulier en ce qui concerne l’obligation de respect de la souveraineté, de la confidentialité et de la réciprocité. Toute inspection menée dans l’Union conjointement avec les autorités compétentes des États-Unis en vertu de l’article 47 de la directive 2006/43/CE sera dirigée par l’autorité compétente de l’État membre concerné.

(6)

Aux États-Unis, en vertu de la loi Sarbanes-Oxley de 2002 (4), le Public Company Accounting Oversight Board est compétent en matière de supervision publique et d’assurance qualité externe des contrôleurs légaux des comptes et des cabinets d’audit, d’enquête les concernant et de sanctions à leur encontre. Le Public Company Accounting Oversight Board met en œuvre des garanties appropriées qui interdisent et sanctionnent la divulgation, par les personnes qu’il emploie ou qu’il a employées, d’informations confidentielles à toute personne ou autorité tierce. En vertu des lois et des réglementations des États-Unis, il peut communiquer aux autorités compétentes des États membres des documents équivalents à ceux visés à l’article 47, paragraphe 1, de la directive 2006/43/CE. Sur cette base, le Public Company Accounting Oversight Board continue à répondre à des critères qui devraient être déclarés adéquats aux fins de l’article 47, paragraphe 1, point c), de la directive 2006/43/CE.

(7)

Aux États-Unis, la loi Sarbanes-Oxley de 2002 confère à la Securities and Exchange Commission un pouvoir de supervision et un pouvoir exécutoire sur le Public Company Accounting Oversight Board. La Securities and Exchange Commission a aussi le pouvoir de soumettre les contrôleurs légaux des comptes et les cabinets d’audit à des enquêtes; la présente décision devrait, par conséquent, couvrir uniquement les compétences de la Securities and Exchange Commission en matière d’enquêtes relatives à des contrôleurs légaux des comptes et des cabinets d’audit. La Securities and Exchange Commission met en œuvre des garanties appropriées qui interdisent et sanctionnent la divulgation, par les personnes qu’elle emploie ou qu’elle a employées, d’informations confidentielles à toute personne ou autorité tierce. En vertu des lois et des réglementations des États-Unis, elle peut communiquer aux autorités compétentes des États membres des documents équivalents à ceux visés à l’article 47, paragraphe 1, de la directive 2006/43/CE et ayant trait aux enquêtes qu’elle est susceptible de mener sur des contrôleurs légaux des comptes et des cabinets d’audit. Sur cette base, la Securities and Exchange Commission continue à répondre à des critères qui devraient être déclarés adéquats aux fins de l’article 47, paragraphe 1, point c), de la directive 2006/43/CE.

(8)

Le comité des organes européens de supervision de l’audit a réévalué le cadre juridique des États-Unis sur la base de la loi Sarbanes-Oxley, qui n’a pas été fondamentalement modifiée depuis l’adoption de la décision d’exécution (UE) 2016/1156. Selon l’évaluation technique du comité des organes européens de supervision de l’audit visée à l’article 30, paragraphe 7, point c), du règlement (UE) no 537/2014 du Parlement européen et du Conseil (5), la Securities and Exchange Commission et le Public Company Accounting Oversight Board continuent à répondre à des critères qui devraient être déclarés adéquats aux fins de l’article 47, paragraphe 1, point c), de la directive 2006/43/CE.

(9)

La présente décision est sans préjudice des accords de coopération visés à l’article 25, paragraphe 4, de la directive 2004/109/CE du Parlement européen et du Conseil (6).

(10)

Le fait de conclure à l’adéquation des critères remplis par les autorités compétentes d’un pays tiers en vertu de l’article 47, paragraphe 3, premier alinéa, de la directive 2006/43/CE ne préjuge d’aucune décision que la Commission peut adopter en vertu de l’article 46, paragraphe 2, de cette directive quant à l’équivalence des systèmes de supervision publique, d’assurance qualité, d’enquête et de sanctions auxquels sont soumis les contrôleurs des comptes et les cabinets d’audit de ce pays tiers.

(11)

Les autorités compétentes de plusieurs États membres ont mis en place des modalités de travail, telles que visées à l’article 47, paragraphe 1, de la directive 2006/43/CE, avec le Public Company Accounting Oversight Board. Dans la plupart des cas, il existe également un accord sur la protection des données au titre du règlement (UE) 2016/679 ou du droit national fondé sur la directive 95/46/CE du Parlement européen et du Conseil (7), laquelle a été abrogée par ledit règlement.

(12)

L’objectif ultime de la coopération en matière de supervision du contrôle légal des comptes entre les autorités compétentes des États membres et les autorités compétentes des États-Unis est d’instaurer la confiance de chaque partie dans le système de supervision de l’autre partie. La communication de documents d’audit ou d’autres documents détenus par des contrôleurs légaux des comptes ou des cabinets d’audit et de rapports d’inspection ou d’enquête devrait ainsi devenir l’exception. La confiance mutuelle reposerait sur l’équivalence des systèmes de l’Union et des États-Unis en matière de supervision du contrôle légal des comptes.

(13)

À la suite de la décision d’exécution (UE) 2016/1156, les autorités compétentes de plusieurs États membres et les autorités compétentes des États-Unis ont organisé des inspections conjointes. Les autorités compétentes de certains États membres ont appliqué une confiance partielle, notamment en réalisant des inspections de contrôle qualité, auxquelles le Public Company Accounting Oversight Board a accordé une certaine confiance, et en répartissant entre eux certains domaines d’examen prioritaire dans le cadre d’inspections sur pièces. Pour le bon fonctionnement des marchés des capitaux, il importe que les autorités compétentes des États membres et celles des États-Unis puissent poursuivre leur bonne coopération après le 31 juillet 2022, dans le but de parvenir à une confiance mutuelle dans leurs systèmes de supervision respectifs. Cependant, en l’absence de confiance totale, et étant donné que la dérogation prévue à l’article 46 de la directive 2006/43/CE est fondée sur le principe de la réciprocité, la présente décision devrait être applicable pour une période limitée.

(14)

Nonobstant cette limitation dans le temps, la Commission, assistée par le comité des organes européens de supervision de l’audit, suivra régulièrement l’évolution du marché, l’évolution des cadres réglementaires et de surveillance, ainsi que l’efficacité de la coopération en matière de surveillance et l’expérience qui en est tirée. En particulier, la Commission pourra entreprendre un réexamen spécifique de la présente décision à tout moment, avant l’expiration de sa période de validité, si des évolutions pertinentes imposent de réévaluer la reconnaissance d’adéquation qu’elle accorde. Un tel réexamen peut conduire à l’abrogation de la présente décision.

(15)

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (8) et a rendu un avis le 13 mai 2022.

(16)

Les mesures prévues dans la présente décision sont conformes à l’avis du comité institué par l’article 48, paragraphe 1, de la directive 2006/43/CE,