Nous sommes convaincus que la protection de vos données à caractère personnel est essentielle. Lorsque nous traitons vos données à caractère personnel, nous le faisons conformément au Règlement général sur la protection des données du 27 avril 2016 (ci-après le ‘RGPD’).
A travers cette politique informative, nous souhaitons clarifier les questions suivantes :
Cette politique informative a été adaptée pour la dernière fois le 25 février 2022.
S’il subsiste encore des points qui ne seraient pas assez clairs, vous pouvez toujours prendre contact avec l’IRE via l’adresse suivante privacy@ibr-ire.be.
Vos données à caractère personnel sont traitées par l’Institut des Réviseurs d’Entreprises (ci-après l’IRE). L’IRE est une organisation professionnelle jouissant de la personnalité juridique qui a été créée par la loi du 22 juillet 1953 (entre-temps cette loi a été partiellement abrogée par la loi du 7 décembre 2016 – Loi portant organisation de la profession et de la supervision publique des réviseurs d’entreprises, ci-après « Loi du 7 décembre 2016 »). Elle a pour objet de veiller à assurer l’organisation permanente d’un corps de spécialistes capables de remplir la fonction de réviseur d’entreprises avec toutes les garanties requises aux points de vue de la compétence, de l’indépendance et de la probité professionnelle (art. 64 de la loi du 7 décembre 2016). Tous les réviseurs d’entreprises sont inscrits de plein droit au registre public de l’Institut.
Depuis le 1er janvier 2017, la surveillance de l’exercice par les réviseurs d’entreprises de leur profession, ainsi que l’organisation du contrôle de qualité sont exécutées par le Collège de supervision des réviseurs d’entreprises.
L’IRE est considéré comme le responsable du traitement de vos données au sens du RGPD, ce qui veut dire que l’IRE est entre autre responsable du traitement licite, loyal et transparent de vos données à caractère personnel et qu’en cas de questions éventuelles ou pour l’exercice de vos droits relatifs au traitement des données, vous pouvez vous adresser à l’IRE :
Adresse : Boulevard Emile Jacqmain 135/1, 1000 Bruxelles.
à l’attention du Secrétariat général
Numéro d’entreprise : 0209.851.580
Tél: 02/512.51.36 adresse e-mail: privacy@ibr-ire.be
L’IRE a désigné un délégué à la protection des données afin de l’accompagner dans la mise en place et le suivi des mesures de protection des données appropriées aux traitements effectués. Il s’agit de l’équipe de Privanot asbl :
Adresse : Rue de la Montagne, 32 à 1000 Bruxelles
Tél: 02/500.14.15 adresse e-mail: info@privanot.be
Pour pouvoir mener à bien ces missions, l’IRE traite principalement des données à caractère personnel d’identification ou de contact de ses membres, membres honoraires, stagiaires, candidats stagiaires et tiers (en qualité d’intéressé ou de partie concernée), prestataires de service et fournisseurs, des candidats à une offre d’emploi et de son personnel.
Les données à caractère personnel traitées par l’IRE sont généralement constituées de votre prénom, nom, adresse, adresse e-mail, données professionnelles, telles que la dénomination de votre entreprise et le numéro de TVA, ainsi que toute autre donnée nécessaire :
Les données financières relatives notamment aux cotisations des membres, au paiement des salaires du personnel et des fournisseurs de biens et services sont également traitées. Il s’agit principalement des données suivantes :
Comme légalement requis, l’IRE traite également des données relatives aux procédures judiciaire, disciplinaire ou administrative dont ses membres font l’objet. Il s’agit des données que les membres sont légalement tenus de communiquer ou que nous obtenons des tiers.
Généralement vous nous fournissez ces informations directement, mais il se peut également que nous obtenions ces informations de tiers.
Lorsque vous visitez nos sites web, il est possible que nous traitions également certaines données à caractère personnel vous concernant (cf. infra).
En ce qui concerne l’utilisation de cookies, nous vous renvoyons à notre politique en matière de cookies disponible sur notre site internet : https://www.ibr-ire.be
L’IRE traite les données à caractère personnel nécessaires à l’exercice de ses différentes missions.
Ces missions sont définies par la Loi du 7 décembre 2016 et ses arrêtés royaux d’exécution. Ces missions légales se regroupent en cinq catégories :
L’IRE est également amenées à traiter vos données à caractère personnel dans le cadre d’autres législations (telle que la législation relative aux perquisitions auprès d’un réviseur d’entreprises) ou sur base de votre consentement (utilisation de cookies, d’enregistrement audio par exemple) ou encore dans le cadre de l’exécution d’un contrat avec les fournisseurs ou simplement pour l’accomplissement de ses intérêts légitimes (gestion des candidatures spontanées par exemple). (cf. infra).
