Au mois de mai, 83 % des entreprises en Flandre appréhendaient l’ère du GDPR. Elles ne se sentaient pas prêtes et craignaient les amendes. Mais la menace semblait plus forte que la réalité.
Le 25 mai dernier, les nouvelles règles européennes sont entrées en vigueur concernant la gestion et la sécurité des données à caractère personnel (GDPR). Dans les semaines qui ont précédé cette date, le Voka, l’union des entreprises flamandes, a mené son enquête auprès de plus de 400 entreprises afin de savoir où elles en étaient par rapport à ces mesures. Moins d’une entreprise sur cinq (17 %) se sentait prête pour cette réglementation tant redoutée. 37 % pensaient avoir effectué la plus grande partie du travail, 26 % déclaraient avoir encore beaucoup de travail et 17 % ne savaient même pas vraiment si elles étaient effectivement prêtes.
La confusion régnait donc en maître. Les entrepreneurs éprouvaient principalement des problèmes d’ordre organisationnel et juridique, plutôt que sur le plan informatique.
Tom Demeyer (porte-parole du Voka) : « Ce n’est pas tant l’aspect technique qui a posé problème. De nombreuses entreprises ont posé des questions sur le règlement en tant que tel. Le fait qu’il faille d’abord déceler les problèmes juridiques et d’organisation avant de s’attaquer à l’informatique n’y est sans doute pas étranger. Les problèmes IT pourraient devenir le prochain goulot d'étranglement. L'enquête a également révélé que ce sont principalement les plus petites entreprises qui se sentaient défavorisées. Souvent, elles ne disposent pas de l’expertise et des ressources pour procéder aux ajustements indispensables. »
Entre la mi-mai et la mi-septembre, l’expert GDPR du Voka a reçu quelque 150 questions concernant le GDPR. Parmi les questions les plus fréquemment posées, citons : que faire avec les cookies sur notre site et avec les données collectées par Google Analytics ? Comment appliquer le GDPR dans le cadre des données de notre propre personnel ? Pouvons-nous échanger des données personnelles avec les entreprises avec lesquelles nous collaborons ?
Tom Demeyer : « De nombreuses entreprises craignent de perdre la possibilité d’envoyer des mails à leurs clients, cet outil marketing peu onéreux et très pratique. Et tout cela parce que leurs clients pourront faire appel au principe d’opt-out. À long terme, le GDPR constituera probablement un problème pour le service marketing plutôt qu'un problème d’ordre juridique. »
20 millions d’euros. Pardon ?
Les questions ont connu un pic entre le 15 mai et la fin juin. La fréquence s’est calmée durant les vacances d’été pour reprendre dès début septembre. Le Voka juge cependant la situation de manière positive. Une nouvelle enquête n’est pas envisagée, les messages émanant du terrain sont majoritairement positifs. La plupart des entreprises ont pris suffisamment de mesures de précaution ou y travaillent actuellement. La peur des sanctions et des amendes a quelque peu diminué. Ces dernières pourraient toutefois s’élever à 20 millions d’euros, ou 4 % du chiffre d’affaires annuel. Une pilule dure à avaler !
Tom Demeyer : « Nous avons contacté le gouvernement et l'Autorité de protection des données (la nouvelle dénomination de la Commission de la protection de la vie privée, NDLR) et leur avons demandé de ne pas sanctionner pour le moment. La législation comporte encore trop de zones grises. De nombreuses entreprises estiment également que les amendes sont disproportionnées par rapport aux ambiguïtés encore présentes. La vie privée est une notion cruciale, certes, mais la protection de cette vie privée doit aussi être réalisable dans la pratique. Par exemple, seul 10 % des entrepreneurs interrogés indiquent que leurs clients réagissent rapidement à leurs actions dans le cadre du GDPR. »
L'Autorité de protection des données semble prendre en compte l’appel des employeurs. Il n’y aura pas de nouvelle période de transition officielle (il faut savoir que les organismes avaient déjà eu deux ans pour se mettre en conformité), mais pour l’heure, il n’a été fait mention d’aucun contrôle ou amende. Les entreprises peuvent s’adresser à l’Autorité de la protection des données pour poser leurs questions et elles perçoivent cette Autorité plutôt comme une institutrice attentionnée et serviable plutôt que comme un maître impatient et menaçant.
