TAA n°88 - La gestion de la sécurité de l’information dans les bureaux d’audit

1. Préambule

Le réviseur d’entreprises traite quotidiennement un grand volume de données et d’informations, que ce soit pour ses missions d'audit ou la gestion de sa propre organisation.

Dans un contexte de dématérialisation croissante, les risques d’atteinte à ces données et à ces informations sont de plus en plus nombreux compte tenu, entre autres, du degré de complexité des systèmes d’information et de la sophistication des méthodes utilisées par les acteurs malicieux (hackeurs, fraudeurs, etc.). Dans les cas les plus graves, les conséquences peuvent impliquer l’arrêt définitif des activités du cabinet.

En outre, un certain nombre de risques liés à la protection des données peuvent influencer l'évaluation des risques définis par le système de gestion de la qualité des cabinets d’audit en application de la norme ISQM-1. Des contrôles supplémentaires doivent, le cas échéant, être mis en place au sein du système de gestion de la qualité des cabinets, dont l'organisation est impactée.

Il est par ailleurs essentiel pour le réviseur d’entreprises de gérer les risques liés à l’intégrité des données, non seulement pour l'organisation de son propre cabinet, mais aussi en raison de l’impact potentiel sur l'entité contrôlée. De tels risques peuvent en effet mettre à mal la crédibilité de l’entité lorsque les données sont utilisées dans les systèmes internes en vue, notamment, de la préparation des rapports financiers. Un jugement erroné sur l’image fidèle d’un client de premier plan pourrait également nuire à la réputation du cabinet. Dans ce contexte, on peut également se référer à la norme ISA 315 (révisée), qui exige que le réviseur d’entreprises évalue les risques liés aux technologies de l'information ; les aspects liés à la cybercriminalité et à l’intégrité des données en font partie intégrante.

L'impact potentiel de ces risques sur l'organisation du cabinet et sur l'exécution de la mission du réviseur d’entreprises soulignent l'importance de cet article qui vise à offrir au lecteur une analyse de mesures utiles qu’il peut adopter afin de mitiger les risques de cyberattaques et d’atteintes aux données à caractère personnel. Ces mesures découlent tant des préceptes en matière de sécurité de l’information que de ceux en matière de protection des données à caractère personnel.

2. Remparts aux cyberattaques et aux atteintes aux données

A. Sécurité de l’information

La sécurité de l’information est une notion vaste définie comme étant « la protection de la confidentialité, de l’intégrité et de la disponibilité de l’information »¹.

Elle implique l’implémentation d’un processus de gestion des risques et l’adoption de mesures techniques et organisationnelles pour mitiger les risques identifiés. La sécurité de l’information est donc avant tout un outil permettant au réviseur d’entreprises de limiter les risques d’atteintes aux données et de cyberattaques.

Parmi les références en matière de sécurité de l’information dont s’inspire le présent article, citons le standard international ISO (International Organization for Standardization) 27001 « sécurité de l'information, cybersécurité et protection de la vie privée ». Ce standard décrit les exigences d’un système de gestion de la sécurité de l’information et s’accompagne d’une liste de mesures de sécurité types. Le réviseur peut par ailleurs s’inspirer du standard américain NIST (National Institute of Standards and Technology) 800-53 « security and privacy controls for information systems and organizations », qui propose un catalogue exhaustif de mesures types. Au titre des standards de référence, nous pouvons encore citer le « CyberFundamentals », établi par le Centre for Cyber Security Belgium (CCB), qui propose des listes de mesures concrètes adaptées au contexte de l’organisation.

B. Préceptes en matière de protection des données à caractère personnel

Par ailleurs, les traitements de données à caractère personnel sont à effectuer conformément aux principes du Règlement général sur la protection des données² (ci-après le RGPD) et des autres lois applicables, telles que la loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel³.

Notons que les amendes pénales et administratives – en cas de non-respect des règles en vigueur relatives à la protection des données à caractère personnel – sont sévères. Ainsi, le RGPD prévoit des amendes administratives pouvant s’élever jusqu’à 10.000.000 € ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaire mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

C. Mesures complémentaires

La sécurité de l’information prévoit des mesures qui tendent au respect des normes, lois et régulations précitées. Le RGPD a érigé l’intégrité et la confidentialité des données à caractère personnel en principes essentiels à la protection des données (art. 5.1, f) RGPD) et impose la mise en place de mesures de sécurité techniques et organisationnelles adaptées aux risques d’atteintes aux données à caractère personnel (art. 32 RGPD). Plus le risque d’atteintes à la confidentialité et à l’intégrité des données à caractère personnel est élevé, en raison par exemple de leur utilité concrète dans le cadre de fraudes, plus les mesures de protection à adopter sont strictes.

