Politique de confidentialité - Activité Audit financier
Politique de confidentialité - Audit financier
1. DISPOSITIONS GÉNÉRALES
Rappel concernant l’objectif de la mission d’audit légal :
L’audit légal des comptes annuels / consolidés a pour objectif d’exprimer une opinion sur la régularité et la sincérité des comptes annuels / consolidés et sur l’image fidèle qu’ils donnent du résultat des opérations de l’exercice écoulé ainsi que de la situation financière et patrimoniale de l’entité à la clôture de cet exercice.
Selon les dispositions du code de commerce, les normes d’exercice professionnel et la doctrine professionnelle de la Compagnie nationale des commissaires aux comptes applicables dans le cadre de son activité, il appartient à l’auditeur de vérifier, par sondages ou au moyen d’autres méthodes de sélection, les éléments justifiants des montants et des informations figurant dans les comptes.
L’ensemble de ces travaux, et des dossiers de travail sont soumis au secret professionnel conformément aux dispositions de l’article L.822-15 du code de commerce. L’astreinte au secret professionnel est une obligation légale dont le non-respect expose Mazars à des sanctions pénales (articles 226-13 et 226-14 du code pénal).
2. DEROULEMENT DE LA MISSION D’AUDIT
Le client audité par Mazars traite des données personnelles aux fins notamment d’établir ses comptes et agit, à ce titre, comme responsable de traitement au sens du RGPD.
Afin de réaliser l’audit, Mazars demande à son client l’accès à des informations, principalement d’ordre financier (tels que des documents comptables, des factures, des fiches de paie, des déclarations sociales, etc.), pouvant contenir des Données à caractère personnel de ses fournisseurs, de ses clients et de ses employés. A ce titre, il appartient au client de s’assurer que toutes les Données à caractère personnel qui sont communiquées à Mazars, directement par le client ou indirectement pour son compte (ex : tiers mandaté par le client), ont été collectées de manière licite, loyale et transparente. Par ailleurs, seules les données personnelles strictement nécessaires à la mission d’audit doivent être transmises à Mazars.
Mazars, en sa qualité de commissaire aux comptes, exerce une profession réglementée régie par des textes légaux et réglementaires spécifiques. Ainsi, lorsqu’il intervient comme commissaire aux comptes, Mazars détermine les finalités et les moyens des traitements opérés en application de la législation et des normes professionnelles qui lui sont applicables utiles à la réalisation de sa mission en toute indépendance et en toute impartialité. A ce titre, Mazars intervient en tant que responsable de traitement des données collectées.
3. TRAITEMENTS DE DONNEES PERSONNELLES DANS LE CADRE DE L’AUDIT
3.1 Personnes concernées
Les personnes concernées par les traitements réalisés dans le cadre de l’audit sont :
- Les collaborateurs, fournisseurs et clients du client audité de Mazars
- Les contacts du client de Mazars impliqués dans la mission d’audit
3.2 Finalités des traitements
Les traitements de données personnelles réalisés par Mazars sont notamment :
Données personnelles traitées | Raisons | Bases juridiques |
Données d’identification (telles que le nom, le prénom, les coordonnées) Données de situation familiale (telles que la situation maritale) Données professionnelles (telles que l’employeur, le poste) Données économiques et financières (telles que le salaire, le RIB) Données « sensibles » (telles que le NIR) Données de connexion | Réalisation de la mission d’audit Respect de nos réglementations professionnelles et déontologiques Gestion de la relation d’affaires avec nos clients Administration et support sur les outils informatiques utilisés dans le cadre de notre activité | Obligation légale Intérêt légitime
|
3.3 Destinataires des données
Dans le cadre de l’audit, Mazars peut être notamment amené à transmettre les données collectées à des autorités judiciaires et administratives (greffe des tribunaux de commerce, auxiliaires de justice, etc.), à des personnes externes contribuant à l’exécution de la mission d’audit (actuaires, experts, etc.) ou au contrôle qualité (ex : régulateurs français tels que le H3C) ainsi qu’à des Sous-Traitants au sens du RGPD (prestataires informatiques, hébergeur de données).
