• Print
  • Decrease text size
  • Reset text size
  • Larger text size
03/06/2019

RGPD : la Direction Financière en première ligne de défense

Dans le contexte du premier anniversaire du Règlement Européen pour la Protection des Données (RGPD) et d’une stratégie de renforcement des contrôles par la Commission Nationale de l'Informatique et des Libertés (CNIL), la maîtrise des données personnelles doit devenir une réalité afin de prémunir l’Entreprise des risques de non-conformité, de perte financière, de réputation et de fraude. L’amende record de 50 millions d’euros infligée à Google par la CNIL en janvier 2019 illustre concrètement cet état de fait. Acteurs majeurs de la performance financière de l’Entreprise et de sa conformité, la Direction Financière et l’ensemble des parties prenantes de son écosystème (fournisseurs, experts-comptables, commissaires aux comptes…) sont en première ligne.

 (1) Les principaux impacts pour la Direction Financière

A première vue, les directions financières ont généralement des données sous contrôles, des traitements qui nécessitent peu de données sensibles, et qui reposent sur des obligations légales.

En effet la tenue de la comptabilité et l’établissement des comptes impliquent des traitements a minima par exemple :

  • La tenue de la comptabilité et l’établissement des comptes avec des données personnelles sur les mandataires sociaux et associés cités ainsi que sur la rémunération des personnes physiques
  • La facturation qui comprend généralement les données personnelles d’un fournisseur ou client (notamment entreprise unipersonnelle)
  • Les Imprimé Fiscale Unique comprenant comme données personnelles les noms, prénoms, adresse et numéro sécu, dividendes et intérêts versés
  • Potentiellement le budget avec masse salariale et frais hors masse salariale si les employées sont identifiables
  • Les provisions pour risque (contentieux sociaux ou commerciaux) qui comportent des données sensibles si relatives à des condamnations éventuelles

Cependant, la Direction Financière est bien impliquée, directement ou indirectement, à plusieurs titres, par le traitement et le contrôle des données personnelles sensibles :

  • L’utilisation de données personnelles sensibles dont d’autres directions partenaires sont responsables : la direction commerciale responsable des données clients, la direction des ressources humaines responsable des données de paie, le stockage du numéro de sécurité sociale souvent porté par la DSI via la création d’un identifiant unique géré au sein d’un référentiel de personne physique
  • La responsabilité des activités d’audit et de contrôle interne dont un des objectifs est d’assurer la conformité au RGPD ou a minimum la contribution à ces dernières
  • Les projets de transformation (digitalisation, robotisation, cloud…) qu’elle mène pour son compte ou supervise et qui impliquent de concevoir la conformité « by design »
  • La remise de données sensibles à des tiers externes dans le cadre de la certification des comptes

(2) Les professionnels du chiffe sont également concernés

Le RGPD concerne également toutes les parties prenantes de la chaîne de valeur de la Direction Financière comme les experts comptables ou les commissaires aux comptes.

Ceux-ci sont concernés par le RGPD à deux titres :

  • En tant qu’entreprise au travers des données de leurs salariés et des fichiers clients / CRM
  • Dans l’exercice de leur fonction : le RGPD est présent dans le cadre de toutes les lettres de mission avec le client (base légale du traitement)

Les experts comptables, par exemple, pourront se poser trois questions afin de déterminer leur statut dans le traitement des données des clients : qui détermine la finalité du traitement ? Qui a le degré de contrôle le plus fort ? Qui détermine les moyens essentiels du traitement ?

Sur la base de cette analyse les cabinets seront en mesure d’établir la lettre de mission que leur confie leur client en conformité avec le RGPD. Le cabinet devra également veiller à formaliser la sous-traitance du traitement des données à des tiers comme pour l’externalisation de la saisie. Dans ce cas, le tiers est au moins soumis aux mêmes obligations que le cabinet.

(3) Les risques et opportunités pour la Direction Financière

Générateur de risques financiers, via les amendes potentielles (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires), et de mauvaise réputation, par le retentissement médiatique des sanctions infligées et des investigations menées par la CNIL, la non-conformité au RGPD est à intégrer à la cartographie des risques et au dispositif d’audit et de contrôle interne. Impliqué dans la gestion des impacts du risque financier associé à une non-conformité RGPD, le Directeur Financier devra également être proactif dans sa sécurisation notamment en tant que gardien de la performance financière.

En outre, le positionnement de « Business Partner » de la Direction Financière implique de contribuer activement à la valorisation des actifs de l’Entreprise dont la donnée fait aujourd’hui partie.
Comme nous l’écrivions précédemment, la digitalisation de l’Entreprise et de son éco-système présente de plus en plus d’opportunités de valorisation des données. Une non-conformité au RGPD apparaît ainsi comme un potentiel manque à gagner. En effet, il apparait plus difficile de valoriser ses données à leur juste valeur après une sanction de la CNIL ou si l’application du RGPD au sein de l’Entreprise n’est pas effective. A l’inverse une conformité avérée pourra être perçue comme un gage de qualité.

(4) La mise en conformité : par où commencer ?

L’initialisation de la démarche de mise en conformité s’articule en trois axes :

  • La création du registre de traitement des données personnelles
  • La réalisation d'un diagnostic de conformité
  • L'élaboration d'un plan d'action de mise en conformité avec le détail des actions à mener

Pour commencer, il convient de recenser les traitements de données personnelles, dont la définition est fournie par la CNIL,  existant au sein de l’entreprise. Ces traitements seront consignés au sein du registre des traitements qui doit contenir les informations suivantes pour chacun d’entre eux :

  • Les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données
  • Les catégories de données traitées
  • La finalité de l’utilisation des données, qui accède aux données et à qui elles sont communiquées
  • La durée de conservation
  • Les modalités de sécurisation des données

La seconde étape est d’évaluer les mesures à prendre pour rendre les traitements conformes vis-à-vis du RGPD. Il convient de vérifier notamment la pertinence des traitements, l’utilisation des données, l’existence des dispositions contractuelles requises, les modalités de sécurisation. Enfin, cette analyse constituera une base solide à la définition d’un plan d’action de mise en conformité intégrant l’ensemble des traitements de l’entreprise impactés.

Indépendamment de l’état d’avancement de la démarche de mise en conformité, quelques bonnes pratiques sont à garder à l’esprit au quotidien comme l’anonymisation des données personnelles ou le principe de minimisation (les données traitées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées).

Pour conclure

Depuis l’émission jusqu’à la certification des données, des pièces comptables et des états financiers, la Direction Financière est un maillon essentiel dans la maîtrise des risques de non-conformité au RGPD. Le directeur financier contribue à la maîtrise de la donnée sur l’ensemble de la chaîne de valeur de la direction Financière ainsi qu’à sa qualité dans l'optique de sa valorisation. Dans cette perspective, la logique doit s’inverser et les dépenses liées à la mise en conformité RGPD sont à percevoir comme des investissements permettant de sécuriser le business (risque de réputation), de le développer (valorisation des données) tout en évitant des coûts (sanctions de la CNIL).

 
 

Copyright © 2019 Sia Partners. Any use of this material without specific permission of Sia Partners is strictly prohibited.

0 commentaire
Poster un commentaire

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
Image CAPTCHA
Saisissez les caractères affichés dans l'image.
Back to Top