Les mesures qui découlent de la sécurité de l’information et de la protection des données à caractère personnel sont tout à fait complémentaires.

Une liste de mesures nécessaires afin de limiter le risque de cyberattaques et d’atteintes aux données à caractère personnel est repris dans le chapitre suivant.  En fonction du contexte, de la taille et de la maturité de l’organisation, toutes les mesures ou seulement certaines d’entre elles sont à mettre en œuvre. Le réviseur d’entreprises qui le souhaite pourrait également en appliquer d’autres et, potentiellement, tendre vers la certification à un standard tel qu’ISO 27001, suite à un audit réalisé par un organisme indépendant.

3. Mesures techniques et organisationnelles 

Certaines mesures de sécurité organisationnelles impliquent des aspects techniques et, inversement, des mesures de sécurité techniques peuvent nécessiter la prise en compte d’aspects organisationnels. Afin de faciliter la lecture, le présent article propose une division simplifiée des mesures de sécurité. À titre d’exemple, le contrôle d’accès et le principe du moindre privilège (voir infra) ne se limitent pas à l’implémentation technique des droits d’accès et des privilèges au niveau de la configuration du système d’information. Ils incluent également la vérification que les octrois sont adéquats ainsi qu’une réévaluation régulière de ces derniers.

A. Mesures organisationnelles

1- Politique de sécurité de l’information

Par souci d’une gouvernance optimale de la sécurité de l’information au sein de son cabinet, le réviseur d’entreprises documente formellement les règles et le contexte de la sécurité de son organisation. Le document décrit l’objectif, les rôles et responsabilités, le champ d’application de la politique ainsi que les mesures prévues par l’organisation, telles que celles décrites dans cet article.

La politique est communiquée au sein de l’organisation. Elle est revue de manière régulière ou lors de changement significatif. Elle sert de pierre angulaire pour assurer la protection des données et la conformité au sein de l’organisation.

2- Gestion des risques et évaluation du niveau de risque

Les normes relatives à la sécurité de l’information impliquent pour le réviseur d’entreprises d’évaluer le risque en cas d’atteinte à la confidentialité, à l’intégrité et/ou à la disponibilité des données/informations traitées par son cabinet. Cette évaluation couvre notamment les risques inhérents aux traitements de données à caractère personnel (cf. art.  32. 2. du RGPD). Le risque de violation de données, que celui-ci soit accidentel ou intentionnel, doit être pris en compte. Les mesures de sécurité techniques et organisationnelles sont dites adéquates lorsqu’elles sont adoptées en fonction du niveau de risque identifié pour les informations et données. Le risque doit être maintenu sous un seuil acceptable.

Par exemple, si le réviseur place dans son cabinet des caméras connectées dont il peut consulter les images depuis internet, il augmente le risque d’intrusion sur son réseau et donc, par conséquent, de violation de données. Il prend donc des mesures liées à ce traitement, telles que l’installation régulière des mises à jour de sécurité de l’équipement (cf. infra).

Les organismes qui accèdent à des sources de données fédérales ou qui utilisent le numéro d’identification du registre national sont, en outre, tenus de prendre des mesures supplémentaires⁴ comme par exemple la désignation d’un délégué à la protection des données (DPO, Data Protection Officer).

L’évaluation des risques, y compris l’identification de nouveaux risques ou le changement du niveau des risques préalablement identifiés, se fait en continu et, en particulier, en cas de changements significatifs dans l’organisation tel que le changement de l’infrastructure informatique.

3- Gestion des incidents de sécurité de l’information

Le réviseur d’entreprises met en place une procédure de gestion des incidents ou un breach response plan. La procédure décrit comment détecter rapidement les incidents, fournir une réponse efficace pour limiter leurs impacts, documenter et analyser les causes et conséquences et, le cas échéant, veiller au rétablissement des services impactés. Les rôles et responsabilités liés aux incidents sont définis. Par exemple, un point de contact interne unique à l’organisation (comme une boite e-mail partagée) peut y être indiqué et communiqué au personnel afin que chaque incident soit signalé de manière centralisée, facilitant ainsi la gestion et le suivi des incidents par la personne ou l’équipe responsable.

