RGPD : Guide de traitement des données d'audit pour

Comment classifier vos activités d'audit selon les rôles RGPD (responsable, sous-traitant, destinataire) Quelles bases légales protègent le traitement des données pendant l'audit statutaire et contractuel Comment adapter vos procédures ISA 230 de documentation pour respecter les exigences RGPD Quand et comment signaler les violations découvertes

Ce que vous apprendrez

Comment classifier vos activités d'audit selon les rôles RGPD (responsable, sous-traitant, destinataire)
Quelles bases légales protègent le traitement des données pendant l'audit statutaire et contractuel
Comment adapter vos procédures ISA 230 de documentation pour respecter les exigences RGPD
Quand et comment signaler les violations découvertes sans compromettre le secret professionnel

Cadre juridique du RGPD pour l'audit

Rôles et responsabilités sous le RGPD

L'article 4 du RGPD définit trois rôles dans le traitement des données. Votre position dépend du type de mission et de votre relation contractuelle avec l'entité auditée.
Pour l'audit statutaire, vous êtes généralement un "destinataire" selon l'article 4(9). L'entité vous communique les données dans le cadre de son obligation légale de se soumettre à l'audit. Vous traitez ces données pour votre propre finalité (exprimer une opinion d'audit), pas pour le compte de l'entité. Cette classification vous donne plus d'autonomie mais aussi plus de responsabilités directes.
Pour les missions contractuelles (due diligence, audit de conformité, procédures convenues), vous pouvez être sous-traitant selon l'article 28 si vous traitez les données pour le compte du client selon ses instructions. La distinction affecte vos obligations de documentation, vos droits d'accès aux données, et vos responsabilités en cas de violation.

Bases légales applicables à l'audit

L'article 6(1) du RGPD liste six bases légales pour le traitement des données personnelles. Trois s'appliquent couramment à l'audit :
Article 6(1)(c) - Obligation légale : pour l'audit statutaire. La directive européenne 2006/43/CE impose aux sociétés répondant à certains critères de faire auditer leurs comptes. Cette obligation créé une base légale automatique pour traiter les données nécessaires à l'audit.
Article 6(1)(b) - Exécution contractuelle : pour les missions non-statutaires. Le contrat de mission définit la finalité et l'étendue du traitement. L'article 28(3) exige que ce contrat spécifie la nature des données, les catégories de personnes concernées, et la durée de conservation.
Article 6(1)(f) - Intérêt légitime : dans des cas spécifiques où ni l'obligation légale ni le contrat ne couvrent entièrement le traitement. Cette base nécessite un test d'équilibre documenté selon l'article 47 des lignes directrices EDPB.

Adaptation des procédures d'audit aux exigences RGPD

Documentation et conservation selon ISA 230

L'ISA 230.A21 exige de conserver les dossiers d'audit pendant au moins cinq ans à compter de la date du rapport. Le RGPD impose des limites différentes selon l'article 5(1)(e) : les données ne peuvent être conservées que le temps nécessaire aux finalités du traitement.
Cette tension se résout par l'application du principe de proportionnalité. Les données personnelles strictement nécessaires à justifier votre opinion d'audit peuvent être conservées cinq ans. Les données accessoires (listes complètes d'employés, détails familiaux dans les notes de frais, données de géolocalisation) doivent être supprimées dès que leur utilité audit disparaît.
Votre procédure de conservation doit distinguer trois catégories :

Transferts de données et chiffrement

L'article 44 du RGPD réglemente les transferts de données vers des pays tiers. Si votre cabinet fait partie d'un réseau international ou utilise des outils cloud hébergés hors UE, chaque transfert de données d'audit nécessite une protection adéquate.
Les mécanismes de protection incluent les décisions d'adéquation (Royaume-Uni, Suisse, pays sous EU-US Data Privacy Framework), les clauses contractuelles types (CCT), et les règles d'entreprise contraignantes (BCR). L'arrêt Schrems II exige une évaluation au cas par cas de la protection effective dans le pays de destination.
Votre procédure de transfert doit documenter : le pays de destination, le mécanisme de protection utilisé, l'évaluation des risques effectuée, et les mesures supplémentaires mises en place si nécessaire. Cette documentation s'intègre dans votre évaluation des contrôles généraux informatiques selon ISA 315.A76.

Données probantes centrales (échantillons de transactions, confirmations signées, représentations écrites) : conservation complète cinq ans
Données contextuelles (organigrammes, listes de contacts, procédures internes) : conservation un an post-rapport
Données sensibles accessoires (données de santé, opinions politiques, informations syndicales) : destruction dans les 90 jours suivant la finalisation des procédures concernées

Exemple pratique : Audit de Dubois Logistique S.A.S.