Lorsque Mazars fait appel à des Sous-Traitants au sens du RGPD pour mener ses activités de traitement, ces derniers s’engagent contractuellement à respecter les obligations prévues par Mazars ainsi que le RGPD.
3.4 Territorialité
Mazars veille à stocker les données personnelles au sein d’un pays de l’Union européenne.
Dans l’hypothèse où des Données Personnelles seraient transférées en dehors de l’Union européenne dans un pays de destination considéré par la Commission européenne comme n’assurant pas un niveau de protection suffisant des Données Personnelles, nous mettons en œuvre l’un ou l’autre des dispositifs suivants :
(i) Signature de clauses contractuelles types adoptées par la Commission européenne (« Clauses contractuelles types »),
(ii) Mise en place de règles internes d’entreprise contraignantes (« Binding Corporate Rules » ou « BCR »)
(iii) Tout autre dispositif de protection conforme à la réglementation applicable en matière de protection des Données Personnelles.
Lorsque des clauses contractuelles types ont été signées, les personnes concernées disposent du droit d’en demander une copie. Pour toute question ou réclamation, vous pouvez la soumettre par écrit comme indiqué au paragraphe 3.7 Droits des personnes concernées.
3.5 Durée de conservation des Données à caractère personnel
Dans le respect des obligations de confidentialité, les Données Personnelles traitées pour les Finalités de Traitement sont conservées pour une durée conforme aux dispositions régissant les activités de Mazars en France en matière de prescriptions. Dans le cadre des missions d’audit, cette conservation des données est de douze ans.
3.6 Mesures de sécurité
Mazars est certifié ISO 27001 et met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté et proportionné au risque.
3.7 Droits des personnes concernées
Les personnes, dont les Données Personnelles sont traitées, disposent des droits suivants (sous certaines conditions et conformément à la législation en vigueur) :
- Droit d’accès aux Données Personnelles,
- Droit de rectification des Données personnelles, si celles-ci sont incomplètes ou inexactes,
- Droit d’opposition au traitement de Données Personnelles notamment à des fins de prospection commerciale,
- Droit à la limitation du traitement des Données Personnelles,
- Droit à l’effacement des Données Personnelles.
Les demandes peuvent être effectuées soit :
- en ligne : https://www.mazars.fr/Protection-des-donnees/Demande-de-droits
- par email au DPO : dpo@mazars.fr
- par courrier : à l’attention du Délégué à la protection des données de Mazars France 61, RUE HENRI REGNAULT - EXALTIS - 92400 COURBEVOIE - FRANCE
Aussi, dans la mesure où la personne à l’initiative de la demande ne serait pas satisfaite de la façon dont sa demande a été traitée, elle a le droit d'introduire une réclamation auprès de l’autorité de contrôle (la Commission Nationale de l'Informatique et des Libertés), via le lien suivant : https://www.cnil.fr/fr/adresser-une-plainte.
Dans le cas où une demande de droit concerne des Données Personnelles traitées lors d’une mission d’audit, Mazars traitera la demande en tenant compte des obligations de préservation du secret professionnel et du secret des affaires qui s’imposent au commissaire aux comptes mais aussi de ce qui a été contractuellement convenu avec le client.
GLOSSAIRE
- Données à caractère personnel ou Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable (par exemple : nom, prénom, adresse, date de naissance, etc.).
- DPO : Data Protection Officer en anglais, ou Délégué à la protection des données.
- Personne Concernée : personne dont les Données à caractère personnel sont traitées.
- Responsable de Traitement : personne physique ou morale qui détermine les finalités et les moyens d’un traitement de Données à caractère personnel.
- RGPD : Règlement Général sur la Protection des Données n°2016/679 du 27 avril 2016, entré en application le 25 mai 2018.
- Sous-Traitant : personne physique ou morale qui traite des Données à caractère personnel pour le compte du responsable de traitement.
- Traitement : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et portant sur des Données à caractère personnel, telles que la consultation, l’utilisation, l’effacement des Données à caractère personnel.