|
La présente annexe donne un aperçu général des services que les CA et les CPA en cabinet (praticiens) peuvent offrir en s’appuyant sur les principes généralement reconnus en matière de protection des renseignements personnels (PPRP). Les praticiens peuvent obtenir des indications supplémentaires auprès de l’Institut Canadien des Comptables Agréés (ICCA) ou de l’AICPA (voir www.icca.ca et www.aicpa.org/privacy). Missions de conseil relatives à la protection des renseignements personnels Les praticiens peuvent fournir toute une gamme de services conseils à leurs clients, notamment en matière de stratégie, de diagnostic et de mise en œuvre ainsi que de services de soutien et de gestion, en s’appuyant sur les PPRP et leurs critères. Il pourrait s’agir de conseiller les clients sur les faiblesses des systèmes, d’évaluer les risques et de recommander une ligne de conduite en prenant les PPRP et leurs critères pour référence. Aux États-Unis, les praticiens qui fournissent de tels services conseils suivent le chapitre CS 100 du Statement on Standards for Consulting Services, «Consulting Services: Definition and Standards» (AICPA Professional Standards, vol. 2). Au Canada, le Manuel de l’ICCA ne contient pas de norme visant la prestation de services conseils. Missions d’attestation et de certification relatives à la protection des renseignements personnels Les praticiens peuvent également utiliser les PPRP pour fournir des services d’attestation et de certification à leurs clients, qui aboutissent généralement à la délivrance d’un rapport destiné à des tiers. La nature de ces services ainsi que les normes professionnelles qui s’y rattachent et les types de rapport auxquels ils peuvent respectivement donner lieu sont décrits ci-dessous. Missions de vérification relatives à la protection des renseignements personnels Les normes américaines pertinentes à l’égard des missions d’attestation sont consignées dans les Statements on Standards for Attestation Engagements. Les normes canadiennes pertinentes à l’égard des missions de certification sont énoncées dans le chapitre 5025 du Manuel de l’ICCA – Certification. Les missions d’attestation et de certification relatives à la protection des renseignements personnels sont définies en fonction de ces normes. On s’attend à ce que les praticiens se conforment aux exigences des normes professionnelles pertinentes. Les missions de vérification sont conçues pour fournir un niveau élevé, quoique non absolu, d’assurance à l’égard des éléments considérés ou d’une assertion. Le praticien élabore à cette fin des procédés de vérification qui, selon son jugement professionnel, ramènent à un niveau faible le risque d’aboutir à une conclusion inappropriée. Des modèles de rapports du vérificateur portant sur la protection des renseignements personnels sont présentés à l’Annexe C. Les concepts clés qui suivent s’appliquent aux missions de vérification relatives à la protection des renseignements personnels : - Un rapport du vérificateur ayant trait à la protection des renseignements personnels couvre normalement les dix principes. Tous les critères pertinents énoncés à l’égard de chacun de ces principes doivent être remplis pendant la période visée par le rapport pour que le praticien puisse délivrer un rapport sans réserve[1],[2].
- Le travail doit être effectué de façon à obtenir un degré d’assurance du niveau «vérification» ou équivalent.
- La mission peut porter 1) soit sur l’ensemble des renseignements personnels ou sur certains types seulement comme les renseignements sur les clients ou les renseignements sur les employés et 2) sur toutes les unités d’exploitation de l’entité dans son ensemble et tous les endroits où elle mène des activités ou encore sur certaines de ses unités d’exploitation seulement (les activités de vente au détail et non les activités de fabrication, ou encore seulement les activités menées par le truchement du site Web de l’entité ou de domaines Internet spécifiés) ou sur des activités menées dans un endroit précis (au Canada, par exemple). En outre :
- l’avis sur la protection des renseignements personnels devrait soit 1) être aisément accessible aux utilisateurs du rapport du vérificateur et clairement mentionné dans l’assertion de la direction et le rapport, soit 2) accompagner l’assertion de la direction et le rapport du vérificateur.
- l’étendue de la mission doit généralement cadrer avec la description des entités et des activités dont il est question dans l’avis qu’elle diffuse au sujet de la protection des renseignements personnels (voir le critère 2.2.2). L’étendue de la mission peut être plus étroite que la portée de l’avis mais elle ne peut l’excéder;
- la mission doit couvrir toutes les activités d’un cycle informationnel relatives aux renseignements personnels en cause. Ces activités doivent notamment comprendre la collecte, l’utilisation, la conservation, la communication et la suppression ou la désidentification des renseignements. Le fait de déterminer une unité d’exploitation ne comportant pas un cycle complet pourrait induire en erreur l’utilisateur du rapport du praticien;
- si des renseignements personnels identifiés couverts par le travail de vérification sont amalgamés à des renseignements personnels non couverts, la mission de certification relative aux renseignements personnels doit tenir compte des contrôles appliqués pour tous les renseignements à partir du moment où ils sont amalgamés;
- le rapport du praticien doit ordinairement porter sur une période définie (d’au moins deux mois); toutefois, le premier rapport délivré par le praticien peut être un rapport ponctuel.