Contexte : Dubois Logistique S.A.S., transporteur basé à Lyon, 250 employés, 45 M EUR de chiffre d'affaires. Audit statutaire pour l'exercice clos le 31 décembre 2023. Le système de paie contient des données de santé (arrêts maladie), des données bancaires (virements salaires), et des évaluations de performance.
Étape 1 . Classification des rôles RGPD
Documentation : "Audit statutaire - Article 4(9) RGPD : destinataire. Base légale : Article 6(1)(c) - obligation légale directive 2006/43/CE."
Étape 2 . Cartographie des données personnelles traitées
Données d'identité (noms, adresses), données financières (salaires, primes), données de santé (congés maladie), données d'évaluation (entretiens annuels). Volume estimé : 250 dossiers employés, 15 000 transactions de paie.
Documentation : "Annexe RGPD - Inventaire des catégories de données traitées, finalités audit, durée de conservation par catégorie."
Étape 3 . Procédures d'échantillonnage conformes RGPD
Échantillonnage ISA 530 limité aux données strictement nécessaires. Test de 25 dossiers employés (échantillon statistique), focus sur les éléments financiers. Exclusion des données de santé sauf si directement liées à une provision comptabilisée.
Documentation : "Justification de l'échantillon au regard du principe de minimisation Art. 5(1)(c) RGPD."
Étape 4 . Mesures de sécurité techniques
Chiffrement AES-256 des fichiers extraits, accès restreint par mots de passe, suppression sécurisée après 18 mois (au-delà de l'utilité audit mais dans la limite ISA 230).
Documentation : "Mesures techniques Art. 32 RGPD - Chiffrement, contrôles d'accès, procédure de destruction."
Étape 5 . Gestion d'une violation découverte
Découverte d'un accès non autorisé au serveur de paie en août 2023. 180 dossiers employés potentiellement consultés. Non déclaré à la CNIL dans les 72h requises.
Documentation : "Communication avec la direction sur l'obligation de déclaration CNIL. Évaluation impact sur les états financiers (provision pour amendes)."
Conclusion : Le dossier respecte les exigences RGPD tout en satisfaisant ISA 230. Les données sont traitées de manière licite, minimisée selon les besoins audit, et sécurisées selon l'état de l'art. La violation découverte fait l'objet de procédures d'audit spécifiques sans compromettre notre propre conformité.

Liste de contrôle pratique RGPD-audit

Classifier votre rôle RGPD avant la planification : Destinataire (audit statutaire), sous-traitant (missions contractuelles), ou responsable (audit interne). Documenter la base légale applicable selon l'article 6(1).
Cartographier les données personnelles traitées : Identifier les catégories (identité, financière, sensible), les volumes, les finalités audit spécifiques. Appliquer le principe de minimisation dès l'échantillonnage ISA 530.
Adapter vos procédures de conservation ISA 230 : Distinguer données probantes centrales (5 ans) et données accessoires (destruction anticipée). Prévoir la destruction sécurisée des supports numériques et papier.
Sécuriser les transferts de données : Identifier les flux vers des pays tiers (cloud, réseau international). Vérifier les mécanismes de protection (décisions d'adéquation, CCT, BCR). Documenter l'évaluation des risques.
Préparer la gestion des violations découvertes : Distinguer votre obligation de signalement RGPD (si vous êtes responsable) de votre devoir d'audit (évaluation des impacts financiers). Préserver le secret professionnel.
Former les équipes aux procédures RGPD : Sensibiliser aux principes de minimisation, sécurisation, et destruction. Intégrer les contrôles RGPD dans les programmes d'audit standard pour ISA 315 et ISA 330.

Erreurs courantes observées

• Collecte excessive de données : Récupération automatique de bases complètes (tous les employés, tous les clients) sans justification audit spécifique. La directive ne permet que le traitement des données nécessaires aux fins d'audit.
• Conservation indifférenciée : Application uniforme de la règle ISA 230 (5 ans) à toutes les données personnelles, y compris les données accessoires. Le RGPD impose une approche graduée selon l'utilité.
• Transferts non sécurisés : Utilisation d'outils cloud ou de réseaux internationaux sans vérification des mécanismes de protection. Particulièrement critique depuis l'arrêt Schrems II pour les transferts vers les États-Unis.
• Absence de registre de traitement pour les activités d'audit : L'article 30 du RGPD impose un registre des activités de traitement. Les cabinets omettent souvent d'y inclure les traitements liés aux missions d'audit, ce qui constitue une infraction indépendante des obligations de conservation ISA 230.

Contenu associé

Matérialité et seuils de signification - Comment évaluer l'impact financier des amendes RGPD potentielles sur votre seuil de signification et les ajustements nécessaires en cours d'audit.
Évaluation des contrôles généraux informatiques - L'évaluation RGPD s'intègre dans votre revue des contrôles IT selon ISA 315, particulièrement pour les contrôles d'accès et de sécurisation des données.
Documentation des procédures d'audit - Modèles de papiers de travail adaptés aux exigences de documentation RGPD, incluant les registres de traitement et les évaluations d'impact.