En cas d’incident, il est également recommandé de consulté la police d’assurances du cabinet, de prendre contact avec son DPO ou avec son responsable des systèmes de sécurité de l’information et, dans les cas les plus graves, avec la police.

Lorsqu’un incident provoque une violation de données à caractère personnel au sens du RGPD, une analyse des risques d’atteintes aux droits et libertés des personnes concernées doit être effectuée. Une notification à l’Autorité de protection des données s’avèrera obligatoire si un risque a été identifié (art. 33 RGPD). De même, une notification à l’égard des personnes concernées sera requise si le risque a été jugé élevé (art. 34 RGPD). Une méthodologie d’évaluation du niveau de risque est mise en place afin de rendre cette analyse la plus objective possible. Le réviseur peut se tourner, par exemple, vers les Recommendations for a methodology of the assessment of severity of personal data breaches⁵ de l’ENISA (European Union Agency for Cybersecurity) pour guidance.

4. Contrats

Le réviseur d’entreprises prend des mesures à l’égard de son sous-traitant. Il s’assure que le contrat qui le lie à celui-ci contient des mesures à l’égard des collaborateurs de celui-ci ou à l’égard du sous-traitant lui-même s’il agit en tant que consultant indépendant (cf. art. 32.4 RGPD).

5- Instructions à l’égard des personnes physiques agissant sous son autorité

Le réviseur d’entreprises donne des instructions par rapport à la sécurité et à la protection des données aux personnes qui agissent sous son autorité (cf. art. 32.4 RGPD). À titre d’exemples, les instructions suivantes peuvent être imposées :

• les accès aux données ne sont autorisés que dans les circonstances où cela s’avère indispensable à l’exercice des missions professionnelles du collaborateur ;
• les données ne peuvent être utilisées, copiées, reproduites sous aucune forme et ne peuvent être communiquées à autrui que lorsque cela s’avère strictement nécessaire à la réalisation des missions professionnelles du collaborateur ;
• en cas de doute, des précisions sont demandées auprès du réviseur d’entreprises ;
• la confidentialité des données traitées doit être garantie ;
• aucune donnée confidentielle n’est conservée en local (sur le disque dur de l’ordinateur) sauf si cela s’avère strictement nécessaire à l’accomplissement de la mission professionnelle du collaborateur ;
• aucune donnée confidentielle n’est enregistrée sur un support mobile (clé USB, PC portable, tablette, etc.), sauf si cela s’avère strictement nécessaire à l’accomplissement de la mission professionnelle du collaborateur, et/ou si elles sont préalablement chiffrées.

Des règles particulières peuvent être précisées dans une procédure d’utilisation de l’Internet en général, de la messagerie électronique ou d’outils tels que les traducteurs automatiques ou l’intelligence artificielle générative.

6- Sensibilisation du personnel

Le réviseur d’entreprises sensibilise ses collaborateurs internes et externes aux concepts et bonnes pratiques en matière de sécurité de l’information et de protection des données à caractère personnel. À cette occasion, les instructions précitées sont expliquées en des termes simples.  

D’autres matières sont utilement présentées telles que l’ingénierie sociale et en particulier le hameçonnage (ci-après « phishing »), la bonne gestion des mots de passe ou les réflexes à adopter dans des circonstances particulières telles que la découverte d’une clé USB suspecte ou l’accueil d’un client dans un lieu non surveillé.

Idéalement, la sensibilisation est continue. Notons que certains logiciels offrent la possibilité de sensibiliser le personnel par l’envoi de simulations d’emails de phishing et par la diffusion de courtes sessions de sensibilisation de quelques minutes à échéance régulière.

Dans le cadre de la mise en œuvre d'ISQM-1 au sein d'un cabinet d'audit, on pourrait s'attendre à ce qu'une politique et des procédures pertinentes – parfois complexes – soient établies et communiquées aux collaborateurs.

7- Utilisation du matériel informatique du cabinet

Le réviseur d’entreprises veille à ce que les membres du personnel utilisent exclusivement le matériel fourni par l’organisation, y compris en cas de télétravail. L’organisation maintient alors le contrôle sur les flux de données et limite les risques d’intrusion qu’implique l’usage d’appareils en dehors du contrôle de l’organisation.

