JORF n°0101 du 29 avril 2023

Arrêté du 15 mars 2023

Le ministre de l'économie, des finances et de la souveraineté industrielle et numérique,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, notamment ses articles 6.1 b et 6 c, 13 et 14 ;

Vu la directive (UE) 2014/95 du Parlement européen et du Conseil du 22 octobre 2014 modifiant la directive 2013/34/UE en ce qui concerne la publication d'informations non financières et d'informations relatives à la diversité par certaines grandes entreprises et certains groupes ;

Vu la directive (UE) 2022/2464 du Parlement européen et du Conseil du 14 décembre 2022, modifiant le règlement (UE) n° 537/2014, la directive 2004/109/EC, la directive 2006/43/EC et la directive 2013/34/EU, concernant le reporting extra-financier ;

Vu le code des relations entre le public et l'administration, notamment son article L. 112-9 ;

Vu le code de commerce, notamment son article L. 232-25 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;

Vu la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, notamment l'article 1er ;

Vu la loi n°  2018-727 du 10 août 2018 pour un Etat au service d'une société de confiance ;

Vu la loi n° 2022-217 du 21 février 2022 relative à la différenciation, la décentralisation, la déconcentration et portant diverses mesures de simplification de l'action publique locale, notamment l'article 162 ;

Vu l'ordonnance n° 2017-1180 du 19 juillet 2017 relative à la publication d'informations non financières par certaines grandes entreprises et certains groupes d'entreprises ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2022-678 du 26 avril 2022 relatif aux indicateurs environnementaux devant figurer dans la base de données économiques, sociales et environnementales (BDESE) et aux formations économiques, sociales, environnementales et syndicales,

Arrête :

Article 1

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Création d'un traitement automatisé de données pour les obligations extra-financières des entreprises

Résumé Un nouveau système aide les entreprises à comprendre et à suivre leurs règles extra-financières.

Il est créé par la direction générale des entreprises du ministère de l'économie, des finances et de la souveraineté industrielle et numérique un traitement automatisé de données à caractère personnel à destination des entreprises volontaires, mis en œuvre par la sous-direction du développement des entreprises, qui est le responsable de traitement.
Les objectifs de ce traitement sont les suivants :
1° Aider les entreprises à identifier leurs obligations extra-financières issues du droit national et communautaire ;
2° Permettre aux entreprises de disposer d'un outil de transmission, de déclaration et de publication, permettant de se conformer aux obligations extra-financières auxquelles elles sont assujetties.

1 version

Article 2

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Utilisation de comptes spécifiques pour le traitement de données

Résumé Il y a des comptes pour les entreprises et des comptes pour les utilisateurs, et un utilisateur peut être lié à plusieurs entreprises.

Pour le présent arrêté, les comptes suivants sont utilisés :

1° Des comptes " entreprise utilisatrice " regroupant les données et informations de la société utilisant le traitement de données ;

2° Des comptes " utilisateur " qui peuvent être rattachés à un ou plusieurs comptes " entreprise utilisatrice ".

Un compte entreprise utilisatrice peut être relié à plusieurs comptes utilisateur.

1 version

Article 3

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Traitement automatisé des données d'entreprises utilisatrices de services publics

Résumé Les données des entreprises peuvent être utilisées pour les aider à déclarer, avec leur permission.

1° Le traitement automatisé concerne des données d'entreprises utilisatrices du service issues d'autres sites publics.
2° Les données protégées, notamment à finalités fiscales ou statistiques, peuvent être utilisées pour soutenir les processus de déclaration des entreprises utilisatrices, sous réserve de leur accord explicite.
3° Le traitement automatisé consiste également, le cas échéant, à collecter des données financières pour la réalisation des objectifs mentionnés au 2° de l'article 1er.

1 version

Article 4

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Informations à enregistrer dans les comptes des entreprises utilisatrices

Résumé Cet article dit quoi les entreprises doivent enregistrer dans leurs comptes et comment protéger les informations personnelles.

I. - Dans les comptes des entreprises utilisatrices les informations susceptibles d'être enregistrées sont les suivantes :
1° Le numéro SIREN permettant l'identification de l'entreprise ;
2° Les informations renseignées par l'entreprise en matière d'informations extra-financières ;
3° Les données de l'entreprise contenues dans des bases de données à disposition de l'administration susceptibles de lui apporter une aide dans le remplissage de ses informations ;
4° Les données transmises par les groupements d'intérêt public ;
5° Les données transmises par les établissements publics d'administration et les établissements publics à caractère industriels et commerciaux.
II. - Parmi les informations listées au I du présent article, les données à caractère personnel suivantes peuvent être enregistrées dans le présent traitement de données :
1° Le numéro SIREN permettant l'identification de l'entrepreneur individuel ;
2° Les données extra-financières susceptibles par recoupement d'informations de fournir l'identité d'une personne physique.

