Ce que vous apprendrez

> - Comment classifier vos activités d'audit selon les rôles RGPD (responsable, sous-traitant, destinataire) > - Quelles bases légales protègent le traitement des données pendant l'audit statutaire et contractuel > - Comment adapter vos procédures ISA 230 de documentation pour respecter les exigences RGPD > - Quand et comment signaler les violations découvertes sans compromettre le secret professionnel

Cadre juridique du RGPD pour l'audit

Rôles et responsabilités sous le RGPD

Ce qu'on voit en vrai : un associé signe un courrier de mission en janvier sans jamais se demander si le cabinet agit comme destinataire, sous-traitant ou responsable. Le tableau de bord RGPD, s'il existe, range toutes les missions dans la même case. Six mois plus tard, quand la direction du client demande à qui appartient juridiquement la base extraite, personne dans l'équipe ne sait répondre. Le dossier est trop léger.

Sur le papier, l'article 4(9) du RGPD définit le destinataire comme la personne à qui les données sont communiquées. Pour l'audit statutaire, le CAC est généralement destinataire. L'entité transmet les données dans le cadre de son obligation légale de se soumettre à l'audit. Le cabinet traite ces données pour sa propre finalité (exprimer une opinion), pas pour le compte de l'entité.

Ce qui se passe réellement sur nos dossiers est plus flou. La qualification n'est presque jamais documentée dans le dossier permanent. Elle apparaît pour la première fois quand la CNIL ou la Haute Autorité de l'audit (H2A, ex-H3C) pose la question, et à ce moment-là le cabinet rédige une note justificative a posteriori. Un contrôle qualité sérieux n'est pas dupe.

Le RGPD ne rend pas le CAC automatiquement sous-traitant du client. Il impose de qualifier la mission avant de traiter la première donnée. Pour les missions contractuelles (due diligence, audit de conformité, procédures convenues), vous pouvez basculer en sous-traitant selon l'article 28 quand vous traitez les données pour le compte du client selon ses instructions. La distinction change tout : obligations de documentation, droits d'accès, responsabilité en cas de violation, devoir de notification.

Deux confrères chevronnés du même cabinet peuvent raisonnablement diverger ici. L'associé A considère que le CAC reste destinataire sous 6(1)(c) dès qu'une obligation légale cadre la mission, parce que la finalité "opinion d'audit" reste celle du professionnel réglementé même sur des travaux connexes. L'associé B soutient que la due diligence pré-acquisition, même menée par le CAC, relève de 6(1)(b) et place le cabinet en sous-traitant au sens de l'article 28, parce que la finalité est définie par le donneur d'ordre et pas par la mission légale. Les deux positions sont défendables. Le choix se joue au cas par cas sur la nature du donneur d'ordre et sur la finalité réelle du traitement, et il faut l'acter par écrit avant la première extraction.

Bases légales applicables à l'audit

L'article 6(1) du RGPD liste six bases légales. Trois reviennent sur nos mandats.

L'article 6(1)(c) couvre l'obligation légale. Pour l'audit statutaire, la directive européenne 2006/43/CE impose aux sociétés répondant à certains critères de faire auditer leurs comptes. Cette obligation crée la base.

L'article 6(1)(b) couvre l'exécution contractuelle. Pour les missions non-statutaires, le contrat de mission définit la finalité et l'étendue du traitement. L'article 28(3) exige que ce contrat spécifie la nature des données, les catégories de personnes concernées, et la durée de conservation.

L'article 6(1)(f) couvre l'intérêt légitime. Il s'applique dans les cas où ni l'obligation légale ni le contrat ne couvrent entièrement le traitement. Cette base nécessite un test d'équilibre documenté selon les lignes directrices EDPB.

Dans les dossiers que nous voyons, la base légale est cochée à l'ouverture, jamais revisitée. Quand la mission s'étend (un nouveau cycle, une procédure complémentaire demandée par la direction), personne ne vérifie si la base initiale couvre encore le traitement réel. La CNIL débusque ce type de dérive en quinze minutes de contrôle.

Adaptation des procédures d'audit aux exigences RGPD

Documentation et conservation selon ISA 230

Ce qu'on observe d'abord : la conservation indifférenciée. Le cabinet applique la règle ISA 230 des cinq ans à toutes les données du dossier, base collaborateurs complète incluse, listes de bénéficiaires effectifs, notes de frais avec détails familiaux. C'est plus simple pour le responsable qualité. Ce n'est pas conforme.

En théorie, ISA 230.A21 exige de conserver les dossiers d'audit pendant au moins cinq ans à compter de la date du rapport. L'article 5(1)(e) du RGPD impose une limite différente : les données ne peuvent être conservées que le temps nécessaire aux finalités du traitement. La tension se résout par la proportionnalité. Les données probantes strictement nécessaires à justifier l'opinion peuvent être conservées cinq ans. Les données accessoires doivent disparaître dès que leur utilité audit s'éteint.

Ce qui se passe réellement sur un dossier bien tenu : il raconte une histoire lisible. Voici la donnée. Voici pourquoi on l'a gardée. Voici jusqu'à quand. Nous distinguons trois catégories :

- Données probantes centrales (échantillons de transactions, confirmations signées, représentations écrites) : conservation complète cinq ans - Données contextuelles (organigrammes, listes de contacts, procédures internes) : conservation un an post-rapport - Données sensibles accessoires (données de santé, opinions politiques, informations syndicales) : destruction dans les 90 jours suivant la finalisation des procédures concernées

Je l'avoue. Sur la destruction post-mission des sauvegardes chiffrées hors du dossier principal, notre pratique n'a été réellement alignée qu'après 2021. Nos archives techniques survivaient bien au-delà de leur utilité audit. Les collaborateurs n'avaient pas de procédure claire, et personne ne leur a demandé. La remise à niveau n'a pas été indolore.

Transferts de données et chiffrement

Ce qui casse en premier : les transferts non sécurisés. Le cabinet utilise un outil cloud dont les serveurs sont hébergés aux États-Unis, active la synchronisation automatique, et découvre la question des transferts internationaux uniquement quand un stagiaire pose la question. Schrems II ne figure nulle part dans le dossier permanent.

Selon la norme, l'article 44 du RGPD réglemente les transferts vers des pays tiers. Chaque transfert de données d'audit nécessite une protection adéquate. Les mécanismes incluent les décisions d'adéquation (Royaume-Uni, Suisse, pays sous EU-US Data Privacy Framework), les clauses contractuelles types (CCT) et les règles d'entreprise contraignantes (BCR). Schrems II exige une évaluation au cas par cas de la protection effective dans le pays de destination.

Sur nos missions, la documentation du transfert tient rarement sur plus de deux lignes. Elle devrait tenir sur deux pages : pays de destination, mécanisme de protection retenu, évaluation des risques effectuée, mesures supplémentaires. Cette documentation s'intègre à l'évaluation des contrôles généraux informatiques selon ISA 315.A76.

Le deuxième effet de Schrems II est rarement formulé. La documentation d'une évaluation de transfert n'est pas un livrable ponctuel. Elle est vivante sur toute la durée de conservation ISA 230. Si les garanties du pays tiers se dégradent en année trois ou quatre, votre dossier archivé devient rétroactivement non conforme, et vous portez encore les données. La charge documentaire augmente avec le temps, pas l'inverse.

Nous sommes outrés par la pression structurelle qui alimente tout cela, et il faut la nommer. Le pricing des missions de due diligence ne finance pas la négociation sérieuse du contrat 28(3). Les honoraires couvrent l'équipe terrain, la revue, le livrable. Ils ne couvrent pas trois semaines d'aller-retour juridique pour aligner la réalité du traitement sur le contrat signé. Résultat : les cabinets utilisent des modèles types qui ne correspondent pas au traitement réel, les directions juridiques des clients ferment les yeux, la CNIL le sait, personne ne paye pour corriger. Cette usine à gaz contractuelle tient debout parce que l'arbitrage économique n'a jamais été fait.

Exemple pratique : Audit de Dubois Logistique S.A.S.

Contexte : Dubois Logistique S.A.S., transporteur basé à Lyon, 250 collaborateurs, 45 M EUR de chiffre d'affaires. Audit statutaire pour l'exercice clos le 31 décembre 2023. Le système de paie contient des données de santé (arrêts maladie), bancaires (virements salaires) et des évaluations de performance.

Étape 1 : Classification des rôles RGPD Documentation : "Audit statutaire. Article 4(9) RGPD : destinataire. Base légale : Article 6(1)(c), obligation légale directive 2006/43/CE."

Étape 2 : Cartographie des données personnelles traitées Données d'identité (noms, adresses), financières (salaires, primes), de santé (congés maladie), évaluation (entretiens annuels). Volume estimé : 250 dossiers collaborateurs, 15 000 transactions de paie. Documentation : "Annexe RGPD. Inventaire des catégories de données traitées, finalités audit, durée de conservation par catégorie."