Vous trouverez ci-dessous, la liste des différentes finalités de traitement des données à caractère personnel en lien avec les activités de l’IRE, lesquelles sont à leur tour en lien avec les différentes missions dont la loi investit l’IRE.
Gestion administrative des membres
Nous traitons ces données car nous en avons besoin pour exercer nos tâches qui sont définies par la Loi du 7 décembre 2016, l’Arrêté royal du 21 juillet 2017 relatif à l'octroi de la qualité de réviseur d'entreprises ainsi qu'à l'inscription et à l'enregistrement dans le registre public des réviseurs d'entreprises et l’Arrêté royal du 22 février 2019 fixant le règlement d'ordre intérieur de l'Institut des Réviseurs d'entreprises.
Gestion du registre public
La loi confie la gestion du registre public des réviseurs d’entreprises à l’IRE.
Les données à caractère personnel sont traitées sur base de la Loi du 7 décembre 2016 (art. 78) et de l’Arrêté royal du 21 juillet 2017 relatif à l'octroi de la qualité de réviseur d'entreprises ainsi qu'à l'inscription et à l'enregistrement dans le registre public des réviseurs d'entreprises
Organisation du stage
Des données à caractère personnel sont traitées dans le cadre de l’organisation du stage sur base de la Loi du 7 décembre 2016 (art. 74) et de l’Arrêté royal du 17 août 2018 relatif à l'accès à la profession de réviseur d'entreprises.
Liste des réviseurs d’entreprises honoraires
Nous traitons ces données à caractère personnel afin de nous conformer à la Loi du 7 décembre 2016 (art. 11) et à l’Arrêté royal du 22 février 2019 fixant le règlement d'ordre intérieur de l'Institut des Réviseurs d'entreprises.
Formation permanente et événements
Nous traitons ces données car nous en avons besoin pour exercer nos tâches qui sont définies par la Loi du 7 décembre 2016 (art. 41- 79).
La grande partie de la formation permanente de l’IRE est toutefois déléguée à la fondation ICCI (Centre d’information du révisorat d’entreprises). Cf. infra, partie V.
Mailing et abonnements – normes et doctrine
Nous informons nos membres concernant les normes et la doctrine via des mailing de type newsletter, communications, recommandations, avis, notes techniques. Le traitement de leurs données à caractère personnel se fait dans ce cadre sur base de la Loi du 7 décembre 2016 (notamment art. 31 § 1 et § 7).
Constitution de groupes de travail
Le Règlement d’ordre intérieur de l’IRE prévoit que les commissions, groupes de travail techniques ou cellules nécessaires à la réalisation de l’objectif de l’IRE, peuvent être créés. Dans ce contexte, l’on peut faire appel à des tiers (non-membres). Les données à caractère personnel de ces tiers ne sont traitées que pour le bon fonctionnement de ces organes, ainsi que pour l’application de la législation comptable, fiscale et sociale lorsqu’une rémunération est prévue pour ces prestations fournies.
Liste des co-praticiens de l’insolvabilité
En vertu de l’article XX.20, §1 du Code de droit économique et à l’article 9 de l’Arrêté royal du 26 avril 2018 portant exécution de l'article XX.1, § 1er, dernier alinéa, du Code de droit économique relatif à l'application du livre XX du Code de droit économique aux titulaires d'une profession libérale, l’IRE élabore une liste des membres pouvant intervenir comme co-praticien de l’insolvabilité.
Perquisitions
En vertu des usages, confirmés dans la Circulaire COL 5/2011 du 25 mai 2011 du Collège des procureurs- généraux, un représentant du Conseil de l’IRE est généralement présent aux perquisitions menées chez des réviseurs d’entreprises. Dans ce cadre des données à caractère personnel peuvent également être traitées
Fournisseurs de biens et de services à l’IRE
Des données à caractère personnel sont également traitées lors de l’exécution d’une convention. Il convient en particulier de mentionner ici les fournisseurs de biens et services de l’IRE
Données communiquées à l’occasion d’une candidature
Afin de pouvoir traiter les données de votre candidature, il est nécessaire que vous fournissiez une série de données telles que votre curriculum vitae, votre expérience professionnelle, vos publications éventuelles, et d’autres données éventuelles en fonction de l’offre d’emploi. Le fait de ne pas fournir ces données nous mettra dans l’impossibilité de traiter votre candidature.