Tom Demeyer : « Nous redoutions des contrôles extrêmement sévères, mais il n’en est rien pour l’instant. Les entreprises bénéficient d’une belle marge de manœuvre pour implémenter le GDPR au sein de leur organisation. »
Chez BNP Paribas Fortis, les collaborateurs de Data Governance and Regulation ont également eu des expériences positives avec l’Autorité de protection des données.
Dimitri Devlamminck : «Comme tout entreprise d’Europe, nous devons faire notre maximum pour être compliant par rapport au GDPR. La date butoir du 25/5/2018 a permis de mobiliser les esprits et les ressources. Maintenant la législation actuelle laisse encore des zones d’ombre, tout n’est pas clair à 100% . Le législateur en est bien conscient. Il a indiqué plusieurs fois qu’il attendait de nous d’atteindre la conformité sur tous les éléments de bases et d’au moins pouvoir présenter un plan bien articulé pour les points secondaires ou qui nécessitent plus de temps / d’investissement. Donc, si vous pouvez démontrer que vous avez fait les efforts nécessaires pour vous mettre en ordre et que vous avez un plan d’action clair pour les activités résiduelles, vous n’avez normalement pas à craindre des amendes dans l’immédiat. »
Le GDPR en 13 étapes
La « Commission de la protection de la vie privée » était autrefois abrégée en Commission Vie privée. Oubliez désormais ces deux dénominations. Avec l’instauration du GDPR, la Commission Vie privée a été rebaptisée le 25 mai 2018 en Autorité de protection des données (APD). Cet organe veille à ce que les données personnelles soient utilisées et sécurisées avec toutes les précautions voulues, et à ce que la confidentialité soit garantie. L’APD a publié une brochure avec un plan en 13 étapes pratiques afin que les entreprises se préparent en vue du GDPR.
10.12.2018
La vie privée dans l’immobilier ? Une des pierres angulaires…
Le secteur de l’immobilier brasse de nombreuses données, et souvent très sensibles. L’instauration du GDPR incite ce secteur à les traiter de manière plus responsable. « Cela coûte de l’argent, mais c’est une évolution tout à fait normale », nous confie Geoffrey Giët, directeur de l’Agence Rosseel.
Le secteur de l’immobilier jouit d’une réputation douteuse chez bon nombre de gens. Tout à fait à tort, estime Geoffrey Giët, directeur à l'Agence Rosseel. Cette agence immobilière compte quatre succursales et une trentaine d'employés. La société a collaboré avec la Confédération des Immobiliers de Belgique (CIB) pour mettre au point une pratique exemplaire qui s’est traduite par un scénario GDPR destiné à tous les agents immobiliers.
Geoffrey Giët : « En matière de vie privée, cela fait quelque temps que le marché de l’immobilier est soumis à une réglementation stricte. En 2012, le CIB s'est réuni avec la Commission de la protection de la vie privée et le Centre pour l'égalité des chances et la lutte contre le racisme. Ensemble, ils ont élaboré une liste de contrôle à destination des agences immobilières lorsqu’elles louent un bien immobilier. Nous n'avons pas eu à changer cette liste lors de la mise en place du GDPR. »
Et dans la pratique ? Le courtier demande d’abord le nom, le numéro de téléphone et l’adresse mail des locataires potentiels, afin de pouvoir organiser une visite. Après cette visite, des données pertinentes sont retenues uniquement pour les personnes qui entrent encore en ligne de compte pour la location : identité (via l’e-ID), revenu et composition de ménage. Ces données sont présentées personnellement ou par téléphone avec le propriétaire qui effectue son choix parmi les candidats. Enfin, le dossier de location est complété, y compris avec la description du bien et le contrat. Pourquoi le nom du candidat locataire est-il dévoilé au propriétaire au cours de cette deuxième phase ? N’est-ce pas là une porte ouverte pour la discrimination de personnes portant un nom à consonance étrangère ?
