|
Comptabilité Audit Fiches d’information pour la mise en conformité au RGPD dans les cabinets d’audit La Compagnie nationale des commissaires aux comptes a publié, sous la forme de six fiches d’information, un tour d’horizon des motifs justifiant l’engagement des cabinets d’audit dans la démarche de mise en conformité avec le RGPD et des actions à mettre en œuvre en interne. Fiche 1 : quatre bonnes raisons d’être RGPD compliant – La CNCC souligne que se mettre en conformité avec le RGPD afin de garantir la protection des données à caractère personnel s’impose à chaque cabinet de commissariat aux comptes pour les principales raisons suivantes : -les entreprises clientes du cabinet vont le demander. Elles doivent elles-mêmes se mettre en conformité au RGPD et demanderont naturellement à leurs prestataires, parmi lesquels figurent les commissaires aux comptes, et à leurs sous-traitants d’être eux-aussi « RGPD compliant » ; -cette démarche renforce la relation de confiance établie avec les clients. Les CAC se positionnent ainsi en tant qu’acteurs de la confiance numérique au titre des données personnelles qu’ils ont à traiter dans le cadre de leurs missions et s’inscrivent dans une « dynamique vertueuse et positive » ; -c’est une opportunité d’informer les clients. En 2017, un enquête CNCC relevait que 57 % des sociétés petites entreprises clientes de CAC jugeaient intéressant ou plutôt intéressant que leur CAC les informe sur leur conformité au RGPD ; -cela permet d'éviter le risque de pénalités pour non-conformité au RGPD [pouvant aller jusqu’à 20 M€ ou 4 % du chiffre d’affaires mondial de l’année précédente (RGPD, règlt UE 2016/679 du 27 avril 2016, art. 83)]. En pratique, il est donc important pour les cabinets d’audit de se former et de se doter des supports nécessaires pour, d'une part, proposer à leurs clients un suivi pertinent de cette conformité mais aussi, d'autre part, se documenter et étudier les impacts pratiques sur l’organisation interne du cabinet. Fiche 2 : sensibiliser les équipes via 3 types d’actions – À ce titre, le premier challenge à relever consiste à sensibiliser ses équipes. Il s’agit d’une démarche continue auprès des équipes à tous niveaux pour limiter les risques de fuite de données à caractère personnel. Cette démarche s’inscrit dans le cadre plus général des actions de cybersécurité. Au cours des missions d’audit légal, les commissaires aux comptes reçoivent, en effet, beaucoup de données purement techniques et financières (bilan, inventaire, etc.), mais sont aussi susceptibles de recevoir des fichiers et documents porteurs d’informations qualifiables de données à caractère personnel : des données RH tels que les noms, salaires et fonctions dans l’entreprise cliente ou bien, pour un hôpital, la liste des patients et leurs dates de séjours ou encore la liste des cotisants pour les partis politiques ou les syndicats. Les équipes des cabinets d’audit doivent en conséquence toujours avoir à l’esprit la nécessité de : -protéger ces données (en contrôler les accès, maîtriser leur diffusion en interne et en externe et définir leur durée de conservation) ; -partager les principes de précaution (chiffrer les données collectées sur un support mobile, protéger les ordinateurs, supprimer les droits d’accès des collaborateurs qui sont partis du cabinet, etc.) ; -intégrer ces principes dans la charte informatique du cabinet et partager ces sujets de préoccupation au moins une fois/an avec les équipes. Fiche 3 : dynamiser le cabinet à travers la gestion pertinente des données – La mise en conformité au RGPD est un projet d’entreprise et, pour être efficace, il est recommandé de : -désigner un référent chargé de piloter l’ensemble des actions de mise en conformité du cabinet et du maintien de celle-ci dans la durée ; -structurer la gestion des données gérées au sein du cabinet. Pour les données propres au cabinet lui-même, il s’agit d’organiser le traitement des données personnelles des salariés et l’exercice de leurs droits issus du RGPD. Pour les données client(s), il convient de définir des procédures et bonnes pratiques et de les adapter précisément au caractère plus ou moins sensible des données concernées (une vigilance particulière est par exemple requise lorsque le client est un EPHAD, un hôpital, une mutuelle…). Désigner (ou mutualiser) un data protection officer (DPO) est généralement recommandé. En principe, les rôles de référent et de DPO sont bien distincts puisque le premier met en œuvre la conformité au RGPD et le second contrôle, conseille et constitue l’interlocuteur privilégié avec la CNIL en France. Néanmoins, en pratique, le référent peut, à terme, devenir le DPO, tant que l’indépendance du contrôle de la (mise en) conformité reste assurée. Fiche 4 : établir une cartographie des données collectées et de leurs traitements – Avant de passer à l’établissement de la documentation requise (voir fiche 6 ci-après), il est nécessaire de réaliser une cartographie de ces données et des traitements dont elles font l’objet. Il s’agit de recenser à la fois les données personnelles collectées et les traitements effectués par le cabinet ainsi que les modalités de stockage, la finalité de ces traitements et les personnes concernées. Une première étape consiste à élaborer une liste exhaustive par typologie de traitements. Ensuite, il convient d’organiser sa mise à jour et celle de la cartographie au fil du temps. Fiche 5 : sécuriser les relations avec les prestataires et sous-traitants – Le RGPD renforce la responsabilité de l’ensemble des acteurs de la chaîne de traitement des données, c’est pourquoi les cabinets d’audit comme toutes les entreprises doivent également s’assurer de la conformité au RGPD de leurs propres prestataires et sous-traitants. Cela va des prestataires assurant l’archivage des données collectées jusqu’aux entreprises de nettoyage… Cette vérification de leur conformité devra être formalisée. Une première étape dans cette action consiste à établir la liste des sous-traitants et des partenaires. Ensuite, il faut identifier ceux qui, compte tenu de leur activité, sont susceptibles d’être concernés par la conformité du cabinet au RGPD, soit parce qu’ils participent au traitement de la donnée, soit parce qu’ils ont accès aux locaux du cabinet. La nécessaire conformité au RGPD sera formalisée dans les contrats conclus avec ces prestataires et sous-traitants. Fiche 6 : adapter les traitements et documenter la conformité au RGPD – Comme pour toute entreprise, les notions de privacy by design et de privacy by default (RGPD art. 25) sont à intégrer dans la conception en amont des traitements de données personnelles effectués par les cabinets. Par ailleurs, la conformité aux dispositions issues du RGPD doit pouvoir être prouvée via une documentation précise et à jour que le cabinet pourra présenter en cas de contrôle de la CNIL. Sont notamment visés le registre des activités de traitement (RGPD art. 30) et, le cas échéant, les analyses d’impact ou l’encadrement des transferts de données (RGPD art. 35 et 44 à 46), mais aussi les mentions devant figurer sur le ou les sites web du cabinet, les modèles de recueil de consentement et la base des consentements collectés, les manuels de procédures en cas de fuite des données (gestion de crise) et, bien sûr, les contrats conclus avec les prestataires ou sous-traitants (voir fiche 5 ci-avant). http://www.crcc-paris.fr/ ; CNCC – RGPD –Fiches d’information pour les cabinets d’audit – Actualité du 24 mai 2018 |