Le GDPR impose aux entreprises d’utiliser leurs données de manière plus réfléchie. Le mouvement de panique observé au mois de mai était-il justifié ou s’agissait-il d’une tempête dans un verre d’eau ?

Les puristes de la langue française préféreront peut-être l’abréviation RGPD, à savoir le Règlement général sur la protection des données. Mais la plupart utilisent l’abréviation anglophone GDPR, pour General Data Protection Regulation. Le GDPR est un règlement européen qui standardise les règles en matière de traitement des données à caractère personnel dans toute l’Union européenne. Les règles s’appliquent tant aux entreprises privées qu’aux autorités. Le GDPR est entré en vigueur en mai 2016, mais les organismes ont eu jusqu’au 25 mai 2018 pour s’adapter aux nouvelles règles.

La grande modification réside dans le passage à la « responsabilité ». Auparavant, la Commission de la protection de la vie privée était tenue de prouver qu’une entreprise ne respectait pas la législation en matière de protection de la vie privée. Depuis le GDPR, la balle est dans l’autre camp. Les entreprises doivent désormais prouver qu’elles se conforment aux règles de confidentialité. Face à un contrôleur de l’Autorité de protection des données (le nouveau nom de la Commission de la protection de la vie privée), les entreprises devront prouver qu’elles ont mis en place une politique décente en matière de traitement des données à caractère personnel. Dans la pratique, elles doivent adapter des procédures existantes ou en introduire de nouvelles. Songez à :

• un registre de traitement des données personnelles. C’est le lieu centralisé où seront consignées de manière formelle toutes les activités de traitement. En réalité, il s’agit d’une des seules exigences vraiment nouvelles du GDPR. Pour chaque traitement, le registre indique la personne responsable de son exécution, sur quelle base il est effectué, la manière dont il est protégé et combien de temps les données sont conservées. La tenue de ce registre force les organismes à réfléchir consciencieusement à ce qu’ils font avec les données personnelles et dans quel but.

• une analyse d'impact relative à la protection des données (DPIA) ou - en anglais – un Data Protection Impact Assessment (DPIA). Il s’agit d'un outil de responsabilisation, d’une procédure permettant d'évaluer si un traitement de données à caractère personnel comporte des risques pour les droits et libertés de la personne dont les données sont en cours de traitement et comment ces risques peuvent être contrôlés.

• le principe de « privacy by design » (protection dès la conception) et de « privacy by default » (protection par défaut). Le « privacy by design » s’applique à tous les nouveaux produits et services, le « privacy by default » vaut pour les produits et services pour lesquels les utilisateurs ont eux-mêmes la possibilité de partager ou de céder leurs données personnelles. Ces deux concepts obligent les organismes à protéger la vie privée de leurs utilisateurs en ajustant les réglages et les fonctions de leurs produits ou services par défaut (by default) sur la norme la plus respectueuse de la vie privée. Dans la mesure du possible, une autorisation est demandée avant le partage des données personnelles et un minimum d'informations personnelles est demandé et traité.

Une PME n’est pas l’autre

Du point de vue légal, l’introduction du GDPR n’a guère apporté de modifications. Notre loi sur la vie privée datant de 1992 se montrait déjà très stricte et correspondait dans les grandes lignes au GDPR. À titre d’exemple, cela fait plusieurs années qu’un organisme doit, en principe, demander l’autorisation de traiter des données à caractère personnel. Depuis plusieurs années, les consommateurs ont également le droit de consulter et de modifier toutes les informations les concernant. Voilà pour la théorie, mais dans la pratique, il n’y a jamais eu beaucoup de contrôle. Désormais, les procédures sont plus détaillées, assorties de lourdes amendes et la Commission de protection des données dispose de plus de pouvoirs pour punir les infractions. Pour la plupart des PME, le GDPR n’est pas une mauvaise chose, estime Dimitri Devlamminck (Data Governance and Regulation de BNP Paribas Fortis).