Geoffrey Giët : « Le propriétaire a le droit de connaître ce nom : il doit savoir qui habitera son bien et choisir librement le locataire. Nous avons loué 330 propriétés l’an dernier. Dans tout au plus un ou deux cas, la conversation a dérapé avec le propriétaire. Il nous appartient de signaler au bailleur que ce type de comportement n’est pas admissible. Les personnes portant un nom étranger sont tout aussi susceptibles d’être des locataires corrects que les personnes portant un nom belge. »
Pas de voyeurs dans les bases de données
Par contre, d’autres aspects de la pratique immobilière ont subi de profondes modifications depuis l'introduction du RGPD. À titre d’exemple : la manière dont une agence immobilière traite les données des clients. De quelles données s’agit-il ? Comment sont-elles conservées et durant combien de temps ? Comment les protéger contre la perte ou le vol ? Tous ces processus devaient être formalisés et coulés dans de nouvelles procédures.
Geoffrey Giët : « Nous avons l’obligation de conserver les données de tous les candidats locataires durant cinq ans, dans l’éventualité d’une plainte en matière d’égalité des chances et où l’intermédiaire serait amené à devoir se défendre. Si un contrat de location a été conclu, nous devons conserver ces informations pour une durée de sept ans, dans le cadre de notre responsabilité professionnelle. Demeurait alors une question importante : qui a accès à ces données ? Auparavant, chaque employé pouvait consulter toutes les données. En théorie, une personne travaillant dans le département ventes était capable de consulter les données des locataires, par exemple pour vérifier les revenus d’un acheteur éventuel. Désormais, nous avons cloisonné ces données. Dès qu’un employé se connecte, son profil est reconnu et il n’aura accès qu’aux données qui sont pertinentes pour sa fonction. »
Il convient encore de déterminer comment les données seront supprimées et détruites au bout de cinq ou sept ans. Cette opération doit se faire tant dans le système numérique que dans les archives papier.
Geoffrey Giët : « Le système informatique peut être programmé pour lancer un message lorsque la limite des cinq ou sept ans est atteinte pour un dossier. Pour ce faire, nous devrons faire appel à un fournisseur autre que notre fournisseur informatique habituel. Car nous ne pouvons pas nous permettre de programmer une suppression automatique. Quelqu'un doit d'abord vérifier s’il n'y a pas un conflit en cours, ce qui aurait pour effet de prolonger la période de rétention. Nous disposons d’un entrepôt pour les archives papier. Nous devons maintenant organiser ces archives différemment, selon le principe du premier entré premier sorti. Ce n’est pas un mince boulot. Nous effectuons quelque 600 transactions par an et nous existons depuis 70 ans. Comptez… »
Des adaptations qui ont un prix
Par conséquent, pour les agences immobilières, le GDPR représente une occasion de mettre de l’ordre en interne dans leurs disques de données et leurs montagnes de papier. Il ne s’agit pas des seules entreprises qui éprouvent des difficultés avec le traitement des données personnelles de leurs clients. Le quotidien De Tijd du 19 mai rapporte que la société de services informatiques IBM a mené une enquête auprès de 1 500 managers. Cette étude a révélé que 80 % de ces managers avaient mis à profit la période précédant le GDPR pour nettoyer leurs données ; 78 % ont réduit le nombre de personnes ayant accès à ces données.
