@DPO_News @cyberisques Commissaires aux comptes, CRCC de Paris* RGPD et nouveaux métiers: "Nous pensons à la fonction de commissaire aux données et aux algorithmes"

Rencontre : @DPO_NEWS Serge Yablonsky et Frédéric Burband, Commissaires aux comptes, CRCC de Paris*

 

 

 

 

RGPD et nouveaux métiers: "Nous pensons à la fonction de commissaire aux données et aux algorithmes"

 

 

 

Cyberisques : Entrons tout de suite dans le vif du sujet :pourquoi les Commissaires aux comptes s’alignent sur la ligne de départ des futurs prestataires de services DPO externalisés ?

Serge Yablonsky et Frédéric Burband : Les commissaires aux comptes disposent d'une filiation directe avec les problématiques réglementaires et notamment le RGPD. Pourquoi ? Par culture nous certifions les comptes des entreprises de toutes tailles, ce qui suppose de connaître leur environnement réglementaire. Dans le cadre de notre mission nous devons signaler par obligation aux actionnaires notamment, les fraudes et manquements à toute sorte de « conformité ».

 

 

Mais la fonction de DPO suppose des connaissances transversales dans l'organisationnel, le juridique et les solutions techniques pour veiller auprès des responsables de traitement à la conformité RGPD. Ces connaissances multiples sont également celles propres des commissaires aux comptes ?

Pas toutes mais bon nombre d'entre nous intègrent les SI dans l'audit des comptes ce qui nous permet de vérifier la conformité réglementaire RGPD. Nous pouvons recruter les profils nécessaires. Surtout nous apportons notre neutralité et nos engagements en responsabilité civile et pénale. Si nous manquons d'indépendance nous risquons des sanctions.

 

 

Que répondez vous a vos détracteurs qui estiment qu'il est compliqué de rester indépendant lorsque votre « business » dépend des clients audités ? L'éternel problème juge et partie...

Précisément, nous nous devons à notre indépendance et c’est un avantage. Un cabinet de commissaires aux comptes qui manque a son indépendance est sanctionné. C’est aujourd’hui la profession la plus réglementée en matière d’indépendance. La durée irrévocable de 6 ans constitue un avantage en matière d’indépendance (pas de pression au renouvellement annuel). Par exemple, nous devons choisir entre réaliser chez un client une missions d'audit légal (commissariat aux comptes) ou une mission de conseil. Les deux sont impossibles pour un même cabinet.

 

 

Pensez vous recruter en interne au sein de vos cabinets les profils nécessaires aux compétences organisationnelles et techniques que demandent les services DPO externalisés ?

Oui pour Nous c'est indispensable bien que ces compétences s'avèrent difficiles a trouver. Il faut aussi préciser la nature du rôle des DPO. Ce qui suppose vraisemblablement de créer de nouveaux métiers autour de la data. Nous pensons à la fonction de commissaire aux données et aux algorithmes.

 

 

De quoi s'agit il au juste ? Un super DPO ?

Pas forcément. Mais d'ici la fin de l'année, en accord avec la CNIL, une annonce allant dans ce sens pourrait être faite, , , la CNCC Compagnie Nationale des Commissaires aux comptes

pourrait effectuer une annonce allant dans ce sens.

D'ici la fin de l'année çà correspond aussi au texte « d'adaptation » que le gouvernement doit publier pour préciser les modalités et les conséquences liées au RGPD...

Absolument. Vous savez qu'un règlement européen – et non une directive – s'applique tel quel dans tous les pays membres et « efface » les lois nationales. Que va t-il rester des lois Informatiques et Liberté par exemple mais aussi comment vont évoluer les réglementations propres aux données privées traitées par les algorithmes des IoT ?

Un dernier point qui touche à la mise en application de manière opérationnelle du RGPD : plus de 40% des données circulant au sein des organisations européennes sont considérées comme appartenant au « shadow IT » et échappent au contrôle des directions IT. Comment doit-on procéder pour faire appliquer le RGPD dans ces conditions ? Idem pour les données chiffrées ?

Nous n'avons pas encore de réponses précises mais c'est un des nombreux points qui restent sans réponses.

 

 

Propos recueillis par @jpbichard

@DPO_NEW @cyberisques

http://www.cyberisques.com/

 

 

BONUS :

 

POURQUOI UN GROUPE DE TRAVAIL SUR L’AUDIT INFORMATIQUE* ?

Notre objectif est d’expliquer, de sensibiliser et de convaincre nos confrères que l’utilisation d’outils de data mining (ou analyses de données) dans le cadre de leur mission est un gage d’excellence pour notre profession, de sécurisation de leur mission et une réponse efficace aux besoins des entreprises que nous accompagnons.
Par ailleurs, il est également nécessaire de les sensibiliser au fait que la digitalisation des processus de l’entreprise est source de risques de perte de continuité d’activité ou encore de perte d’intégrité des données si celles-ci ne sont pas suffisamment sécurisées : soit parce que les accès aux systèmes sont trop étendus, soit parce que les programmes informatiques peuvent être modifiés sans contrôle en amont. La transition numérique actuelle lancée par les pouvoirs publics (FEC, DSN, facture électronique, Chorus…) n’est donc pas un obstacle, mais bien l’opportunité pour les professionnels que nous sommes, de donner du poids à nos contrôles.

 

 

* http://www.crcc-paris.fr/sites/default/files/fichier/telechargement/guide_audit_def_11h46.pdf

 

http://www.actuel-expert-comptable.fr/content/le-cac-doit-se-reapproprier-levaluation-du-risque-informatique

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires