RGPD : quel rôle pour le commissaire aux comptes ?

Décryptages
Outils
TAILLE DU TEXTE

Une tribune de Nathalie Lutz, Associée, et Lamine Ba, Manager Audit SI, certifié DPO, Exponens.

La donnée est devenue un atout majeur pour les entreprises. A ce titre, celles qui sauront la dompter et bien l’exploiter disposeront d’un avantage concurrentiel certain. Les mutations technologiques exposent la vie privée des personnes physiques. C’est dans ce contexte que le Parlement européen a fait entrer en vigueur le RGPD le 25 mai 2018 dont les principaux objectifs sont :

- le renforcement de la protection des données personnelles ;

- l’assurance de l’application de règles harmonisées.

Le règlement s’applique à toutes les entités qui traitent des données personnelles des résidents de l’UE et permet leur protection :

- non-exploitation indue des données personnelles ;

- absence de perte de contrôle sur celles-ci ;

- sécurisation suffisante.

Tout en assurant l’application de principes tels que celui de finalité, de proportionnalité, de durée de conservation et de sécurité.

Enjeux pour le commissaire aux comptes

Dans son rapport d’activité 2021, la CNIL déclare avoir reçu 14 143 plaintes dont 135 mises en demeures et 18 sanctions. Le fait majeur qui résulte de ce rapport est que les sanctions ont atteint 214 millions d’euros.

A la lumière de ces informations, il nous paraît clair que le commissaire aux comptes devra considérer le risque de non-conformité susceptible d’entrainer un risque pécuniaire.

Mais également, à l’image du rôle que le commissaire aux comptes joue dans le cadre de la lutte contre la cybercriminalité, il devra apprécier la continuité d’exploitation du fait de la probabilité de sanctions en cas de manquement.

Créer la confiance est un enjeu crucial pour le commissaire aux comptes qui devra s’assurer des garanties mises en œuvre par l’entité pour sa mise en conformité. Une perte de confiance de son environnement pourra s’avérer désastreuse pour l’image de l’entité. Pour exemple, on peut citer le souhait de WhatsApp de mettre à jour les conditions d’utilisation de son application au point de provoquer des désinstallations.

Limites pour le commissaire aux comptes

Les principales limites identifiées quant au rôle du commissaire aux comptes au regard du RGPD sont traitées par la CNCC dans son avis n° CEP 2018-13, juillet 2019. Cet avis relève un certain nombre de points pour lesquels le rôle du commissaire aux comptes dans le cadre du RGPD serait en conflit avec celui de certificateur des comptes. En l’occurrence, le mandat de commissaire aux comptes s’avère incompatible avec les caractéristiques de la mission de délégué à la protection des données (DPO).

Pour au moins deux raisons :

- Concernant le secret professionnel, l’exercice de la fonction de DPO par le commissaire aux comptes pourrait l’amener à lever le secret professionnel vis-à-vis de la CNIL, ce qui n’est prévu par aucun texte spécifique à ce jour.

- Le commissaire aux comptes est également un responsable de traitement (au sens du RGPD) distinct pour les traitements qu’il met en œuvre dans le cadre de ses travaux et peut donc déterminer les finalités et les moyens des traitements opérés alors que le DPO ne peut en aucun cas être un responsable de traitement. On voit là l’existence d’un conflit d’intérêts entre les deux fonctions.

Perspectives pour le commissaire aux comptes

Le commissaire aux comptes doit sensibiliser l’entreprise sur les enjeux et les risques du RGPD. En effet, encore aujourd’hui, peu d’entreprises sont conformes au RGPD.

La loi PACTE de 2019 permet à l’auditeur légal, dans le respect de son code de déontologie, de réaliser des missions pouvant s’apparenter à du conseil. Le terme consacré pour ces missions est service autre que la certification des comptes.

Le commissaire aux comptes peut s’engager dans un diagnostic de conformité du traitement des données personnelles, du contrôle interne du traitement des données et de la sécurité de celles-ci. En cela, il joue son rôle d’accompagnateur de l’entreprise tout en appréciant le risque de non-conformité pour les besoins de son opinion sur les comptes.

Les Annuaires du Monde du Chiffre