Le DPO, nouveau commissaire aux comptes de l’information ?

Le DPO (data protection officer) serait-il « le nouveau commissaire aux comptes de l’information » ? C’est en tout cas l’expression privilégiée par Christophe Binot, responsable de la gouvernance de l’information au sein du groupe Total, lors des premiers Afterworks de l’information organisés par Everteam, en juin 2018, à Paris.

Qu’est-ce qu’un commissaire aux comptes ?

Rappelons que le commissaire aux comptes est un acteur extérieur à l’entreprise dont le rôle est de contrôler la sincérité et la régularité des comptes annuels établis par une société ou une autre institution (une association, par exemple). Pour ce faire, il réalise un audit comptable et financier. Il s’agit d’une mission légale, qui peut toutefois être décidée par l’entreprise.

DPO et commissaire aux comptes doivent réaliser un audit pour agir

Pour le DPO, c’est un peu pareil. Il garantit que l’entreprise initie les bonnes pratiques pour respecter le RGPD (règlement général sur la protection des données), entré en vigueur le 25 mai 2018. « Il vient pour contrôler, auditer et mettre en place des bonnes pratiques, rédiger de la documentation autour de la protection des données personnelles », détaille Christophe Binot.

Il doit appliquer les six étapes définies par la Cnil pour vérifier que le RGPD soit bien respecté. Parmi celles-ci, la cartographie du traitement des données personnelles donnant lieu à un registre (ainsi que la gestion du suivi du traitement des demandes des ayant droit) pourrait s’apparenter à l’audit comptable et financier du commissaire aux comptes. Il s’agit d’une sorte d’état des lieux qui permet, ensuite, de mettre en place les actions nécessaires et prioritaires.

Le DPO et le commissaire ne doivent pas entrer en conflit d’intérêt

Le DPO s’apparente encore plus à un commissaire aux comptes lorsqu’il est externalisé. Rappelons que l’entreprise peut soit nommer un DPO au sein même de ses effectifs, soit faire appel à un DPO externe. Cette deuxième solution permet d’éviter tout risque de conflit d’intérêt. En effet, le DPO ne doit pas être juge et partie… tout comme le commissaire aux comptes. Il ne peut pas, ainsi, occuper des fonctions telles que directeur général des services, responsable des ressources informatiques ou encore directeur financier. En revanche, il doit pouvoir communiquer avec ces différents interlocuteurs, les faire travailler entre eux, pour arriver à déployer les politiques de conformité de l’information.

DPO et commissaire aux comptes : obligatoire ou recommandé ?

Autre point commun entre le DPO et le commissaire aux comptes, le fait qu’il peut être obligatoire ou émaner d’une volonté de l’entreprise. En effet, le RGPD notifie que le DPO est obligatoire pour :

  • Les autorités ou organismes publics (ministères, administrations, etc.)
  • Les organismes dont les activités imposent de réaliser un suivi « régulier et systématique », à grande échelle, des personnes (entreprises).
  • Les organismes dont les activités de base les amènent à traiter à grande échelle des données sensibles, comme l’ethnie ou la religion.

Cependant, la nomination d’un DPO est fortement conseillée dans d’autres cas. Cela permet, d’abord, d’être en conformité avec le RGPD et d’éviter de lourdes sanctions.

Commissaire aux comptes et DPO : des outils pour mieux contrôler

Le DPO et le commissaire aux comptes doivent tout les deux analyser un volume gigantesque de données et majoritairement sous forme numérique pour mieux effectuer leurs missions de contrôle. Ils doivent donc travailler avec des outils de plus en plus performants, utilisant l’intelligence artificielle.

Ainsi, alors que le commissaire aux comptes pourra, par exemple, repérer rapidement un contrat client et le bon de livraison associé, le DPO, quant à lui, saura rapidement extraire des documents contenant des données personnelles et restituer ceux-ci aux ayant droits.

Faire appel à un commissaire aux comptes ou un DPO permet à l’entreprise de bénéficier d’une image transparente et, aux clients et prospects, d’avoir une confiance inédite en elle.

Ne manquez pas les prochains articles du blog d’Everteam dans lesquels nous reviendrons en détail sur les sujets traités lors de ce premier afterwork de la gouvernance de l’information…