Services de l’IRE auprès du public
Dans certains cas, l’IRE est amené à traiter des données de tiers à leur demande expresse, suite à une prise de contact par ceux-ci, par exemple afin d’obtenir des informations concernant la profession.
Dans ces cas des traitements de données à caractère personnel peuvent également avoir lieu.
Mailing et abonnements (ne concernant pas directement les normes et la doctrine)
Nous traitons les données à caractère personnel de façon à pouvoir adresser différents mailings en rapport avec nos différentes missions, soit en votre qualité de réviseur d’entreprises ou stagiaire de l’IRE, soit en votre qualité d’intéressé ou de partie concernée (par ex. au moyen de la Newsletter IRE). Vous pouvez à tout moment mettre fin à votre abonnement à ces mailings ou adapter vos préférences. Vous pouvez le faire via le lien se trouvant tout en bas du mailing ou en adressant votre demande par mail à l’adresse privacy@ibr-ire.be.
Visite de l’IRE
Il s’agit de données que vous devez remplir sur la fiche d’enregistrement pour les visiteurs, comme votre nom, entreprise, plaque d’immatriculation et les images enregistrées par les caméras de sécurité de notre bâtiment et parking.
Partenariats avec d’autres organisations professionnelles ou des organismes privés
Dans certains cas, l’IRE peut être amené à traiter des données à caractère personnel dans le cadre de partenariats qu’il conclut avec le secteur privé ou public. L’intérêt de la profession est dans ce cas mis en balance face aux intérêts, libertés et droits fondamentaux de la personne concernée.
Statistiques et objectifs académiques
L’IRE peut être amené à traiter des données à caractères personnel en vue de récolter des statistiques sur la profession (pour l’administration publique ou pour son propre usage) ou afin de mener des études académiques intéressant la profession.
Formations/événements
A l’occasion des formations et événements organisés par l’IRE, il se peut que nous vous demandions votre accord pour traiter certaines données à caractère personnel vous concernant. Il s’agit par exemple de la mention de votre nom, prénom et fonction dans le syllabus, des enregistrements vidéo des formations (webinaires) en votre qualité de participant ou d’orateur.
Mailings
Dans certains cas, l’envoi de mailings, par exemple de type newsletter, se fait à votre demande. Dans ce cas nous vous demandons votre accord pour traiter vos données à caractère personnel nécessaires pour satisfaire votre demande.
Consultations publiques
Lorsque nous recevons des réactions à nos consultations publiques relatives aux projets de norme ou de recommandation, vos commentaires avec vos noms et prénoms sont publiés sur notre site internet jusqu’à la fin de la procédure et pour autant que nous ayons obtenu votre consentement exprès pour ce faire.
Visite de nos sites web
Lorsque vous visitez nos sites web, il arrive que nous vous demandions votre consentement pour traiter certaines données à caractère personnel, provenant par exemple de formulaires de contact (données d’identification et le cas échéant de facturation).
En ce qui concerne les cookies, nous vous renvoyons à notre politique de cookies accessible sur notre site internet : https://www.ibr-ire.be.
Consultations publiques
L’établissement des normes et des recommandations étant constitutif d’une mission d’intérêt public au sens de l’article 6.1. e) du RGPD, lorsque nous recevons des réactions à nos consultations publiques relatives aux projets de norme ou de recommandation, vos commentaires avec vos noms et prénoms et le cas échéant l’entité que vous représentez, sont transmis :
Missions dévolues aux réviseurs d’entreprises par la voie légale ou réglementaire
L’IRE peut être amené à traiter les données à caractère personnel des réviseurs d’entreprises afin de faciliter l’accomplissement des missions qui leur sont confiées par la voie légale ou réglementaire. Les traitements envisagés, tel que le transfert des données des réviseurs d’entreprises vers les administrations publiques, sont nécessaires à l’exécution, dans le chef de l’IRE, des missions d’intérêt public au sens de l’article 6.1. e. du RGPD.
Ainsi, certaines données telles que vos noms, prénoms et numéros d’inscription au registre public, sont transmises aux autorités publiques afin de faciliter l’exercice de ces missions.
Il vous est toutefois possible de vous opposer au transfert de vos données à caractère personnel (cf. PARTIE VI).
Pour chacun des traitements des données ci-dessus, vous disposez des droits décrits à la PARTIE VI.
Sous-traitants et autres tiers
Dans le cadre des objectifs susmentionnés, les données peuvent être transmises à des sous-traitants ou à d’autres tiers dans la mesure où cela est nécessaire pour l’exécution de nos missions légales ou pour l’exécution de nos conventions (p.ex. les sociétés de livraison et les logiciels avec lesquels les données sont traitées).
