Responsable de traitement des données personnelles des clients : un statut particulier pour le commissaire aux comptes

La qualification de responsable de traitement, au sens du RGPD, se justifie par l'indépendance du commissaire aux comptes dans l'exercice de sa mission. Ce statut implique une obligation d'information, cependant limitée par le secret professionnel.

Un responsable de traitement, et non pas un sous-traitant. Cette qualification du commissaire aux comptes revêt toute son importance dans le cadre du règlement européen général sur la protection des données (RGPD). Dans le cadre de ses missions, le commissaire aux comptes intervient bien en tant que "responsable de traitement" des données personnelles de ses clients, rappelle un récent guide de la Compagnie nationale des commissaires aux comptes (CNCC).

« Certains clients considèrent, à tort, leur commissaire aux comptes comme l’un de leurs "sous-traitants" (…) et lui demandent de signer un "contrat de sous-traitance" aux termes duquel le commissaire aux comptes doit s’engager à se conformer aux instructions de son client, ainsi qu’à un certain nombre d’obligations notamment en matière de sécurité, choix des fournis­seurs de technologies ou sous-traitants », relève la CNCC. « La signature de tels engagements n’est pas compatible avec l’indépendance, l’expertise et l’autonomie du commissaire aux comptes ».

Indépendance dans l’exercice dans ses missions...

En effet, le  sous-traitant n’a qu’un rôle d’exécutant, contrairement au responsable de traitement qui détermine quelles données personnelles sont traitées. Or, le Cac réalise une mission d’intérêt général – la certification des comptes annuels de l’entité contrôlée –, « ce qui justifie [qu’il] conserve la maîtrise des finalités et des moyens des traitements qu’il réalise, à savoir l’approche d’audit et les diligences qu’il détermine en fonction de sa stratégie d’audit qu’il mettra en oeuvre dans le cadre de cette mission », explique le guide.

Cette indépendance du commissaire aux comptes dans l’exercice de ses missions et dans l’établissement de ses rapports ou attestations (établis sous son propre nom et sa responsabilité) implique qu'il ne peut recevoir « aucune instruction » de l’entité contrôlée. Ainsi, il est "habilité à être destinataire de divers documents qui, intrinsèquement, sont susceptibles de comporter des données à caractère personnel, s’il le juge utile pour l’accomplissement de sa mission ».

C’est également le Cac seul qui décide de la durée de conservation des données pour les dossiers et documents qu’il établit dans l’exercice du contrôle légal, et qui détermine les moyens techniques et organisationnels à mettre en place lors des traitements effectués (choix des outils, procédures de sécurité interne, etc.)

... y compris dans le cadre de services non audit

Qu’en est-il pour les missions autres que la certification des comptes ? Le commissaire aux comptes demeure responsable des traitements qu’il opère, dans la mesure où, là encore, il détermine seul les finalités et les moyens de traitement.

Il en est de même dans le cadre des procédures dites convenues, indique la CNCC. Ces procédures spécifiques sont effectuées conformément aux dispositions applicables du code de commerce et du code de déontologie. « Par conséquent, l’ensemble des principes déontologiques qui régissent la profession, au rang desquels figure le principe d’indépendance, demeurent pleinement applicables ».

A noter également qu’il n’y a pas de responsabilité conjointe, au sens du RGPD, entre les co-commissaires aux comptes.

Obligation d’information de l'entité contrôlée, mais pas de toutes les personnes concernées

En tant que responsable de traitement, le Cac dispose donc d’une « autonomie certaine » dans les traitements qu’il réalise. Il est cependant soumis à certaines obligations dans le cadre du RGPD.

Le professionnel doit ainsi informer l’entité contrôlée de son statut de responsable de traitement. A formaliser dans la lettre de mission et les conditions générales d’intervention.

Que se passe-t-il lorsque les données collectées concernent d’autres personnes que l'entité contrôlée (par exemple, des salariés de l’entité ou des fournisseurs) ? Le commissaire aux comptes collecte alors les données utiles à sa mission par l’intermédiaire de l’entité contrôlée. Dans cette situation de collecte indirecte, le RGPD dispense le Cac de fournir les informations obligatoires aux personnes concernées car il est soumis au secret professionnel. 

« En conséquence, dans vos rapports contractuels avec les entités contrôlées vous devrez rappeler aux entités contrôlées qu’elles doivent informer les personnes concernées de ce que leurs données peuvent être transférées aux commissaires aux comptes, et que vous ne procéderez à aucune information additionnelle des personnes concernées confor­mément aux dispositions des articles 14 § 5 a) et d) du RGPD », précise la CNCC à l'attention des professionnels.

Transfert du statut

Le statut de responsable de traitement peut être transféré aux collaborateurs et experts externes qui assistent le Cac dans l’accomplissement de sa mission. Car ces personnes agissent en tant que responsables de traitement compte tenu de leur degré d’autonomie. Ainsi, "les transferts de données personnelles opérés entre le commissaire aux comptes et ces experts et collaborateurs externes seront des transferts de responsable du traitement à responsable du traitement », souligne le guide.

Dans cette situation, le commissaire aux comptes doit sécuriser les relations contractuelles avec ces prestataires. Et s'assurer :

  • « que l’expert/collaborateur externe adopte bien la qualification de responsable du traitement dans ses rapports contractuels avec le commissaire aux comptes ;
  • que chacun s’engage contractuellement à se conformer à ses obligations au regard de la Règlementation applicable, en particulier s’agissant de la sécurité des données qui lui sont confiées ;
  • d’encadrer contractuellement les transferts des données conformément à la Règlementation applicable, dès lors que l’expert/collaborateur externe est situé dans un pays tiers n’assurant pas un niveau de protection adéquat ».

 

Par Céline Chapuis

© Lefebvre Dalloz

✨ Résumer avec votre IA préférée

Obtenez un résumé personnalisé de cet article en un clic

Claude ChatGPT Gemini Copilot Mistral Perplexity

En bref

  • Génération du résumé...