Conscients des risques et des enjeux qui étaient les leurs, les bailleurs sociaux ont de manière très volontaire et dynamique, aidés en cela par leurs fédérations, mis en œuvre leur conformité au RGPD et à la loi Sapin 2.
Ils ont déployé les moyens nécessaires pour élaborer leur cartographie des risques et leur registre, se doter d’un outil d’alerte, d’un DPO et d’un référent externalisé ou non et d’un ensemble de procédures. Maintenant que ces dispositifs de conformité sont en place, il est possible d’en mesurer toute la fragilité. Il suffit d’une mutation, d’un départ pour que tout s’arrête ou qu’a minima l’édifice soit fragilisé.
Les questions qui nous nous fréquemment posées sont maintenant, « qu’est-ce que je fais avec toutes ces démarches, comment est-ce que je les anime, comment puis-je les coordonner ? »
Une partie de la réponse est dans l’épisode 1 de cette série, à savoir dans le contrôle interne.
Reprenons Sapin 2 et ses 8 exigences : une cartographie des risques, des procédures comptables, de la formation, des procédures éthiques (code de conduite, politique cadeau…), une gouvernance. Reprenons en parallèle les exigences du RGPD : un registre de traitement qui n’est ni plus ni moins que le recensement des enjeux et des risques en matière de traitement des données personnelles, des procédures, de la formation, une gouvernance.
Les similitudes sont grandes entre les deux mais elles sont surtout grandes avec le contrôle interne. Les composantes de Sapin 2 et du RGPD ne sont ni plus ni moins que les composantes d’un dispositif de contrôle interne orienté pour l’un sur la corruption pour l’autre sur les données personnelles. En effet, Sapin 2 et RGPD sont des dispositifs de maîtrise de risques opérationnels et comportent les mêmes briques qu’un dispositif de contrôle interne. Ils viennent donc et doivent naturellement se greffer au système de management du contrôle interne pour n’en former qu’un seul.
Ainsi, le contrôle du respect des procédures Sapin 2 et RGPD vient facilement enrichir les référentiels de contrôle, et l’animation, la mise à jour des cartographie et registre s’inscrivent dans la logique de mise à jour des risques du contrôle interne ; l’assurance que ces dispositifs sont efficaces relève de l’audit interne qui peut ajouter à ses programmes d’audit la dimension Sapin 2 et RGPD.
L’efficacité et la pérennité de ces démarches passeront par cette intégration, il n’est pas envisageable de faire perdurer dans le temps des systèmes parallèles, ils n’y survivront pas.
