L’impact du RGPD sur les travaux du commissaire aux comptes et la transmission des documents

Contrôles de substance et contrôle interne sous contrainte de données personnelles

Depuis l’entrée en application du RGPD, la question de la protection des données personnelles s’est invitée dans de nombreux domaines de l’entreprise, y compris là où on ne l’attendait pas nécessairement. Les travaux du commissaire aux comptes (CAC) n’y échappent pas.
De nombreux dirigeants et responsables financiers s’interrogent aujourd’hui : peut-on encore transmettre librement des documents au CAC lorsqu’ils contiennent des données personnelles ? Le RGPD limite-t-il les contrôles de substance ? Jusqu’où va le droit d’accès du commissaire aux comptes ?

En pratique, le RGPD n’empêche pas les travaux du CAC, mais il en modifie les conditions, les méthodes et les exigences de formalisation.

RGPD et audit légal : deux logiques qui se croisent

Le RGPD poursuit un objectif clair : protéger les personnes physiques contre l’utilisation abusive de leurs données personnelles.
L’audit légal poursuit un autre objectif, tout aussi fondamental : garantir la fiabilité de l’information financière et la protection des tiers.

Contrairement à une idée répandue, ces deux logiques ne sont pas antagonistes. Le RGPD n’a jamais eu pour vocation de faire obstacle :

• aux obligations légales,

• aux missions d’intérêt général,

• ni aux contrôles exercés par des professionnels réglementés.

Le commissaire aux comptes entre pleinement dans cette catégorie.

Le fondement juridique des traitements réalisés par le CAC

Premier point essentiel : les traitements de données personnelles effectués par le commissaire aux comptes dans le cadre de sa mission reposent sur un fondement juridique solide.

En matière de RGPD, le CAC n’agit pas sur la base du consentement, mais principalement sur :

• le respect d’une obligation légale,

• et l’exécution d’une mission d’intérêt public.

Autrement dit, lorsque le CAC demande des documents contenant des données personnelles (paie, contrats, fichiers clients, litiges, etc.), il ne s’agit pas d’un traitement « facultatif » mais d’un traitement nécessaire à l’exercice d’une mission légale.

C’est un point clé : le RGPD ne peut pas être invoqué pour faire échec à une obligation légale de transmission.

Données personnelles et contrôles de substance

Les contrôles de substance réalisés par le commissaire aux comptes impliquent fréquemment l’accès à des documents contenant des données personnelles, par exemple :

• bulletins de paie,

• contrats de travail,

• fichiers clients ou fournisseurs,

• notes de frais nominatives,

• dossiers de litiges,

• données bancaires individuelles.

Ces contrôles sont indispensables pour vérifier :

• l’existence des opérations,

• leur réalité économique,

• leur correcte comptabilisation,

• et l’absence d’anomalies significatives.

Le principe de proportionnalité renforcé

Le RGPD a toutefois renforcé un principe déjà connu des auditeurs : la proportionnalité.

Concrètement, le CAC doit :

• limiter l’accès aux seules données strictement nécessaires,

• éviter toute collecte excessive,

• et adapter l’étendue de ses contrôles aux risques identifiés.

Cela se traduit par des pratiques plus ciblées :

• échantillonnages mieux justifiés,

• anonymisation partielle lorsque c’est possible,

• consultation sur place plutôt que transmission massive,

• limitation des copies inutiles.

Le RGPD n’interdit pas le contrôle ; il l’encadre méthodologiquement.

Transmission des documents : peut-on refuser au nom du RGPD ?

C’est l’un des points de tension les plus fréquents. Certains dirigeants ou responsables RH estiment que le RGPD leur interdit de transmettre certains documents au commissaire aux comptes.

Juridiquement, cette position est erronée.

Le droit d’accès du CAC aux documents nécessaires à sa mission prime sur les réticences liées au RGPD, dès lors que :

• la demande est justifiée par les travaux d’audit,

• elle est proportionnée,

• et qu’elle s’inscrit dans le cadre légal de la mission.