Les systèmes traitant les données et informations de l’organisation ne sont par ailleurs accessibles que par des appareils techniquement sous son contrôle, par exemple en installant un certificat sur les ordinateurs fournis aux membres du personnel, ce qui permet de vérifier techniquement l’origine de diverses requêtes. Ces mesures permettent de bloquer l’accès aux données et aux informations à un pirate informatique qui se serait emparé du compte d’un utilisateur.

8- Protection physique de la salle serveur

Si le réviseur d’entreprises dispose de son propre serveur au sein de son cabinet, il prend les mesures suivantes :

• l’accès à la salle serveur est sécurisé ou, si le serveur est dans une armoire dédiée, celle-ci est fermée à clé ;
• une alimentation électrique de secours est couplée au serveur ;
• un détecteur d’incendie ou de fumée est placé à proximité du serveur ;
• la salle (ou le rack) est suffisamment ventilé(e) ;
• si le serveur est au rez-de-chaussée ou dans un étage inférieur, des mesures réduisant l’impact d’une inondation sont prises. Par exemple, le serveur n’est pas installé sur le sol et une pompe à eau est prévue dans la pièce.

9- Destruction sécurisée du matériel informatique

Faire don de matériel usagé sans prendre les mesures de sécurité adéquates, même si l’initiative est louable, peut être à l’origine d’une violation de données à caractère personnel.

Détruire physiquement un disque dur permet de mitiger les risques de violation. Si un réviseur d’entreprises souhaite réutiliser ou donner du matériel usagé, il s’assure que les données ont été effacées à l’aide d’une technique appropriée, par exemple via l’intermédiaire de son fournisseur informatique. Il est par ailleurs recommandé de garder la preuve de l’acte de destruction du matériel informatique ou des données qui y sont contenues afin d’éviter toute mise en cause de la responsabilité du réviseur d’entreprises. Il y a lieu de garder à l’esprit que supprimer un fichier informatique et/ou vider la corbeille de l’ordinateur n’implique en aucune manière la suppression des données du disque et qu’un simple formatage rapide ne rend pas la récupération des données impossible. Des programmes dédiés existent pour effacer les données de manière exhaustive.

B. Mesures techniques

1- Backups

Le réviseur d’entreprises veille à ce que les données et informations critiques soient sauvegardées de manière régulière. Effectivement, en cas de défaillance de disques durs, de désastre environnemental, ou d’attaque de type ransomware, les backups feront office de filet de secours ultime afin de rétablir les opérations du cabinet.

Le réviseur veille à ce que les backups soient correctement sécurisés :

• les backups sont chiffrés. Ainsi, en cas de compromission du système hôte des backups, la fuite de données est limitée ;
• les backups sont soit offline, soit immutables. En stockant ses backups offline, c’est-à-dire sur un support déconnecté de tout réseau informatique, les backups sont hors de portée d’un hackeur qui essaierait de les effacer ou de les chiffrer dans le cadre d’une attaque de type ransomware, afin de forcer l’organisation à effectuer le paiement. Si les backups ne sont pas offline, il est également acceptable de les rendre immutables, c’est-à-dire qu’il est possible de les créer et de les lire, mais pas de les modifier ou de les effacer. La majorité des services de backups dans le cloud disposent de cette fonctionnalité ;
• les backups sont délocalisés. Ainsi, en cas de désastre environnemental, tel qu’un incendie dans la salle serveur, les backups peuvent encore être récupérés ;
• la restauration des backups est testée régulièrement, typiquement une fois par an. Ces tests permettent de s’assurer de leur bon fonctionnement en cas de besoin ;
• des notifications régulières sont envoyées afin de confirmer la réussite ou l’échec des backups et de détecter les erreurs le plus tôt possible. Alternativement, un monitoring est mis en place par le fournisseur IT ;
• si les backups contiennent des données à caractère personnel, ils sont stockés de préférence dans l’Espace économique européen et, dans la mesure du possible, auprès d’une société dont la souveraineté est européenne, afin de faciliter la conformité au RGPD.

2- Contrôle d’accès

Le réviseur d’entreprises veille à ce que les accès aux données et informations de son organisation ne soient octroyés qu’aux personnes autorisées. Ce contrôle d’accès inclut l’utilisation de comptes nominatifs authentifiés de manière forte (idéalement à l’aide d’une authentification à facteurs multiples). Les accès sont liés à des personnes ou à des groupes et sont revus à intervalles réguliers (typiquement, une fois par an).

