A l’occasion du Forum CAC organisé par le syndicat ECF de la profession comptable, un atelier s’est intéressé au fameux règlement général sur la protection des données (RGPD) et au rôle des auditeurs légaux pour la mise en œuvre de celui-ci dans les entreprises.
Le Forum CAC 2018 a été le théâtre d’une conférence consacrée à la compliance RGPD et à l’apport des commissaires aux comptes sur cette problématique. Sont intervenus Christelle Fourquet, Yann Chaker, Philippe Pujo et Omar Seghrouchni.
« Le Choc des Titans » : le RGDP comme réponse législative au Big Data…
Le RGDP entrera en vigueur en France le 25 mai 2018. Il s’agit d’un règlement européen qui vise à renforcer la protection des données personnelles brassées par les entreprises. En France, le RGPD viendra compléter les règles existantes en la matière, instituées notamment par la loi Informatique et Libertés de 1978 et la loi pour une République numérique de 2016.
Bruxelles travaille la question depuis 2012. L’esprit du RGPD est de rendre aux citoyens le contrôle de leurs données personnelles et de créer un niveau élevé et uniforme de protection de ces informations à l’échelle de l’UE.
Une intervention du législateur était inévitable sur ces questions à l’heure du Big Data, où la donnée personnelle est de plus en plus considérée comme « l’or noir du XXIème siècle ». Dans le « cyberespace », l’information circule de manière quasi instantanée et en quantités astronomiques. Le RGDP intervient pour tenter de « maîtriser la bête » et encadrer la création exponentielle de valeur qui ne manque pas et ne manquera pas toujours plus, de se créer sur son dos via la pratique des entreprises. Le rôle de vigie du commissaire aux comptes est plus que jamais de rigueur dans ces conditions.
Les commissaires aux comptes au centre du dispositif RGPD
Les auditeurs légaux sont attendus sur la cybercriminalité, ils le sont également sur la compliance RGDP.
Le nouveau texte emporte un lot conséquent d’innovations sur la protection des données personnelles à la charge des entreprises : obligation de réaliser une analyse d’impact sur la détention des informations, nécessité de désigner un « data protection officer » ou DPO, devoir de rendre publique toute fuite dans les 72 heures, droit à l’oubli, portabilité des données… Le RGPD met également en avant les concepts de « privacy by design » – qui oblige à envisager la protection des données dès la conception de toute réorganisation – et de « privacy by default » lequel impose à l’entreprise de proposer par défaut le plus haut niveau de sécurité à ses utilisateurs.
S’agissant du rôle du commissaire aux comptes, l’aspect le plus important à signaler est le « changement de paradigme » emporté par le RGPD. Pour l’heure, la protection des données relève d’un régime de déclaration auprès de la CNIL. Le nouveau règlement va largement amender ces obligations déclaratives au profit d’un principe de responsabilisation des entreprises. Autrement dit, les structures n’auront plus à déclarer les fichiers mais deviendront en contrepartie responsables elles-mêmes du traitement conforme des données devant l’autorité de contrôle. Davantage de confiance donc, mais également beaucoup plus de responsabilité…
La conséquence directe est que les entreprises deviendront garantes du respect de la vie privée. Et par ricochet, les commissaires aux comptes seront eux-mêmes « garants de la maîtrise et du respect par l’entreprise de ces nouveaux enjeux économiques de protection des données personnelles ». Dans le cadre du contrôle de légalité, les auditeurs devraient jouer un rôle de premier plan pour la compliance notamment des PME faiblement sensibilisées sur ces questions.
Mais pour l’heure, comme l’a rappelé Yann Chaker, « 80 % des entreprises ont déclaré ne pas être en mesure d’être en conformité au 25 mai 2018 ». Le rôle du commissaire aux comptes se bornera donc en 2018 à une simple information à l’attention de ses clients, doublée d’une invitation à se mettre en conformité. A cette nuance près apportée par Christelle Fourquet que s’agissant des données sensibles, il conviendra sans doute d’aller un peu plus loin que la simple information, à apprécier à l’aune du jugement professionnel de chacun
Hugues Robert