Dimitri Devlamminck : « En 1999, le bug du millénaire fut nettement pire. Mais les grandes entreprises qui traitent un nombre considérable de données en ont vu de toutes les couleurs. Nous aussi, oui (rires). Les banques sont des entreprises qui brassent énormément de données. Pour les PME, cela dépend au cas par cas. Certaines entreprises comme Waze, qui exploite une application de navigation, comptent à peine quelques dizaines d’employés, mais elles gèrent des données personnelles provenant de millions d’utilisateurs. Il en va tout autrement pour l'entreprise de menuiserie qui compte pourtant le même nombre d'employés. Les seules données que cette dernière doit gérer sont une liste des employés pour le paiement des salaires et une liste de clients pour envoyer des factures ou de la publicité. Pour ce dernier groupe, une notification de confidentialité, afin de leur communiquer à quelles fins vous utilisez ces données, est suffisante. Il suffit de bien la sécuriser et le tour est joué. »

Besoin d’un DPO ?

Il pourrait s’avérer judicieux de nommer un responsable de la protection des données au sein de votre organisation. En langage GDPR, il est généralement appelé DPO (Data Protection Officer ou Délégué à la protection des données). Le DPO est responsable du bon respect des règles de confidentialité. Dans certains cas, le GDPR en fait une obligation. Par exemple, pour les autorités publiques ou pour des organismes qui observent des personnes « de manière régulière, systématique et à grande échelle ». Le DPO peut être un employé en interne, mais également un conseiller externe.

Le Code des sociétés et des associations a été revu de fond en comble. Si la SA a survécu à la réforme, elle a tout de même subi un sérieux lifting. Voici les principaux changements...

Après un long parcours législatif, la grande refonte du droit des sociétés et des associations est entrée en vigueur le 1^er mai dernier. Une véritable révolution visant à moderniser et à simplifier le fonctionnement de la vie économique en Belgique. C’est la réduction du nombre de formes juridiques de sociétés qui a tenu le haut du pavé en passant d’une vingtaine à seulement six. Une cure d’amaigrissement à laquelle a résisté la société anonyme. Mais celle qui reste le « véhicule » juridique de référence pour les grandes sociétés et les entreprises cotées n’a pas échappé à de multiples changements…

Les intentions ? Simplification et flexibilité…

Cette volonté est d’abord visible dans la modification des modalités de création, puisque désormais un seul actionnaire suffit pour fonder une SA. Autre allègement ? La possibilité de nommer un seul administrateur à la tête de l’entreprise, contre un minimum de trois (ou deux, dans le cas de seulement deux actionnaires) auparavant.

C’est l’ensemble de la gouvernance de la SA qui a été revue pour rendre son fonctionnement plus aisé. On notera ainsi les trois modèles de gestion possibles : l’approche avec un seul administrateur, un système moniste avec uniquement un conseil d’administration (solution par défaut) ou encore la version dualiste. Cette dernière est alors constituée par deux organes ayant chacun des missions spécifiquement attribuées par la loi : un conseil de surveillance et un conseil de direction. Soulignons que dans cette gestion bicéphale, les doubles mandats sont désormais interdits…

Toujours dans une démarche de simplification, le rachat d’actions propres est rendu plus aisé, puisque le plafond limitant à un maximum de 20 % a été supprimé. Mais l’opération demeure inscrite dans un cadre de règles strictes afin de veiller à l’égalité de traitement des actionnaires et pour garantir la transparence au moment d’une éventuelle revente des actions.

Plus de liberté !

C’est l’un des grands changements portés par la réforme : la possibilité de déroger au principe « une action, une voix ». Même s’il reste la règle par défaut, les entreprises non cotées peuvent désormais choisir d’émettre des actions sans droit de vote ou à l’inverse avec un droit de vote multiple (sans limite). Voire des actions avec un droit de vote lié à des situations spécifiques ou « préférentiel » dans le cadre, par exemple, d’une augmentation de capital. Autrement dit ? Une importante marge de manœuvre… Mais il faudra procéder à une modification des statuts et obtenir 75 % des voix pour mettre ce mécanisme en place.

Du côté des SA cotées en bourse, les options sont moindres. Les actions peuvent toutefois être émises avec un double droit de vote. Mais à condition que celles-ci soient nominatives, entièrement libérées et détenues par le même actionnaire au moins depuis deux ans. En cas de transfert, ce deuxième droit de vote s’évapore (sauf exception : transferts familiaux et intragroupes). Une majorité des 2/3 est requise pour mettre en place ce système… qui, selon les experts, pourrait inciter les entreprises étrangères à demander une cotation sur Euronext Bruxelles. 