Assertion de la direction Selon les normes d’attestation de l’AICPA, pour une mission de vérification, le praticien devrait normalement obtenir une assertion écrite de la direction. Si celle-ci refuse d’en fournir une, le praticien peut tout de même délivrer un rapport sur les éléments considérés; cela dit, la forme de son rapport sera fonction des circonstances[3]. Selon les normes de l’AICPA, le praticien peut faire rapport, soit sur l’assertion de la direction, soit sur les éléments considérés. Lorsque le praticien fait rapport sur l’assertion, celle-ci devrait accompagner le rapport du praticien ou bien être citée dans le premier paragraphe du rapport[4]. Lorsque le praticien fait rapport sur les éléments considérés, il peut juger utile de demander à la direction de mettre une assertion à la disposition des utilisateurs de son rapport. Selon les normes de certification de l’ICCA, le praticien peut faire rapport, soit sur une assertion de la direction portant sur les éléments considérés, soit directement sur les éléments en question. Lorsque le praticien fait rapport sur l’assertion de la direction, celle-ci devrait accompagner son rapport. Lorsqu’il fait rapport directement sur les éléments considérés, il n’est pas tenu d’obtenir une assertion écrite de la direction. En ce cas, cela dit, il est tenu d’établir par d’autres voies la responsabilité de la direction en ce qui concerne les éléments considérés : c’est une condition fondamentale de la réalisation de la mission. Dans le cas d’une vérification ayant trait à la protection des renseignements personnels, on estime qu’une mission fondée sur une assertion est plus appropriée qu’une mission consistant à faire rapport directement sur les éléments considérés. En fournissant une assertion mise à la disposition du public, la direction reconnaît explicitement qu’elle est responsable des éléments considérés. Missions d’examen de la protection des renseignements personnels Une mission d’examen constitue un type de mission d’attestation ou de certification. Cependant, l’expression «examen de la protection des renseignements personnels» est souvent utilisée à tort pour désigner une vérification ou certains types de missions de conseil concernant la protection des renseignements personnels, par exemple une mission de diagnostic ou une mission visant à tirer des conclusions et à formuler des recommandations ayant trait à la protection des renseignements personnels. Afin de réduire le risque de voir le praticien ou le client mal interpréter les besoins ou les attentes de l’autre partie, le praticien devrait s’entendre avec le client sur les détails du service à fournir et le type de rapport à délivrer. Une mission d’examen, au sens où l’on entend ce terme dans les normes professionnelles, est un type de mission d’attestation ou de certification qui consiste, pour le praticien, à indiquer dans un rapport s’il a découvert des informations, compte tenu des travaux effectués, signalant que les éléments considérés ne sont pas conformes à certains critères ou que l’assertion de la direction ne donne pas une image fidèle des éléments considérés à tous les égards importants, au regard de certains critères. Les procédures mises en œuvre pour étayer le rapport d’examen du praticien se limitent à la prise de renseignements, aux procédures analytiques et aux entretiens. De l’avis du Groupe de travail mixte AICPA-ICCA sur la protection des renseignements personnels, ces types de procédures et l’assurance limitée que procure une mission d’examen ne seraient pas adéquats pour répondre aux besoins de la plupart des parties ayant des exigences ou des attentes en matière de protection des renseignements personnels dans le cas où on attend de l’entité qui fait rapport qu’elle démontre sa conformité avec les principes et les critères généralement reconnus en matière de protection des renseignements personnels. En conséquence, il n’est fourni aucune indication sur la réalisation d’une mission d’examen ayant trait aux renseignements personnels. Missions d’application de procédés de vérification spécifiés Dans le cadre d’une mission d’application de procédés de vérification spécifiés, le praticien met en œuvre des procédés spécifiés, convenus entre les parties[5], et présente ses constatations. Il n’exécute pas la vérification ou l’examen d’une assertion ou des éléments considérés, et n’exprime ni une opinion ni une assurance de forme négative à l’égard de l’assertion ou des éléments considérés[6]. Dans ce type de mission, le rapport du praticien prend la forme d’une description des procédés mis en œuvre et des constatations dégagées. Les principes et les critères généralement reconnus en matière de protection des renseignements personnels peuvent être appliqués dans le cadre de ces missions. Ce type de travail n’aboutirait pas à la délivrance d’un rapport du vérificateur, mais d’un rapport qui présente les procédés spécifiés et les constatations respectivement correspondantes. Les procédés spécifiés pourraient porter sur un sous-ensemble du système de l’entité ou un sous-ensemble des principes ou