La Commission nationale de l'informatique et des libertés,

Saisie par le Haut Conseil du commissariat aux comptes (H3C) d'une demande d'autorisation concernant le transfert à son homologue américain, le Public Company Accounting Oversight Board (PCAOB), de données à caractère personnel contenues dans des informations et/ou des documents d'audit relatifs aux contrôleurs légaux des comptes qui relèvent de leur double supervision ou collectées à l'occasion de contrôles conjoints dans une période se terminant au 31 juillet 2016 ;

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

Vu la directive 2006/43/CE du Parlement européen et du Conseil du 17 mai 2006 concernant les contrôles légaux des comptes annuels et des comptes consolidés ;

Vu la décision 2010/485/UE de la Commission européenne du 1er septembre 2010 relative à l'adéquation des autorités compétentes de l'Australie et des Etats-Unis d'Amérique conformément à la directive 2006/43/CE du Parlement européen et du Conseil ;

Vu la décision d'exécution de la Commission européenne du 11 juin 2013 relative à l'adéquation des autorités compétentes des Etats-Unis d'Amérique conformément à la directive 2006/43/CE du Parlement européen et du Conseil ;

Vu le code de commerce, notamment ses articles L. 821-1 et suivants ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 69, alinéa 8 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2009-674 du 26 novembre 2009 portant délégation d'attributions de la Commission nationale de l'informatique et des libertés à son président et à son vice-président délégué, notamment son dernier alinéa ;

Vu la délibération n° 2012-415 du 29 novembre 2012 autorisant le Haut Conseil du commissariat aux comptes à transférer à son homologue américain des données à caractère personnel contenues dans des informations et/ou des documents d'audit relatifs aux contrôleurs légaux des comptes qui relèvent de leur double supervision ou collectées à l'occasion de contrôles conjoints dans une période se terminant au 31 juillet 2013 ;

Vu les éléments du dossier de demande d'autorisation, notamment les projets d'avenants aux accords rédigés par le Haut Conseil du commissariat aux comptes et le Public Company Accounting Oversight Board aux fins d'encadrer les transferts susvisés ;

Après avoir entendu M. Emmanuel de Givry, commissaire, en son rapport et M. Jean-Alexandre Silvy, commissaire du Gouvernement, en ses observations,

Adopte l'autorisation suivante :

Des transferts de données à caractère personnel sont susceptibles d'avoir lieu dans le cadre des actions de coopération entre le Haut Conseil du commissariat aux comptes (H3C) et son homologue américain, le Public Company Accounting Oversight Board (PCAOB).

Ces actions s'inscrivent dans le cadre de la coopération prévue par les textes européens relatifs au contrôle des comptes annuels et des comptes consolidés ― en l'occurrence, les dispositions de la directive 2006/43/CE, dite « huitième directive », dont l'article 47 dispose que, « sous certaines conditions », un Etat membre peut autoriser la communication à l'autorité compétente d'un Etat tiers de documents d'audit ou d'autres documents détenus par les contrôleurs légaux des comptes.

Ces conditions sont au nombre de trois :

― l'adoption d'une décision d'adéquation octroyée par la Commission européenne au système de supervision étranger ;

― le respect du chapitre 4 de la directive 95/46 relative à la protection des données ;

― la conclusion d'un accord de coopération entre les autorités compétentes.

La Commission européenne a adopté la décision d'adéquation requise le 1er septembre 2010. A titre exceptionnel, il a été considéré que le cadre juridique ainsi constitué rendait possible le déroulement d'inspections communes entre les autorités nationales de l'Union européenne, dont le H3C, et le PCAOB. L'envoi de documents dans le cadre d'une coopération classique se double donc, de manière transitoire, par la faculté d'organisation d'enquêtes conjointes sur le sol français, qui pourront conduire à la communication de documents à l'autorité américaine.

Dans ce contexte, le H3C et le PCAOB ont conclu un accord de coopération le 31 janvier 2013, dans l'objectif de mener de premières inspections conjointes dans le courant du premier semestre 2013, avant l'expiration de la décision d'adéquation de la Commission européenne au 31 juillet 2013.

A cet accord de coopération global (dit « SOP ») est annexé un accord relatif aux transferts de données à caractère personnel, également signé des deux parties. Ces deux accords comportent de nombreuses garanties pour les personnes dont les données sont susceptibles d'être transférées.