La responsabilité des administrateurs ? Plus limitée…

Entre autres pour rendre la Belgique plus attractive aux yeux des hauts profils étrangers, le législateur a prévu l’allègement de la responsabilité des administrateurs. Un plafond est désormais mis à cette responsabilité, , tant vis-à-vis de la société que des tiers et quel que soit le fondement de l’action (contractuel ou extracontractuel). Celui-ci varie en fonction de la taille de l’entreprise : jusqu’à 250.000 euros pour les « petites » structures et au maximum 12 millions d’euros pour les grandes. Des limites qui portent des exceptions… Par exemple ? En cas de fautes légères présentant dans le chef de l’auteur un caractère habituel, de faute grave, d’intention  frauduleuse ou à dessein de nuire, de dettes fiscales et sociales, ou de fraude fiscale grave.

Siège statutaire : moins d’incertitudes

La Belgique adopte désormais le siège statutaire comme élément de définition de la nationalité de l’entreprise. C’est donc bien le siège social repris dans les statuts — et non plus celui du lieu d’installation de la principale unité selon la théorie du « siège réel » — qui détermine désormais le droit applicable à l’entreprise. L’objectif ? Permettre aux sociétés belges, disposant d’une entité opérationnelle à l’étranger, « d’emporter » avec elles la législation belge. L’inverse est évidemment vrai… Les sociétés étrangères tomberont sous le coup de leur propre réglementation. Cette nouvelle approche clarifie les choses, car, auparavant, il n’était pas toujours évident d’identifier le siège opérationnel réel. Une sécurité juridique accrue qui devrait également rassurer les entreprises, notamment lors du transfert d’un pays à l’autre. Rappelons qu’en matière fiscale, la théorie du « siège réel » reste de mise…

La transition est en cours…

Ce nouveau cadre légal est donc d’application depuis le 1^er mai 2019 pour la constitution de toute nouvelle société ou association. Pour toutes les entreprises déjà existantes, la date à retenir est le 1^er janvier 2020 (sauf si elles font usage de leur « opt-in » avant cette date), puisque certaines règles de la réforme leur seront applicables à partir de la prochaine année. Notons qu’une période transitoire a été prévue — entre 2020 et 2023 — pour permettre à toutes structures existantes de revoir leurs statuts et leur forme juridique. Certaines situations exigeront également l’adaptation des conventions d’actionnaires ou de management. Une actualisation qui devra être réalisée au plus tard le 1^er janvier 2024. Un délai qui peut s’avérer utile pour mener une réflexion profonde sur les nouveaux habits juridiques de l’entreprise…

À partir du 1er mai 2019, un nouveau cadre légal s’appliquera aux sociétés et associations belges.

Le 28 février, la Chambre des représentants a approuvé le projet de loi introduisant le nouveau Code des sociétés et des associations. Son but ? Moderniser le cadre juridique actuel, coller davantage au terrain et permettre aux entreprises belges de mieux rivaliser avec leurs consœurs européennes.  

Qu’est-ce que cela implique concrètement ?

Le nouveau cadre légal s’appliquera dès le 1^er mai 2019 à toutes les sociétés et associations nouvellement constituées, et à partir du 1^er janvier 2020 à toutes les sociétés et associations existantes (sauf si elles font usage de leur 'opt-in' avant cette date). La plage de conversion principale se situera sans doute entre 2020 et 2023. Au cours de cette période, toutes les sociétés et associations existantes devront revoir leurs statuts et leur forme juridique.

Un retard sans conséquence

La nouvelle législation aurait dû entrer en vigueur le 1^er janvier 2019, mais l’approbation du projet de loi a pris du retard en raison des événements politiques des derniers mois (suite à une motion de défiance écolo-socialiste, le Premier ministre a présenté la démission du gouvernement le 18 décembre 2018, ndlr). Cette nouvelle loi a, à présent, été approuvée par la Chambre, mais elle n’a pas encore été publiée au Moniteur. Il faut aussi attendre les arrêtés d’exécution. Quoi qu’il en soit, la réforme deviendra effective au 1^er mai de cette année.

Depuis le 1er janvier dernier, le registre UBO (pour Ultimate Beneficial Owner) a fait son apparition. Une base de données répertoriant tous les « bénéficiaires effectifs » des entreprises. L’objectif annoncé ? Renforcer la lutte contre le blanchiment d’argent et le financement du terrorisme. Mais qui sont les « UBO’s » et que doivent précisément faire les sociétés ?