Le réviseur utilise le principe du need-to-know, c’est-à-dire que les utilisateurs ont uniquement accès aux données dont ils ont besoin pour pouvoir exercer leurs fonctions.

3- Principe du moindre privilège

Le réviseur d’entreprises implémente le principe du moindre privilège, c’est-à-dire que les membres du personnel disposent du niveau de droits minimum nécessaire à l’exercice de leurs fonctions.

À titre d’exemples :

• les membres du personnel ont uniquement un accès en lecture seule pour les documents et dossiers qu’ils ne devront pas modifier ni supprimer ;
• les membres du personnel ne disposent pas des droits d’administrateur local de leur machine, ce qui réduit considérablement les risques d’installation de logiciels malveillants. Si, pour une raison quelconque, les droits d’administrateur local sont nécessaires, ceux-ci sont utilisés uniquement au moment opportun via un compte séparé (par exemple, pour mettre à jour un logiciel nécessitant de tels droits).

4- Cycle de vie des mises à jour de sécurité

Le réviseur d’entreprises veille à ce que les mises à jour de sécurité des composants du système d’information soient régulièrement appliquées.

Typiquement, et à une fréquence qui varie en fonction de différents facteurs tels que le niveau de classification du composant ou de son exposition aux menaces, les mises à jour sont installées lorsqu’elles sont disponibles ou en suivant un cycle récurrent.

Ces mises à jour ne se limitent pas aux « Windows Updates » des postes de travail bien connues, mais incluent aussi celles des logiciels, des serveurs, du VPN, du routeur, du pare-feu, du firmware des postes de travail, etc.

Un système qui ne dispose pas de mises à jour de sécurité peut généralement être compromis très facilement par un acteur malicieux. Le réviseur d’entreprises veille donc tout particulièrement à ce que les systèmes exposés à/ou interagissant avec l’internet disposent de l’installation de mises à jour de manière régulière. Soulignons que tout système exposé au monde extérieur, comme un VPN, est régulièrement scanné par les hackeurs. Lorsqu’une vulnérabilité est identifiée, le service est rapidement compromis par ces derniers qui pénètrent ainsi dans le réseau de l’entreprise. En général, ces étapes sont entièrement automatisées.

Idéalement, un processus de monitoring des vulnérabilités est mis en place. Ainsi, lorsqu’une vulnérabilité critique est identifiée, le processus d’installation de mise à jour peut être lancé immédiatement, sans attendre le prochain cycle. En effet, lorsqu’une vulnérabilité critique affecte un système interagissant avec le monde extérieur, chaque moment est précieux pour éviter sa compromission.

5- Protections anti-malware

Le réviseur d’entreprises veille à installer des logiciels anti-malware sur les composants du système d’information, tels que les postes de travail et les serveurs. Les mises à jour de sécurité de ces logiciels sont régulièrement installées, tout comme les mises à jour de leurs bases de données de connaissances. Notons qu’aucune solution anti-malware n’est capable de détecter tous les logiciels malveillants ou de détecter l’ensemble des attaques en cours.

6- Utilisation de la cryptographie

Le réviseur d’entreprises s’assure que des mesures de cryptographie adéquates sont mises en place. Par exemple, tous les échanges de données devraient en principe être chiffrés, en particulier lorsqu’ils passent à travers des réseaux non fiables comme l’internet. Le réviseur évalue notamment l’utilisation du chiffrement de bout en bout qui réduit les risques de violations de données, en empêchant la lecture des données par le fournisseur de service. Les protocoles de chiffrement des données respectent les standards, qui évoluent au fil du temps.

Pour citer quelques exemples et comme explicité en amont, les backups et les supports de données mobiles sont chiffrés. D’autres exemples sont l’échange de flux de données/informations en business to business (B2B) ainsi que les e-mails.

Nous devons toutefois ajouter que le cryptage des données n’est pas toujours évident en ce qui concerne la profession de réviseur d’entreprises. En Asie, par exemple, il existe une interdiction quasi totale du cryptage⁶.

7- Réseau séparé pour les visiteurs

Lorsque le réviseur d’entreprises offre une connexion internet à ses visiteurs, généralement via un réseau wifi, il veille à ce que ce réseau soit séparé de celui de l’organisation afin de réduire les risques d’intrusions.

