En tant que cabinet de réviseurs d’entreprises, d’experts-comptables, de conseils fiscaux ou de comptables, nous sommes tenus de traiter de nombreuses données, dont une partie sont des données à caractère personnel.Ces données peuvent vous concerner en tant que client du cabinet, mais également en tant que relation d’affaires de nos clients, par exemple en tant que fournisseur ou client de notre client.En tant que personne concernée dont nous traitons les données à caractère personnel, nous sommes dans l’obligation de vous informer des points suivants.
Le responsable du traitement des données à caractère personnel est Benoît Devaux, dont le siège est situé à Luxembourg, Rue de Muhlenbach n° 121 (numéro d’entreprise: B0183246) et à Virton, Rue Saint-Roch 30 (numéro d’entreprise: BE0460.180.965). Il est inscrit auprès de l’ordre des Experts-Comptables Luxembourg et de l’Institut des Experts-Comptables et des Conseils fiscaux Belgique.
Pour toute question sur la protection des données à caractère personnel, veuillez contacter Grégory Simon chez Devaux & Associés. Vous pouvez le joindre par courrier postal à l’adresse mentionnée ou par courrier électronique à GDPR@devaux.lu.
Le cabinet traite les données à caractère personnel dans le cadre de l’application de la loi luxembourgeoise du 12 novembre 2004 et de la loi belge du 18 septembre 2017 relative à la prévention du blanchiment de capitaux et du financement du terrorisme.
Conformément à l’article 3 de la loi luxembourgeoise et à l’article 26 de la loi belge, notre cabinet est requis de collecter les données à caractère personnel suivantes concernant nos clients et leurs mandataires : nom, prénom, date de naissance, lieu de naissance et, si possible, adresse.
Conformément à l’article 3 (Luxembourg) et à l’article 26 (Belgique) de la loi, notre cabinet doit collecter les données personnelles suivantes concernant les bénéficiaires effectifs des clients : nom, prénom, et si possible, date et lieu de naissance, ainsi que l’adresse.
Ce traitement est légalement obligatoire. Sans ces données, nous ne pouvons pas établir de relation d’affaires, comme stipulé dans l’article 8-4 de la loi luxembourgeoise et l’article 33 de la loi belge.
Le cabinet est tenu de respecter diverses obligations envers les autorités luxembourgeoises, étrangères ou internationales, ainsi que des obligations légales ou réglementaires, des décisions judiciaires ou dans le cadre de la défense d’un intérêt légitime. Cela inclut notamment, mais non exclusivement, le traitement de données à caractère personnel conformément aux lois fiscales (tels que les listings TVA, les fiches fiscales, etc.) et sociales actuelles et futures, dans le cadre de nos missions.
Le traitement de ces données est légalement requis. Sans elles, aucune relation d’affaires ne peut être établie.
Le traitement des données à caractère personnel concerne les données des clients, membres de leur personnel, administrateurs, ainsi que d’autres personnes telles que les clients et fournisseurs impliqués dans leurs activités, dans le cadre de l’exécution du contrat relatif aux services comptables, fiscaux et révisoraux.
Sans communication et traitement de ces données, nous ne pouvons pas accomplir efficacement notre mission en tant que réviseur d’entreprises, expert-comptable, conseil fiscal ou comptable.
Dans le cadre des finalités mentionnées au point 2, notre cabinet est autorisé à traiter les données à caractère personnel suivantes : prénom, nom, adresse e-mail, données biométriques (copie de la carte d’identité électronique ou du passeport), adresse, numéro d’entreprise, numéro national.
Dans le cadre des déclarations à l’impôt des personnes physiques, nous traitons également les données suivantes : enfants, affiliation à un syndicat ou à une organisation politique, données médicales.
Le cabinet traite les données à caractère personnel fournies par la personne concernée ou ses proches. De plus, il traite les données non fournies par la personne concernée, telles que celles transmises par le client concernant ses salariés, administrateurs, clients et fournisseurs. Ce traitement est uniquement effectué si nécessaire pour les finalités énoncées au point 2.
Les données à caractère personnel ne sont pas transférées vers des pays tiers ou des organisations internationales autres que le pays de résidence.
Sauf nécessité de communication à des tiers prestataires de services sous notre contrôle pour les finalités susmentionnées, le cabinet ne transmettra, ne vendra, ne louera ou n’échangera pas les données à caractère personnel collectées, à moins que vous n’ayez été informé(e) au préalable et que vous ayez explicitement donné votre consentement.
Le cabinet engage des tiers prestataires de services, utilise un logiciel de comptabilité électronique et son portail, et recourt à des collaborateurs externes pour certaines tâches spécifiques telles que la révision d’entreprises ou les services notariaux.
Il est habilité à prendre toutes les mesures nécessaires pour assurer une gestion efficace de son site internet et de son système informatique.
Le cabinet peut prendre toutes les mesures nécessaires pour assurer une gestion efficace de son site internet et de son système informatique.
Il peut également transmettre des données à caractère personnel à la demande d’une autorité compétente ou de sa propre initiative, s’il estime de bonne foi que cela est nécessaire pour se conformer à la loi, protéger les droits ou les biens du cabinet, de ses clients, de son site internet et/ou des individus concernés.