1 version

Article 5

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Données personnelles enregistrables dans les comptes utilisateurs

Résumé Les comptes utilisateurs peuvent contenir des informations comme le nom, l'e-mail et le poste au sein de l'entreprise.

Dans les comptes utilisateurs peuvent être enregistrés dans le traitement mentionné à l'article 1er les informations et données à caractère personnel suivantes :
1° Identification : nom d'usage, nom de naissance, nom marital, prénom(s), civilité ;
2° Coordonnées : adresse courriel ;
3° Vie professionnelle : fonctions dans l'entreprise utilisatrice.

1 version

Article 6

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Critères de l'activité d'un compte utilisateur

Résumé Un compte reste actif s'il est utilisé au moins une fois tous les 18 mois.

Un compte utilisateur est considéré comme actif lorsqu'il réalise au minimum une action en lien avec le traitement de données tous les dix-huit mois.

1 version

Article 7

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Durée de conservation des données

Résumé Les données des comptes sont conservées plus ou moins longtemps selon si ils sont actifs ou non.

La durée de conservation des données mentionnées aux articles 4 et 5 est déterminée de la manière suivante :

1° S'agissant des données à caractère personnel et informations relatives aux comptes " entreprises utilisatrices ", mentionnées à l'article 4 :

a) Pour les comptes disposant d'au moins un utilisateur actif : sans durée de temps ;

b) Pour les comptes n'ayant plus aucun utilisateur actif : dix-huit mois à compter de l'inactivité du dernier utilisateur du compte.

2° S'agissant des données à caractère personnel et informations relatives aux comptes " utilisateurs ", mentionnées à l'article 5 :

a) Pour les comptes inactifs au sens de l'article 6 : six mois à compter de l'inactivité de l'utilisateur ;

b) Pour les comptes faisant l'objet d'une demande de suppression par l'utilisateur ou l'entreprise utilisatrice : trois mois à compter de la demande de suppression du compte.

1 version

Article 8

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Destinataires des données personnelles

Résumé Quelques agents et prestataires peuvent voir certaines données personnelles pour faire leur travail, mais seulement ce qu'ils doivent savoir et en gardant le secret.

Sont destinataires de tout ou partie des données à caractère personnel et informations strictement nécessaires à leur mission, à raison de leurs attributions respectives et dans la limite du besoin d'en connaître et dans le respect du secret professionnel au sens de l'article L. 226-13 du code pénal :
1° Les agents de la direction générale des entreprises ;
2° Les agents de la direction interministérielle du numérique ;
3° Tous prestataires dûment habilités par les services de l'Etat identifiés au 1° ;
4° Tous prestataires dûment habilités par les services de l'Etat identifiés cumulativement aux 1° et 2°.

1 version

Article 9

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Transmission et publication des informations et données

Résumé Les informations et données peuvent être partagées et publiées si c'est nécessaire et que l'entreprise est d'accord.

Conformément au 2° de l'article 1er, les informations décrites à l'article 4 peuvent être transmises à toutes administrations au sens de l'article L. 100-3 du code des relations entre le public et l'administration, dès lors que celles-ci sont considérées sont strictement nécessaires à leur mission, à raison de leurs attributions respectives.
Sous réserve de l'accord de l'entreprise utilisatrice, les données décrites à l'article 4 pourront être publiées sous le statut de données ouvertes.

1 version

1 cité

Article 10

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Droits des personnes concernant leurs données personnelles

Résumé Vous pouvez demander à voir, corriger ou limiter l'utilisation de vos données personnelles, ou vous y opposer, en contactant la bonne personne dans les ministères économiques et financiers.

Les droits d'accès, de rectification des données, à la limitation du traitement ainsi que le droit d'opposition sont prévus respectivement aux articles 15, 16, 18 et 21 du règlement (UE) du 27 avril 2016 susvisé et s'exercent auprès du délégué à la protection des données des ministères économiques et financiers.

1 version

Article 11

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Exécution et publication de l'arrêté

Résumé Le chef des entreprises doit faire appliquer et publier cet arrêté.

Le directeur général des entreprises est chargé de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.

1 version

Fait le 15 mars 2023.

Pour le ministre et par délégation :

Le directeur général des entreprises,

T. Courbe