Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Contrôle légal des comptes des entités d’intérêt public: exigences spécifiques

2011/0359(COD)

Résumé de l’avis du Contrôleur européen de la protection des données sur la proposition de la Commission concernant une directive modifiant la directive 2006/43/CE concernant le contrôle légal des comptes annuels et des comptes consolidés, et sur la proposition de règlement relatif aux exigences spécifiques applicables au contrôle légal des comptes des entités d’intérêt public.

Le CEPD se réjouit d’être consulté par la Commission et recommande d’inclure une référence à son avis dans le préambule de la directive. Une référence à la consultation du CEPD a déjà été incluse dans le préambule de la proposition de règlement.

La crise financière a mis en lumière des faiblesses dans le contrôle légal des comptes, en particulier pour ce qui concerne les entités d’intérêt public (EIP). Pour répondre à ces inquiétudes, la Commission a publié une proposition visant à modifier la directive 2006/43/CE concernant les contrôles légaux des comptes, qui traite de l’agrément et de l’enregistrement des auditeurs et des cabinets d’audit, des principes concernant l’éthique professionnelle, le secret professionnel, l’indépendance et l’élaboration de rapports, ainsi que des règles en matière de surveillance connexes. La Commission a également proposé un nouveau règlement sur le contrôle légal des comptes des entités d’intérêt public établissant les conditions permettant de mener ces vérifications.

La Commission propose que la directive 2006/43/CE s’applique à des situations non couvertes par la proposition de règlement. Il est donc important d’introduire une distinction claire entre ces deux instruments juridiques.

Recommandations du CEPD : la directive 2006/43/CE, sous sa forme actuelle et modifiée, et la proposition de règlement contiennent des dispositions qui peuvent avoir des répercussions sur la protection des données à caractère personnel pour les personnes concernées. Le CEPD se félicite de l’attention particulière accordée à la protection des données dans la proposition de règlement, mais a constaté que des améliorations supplémentaires étaient possibles. Il formule dès lors les recommandations suivantes :

  • reformuler l’article 56 de la proposition de règlement et insérer une disposition dans la directive 2006/43/CE en soulignant la pleine applicabilité de la législation existante en matière de protection des données et remplacer les multiples renvois dans différents articles de la proposition de règlement par une disposition générale qui renvoie à la directive 95/46/CE ainsi qu’au règlement (CE) n° 45/2001. Le CEPD suggère d’expliciter la référence à la directive 95/46/CE en précisant que les dispositions s’appliqueront conformément aux règles nationales qui transposent cette directive;
  • préciser le type d’informations à caractère personnel qui peuvent être traitées dans le cadre de la directive 2006/43/CE et de la proposition de règlement, définir les finalités pour lesquelles les données à caractère personnel peuvent être traitées par les autorités compétentes concernées et fixer une durée de conservation précise, nécessaire et proportionnée pour le traitement susmentionné;
  • compte tenu des risques que représentent les transferts de données vers des pays tiers, le CEPD recommande d’ajouter à l’article 47 de la directive 2006/43/CE qu’en l’absence d’un niveau de protection adéquat une évaluation soit effectuée au cas par cas. Il recommande également d’inclure une référence similaire et l’évaluation au cas par cas dans les dispositions pertinentes de la proposition de règlement;
  • remplacer la période de conservation minimale de cinq ans, à l’article 30 de la proposition de règlement par une période de conservation maximale. La période choisie devra être nécessaire et proportionnée aux finalités pour lesquelles les données sont traitées;
  • mentionner la finalité de la publication de sanctions dans les articles concernés de la directive 2006/43/CE et de la proposition de règlement et expliquer la nécessité et la proportionnalité de la publication dans les considérants de la directive 2006/43/CE et de la proposition de règlement. Le CEPD recommande également que la publication soit décidée au cas par cas et qu’il soit possible de publier moins d’informations qu’actuellement;
  • prévoir des garanties appropriées concernant la publication obligatoire de sanctions pour garantir le respect de la présomption d’innocence, le droit d’opposition des personnes concernées, la sécurité/exactitude des données et leur effacement après un laps de temps approprié;
  • ajouter une disposition à l’article 66, paragraphe 2, de la proposition de règlement énonçant que l'identité de ces personnes doit être garantie à tous les stades de la procédure, à moins que sa communication ne soit requise par le droit national dans le contexte d’enquêtes ou de procédures judiciaires ultérieures.

Le CEPD note que l’analyse présentée dans son avis est directement pertinente pour l’application de la législation existante et pour d’autres propositions en attente et éventuellement futures contenant des dispositions similaires, telles celles discutées dans les avis du CEPD sur le paquet législatif concernant la révision de la législation bancaire, les agences de notation de crédit, les marchés d’instruments financiers (MiFID/MiFIR) et l’abus de marché. Par conséquent, le CEPD recommande de lire le présent avis en liaison étroite avec ses avis du 10 février 2012 sur ces initiatives.