Description du traitement
Base juridique du traitement :
Le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le H3C [article 6 (1) e du RGPD.
Cette mission d'intérêt public est prévue par les textes qui suivent :
- règlement UE 537/2014 du Parlement européen et du Conseil du 16 avril 2014 relatif aux exigences spécifiques applicables au contrôle légal des comptes des entités d'intérêt public et abrogeant la décision 2005/909/CE de la Commission, notamment son article 24 ;
- directive 2006/43/CE du Parlement européen et du Conseil du 17 mai 2006 modifiée concernant les contrôles légaux des comptes annuels et des comptes consolidés, notamment ses articles 32.4 et 32.4 ter ;
- code de commerce, notamment ses articles L. 821-1, L. 822-4, R. 822-21 à R. 822-23, et A. 822-28-1 à A. 822-28-19.
Catégories de personnes concernées dont les données à caractère personnel sont traitées :
Sont concernés les commissaires aux comptes ainsi que les personnes en charge du suivi de l'obligation de formation.
Catégories de données à caractère personnel traitées :
Les données portent sur l'identité du commissaire aux comptes concernés (nom, prénom, numéro d'inscription, date d'inscription, CRCC de rattachement etc.). Sont également traitées les données relatives aux formations réalisées par les commissaires aux comptes.
Nature du traitement :
Les tâches déléguées à la CNCC consistent à la mise à disposition des commissaires aux comptes d'un système d'information leur permettant de déclarer les formations suivies et de joindre à cette déclaration des justificatifs. A partir des déclarations des commissaires aux comptes, la CNCC suit le respect par ces derniers de leurs obligations.
Les tâches effectuées sont décrites ci-après :
L'article A. 822-28-9 du Code de commerce fixe au 31 mars la date limite de saisie des déclarations de formation.
Une historisation de l'ensemble des déclarations de formation est faite en date du 1er avril pour identifier la situation de chaque commissaire aux comptes déclarant au regard de son obligation de formation.
A partir de cette date, des travaux de relance sont effectués pour :
- inciter les commissaires aux comptes ne l'ayant pas fait à saisir leur déclaration de formation ;
- inciter les commissaires aux comptes n'ayant pas justifié l'ensemble des actions de formation à régulariser leur déclaration.
L'accès au système déclaratif reste donc ouvert le temps des travaux de relance et au plus tard le 31 juillet
Un suivi individualisé des commissaires aux comptes en manquement est réalisé pour obtenir des explications sur le non-respect de l'obligation ainsi que les engagements de régularisation.
Il s'agit donc de réaliser un suivi du respect de l'obligation de formation.
A l'issue de ces travaux, un rapport est préparé par la CNCC et remis au H3C au plus tard le 31 juillet.
La CNCC rend régulièrement compte au H3C du déroulement de la délégation. A la fin de chaque année, elle adresse au H3C un rapport relatif à l'exécution matérielle et aux coûts de celle-ci.
Finalité(s) pour laquelle (lesquelles) les données à caractère personnel sont traitées pour le compte du H3C :
Le traitement a pour finalité le suivi du respect des obligations de formation continue des commissaires aux comptes, mission déléguée par le H3C à la CNCC
Durée du traitement :
La durée du traitement est limitée à la durée de la convention de délégation incluant celle de ses renouvellements.
Durée de conservation de données :
Cf. article 4 de la présente convention.
Mesures techniques et organisationnelles, y compris celles visant à garantir la sécurité des données
Infrastructure de production :
- chiffrement de toutes les transmissions ;
- chiffrement des mots de passe des utilisateurs ;
- chiffrement des pièces justificatives avant stockage ;
- hébergement dans un data center aux normes SOC 1 Type II, SOC 2 Type II, ISO 27001, PCI DSS, HDA, ISO 45001, ISO 9001 : 2015, ISO 22301, ISO 14001, ISO 50001 ;
- redondance des infrastructures ;
- réplication des données en temps réel ;
- sauvegarde externe sécurisée ;
- utilisation d'automates de configuration sécurisés.
Application :
- gestion des authentifications et des habilitations par périmètre d'utilisateur dans l'application ;
- contrôles et validations de la saisie des informations, utilisation de référentiels de saisie ;
- utilisation de référentiels d'organismes de formation et d'établissements d'enseignement supérieurs produits par data.gouv ;
- gestion d'historique des actions ;
- silotage des données dans Aglae permettant une réversibilité des données et une suppression du module ;
- chiffrement de tous les transferts de données.
Informatique interne :
- gestion des authentifications et habilitations ;
- chiffrement de tous les transferts de données ;
- chiffrement des disques des ordinateurs des acteurs en charge du traitement des données.