Au vu de celles-ci, la commission avait délivré au H3C une autorisation de transférer des données concernées au PCAOB sur le fondement de l'article 69, alinéa 8, de la loi du 6 janvier 1978 modifiée.

Sur la base des deux accords conclus le 31 janvier 2013, une première inspection conjointe a pu se dérouler du 19 au 30 mai 2013.

Cependant, la décision d'adéquation de la Commission européenne susvisée ainsi que les deux accords conclus entre les deux autorités et la décision de la commission en date du 29 novembre 2012 viennent à échéance le 31 juillet prochain.

Or, le H3C souhaite non seulement achever le contrôle en cours mais encore poursuivre sa collaboration avec le PCAOB au-delà de cette date.

Dans ce contexte, le Haut Conseil demande à la commission de proroger les effets de sa précédente autorisation du 29 novembre 2012.

Il appartient à la commission de se prononcer sur ce point au vu des circonstances de droit et de fait qui entourent cette demande.

A cet égard, elle constate que la Commission européenne a adopté une décision d'exécution du 11 juin 2013 relative à l'adéquation des autorités compétentes des Etats-Unis d'Amérique conformément à la directive 2006/43/CE du Parlement européen et du Conseil. Cette décision, qui prend le relais de la précédente décision d'adéquation expirant le 31 juillet 2013, expirera elle-même le 31 juillet 2016.

Cette décision d'exécution vise précisément à permettre que se prolongent de telles actions de coopération, afin que se créent les conditions d'une confiance réciproque entre autorités de supervision et que puisse être rendu effectif, à moyen terme, le système de reconnaissance mutuelle entre les deux systèmes de supervision visé par la huitième directive.

Cette décision réaffirme en outre l'importance de l'objectif de reconnaissance de l'équivalence des systèmes de supervision de contrôle légal des comptes et par conséquent le caractère transitoire de ces inspections conjointes avec les équipes du PCAOB.

Concernant la protection des données à caractère personnel communiquées à l'autorité américaine, la commission relève que la décision de la Commission européenne, comme précédemment, impose aux Etats membres de prévoir des garanties appropriées en matière de protection des données personnelles, notamment dans le cadre d'accords contraignants conclus, conformément au chapitre IV de la directive 95/46/CE, entre leurs autorités compétentes et les autorités compétentes des Etats-Unis d'Amérique.

Elle relève également que cette décision prévoit que les modalités de travail entre les deux autorités prévoient des garanties appropriées en ce qui concerne la protection, dans ces documents, des données à caractère personnel, autant que du secret professionnel et des informations commerciales sensibles des sociétés dont les états financiers sont contrôlés et des contrôleurs légaux des comptes de ces sociétés.

Elle constate que les garanties figurant dans les deux protocoles d'accord en vigueur entre le H3C et le PCAOB demeureront intégralement applicables.

Elle relève par ailleurs que ces garanties, notamment le principe d'anonymisation figurant à la clause II-1 du protocole d'accord relatif à la protection des données, ont été effectivement mises en œuvre à l'occasion du premier contrôle ayant été mené conjointement par les deux autorités.

Il est satisfaisant, à cet égard, de constater que le H3C contrôle le déroulé des inspections conjointes et maîtrise ainsi le périmètre des informations communiquées à son homologue.

Au bénéfice des observations qui précèdent, la commission constate donc que les transferts occasionnels de données à caractère personnel vers le PCAOB, dès lors qu'ils sont notamment nécessaires à l'exercice de contrôles conjoints menés à titre transitoire, sont légitimes. Elle considère par ailleurs que ces transferts sont assortis de garanties suffisantes au regard de la vie privée et des libertés et droits fondamentaux des personnes concernées.

Dans ces conditions, elle autorise le Haut Conseil du commissariat aux comptes à mettre en œuvre le transfert, vers son homologue américain, de données à caractère personnel contenues dans des informations et/ou des documents d'audit relatifs aux contrôleurs légaux des comptes qui relèvent de la compétence des deux autorités ou collectées à l'occasion de contrôles conjoints dans une période se terminant au 31 juillet 2016.

La présente délibération ne sera publiée que postérieurement à la signature des deux accords susvisés par le H3C et le PCAOB.

La présidente,

I. Falque-Pierrotin