Qui sont les « UBO’s » ?

L’idée est donc de créer un répertoire centralisé et actualisé de tous les « bénéficiaires effectifs » en Belgique. Des « UBO’s » qui varient en fonction de l’entité juridique concernée… Pour les entreprises, ce sont :

• Les associés ou actionnaires qui disposent directement ou indirectement de plus de 25 % des actions ou du capital de la société ou encore de plus de 25 % des droits de vote ;
• Les personnes physiques qui ont le contrôle de l’entreprise par d’autres moyens (un pacte d’actionnaires, le droit de nommer les membres du conseil d’administration, un droit de veto, etc.) ;
• Si aucune personne ne peut être identifiée dans ces deux catégories, alors ce sera au dirigeant principal de s’enregistrer. Dans ce cas, ce choix doit être expliqué, fondé et documenté par l’entreprise.

Dans le cas d’une ASBL ou d’une fondation, on retrouvera, dans l’ordre, les administrateurs, les personnes habilitées à représenter l’association, celles chargées de la gestion journalière, les fondateurs d’une fondation ou encore les personnes physiques « bénéficiaires » de l’association.

Quelles informations communiquer ?

Précision importante : si plusieurs « UBO’s » existent au sein de l’entreprise, ils doivent tous figurer au registre. Les données à encoder dans l’application vont ensuite varier en fonction de la catégorie du bénéficiaire effectif… Il faudra forcément fournir des informations d’identification (nom et prénom, date de naissance, nationalité, adresse complète de résidence, numéro de registre national, etc.), la date à laquelle la personne est devenue UBO ainsi que la ou les catégorie(s) concernées.

Des données complémentaires sont aussi demandées, notamment pour déterminer s’il s’agit d’un UBO isolé ou groupé (lorsque le contrôle de l’entreprise résulte de sa coordination avec plusieurs personnes), direct ou indirect (dans ce cas, le nombre d’intermédiaires ainsi que leur identification doit également être indiqué – le point 4.3 du FAQ du SPF Finances apporte un éclairage sur la façon d’identifier un UBO indirect) ou encore le pourcentage des parts ou de droits de vote détenus. Enfin, l’enregistrement est aussi obligatoire pour un UBO étranger ou résidant dans un autre État.

En ligne et avant le 30 septembre !

Chaque entreprise dispose donc de quelques mois encore pour effectuer ses obligations d’enregistrement, puisque le délai (initialement fixée au 31 mars) a été étendu au 30 septembre 2019. La procédure est « simplifiée » : la déclaration peut être réalisée via l’application prévue à cet effet sur les portails MyMinFin (en tant que citoyen) ou MyMinFinPro (en tant que représentant d’une entité juridique). De plus, l’administration fiscale a concocté plusieurs manuels destinés à aider les utilisateurs, que ce soit les représentants légaux de l’entreprise ou les mandataires.

Un registre UBO toujours à jour

Après l’enregistrement, le « bénéficiaire effectif » est informé par l’Administration de la Trésorerie de son inscription. En outre, il existe également une obligation d’actualisation de la part des UBO’s. En effet, les informations doivent être adéquates, exactes et actuelles : tout changement doit donc être communiqué endéans le mois. Par ailleurs, les entreprises devront confirmer chaque année l’exactitude des données reprises dans le cadastre…

En cas d’infraction ? Des amendes salées…

Nul doute que le « bâton » du fisc fera bouger les entreprises, puisque des amendes administratives allant de 250 et 50.000 euros sont prévues par la réglementation. Celles-ci seront infligées aux administrateurs, ou, le cas échéant, à un ou plusieurs membres dirigeants de l’entreprise.

Qui a accès au registre ?

Les autorités compétentes, forcément, mais aussi les institutions bancaires ou encore le grand public, même si l’accès sera payant et limité à un certain nombre d’informations. De plus, la consultation des données est enregistrée et conservée pour une durée de 10 ans. Enfin, toute personne peut solliciter à ne pas voir ses informations (partielles ou complètes) apparaître à la consultation… Cette demande de dérogation peut aussi être introduite via la plateforme électronique. Cela ne le dispense évidemment pas de l’inscription.

Pour toute question complémentaire sur le sujet, l’administration fiscale a mis à disposition une adresse e-mail dédiée : ubobelgium@minfin.fed.be.

