6.11.2012   

FR

Journal officiel de l'Union européenne

C 336/4

Résumé de l'avis du Contrôleur européen de la protection des données sur la proposition de la Commission concernant une directive modifiant la directive 2006/43/CE concernant le contrôle légal des comptes annuels et des comptes consolidés, et sur la proposition de règlement relatif aux exigences spécifiques applicables au contrôle légal des comptes des entités d’intérêt public

(Le texte complet de l'avis en anglais, français et allemand est disponible sur le site Internet du CEPD http://www.edps.europa.eu)

2012/C 336/04

Introduction

Consultation du CEPD

1.

Le 30 novembre 2011, la Commission a adopté une proposition de modification de la directive 2006/43/CE concernant les contrôles légaux des comptes (1). La modification de la directive 2006/43/CE traite de l’agrément et de l’enregistrement des auditeurs et des cabinets d’audit, des principes concernant l’éthique professionnelle, le secret professionnel, l’indépendance et l’élaboration de rapports, ainsi que des règles en matière de surveillance. Le même jour, la Commission a adopté une proposition de règlement relatif au contrôle légal des comptes des entités d’intérêt public (2), qui définit les conditions de mise en œuvre de tels contrôles (ci-après la «proposition de règlement»). Ces propositions ont été transmises au CEPD pour consultation le 6 décembre 2011.

2.

Le CEPD se réjouit d’être consulté par la Commission et recommande d’inclure une référence au présent avis dans le préambule de la directive. Une référence à la consultation du CEPD a déjà été incluse dans le préambule de la proposition de règlement.

3.

Dans le présent avis, le CEPD aborde des questions concernant la directive 2006/43/CE qui dépassent le champ couvert par les modifications proposées. Il souligne les implications potentielles de la directive elle-même en termes de protection des données (3). L’analyse présentée dans le présent avis est directement pertinente pour l’application de la législation existante et pour d’autres propositions en attente et éventuellement futures contenant des dispositions similaires, telles celles discutées dans les avis du CEPD sur le paquet législatif concernant la révision de la législation bancaire, les agences de notation de crédit, les marchés d’instruments financiers (MiFID/MiFIR) et l’abus de marché (4). Par conséquent, le CEPD recommande de lire le présent avis en liaison étroite avec ses avis du 10 février 2012 sur les initiatives susmentionnées.

Objectifs et champ d’application de la proposition

4.

La Commission considère les cabinets d’audit comme des acteurs du déclenchement de la crise financière, et elle tente de définir le rôle que les auditeurs ont joué dans la crise — ou bien le rôle qu’ils auraient dû jouer. La Commission affirme également que la qualité de l’audit des comptes est un facteur primordial pour rétablir la confiance placée dans le marché et ses acteurs.

5.

La Commission indique qu’il faut aussi souligner que les auditeurs ont pour mission légale de vérifier les comptes des états financiers des sociétés qui bénéficient d’une limitation de leur responsabilité et/ou sont habilitées à offrir leurs services dans le secteur financier. Cette mission correspond à une fonction sociale: celle de fournir un avis sur l’exactitude et la fidélité des états financiers de ces sociétés.

6.

En fin de compte, selon la Commission, la crise financière a mis en lumière des faiblesses dans le contrôle légal des comptes, en particulier pour ce qui concerne les entités d’intérêt public (EIP). Ces dernières présentent un intérêt public notable en raison de leur domaine d’activité, de leur taille, de leurs effectifs ou de leur statut juridique, ou parce qu’elles comptent un grand nombre de parties intéressées.

7.

Pour répondre à ces inquiétudes, la Commission a publié une proposition visant à modifier la directive 2006/43/CE concernant les contrôles légaux des comptes, qui traite de l’agrément et de l’enregistrement des auditeurs et des cabinets d’audit, des principes concernant l’éthique professionnelle, le secret professionnel, l’indépendance et l’élaboration de rapports, ainsi que des règles en matière de surveillance connexes. La Commission a également proposé un nouveau règlement sur le contrôle légal des comptes des entités d’intérêt public établissant les conditions permettant de mener ces vérifications.

8.