Étape 3 : Procédures d'échantillonnage conformes RGPD Échantillonnage ISA 530 limité aux données strictement nécessaires. Test de 25 dossiers collaborateurs, focus sur les éléments financiers. Exclusion des données de santé sauf si directement liées à une provision comptabilisée. Documentation : "Justification de l'échantillon au regard du principe de minimisation Art. 5(1)(c) RGPD."

Étape 4 : Mesures de sécurité techniques Chiffrement AES-256 des fichiers extraits, accès restreint par mots de passe, suppression sécurisée après 18 mois (au-delà de l'utilité audit mais dans la limite ISA 230). Documentation : "Mesures techniques Art. 32 RGPD. Chiffrement, contrôles d'accès, procédure de destruction."

Étape 5 : La complication Nous découvrons un accès non autorisé au serveur de paie en août 2023. 180 dossiers collaborateurs potentiellement consultés. L'incident n'a pas été déclaré à la CNIL dans les 72h. La direction demande à l'équipe de ne pas mentionner l'événement dans le rapport au motif qu'il relève du "domaine RGPD, pas du domaine comptable".

Pour moi un cataclysme, et pas l'incident lui-même. La demande d'enterrement. Un incident de sécurité arrive, on s'en remet, on provisionne ; une tentative de couverture par la direction touche à l'intégrité de la mission et à l'indépendance du CAC. Nous sommes tenus par le secret professionnel sur ce que nous avons vu chez le client, mais nous portons un devoir d'alerte sur ce qui affecte les états financiers (provision pour amende potentielle à 4 % du CA) et sur la probité des dirigeants pertinente pour ISA 240 et pour la continuité d'exploitation. L'indépendance ne permet pas de négocier le contenu du rapport contre du silence. Nous documentons l'échange par écrit, nous maintenons la provision dans les comptes, nous informons le comité d'audit. Le rapport final mentionne l'incident au titre de la provision. Le mandat n'a pas été reconduit l'année suivante, et c'est ainsi.

Conclusion : Le dossier respecte les exigences RGPD et satisfait ISA 230. La violation découverte fait l'objet de procédures d'audit spécifiques sans compromettre notre propre conformité, ni le secret pro.

Liste de contrôle pratique RGPD-audit

1. Classifier votre rôle RGPD avant la planification. Destinataire (audit statutaire), sous-traitant (missions contractuelles), ou responsable (audit interne). Documenter la base légale applicable selon l'article 6(1).

2. Cartographier les données personnelles traitées. Identifier les catégories, les volumes, les finalités audit spécifiques. Appliquer le principe de minimisation dès l'échantillonnage ISA 530.

3. Adapter vos procédures de conservation ISA 230. Distinguer données probantes centrales (5 ans) et données accessoires (destruction anticipée). Prévoir la destruction sécurisée des supports numériques et papier.

4. Sécuriser les transferts de données. Identifier les flux vers des pays tiers. Vérifier les mécanismes de protection (décisions d'adéquation, CCT, BCR). Documenter l'évaluation des risques et prévoir sa mise à jour pendant la durée de conservation.

5. Préparer la gestion des violations découvertes. Distinguer votre obligation de signalement RGPD de votre devoir d'audit. Préserver le secret professionnel tout en remplissant le devoir d'alerte.

6. Former les collaborateurs aux procédures RGPD. Sensibiliser aux principes de minimisation, sécurisation et destruction. Intégrer les contrôles RGPD dans les programmes d'audit standard pour ISA 315 et ISA 330.

Erreurs courantes observées

- Collecte excessive de données. Récupération automatique de bases complètes (tous les collaborateurs, tous les clients) sans justification audit spécifique. Le RGPD ne permet que le traitement des données nécessaires aux fins d'audit.

- Conservation indifférenciée. Application uniforme de la règle ISA 230 (5 ans) à toutes les données personnelles, données accessoires comprises. Le RGPD impose une approche graduée selon l'utilité.

- Transferts non sécurisés. Utilisation d'outils cloud ou de réseaux internationaux sans vérification des mécanismes de protection. Point critique depuis Schrems II pour les transferts vers les États-Unis.

Contenu associé

Matérialité et seuils de signification - Comment évaluer l'impact financier des amendes RGPD potentielles sur votre seuil de signification et les ajustements nécessaires en cours d'audit.

Évaluation des contrôles généraux informatiques - L'évaluation RGPD s'intègre dans votre revue des contrôles IT selon ISA 315, en particulier pour les contrôles d'accès et de sécurisation des données.

Documentation des procédures d'audit - Modèles de papiers de travail adaptés aux exigences de documentation RGPD, avec registres de traitement et évaluations d'impact.

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.