Geoffrey Giët : « Ces adaptations ont un coût. Mais les systèmes informatiques sont d’office un poste budgétaire important dans le secteur de l’immobilier. À titre personnel, j’estime que cette dépense n’est que logique. Une entreprise moderne se doit d’apporter beaucoup de soin dans la manipulation des données de ses clients. Qui plus est, j’attache une très grande importance à notre réputation. Je ne voudrais pas faire l’objet d’une publicité négative si, à l’occasion d’un contrôle, on devait constater que certaines choses ne sont pas réglementaires chez nous. »
10.06.2024
La facturation électronique entre entreprises désormais obligatoire
Le projet de loi qui veut introduire cette obligation dans notre pays est actuellement en discussion au parlement fédéral. Après l’approbation du projet, la « facturation électronique B2B » sera obligatoire dès le 1er janvier 2026. Nos experts expliquent pourquoi la Belgique veut introduire ces nouvelles règles, quelles sont les conséquences pour votre entreprise et comment nous pouvons encore mieux vous accompagner.
« Il s’agit d’une réglementation européenne qui sera transposée au niveau belge dès le 1er janvier 2026, explique Emmanuel Bairiot, Responsable Produit chez BNP Paribas Fortis. Elle concerne tout assujetti à la TVA dans le cadre de relations commerciales, soit le B2B, au niveau national. Cela concernera également les relations commerciales au-delà de nos frontières à l’horizon 2028-2030 : la transmission de facture sera harmonisée au niveau européen, aves les mêmes règles d’envoi, de réception et de contenu d’information. »
« Cette régulation européenne vise notamment à limiter la fraude fiscale, complète Emmanuel Bairiot. De plus, les factures électroniques contiennent des données structurées très riches en informations pertinentes. C’est utile au niveau de la politique économique des États membres, qui peuvent ainsi prendre le pouls du tissu entrepreneurial du pays et savoir comment s’adapter et fournir des aides. Cela peut également aider les entreprises dans leur cycle « order to cash », car ce processus dématérialisé est entièrement automatisé, ce qui permet aux entreprises de gagner en efficacité et de réduire le temps entre les différentes étapes comme l’envoi, la réception, l’encaissement... »
Pas une révolution mais une évolution
« La nouvelle réglementation n'est pas tant une révolution qu'une évolution, complète Frédéric Fontaine, Head of Transaction Banking chez BNP Paribas Fortis. Ce changement réglementaire sera facilité par les solutions comptables, les softwares, par les sociétés assurant l’émission de factures électroniques.
En tant que banque et société de factoring, nous nous devons d’être présents. Dès 2026, tous les assujettis à la TVA seront interconnectés de manière digitale pour l’envoi et la réception de leurs factures. La banque doit se glisser dans ce canal pour aider nos entreprises à payer et à être payées, et aussi financer des factures sortantes si nécessaire via le factoring. Cela fait partie de notre ADN digital. Nous guiderons nos clients et clientes depuis la création et tout au long du développement et de la croissance de ce processus. Nous serons présents. »
Quel impact pour les entreprises ?
« L’e-invoicing sera obligatoire à très court terme, souligne Emmanuel Bairiot. 2026, c’est demain. Nous recommandons à nos clients professionnels de se mettre en contact avec leur fournisseur de service de facturation, afin de voir comment ils abordent ce changement au niveau du logiciel de facturation. Sera-t-il conforme aux nouvelles règles ? En tant que client, dois-je faire quelque chose en plus ? »
« Il faut anticiper, poursuit-il. Les logiciels sont en train de s’adapter, donc les choses devraient se passer assez naturellement. Mais nos clients peuvent aussi se poser la question pour leurs relations commerciales hors frontières, à moyen terme. C’est aussi l’occasion de réfléchir à son propre processus de facturation. Faut-il réorganiser certains aspects ? »
Prêts à encore mieux vous accompagner
« En tant que banque numéro 1, nous sommes toujours au fait des évolutions, se réjouit Emmanuel Bairiot. Notre ambition est d’être de plus en plus performants digitalement et d’offrir des services à portée de main à nos clients et clientes, par exemple avec des outils tels qu’Easy Banking Business. En termes stratégiques, il est donc normal que nous nous intéressions à l’e-invoicing. De plus, nous bénéficions de l’expertise du Groupe, de sa vision sur l’invoicing au niveau international. Nous pourrons donc profiter de la position du Groupe et de notre expérience dans les canaux digitaux pour accompagner notre clientèle. »
En savoir plus ?