Le cabinet a mis en place des procédures de sécurité et d’organisation pour prévenir autant que possible tout accès non autorisé aux données à caractère personnel collectées. Ces procédures couvrent à la fois la collecte et la conservation de ces données, et elles sont appliquées à tous les sous-traitants du cabinet.
6.1. Données à caractère personnel que nous devons conserver en vertu de la loi (cf. point 2A)
Nous devons conserver les données à caractère personnel en vertu de la loi (cf. point 2A), notamment les données d’identification et les preuves fournies par nos clients, les mandataires internes et externes, ainsi que les bénéficiaires effectifs de nos clients.
Conformément aux articles 60 et 62 de la loi belge, ces données sont conservées pendant une période maximale de dix ans après la fin de la relation professionnelle avec le client ou à compter de la date d’une opération occasionnelle.
6.2. Autres données à caractère personnel
Les données à caractère personnel des personnes non mentionnées ci-dessus sont conservées conformément aux durées prévues par la législation en vigueur, telles que la législation comptable, fiscale et sociale.
6.3. Une fois les délais mentionnés écoulés, les données à caractère
personnel sont effacées, sauf si une autre législation en vigueur
prévoit une période de conservation plus longue.
7.1. Données à caractère personnel que nous devons conserver en application de la loi
Sont ici concernées les données à caractère personnel de nos clients, des mandataires et des bénéficiaires effectifs des clients.
En la matière, nous devons attirer votre attention sur l’article 65 de la loi belge :
« Art. 65. La personne concernée par le traitement des données à caractère personnel en application de la présente loi ne bénéficie pas du droit d’accès et de rectification de ses données, ni du droit à l’oubli, à la portabilité desdites données, ou à objecter, ni encore du droit de ne pas être profilé ni de se faire notifier les failles de sécurité.
Le droit d’accès de la personne concernée aux données à caractère personnel la concernant s’exerce indirectement, en vertu de l’article 13 de la loi du 8 décembre 1992 précitée, auprès de la Commission de la protection de la vie privée instituée par l’article 23 de ladite loi.
La Commission de la protection de la vie privée communique uniquement au demandeur qu’il a été procédé aux vérifications nécessaires et du résultat en ce qui concerne la licéité du traitement en question.
Ces données peuvent être communiquées au demandeur lorsque la Commission de la protection de la vie privée constate, en accord avec la CTIF et après avis du responsable du traitement, d’une part, que leur communication n’est susceptible ni de révéler l’existence d’une déclaration de soupçon visée aux articles 47 et 54, des suites qui lui ont été données ou de l’exercice par la CTIF de son droit de demande d’informations complémentaires en application de l’article 81, ni de mettre en cause la finalité de la lutte contre le BC/FT, et, d’autre part, que les données concernées sont relatives au demandeur et détenues par les entités assujetties, la CTIF ou les autorités de contrôle aux fins de l’application de la présente loi. »
Pour l’application de vos droits relatifs à vos données à caractère personnel, vous devez donc vous adresser à la CVP ou à l’Autorité de protection des données ((cf. point 8).
7.2. Toutes autres données à caractère personnel
Pour l’application de vos droits relatifs à toutes les autres données à caractère personnel, vous pouvez toujours prendre contact avec Monsieur Grégory Simon (GDPR@devaux.lu).
Vous pouvez introduire une plainte relative au traitement des données à caractère personnel par notre cabinet auprès de l’Autorité de protection des données :
LUXEMBOURG
CNPD – Commission nationale pour la protection des données
1, avenue du Rock’n’Roll
L-4361 Esch-sur-Alzette
Tél. : +352 26 10 60 – 1
URL : https://cnpd.public.lu
BELGIQUE
Commission pour la protection de la vie privée
Rue de la Presse 35, 1000 Bruxelles
Tél. : +32 (0)2 274 48 00
Fax : +32 (0)2 274 48 35
E-mail : commission@privacycommission.be
URL : https://www.privacycommission.be
Une fois les délais mentionnés écoulés, les données à caractère personnel sont effacées, sauf si une autre législation en vigueur prévoit une période de conservation plus longue.
MGI Association est une association internationale de premier plan regroupant des cabinets comptables, juridiques et de conseil distincts et indépendants qui sont autorisés à utiliser l’expression « membre de MGI Association » dans le cadre de la prestation de services professionnels à leurs clients. MGI Association est le nom de marque désignant le groupe de membres de MGI Ltd, une société à responsabilité limitée par garantie et enregistrée sur l’île de Man sous le numéro 013238V, qui choisit de ne pas s’associer en tant que réseau conformément aux règles de l’IESBA et de l’UE. Les membres de la MGI Association ne sont pas membres du réseau MGI Worldwide, ne peuvent pas utiliser la marque MGI Worldwide et ne sont pas soumis à l’examen d’assurance qualité de MGI Worldwide. La MGI Association elle-même est une entité qui n’exerce pas et ne fournit pas de services professionnels à ses clients. Les services sont fournis par les cabinets membres de la MGI Association. La MGI Association et ses cabinets membres ne sont pas des agents et ne s’obligent pas l’un l’autre et ne sont pas responsables des actes ou omissions de l’un ou l’autre.
