Nous allons traiter ici des obligations qu’a un Commissaire Aux Comptes vis à vis de ses client en tant que sous-traitant RGPD. Un Commissaire aux Comptes conforme au RGPD c’est le maintien pour vous de votre conformité.
Le RGPD (Règlement Général sur la Protection des Données) est un règlement de l’Union européenne qui entre en vigueur le 25 mai 2018 et qui renforce la protection des données personnelles des citoyens européens. Ce règlement concerne toute donnée permettant d’identifier directement ou indirectement une personne, quel que soit le format (texte, image, vidéo, etc.), et apporte des garanties renforcées en matière de consentement, d’accessibilité, de droit à l’oubli et de portabilité des données.
Les Cabinets de commissaires aux comptes sont également concernés par le RGPD en tant qu’entreprises qui traitent des données personnelles de leurs collaborateurs et de leurs clients.
En tant que sous-traitants, il est donc important pour les commissaires aux comptes de mettre en place de nouveaux réflexes organisationnels et opérationnels pour se conformer au RGPD et assurer la protection des données personnelles de leurs collaborateurs et de leurs clients.
Pour un commissaire aux comptes, cela peut consister à mettre en place des procédures de gestion des données personnelles, à former son personnel aux exigences du RGPD, à établir des politiques de sécurité des données, à mettre en place des contrôles internes pour vérifier la conformité au RGPD, etc.
Le commissaire aux comptes peut également décider de faire auditer ses systèmes et procédures par un tiers indépendant pour attester de sa conformité au RGPD. Enfin, il peut également s’engager dans des programmes de certification ou de labelisation qui attestent de son niveau de conformité au RGPD.
Comment votre commissaire aux comptes doit-il vous prouver sa conformité ?
Vous pouvez demander à votre commissaire aux comptes de vous montrer les procédures et les mesures qu’il a mises en place pour se conformer au RGPD. Cela peut inclure des documents tels que les politiques de gestion des données personnelles, les procédures de formation du personnel, les procédures de contrôle interne, les protocoles de sécurité des données, etc.
Vous pouvez également demander à votre commissaire aux comptes s’il a fait auditer ses systèmes et procédures par un tiers indépendant pour attester de sa conformité au RGPD, ou s’il a obtenu une certification ou un label en matière de protection des données personnelles.
Ces documents et informations vous permettront de vous assurer que votre commissaire aux comptes prend les mesures nécessaires pour se conformer au RGPD.
Un CAC est considéré comme un sous-traitant vis à vis du RGPD
Un commissaire aux comptes peut être considéré comme un sous-traitant au regard du RGPD. Le RGPD définit le sous-traitant comme une personne physique ou morale qui traite des données personnelles pour le compte du responsable du traitement.
Dans le cas d’un commissaire aux comptes, ce dernier peut être considéré comme un sous-traitant lorsqu’il traite des données personnelles pour le compte de ses clients, par exemple dans le cadre de la certification des comptes ou de missions de conseil en matière de gestion des risques.
Le RGPD prévoit des obligations spécifiques pour les sous-traitants, notamment en matière de contrat avec le responsable du traitement et de sécurité des données.
Un cabinet de Commissariat aux comptes doit-il avoir un DPO ?
La désignation d’un Délégué à la Protection des Données (DPO) est obligatoire dans certains cas prévus par le RGPD (Règlement Général sur la Protection des Données). Le DPO est une personne chargée de veiller à la mise en œuvre des dispositions du RGPD au sein de l’entreprise et de veiller au respect des droits des personnes concernées par le traitement des données personnelles.
Selon le RGPD, la désignation d’un DPO est obligatoire pour les entreprises publiques, les entreprises dont l’activité principale consiste à traiter des données à caractère personnel à grande échelle, et les entreprises qui traitent des données sensibles ou qui sont soumises à des obligations particulières en matière de protection des données personnelles.
Pour un commissaire aux comptes, la désignation d’un DPO n’est pas obligatoire en tant que tel, sauf si l’entreprise exerce une activité principale de traitement de données à grande échelle ou si elle est soumise à des obligations particulières en matière de protection des données personnelles.
Toutefois, le commissaire aux comptes peut choisir de désigner un DPO pour veiller à la mise en œuvre des dispositions du RGPD au sein de son entreprise et pour gérer les demandes des personnes concernées par le traitement des données personnelles.
Contacter DPO PARTAGE au 01 83 64 42 98 pour toutes vos questions ou le Formulaire de contact
Mon CAC n’est pas conforme au RGPD
Si votre sous-traitant n’est pas conforme aux règles de protection des données personnelles établies par le Règlement général sur la protection des données (RGPD), vous pourriez être tenu responsable de toute violation de ces règles.
Cela pourrait entraîner des amendes importantes et d’autres sanctions disciplinaires pour votre entreprise. Il est donc important de vous assurer que tous les sous-traitants que vous utilisez sont conformes au RGPD et respectent les normes de protection des données.