encore les deux. Ainsi, une entité peut demander à un praticien d’appliquer des procédés spécifiés en utilisant des critères choisis parmi les principes généralement reconnus en matière de protection des renseignements personnels et de présenter ses constatations. Au Canada, les missions portant sur des procédés spécifiés sont permises, bien qu’elles ne soient pas considérées comme des missions de certification au sens du chapitre 5025 du Manuel de l’ICCA – Certification. À l’instar des besoins des utilisateurs, la nature, le calendrier d’application et l’étendue des procédés spécifiés peuvent varier considérablement. Par conséquent, les utilisateurs déterminés et le client ont la responsabilité de déterminer si les procédés spécifiés sont suffisants, car ils sont les plus à même de connaître leurs propres besoins. L’utilisation d’un tel rapport se limite aux parties spécifiées qui ont convenu des procédés à appliquer. Liens entre les principes généralement reconnus en matière de protection des renseignements personnels et les principes et critères des services Trust Les principes généralement reconnus en matière de protection des renseignements personnels font partie des Principes et critères des services Trust de l’ICCA et de l’AICPA, qui sont fondés sur un cadre de référence commun (c’est-à-dire un ensemble de principes et critères de base) pour la prestation de services professionnels d’attestation ou de certification ainsi que de conseil. Les Principes et critères des services Trust[7] ont été élaborés par des groupes de travail formés de bénévoles, sous les auspices de l’ICCA et de l’AICPA. Les autres principes et critères des services Trust sont les suivants : - Sécurité. Le système est protégé contre les accès non autorisés (aussi bien physiques que logiques).
- Accessibilité. Le système est accessible à des fins d’exploitation et d’utilisation, comme promis ou convenu.
- Intégrité du traitement. Le système effectue un traitement intégral, exact, rapide et dûment autorisé.
- Confidentialité. Les renseignements désignés comme étant confidentiels sont protégés comme promis ou convenu.
Les principes et critères sont décrits plus en détail sur www.aicpa.org/TrustServices.
[1] Voir l’Annexe C, «Modèles de rapports du vérificateur portant sur la protection des renseignements personnels». [2] Dans certains cas (comme dans un rapport sur un tiers fournisseur de services), un rapport spécial sur la protection des renseignements personnels portant sur certains des dix principes pourrait être délivré. Il est recommandé que ces rapports indiquent que les principes dont il n’est pas fait mention sont essentiels à l’obtention d’une assurance globale à l’égard de la protection des renseignements personnels et qu’il s’agit de rapports à usage restreint. [3] Voir le chapitre 1 du Statement of Standards on Attestation Engagements (SSAE) No. 10 (AT sec. 101.58) pour une description des choix qui s’offrent au praticien, lorsqu’il n’obtient pas d’attestation de la direction. [4] Voir le chapitre 1 du SSAE No. 10 (AT sec. 101.64). [5] Les utilisateurs déterminés du rapport conviennent avec le praticien des procédés qui seront mis en œuvre par ce dernier. [6] Aux États-Unis, les missions portant sur l’application de procédés spécifiés sont exécutées conformément au paragraphe .15 du chapitre 191 de l’AT. Au Canada, il n’existe pas de règles générales concernant les procédés spécifiés. Le praticien pourrait toutefois se reporter aux indications contenues dans le chapitre 9100 du Manuel de l’Institut Canadien des Comptables Agréés (ICCA), qui énonce les normes relatives à l’application de procédés de vérification spécifiés à des informations financières autres que des états financiers. Dans les missions d’application de procédés de vérification spécifiés, le praticien est chargé de faire rapport à des utilisateurs déterminés sur les résultats de l’application de procédés spécifiés. Lorsqu’il applique ces procédés, le praticien n’exprime pas de conclusion relativement aux éléments considérés parce qu’il ne met pas nécessairement en œuvre tous les procédés qui, selon son jugement, seraient nécessaires pour fournir un niveau d’assurance élevé. Le rapport du praticien énonce plutôt les résultats factuels de l’application des procédés, y compris les exceptions relevées. [7]WebTrust et SysTrust correspondent à deux offres de services spécifiques élaborées par l’ICCA et l’AICPA qui sont fondés sur les Principes et critères des services Trust. Les praticiens doivent détenir un permis de l’ICCA pour pouvoir utiliser les sceaux WebTrust ou Systrust. Lorsque la mission ayant trait à la protection des renseignements personnels englobe une unité d’exploitation en ligne et que l’entité a reçu un rapport de vérification ne comprenant ni réserve ni limitation de l’étendue des travaux, l’entité peut choisir d’afficher le sceau WebTrust pour la protection des renseignements personnels en ligne. Pour de plus amples renseignements sur l’obtention de permis et les missions sur la protection des renseignements personnels en ligne, voir www.webtrust.org. |
