Comment le contrôle interne contribue-t-il à la protection des données à caractère personnel ?

Aujourd’hui, les systèmes de contrôle interne sont confrontés à une problématique nouvelle qui résulte de la confluence de deux phénomènes : l’informatisation croissante des processus bancaires, et de ceux dédiés aux contrôles en particulier, et la sensibilité tout aussi croissante à la protection de ce qu’il convient de nommer, depuis la loi du 6 août 2004, les données à caractère personnel (DCP). Cette notion a remplacé celle plus restrictive de « donnée à caractère nominatif » définie par la loi du 6 janvier 1978. Cette protection des DCP fait l’objet depuis plusieurs années de nombreux textes légaux nationaux et internationaux, mais c’est surtout la perception des enjeux par les personnes elles-mêmes en tant que consommateurs et/ou salariés qui modifie singulièrement la donne.

Le contrôle interne est constitué par l’ensemble des processus mis en œuvre par une banque pour :

• ​assurer la conformité aux lois et règlements ;
• ​contrôler l’application des orientations et des instructions données par la direction générale ;
• ​garantir la fiabilité des informations financières ;
• connaître, évaluer et maîtriser les risques liés à ses activités.

L’audit interne est une des composantes majeures de cet ensemble, notamment pour la connaissance et l’évaluation des risques encourus par la banque.

Le contrôle interne : un processus à plusieurs dimensions

L’attention portée aux données à caractère personnel, à leur traitement et à leur protection est une préoccupation assez récente pour les entreprises.

À l’origine, la lutte contre la fraude a été le principal moteur du développement des démarches de contrôle interne (CI). En 1977, est publié aux États-Unis le Foreign Corrupt Practices Act (FCPA). Il exige des entreprises qu’elles mettent en place des programmes de contrôle interne. L'objectif de ce texte était de détecter les fraudes et de protéger les ressources de l'entreprise. Sont concernés les biens matériels (stocks, comptes clients…), mais aussi les éléments incorporels (brevets, propriété intellectuelle, savoir-faire).

Le deuxième objectif du développement du contrôle interne a été la sincérité des comptes des entreprises. En 1985, la Commission Treadway est née du constat d’erreurs multiples et répétitives dans les comptes d'un certain nombre d'entreprises. Elle s'est fixé pour objectif d'arriver à lutter contre les fraudes constatées dans les bilans et les comptes de résultat des entreprises.

En 1992, les travaux du COSO [1] se sont traduits par un premier rapport : Internal Control Integration Framework, traduit en français par La Pratique du contrôle interne. Il donne une définition communément acceptée de la notion de contrôle interne, définit un cadre général pour la mise en place d'un système de contrôle interne et décrit la manière dont il peut être renforcé et amélioré.

En 2002, la très rigoureuse Loi Sarbanes-Oxley permet de renforcer le contrôle des comptabilités concernant les sociétés cotées aux États-Unis. C'est une loi de protection des investisseurs qui impose de nouvelles règles concernant la comptabilité et la transparence financière.

En France, en 2007, l'Autorité des marchés financiers (AMF) a publié un document de référence où se trouve cette définition très souvent reprise : « Le contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa responsabilité. Il comprend un ensemble de moyens, de comportements, de procédures et d’actions adaptés aux caractéristiques propres de chaque société qui : contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses ressources et lui permet de prendre en compte de manière appropriée les risques significatifs, qu’ils soient opérationnels, financiers ou de conformité ».

Le développement ultérieur du contrôle interne correspond à trois préoccupations différentes :

• la prévention des dérives des pratiques professionnelles. Ces dérives sont de différentes natures : laxisme dans l'application des règles de gestion, oubli des règles de sécurité, fraudes internes, malversations… Elles sont dues à la perte de certains repères et à l'effacement progressif de la frontière entre ce qui est permis et ce qui ne l'est pas ;¶
• ​l’accompagnement du développement des systèmes d'information. Ce développement a permis une industrialisation des traitements et un renforcement global de l’efficacité des processus, mais l'expérience montre que des applications mal conçues ou insuffisamment protégées – notamment contre les intrusions malveillantes – peuvent constituer des fragilités importantes ;
• la montée des risques liés à la dématérialisation des opérations, à la globalisation des marchés, à l’internationalisation des échanges, à la financiarisation… Ce sont des évolutions profondes, qui se traduisent par une multiplication des situations délicates. Pour cette raison, il est nécessaire de mettre en place des mesures appropriées, de façon à limiter les risques acceptables par la banque.

Le contrôle interne vise donc à renforcer et à systématiser les dispositifs de surveillance permettant de s'assurer que l’ensemble des activités de la banque se déroulent normalement, malgré les risques inhérents à ces activités. C'est une évolution importante des programmes de contrôle interne. Traditionnellement, les contrôles se faisaient de manière ponctuelle, dans l’esprit de l’audit en charge du contrôle périodique. Les démarches actuelles de contrôle interne privilégient la mise en œuvre de contrôles permanents, dans la perspective d’une coopération renforcée entre les différents niveaux de contrôle (voir Schéma).

Les données à caractère personnel

Les données à caractère personnel sont les informations qui permettent d'identifier directement ou indirectement une personne physique. Elles sont protégées par divers instruments juridiques concernant le droit à la vie privée, et notamment :

• ​la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
• ​la directive 95/46/CE au niveau communautaire ;
• ​la convention n° 108 du Conseil de l'Europe pour la protection des données personnelles.

Les données à caractère personnel correspondent aux noms, prénoms, adresses (physique et électronique), numéros de téléphone, lieu et date de naissance, numéro de Sécurité Sociale, numéro de carte de paiement, plaque d'immatriculation d'un véhicule, photo, empreinte digitale et ADN, etc.

Certaines de ces données, en particulier le numéro de Sécurité Sociale (le NIR [2] ) et les données biométriques (empreinte digitale, échantillon ADN…), sont particulièrement sensibles, car elles peuvent constituer des « identifiants universels ». Ils permettent de raccorder différents fichiers entre eux et ainsi de réaliser leur interconnexion.

Depuis la loi relative à l'informatique, aux fichiers et aux libertés de 1978, ces données ne peuvent être traitées par une banque que si le service responsable de ces opérations a effectué, au préalable, une déclaration à la CNIL.

Qu’entend-on par traitement ?

Les opérations suivantes constituent des « traitements » des données à caractère personnel : la collecte, l’enregistrement, la conservation, la modification, la consultation, la communication par la transmission, la diffusion ou l’interconnexion, l’effacement ou la destruction de ces données.

Aujourd’hui, les responsables du contrôle interne des banques doivent veiller au bon équilibre entre la nécessité de traitement de ces données à caractère personnel, pour le bon fonctionnement quotidien de leurs établissements, et l’obligation de protection de ces données.

Pour ce faire, ils peuvent s’inspirer des principes d’action issus des textes de référence de la CNIL.

En conclusion, la protection des données à caractère personnel constitue un domaine de coopération privilégié entre les différents acteurs du contrôle interne. D’autant plus que la majorité des banques considèrent que la mise en œuvre d’un contrôle interne efficace est indissociable d’une bonne gouvernance.

1 Committee Of Sponsoring Organisations of the Treadway Commission. 2 Numéro d'inscription au répertoire.