Écoutez l’épisode sur la facturation électronique B2B.
15.07.2019
La « nouvelle » société anonyme à la loupe
Le Code des sociétés et des associations a été revu de fond en comble. Si la SA a survécu à la réforme, elle a tout de même subi un sérieux lifting. Voici les principaux changements...
Après un long parcours législatif, la grande refonte du droit des sociétés et des associations est entrée en vigueur le 1er mai dernier. Une véritable révolution visant à moderniser et à simplifier le fonctionnement de la vie économique en Belgique. C’est la réduction du nombre de formes juridiques de sociétés qui a tenu le haut du pavé en passant d’une vingtaine à seulement six. Une cure d’amaigrissement à laquelle a résisté la société anonyme. Mais celle qui reste le « véhicule » juridique de référence pour les grandes sociétés et les entreprises cotées n’a pas échappé à de multiples changements…
Les intentions ? Simplification et flexibilité…
Cette volonté est d’abord visible dans la modification des modalités de création, puisque désormais un seul actionnaire suffit pour fonder une SA. Autre allègement ? La possibilité de nommer un seul administrateur à la tête de l’entreprise, contre un minimum de trois (ou deux, dans le cas de seulement deux actionnaires) auparavant.
C’est l’ensemble de la gouvernance de la SA qui a été revue pour rendre son fonctionnement plus aisé. On notera ainsi les trois modèles de gestion possibles : l’approche avec un seul administrateur, un système moniste avec uniquement un conseil d’administration (solution par défaut) ou encore la version dualiste. Cette dernière est alors constituée par deux organes ayant chacun des missions spécifiquement attribuées par la loi : un conseil de surveillance et un conseil de direction. Soulignons que dans cette gestion bicéphale, les doubles mandats sont désormais interdits…
Toujours dans une démarche de simplification, le rachat d’actions propres est rendu plus aisé, puisque le plafond limitant à un maximum de 20 % a été supprimé. Mais l’opération demeure inscrite dans un cadre de règles strictes afin de veiller à l’égalité de traitement des actionnaires et pour garantir la transparence au moment d’une éventuelle revente des actions.
Plus de liberté !
C’est l’un des grands changements portés par la réforme : la possibilité de déroger au principe « une action, une voix ». Même s’il reste la règle par défaut, les entreprises non cotées peuvent désormais choisir d’émettre des actions sans droit de vote ou à l’inverse avec un droit de vote multiple (sans limite). Voire des actions avec un droit de vote lié à des situations spécifiques ou « préférentiel » dans le cadre, par exemple, d’une augmentation de capital. Autrement dit ? Une importante marge de manœuvre… Mais il faudra procéder à une modification des statuts et obtenir 75 % des voix pour mettre ce mécanisme en place.
Du côté des SA cotées en bourse, les options sont moindres. Les actions peuvent toutefois être émises avec un double droit de vote. Mais à condition que celles-ci soient nominatives, entièrement libérées et détenues par le même actionnaire au moins depuis deux ans. En cas de transfert, ce deuxième droit de vote s’évapore (sauf exception : transferts familiaux et intragroupes). Une majorité des 2/3 est requise pour mettre en place ce système… qui, selon les experts, pourrait inciter les entreprises étrangères à demander une cotation sur Euronext Bruxelles.
