Le DAF, gardien du temple de la conformité au RGPD

Outre sa responsabilité sur les données à caractère personnel utilisées dans les applicatifs comptables & financiers, le Directeur Administratif et Financier (DAF) se doit de prémunir l’entreprise contre tout risque financier. Pour éviter les pénalités conséquentes du RGPD, il doit donc endosser le rôle de gardien du temple de la conformité.

Si les Directions Commerciales, Marketing et Ressources Humaines sont fortement impactées par le prochain Règlement européen sur la protection des données à caractère personnel (RGPD), la Direction Administrative et Financière (DAF) l’est également, et à plusieurs égards. Déjà soumise à de nombreuses réglementations, elle apparaît plus mature pour prendre la mesure des implications du nouveau cadre réglementaire. Reste désormais à mettre en pratique ses recommandations, ce qui réclame une attention toute spécifique.

Le DAF doit garantir la conformité de ses applicatifs au RGPD

Le premier rayon d’action du DAF se situe au niveau de la gestion des données personnelles présentes dans les applicatifs utilisés directement par la direction financière – à savoir les solutions comptables, de gestion de la trésorerie, de suivi des notes de frais ou encore de gestion des immobilisations. Tous ces outils centralisent des données administratives (nom, téléphone, adresse), bancaires (RIB, historiques des paiements, recouvrement, etc.) et des informations sur les clients ou sur les fournisseurs (nombre de relances, profils financiers, etc.). Le RGPD impose non seulement de ne collecter que les données personnelles qui sont nécessaires qui sont uniquement et strictement nécessaires à la réalisation de la finalité du traitement, mais aussi de recueillir auprès des intéressés leur consentement sur la collecte et l’exploitation de ces données personnelles.

Pour garantir la conformité au RGPD, le DAF doit donc procéder à une cartographie de la collecte et des traitements des données personnelles dans ses propres applicatifs. Il doit également mettre en place les outils et processus lui permettant de satisfaire aux obligations du règlement, notamment la traçabilité des opérations de modification, suppression, de conservation ou de collecte de ces données. Toutefois, il lui faut également veiller au respect des obligations légales comptables, fiscales ou encore relevant du droit commercial auxquelles il est astreint sur ces mêmes applicatifs.

Ainsi, une entreprise exerçant une activité de type BtoC dont le modèle économique repose sur la vente de produits ou de services sous la forme d’abonnements, doit être en capacité de prendre en compte la demande d’un client d’exercer son droit à l’oubli lorsqu’il résilie son abonnement. Toutefois, le traitement de cette demande ne consiste pas simplement à supprimer les données du client, car un délai de stockage pourra être appliqué pour satisfaire aux obligations de conservation des données justificatives en cas d’un contrôle de comptabilité (jusqu’à 6 ans).

Ces durées légales viennent simplement avant le règlement sur les données personnelles.

Il s’agit donc pour le DAF de mettre en place des durées de conservation en application des droits légaux et de mettre en place une durée de conservation justifiée et mesurée en tant que responsable de traitement si il souhaite étendre cette durée de conservation sur les données personnelles.

A découvrir : consulter le glossaire complet du RGPD

Veiller à la conformité du SI de l’entreprise

Les applicatifs financiers étant bien souvent « en bout de chaîne » au sein d’un système d’information faisant transiter des données issues d’outils complémentaires, intégrés ou non dans une solution ERP, comme un CRM, un système de facturation ou de gestion des achats, le DAF doit s’assurer de la conformité au RGPD de l’ensemble de ces outils et plus globalement du SI de l’entreprise. Cette responsabilité est d’autant plus essentielle dans les TPE et PME qui n’ont, et n’auront vraisemblablement pas de DPO (Data Protection Officer) interne, ni de responsables dédiés rattachés aux activités (direction commerciale, RH, marketing, etc.).

Pour aller plus loin : devenez « RGPD ready » !

Prémunir l’entreprise contre les risques financiers

Troisième impact du RGPD sur le DAF : les risques financiers. Avec des pénalités pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise en cas d’infraction au règlement, le DAF a tout intérêt à jouer un rôle de garde fou sur les enjeux légaux et réglementaires liés au SI et aux applicatifs de l’entreprise, non seulement au moment de leur mise en œuvre, mais aussi dans leur maintien dans le temps. Il doit également veiller à la bonne application des processus définis au sein des différents services impactés.

Enjeu réglementaire structurant, le RGPD impacte de plein fouet la stratégie des entreprises en général, et le rôle du DAF en particulier. Dans les faits, il s’agit notamment de passer d’une logique de déclaration périodique à une obligation de preuve permanente. Par sa situation centrale, le DAF peut fédérer les efforts des différents départements de l’entreprise pour mettre en place à la fois les processus et les contrôles nécessaires pour garantir une conformité totale, à tous les niveaux de l’organisation.