Refuser une transmission au motif du RGPD peut constituer une entrave à la mission du commissaire aux comptes, avec les conséquences juridiques que cela implique.

Le rôle central du secret professionnel

Un élément souvent sous-estimé dans le débat RGPD / audit est le secret professionnel du commissaire aux comptes.

Le CAC est soumis à une obligation de confidentialité particulièrement stricte :

• les données consultées ne peuvent être utilisées que pour la mission,

• elles ne peuvent être transmises à des tiers,

• et leur conservation est encadrée par des règles professionnelles.

D’un point de vue RGPD, cela constitue une garantie majeure pour l’entreprise et pour les personnes concernées. Le CAC n’est ni un diffuseur de données, ni un utilisateur secondaire des informations collectées.

RGPD et contrôle interne : un nouveau champ de vigilance

Le RGPD a également un impact indirect sur les travaux du CAC en matière de contrôle interne.

Désormais, dans de nombreuses entreprises, la gestion des données personnelles fait partie intégrante des processus internes :

• accès aux systèmes d’information,

• habilitations,

• traçabilité des modifications,

• sécurisation des données sensibles,

• procédures de conservation et de suppression.

Lorsqu’un défaut de contrôle interne lié aux données personnelles peut avoir un impact financier significatif (amendes potentielles, provisions pour risques, atteinte à la continuité d’exploitation), le CAC ne peut pas l’ignorer.

Le RGPD devient alors :

• un facteur de risque à intégrer dans l’analyse d’audit,

• un élément de compréhension des processus,

• voire un point d’attention à mentionner si les conséquences financières sont mal maîtrisées.

Minimisation des données et pratiques d’audit

Le principe de minimisation des données imposé par le RGPD influence concrètement les modalités de transmission :

• transmission d’extraits plutôt que de bases complètes,

• masquage partiel de certaines informations non utiles,

• accès sécurisé aux plateformes documentaires,

• limitation des impressions papier,

• contrôle accru des droits d’accès.

Ces pratiques sont aujourd’hui largement intégrées par les cabinets d’audit et participent à une professionnalisation accrue des échanges entre l’entreprise et le CAC.

Responsabilités respectives : entreprise vs commissaire aux comptes

Un point important concerne la répartition des responsabilités RGPD.

• L’entreprise reste responsable de traitement pour les données qu’elle produit et conserve.

• Le commissaire aux comptes agit le plus souvent comme responsable de traitement distinct, dans le cadre de sa mission légale.

Cela signifie que :

• chacun a ses propres obligations RGPD,

• chacun doit sécuriser ses systèmes,

• et chacun peut voir sa responsabilité engagée en cas de manquement.

Le RGPD n’est donc pas « transféré » au CAC, mais partagé dans un cadre clairement défini.

Quand le RGPD devient un faux prétexte

Dans la pratique, le RGPD est parfois invoqué pour masquer :

• un manque de préparation,

• une documentation insuffisante,

• des processus internes défaillants,

• ou une réticence à un regard externe.

Cette instrumentalisation du RGPD est dangereuse. Elle conduit souvent à :

• un durcissement de la posture d’audit,

• une augmentation des diligences,

• des réserves pour limitation de travaux,

• voire des signalements plus formels.

Le RGPD n’est pas un bouclier contre l’audit. Mal utilisé, il devient un facteur de risque supplémentaire.

Bonnes pratiques pour concilier RGPD et audit

Les entreprises qui gèrent le mieux cette articulation adoptent généralement quelques principes simples :

• anticiper les demandes du CAC,

• identifier en amont les documents sensibles,

• définir des modalités de transmission sécurisées,

• documenter les processus,

• et instaurer un dialogue transparent avec l’auditeur.

Cette approche permet de respecter à la fois :

• les exigences du RGPD,

• et les obligations liées à l’audit légal.