La Commission propose que la directive 2006/43/CE s’applique à des situations non couvertes par la proposition de règlement. Il est donc important d’introduire une distinction claire entre ces deux instruments juridiques. Cela signifie que les dispositions actuelles de la directive 2006/43/CE ayant exclusivement trait au contrôle légal des états financiers annuels et des états financiers consolidés des EIP sont déplacées et, le cas échéant, modifiées dans la proposition de règlement.

But de l’avis du CEPD

9.

La mise en œuvre et l’application du cadre réglementaire des contrôles légaux des comptes peuvent, dans certains cas, avoir des conséquences sur les droits des personnes physiques concernant le traitement de leurs données à caractère personnel. La directive 2006/43/CE, sous sa forme actuelle et modifiée, et la proposition de règlement contiennent des dispositions qui peuvent avoir des répercussions sur la protection des données à caractère personnel pour les personnes concernées.

Conclusions

46.

Le CEPD se félicite de l’attention particulière accordée à la protection des données dans la proposition de règlement, mais a constaté que des améliorations supplémentaires étaient possibles.

47.

Le CEPD formule les recommandations suivantes:

reformuler l’article 56 de la proposition de règlement et insérer une disposition dans la directive 2006/43/CE en soulignant la pleine applicabilité de la législation existante en matière de protection des données et remplacer les multiples renvois dans différents articles de la proposition de règlement par une disposition générale qui renvoie à la directive 95/46/CE ainsi qu’au règlement (CE) no 45/2001. Le CEPD suggère d’expliciter la référence à la directive 95/46/CE en précisant que les dispositions s’appliqueront conformément aux règles nationales qui transposent cette directive;

préciser le type d’informations à caractère personnel qui peuvent être traitées dans le cadre de la directive 2006/43/CE et de la proposition de règlement, définir les finalités pour lesquelles les données à caractère personnel peuvent être traitées par les autorités compétentes concernées et fixer une durée de conservation précise, nécessaire et proportionnée pour le traitement susmentionné;

compte tenu des risques que représentent les transferts de données vers des pays tiers, le CEPD recommande d’ajouter à l’article 47 de la directive 2006/43/CE qu’en l’absence d’un niveau de protection adéquat une évaluation soit effectuée au cas par cas. Il recommande également d’inclure une référence similaire et l’évaluation au cas par cas dans les dispositions pertinentes de la proposition de règlement;

remplacer la période de conservation minimale de cinq ans, à l’article 30 de la proposition de règlement par une période de conservation maximale. La période choisie devra être nécessaire et proportionnée aux finalités pour lesquelles les données sont traitées;

mentionner la finalité de la publication de sanctions dans les articles concernés de la directive 2006/43/CE et de la proposition de règlement et expliquer la nécessité et la proportionnalité de la publication dans les considérants de la directive 2006/43/CE et de la proposition de règlement. Il recommande également que la publication soit décidée au cas par cas et qu’il soit possible de publier moins d’informations qu’actuellement;

prévoir des garanties appropriées concernant la publication obligatoire de sanctions pour garantir le respect de la présomption d’innocence, le droit d’opposition des personnes concernées, la sécurité/exactitude des données et leur effacement après un laps de temps approprié;

ajouter une disposition à l’article 66, paragraphe 2, de la proposition de règlement énonçant que «l'identité de ces personnes doit être garantie à tous les stades de la procédure, à moins que sa communication ne soit requise par le droit national dans le contexte d’enquêtes ou de procédures judiciaires ultérieures»;

supprimer les mots «aux principes consacrés par» de l’article 66, paragraphe 2, point c), de la proposition de règlement.

Fait à Bruxelles, le 13 avril 2012.

Giovanni BUTTARELLI

Contrôleur adjoint européen de la protection des données

(1)  COM(2011) 778.

(2)  COM(2011) 779.

(3)  Le CEPD n’a pas été consulté par la Commission quant à la proposition de directive 2006/43/CE concernant les contrôles légaux des comptes; la directive proprement dite a été adoptée le 17 mai 2006.

(4)  Avis du CEPD du 10 février 2012, disponible sur http://www.edps.europa.eu