Le RGPD : Quel rôle pour le commissaire aux comptes ?

Dans un article pour Le Monde du Chiffre, Nathalie Lutz, Associée et Commissaire aux comptes Exponens, ainsi que Lamine Ba, Manager Audit SI au sein du groupe Exponens, témoignent de l’accompagnement des entreprises face à la RGPD .

La donnée est devenue un atout majeur pour les entreprises. A ce titre, celles qui sauront la dompter et bien l’exploiter disposeront d’un avantage concurrentiel certain. Les mutations technologiques exposent la vie privée des personnes physiques. C’est dans ce contexte que le Parlement européen a fait entrer en vigueur le RGPD le 25 mai 2018 dont les principaux objectifs sont :

• Le renforcement de la protection des données,

• L’assurance de l’application de règles harmonisées.

Le règlement s’applique à toutes les entités qui traitent des données personnelles des résidents de l’UE et permet leur protection :

• non-exploitation indue des données personnelles ;
• absence de perte de contrôle sur celles-ci ;
• sécurisation suffisante.
  

Tout en assurant l’application de principes tels que celui de finalité, de proportionnalité, de durée de conservation et de sécurité.

Enjeux pour le commissaire aux comptes dans sa mission de certification

Dans son rapport d’activité 2021, la CNIL déclare avoir reçu 14 143 plaintes et effectué 384 contrôles qui ont débouché sur 135 mises en demeure et 18 sanctions. Le fait majeur qui résulte de ce rapport est que les sanctions ont atteint 214 millions d’euros.

A la lumière de ces informations, il nous paraît clair que le commissaire aux comptes devra considérer le risque de non-conformité susceptible d’entrainer un risque pécuniaire.

Mais également, à l’image du rôle que le commissaire aux comptes joue dans le cadre de la lutte contre la cybercriminalité, il devra apprécier la continuité d’exploitation du fait de la probabilité de sanctions en cas de manquement.

Créer la confiance est un enjeu crucial pour le commissaire aux comptes qui devra s’assurer des garanties mises en œuvre par l’entité pour sa mise en conformité. Une perte de confiance de son environnement pourra s’avérer désastreuse pour l’image de l’entité. Pour exemple, on peut citer le souhait de WhatsApp de mettre à jour les conditions d’utilisation de son application au point de provoquer des désinstallations.

Limites pour le commissaire aux comptes

Les principales limites identifiées quant au rôle du commissaire aux comptes au regard du RGPD sont traitées par la CNCC dans son avis n° CEP 2018-13, juillet 2019. Cet avis relève un certain nombre de points pour lesquels le rôle du commissaire aux comptes dans le cadre du RGPD serait en conflit avec celui de certificateur des comptes. En l’occurrence, le mandat de commissaire aux comptes s’avère incompatible avec les caractéristiques de la mission de délégué à la protection des données (DPO).

Pour au moins deux raisons…

Source : Tribune de Nathalie Lutz et Lamine BA dans Le Monde du Chiffre – 26 décembre 2022