Le commissaire aux comptes ne peut pas être désigné délégué à la protection des données

La CNCC considère que le Cac ne pourrait pas diffuser des informations confidentielles relatives à l’entité contrôlée car celles-ci sont couvertes par son obligation de secret professionnel. Elle relève également l’existence d’un conflit d’intérêts au niveau du traitement des données personnelles.

Le mandat de commissaire aux comptes (Cac) est incompatible avec les caractéristiques de la mission de délégué à la protection des données (DPD). Tel est l’avis de la commission d’éthique professionnelle de la Compagnie nationale des commissaires aux comptes (CNCC). Et ce, malgré ses “qualités professionnelles”, ses “connaissances juridiques” et son indépendance d’exercice.

En cause, la déontologie du Cac et plus particulièrement son secret professionnel absolu. Ce dernier ne peut être levé que par un texte législatif particulier applicable au Cac et dans le cadre de sa mission. Or, le DPD, s’il a bien lui aussi une obligation de secret professionnel, peut voir son secret levé vis-à-vis de l’autorité de contrôle (en France, la Cnil) et donc communiquer à celle-ci des informations relatives à l’entreprise. Des informations confidentielles qu’un Cac “ne pourrait pas diffuser”. “Le cumul des deux fonctions pourrait le conduire [le Cac] en tant que DPD à révéler des informations qui seraient couvertes par son obligation de secret professionnel en qualité de commissaire aux comptes”, souligne la commission d’éthique.

Traitement de données personnelles

Autre argument pour interdire le cumul Cac-DPD : l’existence d’un conflit d’intérêts entre ces deux fonctions. D’un côté, le commissaire aux comptes traite de données personnelles, dans le cadre de ses missions (certification des comptes et autres), en qualité de responsable de traitement, selon la CNCC. “Le commissaire aux comptes est responsable de traitement distinct de l’entité auditée pour les traitements qu’il met en oeuvre dans le cadre de sa mission, compte tenu de son obligation déontologique d’indépendance, de son degré d’expertise et d’autonomie élevé, du fait qu’il détermine les finalités et les moyens des traitements opérés en application de la législation et des normes professionnelles qui lui sont applicables”, est-il précisé.

De l’autre côté, le délégué à la protection des données ne peut exercer, au sein de l’entité l’ayant désigné, “une fonction qui l’amènerait à déterminer les finalités et les moyens d’un traitement de données personnelles”. Il paraît donc difficile d’être à la fois DPD d’une entité et de réaliser pour celle-ci des missions (en tant que Cac) le conduisant à traiter des données personnelles, en déduit la commission d’éthique professionnelle.

Ainsi, un commissaire aux comptes ne peut être nommé DPD de l’entité dont les comptes sont certifiés (qu’elle soit d’intérêt public - EIP - ou non), mais également des entités françaises et européennes la contrôlant, ou contrôlées par cette entité.

Diagnostic de conformité

En revanche, le Cac pourrait réaliser une mission de “diagnostic de conformité au RGPD [règlement européen de protection des données]”, ajoute la CNCC. Et ce, “avec émission de recommandations générales”. La commission pose la limite de la réalisation d’une consultation juridique.

A noter que la loi Pacte, publiée le 22 mai, a assoupli le cadre des services non audit (la position de la CNCC a été rendue dans le contexte d’avant la loi Pacte). Dans le nouveau système, la prestation de conseil en matière juridique n’est plus strictement interdite. Cependant, une question spécifique au Cac d’une EIP se pose, celle de l’articulation entre le règlement européen et le droit français. Le premier interdit au Cac d’une EIP les services juridiques ayant trait à la fourniture de conseils généraux (article 5 du règlement européen) tandis que le code de commerce a supprimé l’interdiction de fournir des conseils juridiques (nouvel article L. 822-11 du code de commerce). De plus, le Cac, d’une EIP ou d’une entité qui n’est pas d’intérêt public, doit analyser les risques encourus (risque d’auto-révision et de perte d’indépendance), et les éventuelles mesures de sauvegarde, et ne pas s’immiscer dans la gestion de l’entité contrôlée.

CNCC, CEP 2018-13, juill. 2019