Atout majeur pour les entreprises avec les transformations en cours, la donnée constitue un avantage concurrentiel certain pour toutes les organisations qui auront compris ses enjeux. C’est dans ce cadre que le RGPD (Règlement Général pour la Protection des Données des personnes physiques) est entré en vigueur le 25 mai 2018 avec comme objectifs :
- Le renforcement de la protection des données,
- L’assurance de l’application de règles harmonisées.
Le Règlement s’applique à toutes les organisations qu’elles soient publiques ou privées, traitant des données personnelles des résidents européens. Ce règlement ambitionne de protéger les personnes physiques contre :
- Une exploitation indue de leurs données personnelles
- Une perte de contrôle sur leurs données
- Une sécurisation insuffisante

Tout en assurant l’application de principes tels que ceux de finalité, de proportionnalité, de durée de conservation et de sécurité.

Toutes les organisations entrent dans le champ d’application du RGPD et sont, par conséquent, susceptibles de sanctions en cas de non-conformité. En tant que partenaire privilégié de l’entreprise, le commissaire aux comptes tient un rôle fondamental dans la démarche de mise en conformité à ce Règlement.

Enjeux pour le commissaire aux comptes dans sa mission de certification

Dans son rapport d’activité 2021, la CNIL déclare avoir reçu 14 143 plaintes et effectué 384 contrôles qui ont débouché sur 135 mises en demeure et 18 sanctions. Le fait important est le montant conséquent des sanctions financières qui s’élèvent à 214 millions d’euros.

A la lumière de ces informations, il nous paraît clair que le commissaire aux comptes devra considérer le risque de non-conformité susceptible d’entrainer un risque pécuniaire.

Les normes d’exercice professionnel du commissaire aux comptes lui imposent de prendre connaissance de l’environnement informatique de l’entité et de la détection de la fraude interne ou externe ainsi que de s’assurer de la continuité d’exploitation.

Parmi les enjeux du RGPD, il en est un qui est crucial : créer de la confiance. Il devient alors nécessaire que le commissaire aux comptes participe au renforcement de celle-ci et de la sécurité numérique des entreprises auditées. Une perte de confiance peut entraîner des conséquences néfastes sur l’image de l’entité. Pour exemple, Facebook, société mère de WhatsApp, a connu l’année dernière des milliers de fermeture de comptes suite à son souhait de vouloir changer les conditions d’utilisation de l’application.

Mais plus encore, nécessité d’accompagnement des entreprises par le commissaire aux comptes

En tant que tiers de confiance donc, le commissaire aux comptes peut sensibiliser les entités sur les enjeux et les risques de non-application du RGPD. En effet, encore aujourd’hui, peu d’entreprises sont conformes au Règlement.

S’il est exclu au commissaire aux comptes de mener toute activité de conseil, notamment de conception ou de mise en œuvre et même d’être Délégué à la protection des données (avis de la CEP 2018-13, juillet 2019 de la CNCC), il peut, depuis la loi PACTE, mener des missions de diagnostic préalable à la mise en conformité.

Il s’agit alors d’évaluer la maturité de l’entité face à ses obligations multiples (droits d’opposition, d’information, d’accès, de rectification, d’effacement, de limitation de traitements, de portabilité, d’encadrement de profilage). Le commissaire aux comptes envisage avec son client des scenarios de violation des données pour déterminer les coûts générés. Il sensibilise la direction aux impacts financiers liés aux incidents potentiels.

Aux côtés des entreprises, apportant son expertise et sa nécessaire formation, bénéficiant d’un outil de diagnostic élaboré par la CNCC, le commissaire aux comptes est habilité à donner un avis sur la conformité au RGPD et le contrôle interne du traitement des données mais aussi d’évaluer la criticité de la sécurité du système d’information des organisations auditées.