Parfois perçus comme complexes, fermés et présentant de faibles chances de réussite, les marchés publics représentent pourtant d’excellentes opportunités pour les entreprises. Longtemps « réservés » aux grands groupes, disposant de plus de moyens à y consacrer, les appels d’offres sont de plus en plus accessibles à tous les types de sociétés. Le plus difficile est souvent de se jeter à l’eau…

Difficile de trouver son chemin…

Dénicher de nouveaux clients ou explorer de nouveaux marchés, voilà le défi de la plupart des acteurs économiques. Un enjeu de taille, auquel peuvent contribuer les marchés publics. Et pour cause, la plupart des institutions publiques ont recours à des appels d’offres pour la fourniture de biens ou services. Une « manne » potentielle énorme… À condition, pour les entreprises, de franchir le cap et d’investir un minimum de ressources humaines et financières pour répondre à ces « concours ». En effet, ces opportunités reposent souvent sur des règles complexes, des exigences élevées et une faible visibilité, notamment vis-à-vis les PME. D’autant plus que l’investissement consenti, en temps et en moyens, ne garantit pas la signature d’un contrat en bout de course… Une incertitude qui freine certains acteurs au moment de se plonger dans les méandres d’un cahier des charges. Enfin, les plus petites sociétés déjà en position de désavantage, vu leurs plus faibles moyens, font parfois face à des marchés très larges, exigeant des compétences dans plusieurs domaines.

Des efforts renforcés

Conscients des difficultés rencontrées par les entreprises, les pouvoirs publics ont mené plusieurs actions pour ouvrir l’accès à la commande publique. Au niveau européen, des directives ont imposé aux États membres de simplifier le cadre règlementaire, entre autres à travers la diminution des délais de procédure et des formalités administratives, le plafonnement des exigences financières, la valorisation de critères de sélection plus « ouverts », tels que les aspects sociaux, environnementaux et innovants. Last but not least, la généralisation de la division des marchés en plus petits lots. Standardisation, simplification et information sont donc les mots d’ordre. Depuis 2017, le gouvernement fédéral a pris la balle au bond en mettant en œuvre plusieurs mesures concrètes pour faciliter l’accessibilité des appels d’offres, notamment grâce à la création d’une charte établissant un certain nombre de principes clés.

Internet, facteur de simplification

Dans la continuité des efforts européens, plusieurs mesures ont donc été érigées en Belgique. La digitalisation de l’ensemble du processus est l’une des grandes nouveautés. En effet, de la publication de l’appel à la possibilité de déposer une offre, en passant par le cahier des charges, tout se passe désormais en ligne. Après la création d’un profil sur la plateforme e-procurement, tout se déroule sur e-notification (et sa notice d’utilisation). Le site, reprenant l’ensemble des marchés en Belgique, joue le rôle de point de communication, mais également de rencontre, puisque toute entreprise peut créer une « carte de visite » virtuelle et s’abonner aux publications qui correspondent à ces critères. Plus de transparence, moins de frais administratifs, mais aussi une plus grande « publicité » autour des opportunités de marché, ainsi que davantage de communication entre l’autorité et les soumissionnaires.

Ce n’est pas tout…

Parmi les autres mesures : chaque marché doit maintenant reposer sur des critères de sélection variés et adaptés à la nature du marché, analysés de forme pondérée… Une façon d’échapper à la dictature du « prix le moins cher ». Autre règle favorable pour les plus petits acteurs : la subdivision en lots qui permet un meilleur accès aux PME spécialisées dans un domaine en particulier. Tout comme la procédure largement simplifiée — dite de « facture acceptée » — mise en place pour les « concours » de moins de 30.000 euros. Les possibilités de dialogue et de négociation ont également été renforcées, ce qui joue en faveur de l’ensemble de la relation contractuelle. Enfin, dernier défi pour les acteurs publics : continuer à mener des efforts pour diminuer les délais de paiement. Une situation qui met encore souvent les entreprises en difficultés…

Franchir le cap

La première expérience reste souvent la plus difficile, car tout est à découvrir. Mais une fois un premier marché remporté (ou même perdu), les entreprises acquièrent de réelles compétences internes pour répondre aux appels. Des atouts susceptibles de créer un cercle vertueux dans le domaine, car un marché en appelle parfois un autre… Ne ratez plus une seule opportunité et soyez notifié des marchés publics qui pourraient vous intéresser.