La responsabilité des administrateurs ? Plus limitée…
Entre autres pour rendre la Belgique plus attractive aux yeux des hauts profils étrangers, le législateur a prévu l’allègement de la responsabilité des administrateurs. Un plafond est désormais mis à cette responsabilité, , tant vis-à-vis de la société que des tiers et quel que soit le fondement de l’action (contractuel ou extracontractuel). Celui-ci varie en fonction de la taille de l’entreprise : jusqu’à 250.000 euros pour les « petites » structures et au maximum 12 millions d’euros pour les grandes. Des limites qui portent des exceptions… Par exemple ? En cas de fautes légères présentant dans le chef de l’auteur un caractère habituel, de faute grave, d’intention frauduleuse ou à dessein de nuire, de dettes fiscales et sociales, ou de fraude fiscale grave.
Siège statutaire : moins d’incertitudes
La Belgique adopte désormais le siège statutaire comme élément de définition de la nationalité de l’entreprise. C’est donc bien le siège social repris dans les statuts — et non plus celui du lieu d’installation de la principale unité selon la théorie du « siège réel » — qui détermine désormais le droit applicable à l’entreprise. L’objectif ? Permettre aux sociétés belges, disposant d’une entité opérationnelle à l’étranger, « d’emporter » avec elles la législation belge. L’inverse est évidemment vrai… Les sociétés étrangères tomberont sous le coup de leur propre réglementation. Cette nouvelle approche clarifie les choses, car, auparavant, il n’était pas toujours évident d’identifier le siège opérationnel réel. Une sécurité juridique accrue qui devrait également rassurer les entreprises, notamment lors du transfert d’un pays à l’autre. Rappelons qu’en matière fiscale, la théorie du « siège réel » reste de mise…
La transition est en cours…
Ce nouveau cadre légal est donc d’application depuis le 1er mai 2019 pour la constitution de toute nouvelle société ou association. Pour toutes les entreprises déjà existantes, la date à retenir est le 1er janvier 2020 (sauf si elles font usage de leur « opt-in » avant cette date), puisque certaines règles de la réforme leur seront applicables à partir de la prochaine année. Notons qu’une période transitoire a été prévue — entre 2020 et 2023 — pour permettre à toutes structures existantes de revoir leurs statuts et leur forme juridique. Certaines situations exigeront également l’adaptation des conventions d’actionnaires ou de management. Une actualisation qui devra être réalisée au plus tard le 1er janvier 2024. Un délai qui peut s’avérer utile pour mener une réflexion profonde sur les nouveaux habits juridiques de l’entreprise…
09.04.2019
Feu vert pour le nouveau droit des sociétés et associations
À partir du 1er mai 2019, un nouveau cadre légal s’appliquera aux sociétés et associations belges.
Le 28 février, la Chambre des représentants a approuvé le projet de loi introduisant le nouveau Code des sociétés et des associations. Son but ? Moderniser le cadre juridique actuel, coller davantage au terrain et permettre aux entreprises belges de mieux rivaliser avec leurs consœurs européennes.
Qu’est-ce que cela implique concrètement ?
Le nouveau cadre légal s’appliquera dès le 1er mai 2019 à toutes les sociétés et associations nouvellement constituées, et à partir du 1er janvier 2020 à toutes les sociétés et associations existantes (sauf si elles font usage de leur 'opt-in' avant cette date). La plage de conversion principale se situera sans doute entre 2020 et 2023. Au cours de cette période, toutes les sociétés et associations existantes devront revoir leurs statuts et leur forme juridique.
Un retard sans conséquence
La nouvelle législation aurait dû entrer en vigueur le 1er janvier 2019, mais l’approbation du projet de loi a pris du retard en raison des événements politiques des derniers mois (suite à une motion de défiance écolo-socialiste, le Premier ministre a présenté la démission du gouvernement le 18 décembre 2018, ndlr). Cette nouvelle loi a, à présent, été approuvée par la Chambre, mais elle n’a pas encore été publiée au Moniteur. Il faut aussi attendre les arrêtés d’exécution. Quoi qu’il en soit, la réforme deviendra effective au 1er mai de cette année.