4. Mesures spécifiques liées à la protection des données à caractère personnel

Certaines mesures supplémentaires à celles déjà décrites en amont sont requises spécifiquement pour assurer la protection des données à caractère personnel et assurer la conformité des traitements de données au RGPD.

Afin de les identifier, le réviseur d’entreprises prendra soin d’élaborer son registre des activités de traitements de données à caractère personnel. Le registre décrit les opérations de traitements réalisées par l’organisation. La tenue du registre est imposée par l’article 30 du RGPD et doit contenir les coordonnées du responsable du traitement et, le cas échéant, de son délégué à la protection des données, la description des finalités poursuivies, le détail des catégories de données à caractère personnel traitées, la liste des destinataires des données, etc. Ce registre est à la disposition de l’Autorité de protection des données qui peut y demander accès à tout moment.

En prenant conscience des traitements effectués au sein de son cabinet, le réviseur d’entreprises est capable d’identifier les mesures spécifiques qu’il doit mettre en œuvre afin de garantir la protection des données à caractère personnel (mesures d’informations à l’égard des personnes concernées, rédaction d’une politique de gestion des cookies, réalisation d’une analyse d’impact à la protection des données lorsque des technologies innovantes sont utilisées, etc.). Ces mesures spécifiques sont utilement reprises dans un plan d’actions de mise en conformité.

5. Conclusions

Tout au long de cette contribution, des mesures indispensables à prendre pour assurer la sécurité de l’information et la protection des données à caractère personnel ont été décrites. L’adoption de ces mesures permet au réviseur d’entreprises de limiter les risque de cyberattaques et d’atteintes aux données à caractère personnel. Le réviseur veille à identifier les mesures supplémentaires nécessaires en fonction des traitements qu’il effectue.

Avec l’utilisation croissante des nouvelles technologies, les règles en matière de sécurité de l’information et de protection des données à caractère personnel complètent l’obligation de secret afin d’assurer leur confidentialité, leur intégrité et leur disponibilité. En effet, le secret professionnel n’a pas pour vocation de protéger le réviseur d’entreprises contre le piratage informatique ou les incidents informatiques involontaires ayant des impacts sur les données.

Les obligations légales en termes de sécurité sont utilement complétées avec les mesures et exigences que l’on retrouve dans les standards tels que ISO 27001, NIST 800-53 ou le CyberFundamentals de la CCB, dont le réviseur peut largement s’inspirer et dont les grands principes sont repris dans la présente contribution. Comme indiqué en amont, les risques liés à la protection des données peuvent également avoir un impact sur l'organisation du cabinet, en particulier sur l'évaluation de certains risques liés à la qualité et sur la nécessité de mettre en place des contrôles supplémentaires pour atténuer ces risques. Tous les risques liés à la protection des données ne conduisent pas nécessairement à des risques de qualité découlant de la norme ISQM-1. À cet égard également, il convient de faire preuve de discernement professionnel.

Précisons encore que l’Institut des Réviseurs d’Entreprises soutient les cabinets dans leur démarche de mise en place des mesures techniques et organisationnelles appropriées. Ainsi, l’Institut propose les services d’un délégué à la protection des données mutualisé pour le secteur, dont les services permettent de s’assurer de la bonne conformité au RGPD.

Le service d'un délégué à la protection des données mutualisé est ouvert aux cabinets de révision, sur une base volontaire et pour un prix avantageux.

Les avantages pour la profession sont nombreux :

• image de la profession : moderne, axée sur les nouvelles technologies, sécurité juridique & informatique ;
• prise en charge centralisée des tâches à accomplir ;
• mise en place de processus harmonisés pour la profession ;
• garantie d’avoir un DPO indépendant ;
• point de contact unique avec l’Autorité de protection des données ;
• point de contact unique pour les personnes concernées (citoyens, clients, employés) ;
• support concernant toutes les questions liées à la protection des données à caractère personnel.

Pour toute information complémentaire à ce sujet, n’hésitez pas à vous adresser dès à présent à info@privanot.be.

La protection des données et la sécurité de l’information ne doivent donc pas être considérées comme un frein au développement de la profession du réviseur d’entreprises ou comme une perte de temps mais doivent, au contraire, être perçues comme la garantie de sa pérennité et de son évolution dans le monde dématérialisé qui l’entoure.