ICCI
L’organisation de la formation permanente (par ex. séminaires et journées d’étude) est en grande partie confiée à l’ICCI (Centre d’information du révisorat d’entreprises). Pour ces travaux, l’IRE et l’ICCI revêtent tous les deux la qualité de responsables du traitement des données. A cet égard, nous vous invitons dès lors à prendre connaissance de la politique de protection des données à caractère personnel de l’ICCI via le lien suivant https://www.icci.be.
IRAIF
Dans le cadre d’une collaboration avec l’IRAIF (l’Institut des Réviseurs agrées pour les institutions financières), l’IRE traite certaines données des membres de l’IRAIF. Ces données peuvent être transmises à l’IRAIF, aux autorités de contrôle (FSMA, BNB, etc.) ou à d’autres organisations pertinentes avec lesquelles l’IRAIF a des contacts dans le cadre de ses objectifs. Pour ces activités, l’IRE et l’IRAIF sont tous deux qualifiés de responsables du traitement. Dans ce contexte, nous vous invitons à prendre connaissance de la politique de confidentialité de l’IRAIF.
Collège de supervision des réviseurs d’entreprises et autres autorités publiques
Les organismes publics tels que le Conseil de supervision des réviseurs d’entreprises, peuvent aussi obtenir l’accès à vos données à caractère personnel ou nous demander vos données pour autant que cela soit prescrit par la loi.
Vos données à caractère personnel peuvent également être transmises aux autorités compétentes pour une éventuelle application de la législation fiscale et sociale.
Nous ne vendons jamais vos données à caractère personnel à des tiers.
La sécurité des données à caractère personnel constitue une priorité majeure pour l’IRE. L’IRE prend les mesures de sécurité techniques et organisationnelles adéquates pour protéger les données à caractère personnel.
En vertu de l’article 80 de la loi du 7/12/2016, l’IRE, ses organes, les membres de ses organes et les membres de son personnel sont liés au secret professionnel et ne peuvent pas diffuser les informations confidentielles dont ils ont pris connaissance, à quelque personne ou autorité que ce soit, sous réserve des dispositions des paragraphes 2 et 3 de ce même article et sous réserve de ce qui est mentionné ci-dessus sous le titre “Intervention de tiers”.
En outre, l’IRE exige contractuellement des prestataires de service qui traitent des données à caractère personnel en son nom, de toujours prendre les mesures de sécurité nécessaires.
Vos droits
Outre le droit de retirer l’éventuel consentement que vous avez donné, vous pouvez, en certaines hypothèses, envoyer une demande de consultation, rectification, effacement, limitation, transfert de vos données à caractère personnel ou vous opposer au traitement de vos données à caractère personnel à l’adresse suivante privacy@ibr-ire.be.
Afin de nous assurer que la demande de consultation a été effectuée par vous, nous vous demandons d’accompagner votre demande d’une copie recto de votre document d’identité. Le format de la carte d’identité et votre nom doivent rester visibles, vous pouvez noircir toutes les autres données à caractère personnel. Ceci afin de protéger votre vie privée.
Nous nous réservons le droit de ne pas donner suite aux demandes qui sont manifestement non-fondées ou excessives. Les informations dont nous disposons à votre sujet, ou une déclaration qui spécifie que nous ne disposons d’aucune information sur vous, vous sont envoyées gratuitement dans le mois qui suit votre demande. Si nécessaire ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Votre demande sera conservée tant qu’un recours est possible.
Remarque : si vous introduisez une demande nous devons juger si nous pouvons y répondre. Un délai de conservation imposé par la loi ou une réglementation ou un intérêt légitime peut éventuellement avoir pour conséquence que nous ne puissions réserver de suite favorable à votre demande.
Violation de vos données à caractère personnel
L’IRE met tout en œuvre pour protéger les données à caractère personnel contre la perte, l’usage abusif ou la falsification. Si une violation de données à caractère personnel devait malgré tout se produire, et si celle-ci comporte un risque élevé pour vos droits et libertés, l’IRE vous informera sans retard de cette violation, selon les conditions définies dans le RGPD.
Qui contacter en cas de plainte ?
Dans un premier temps il est préférable de prendre contact via l’adresse privacy@ibr-ire.bee ou via info@privanot.be mais si la plainte relative à l’utilisation abusive de données à caractère personnel n’est pas traitée correctement, vous avez le droit d’introduire une plainte auprès de l’Autorité de protection des données, Rue de la Presse 35, 1000 Bruxelles, adresse e-mail: contact@apd-gba.be (voir aussi www.autoriteprotectiondonnees.be).