RGPD et Experts comptables

22/11/2023

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018 avec un double objectif : donner plus de contrôle aux individus sur leurs données, tout en responsabilisant les entités qui les traitent. Les experts comptables n’échappent pas à cette règlementation puisque, dans le cadre de leurs missions, ils sont évidemment confrontés aux données personnelles de leurs clients, collaborateurs et autres.

Néanmoins, respecter le RGPD n’est pas seulement une obligation légale à laquelle tout organisme doit se conformer. C’est également un gage de confiance et un outil de développement commercial à part entière. Au même titre qu’une certification ISO27001 concernant la cybersécurité, garantir à vos clients que vous protégez leurs données personnelles et celles que leurs clients est un moyen de remporter des appels d’offres, conquérir de nouveaux marchés et développer votre clientèle.

Au lieu de faire du RGPD une source de coûts, booster votre cabinet d'experts comptables avec notre guide RGPD.

Pourquoi le RGPD concerne tous les experts comptables ?

Les données traitées par l’expert-comptable sont soumises au RGPD

Le RGPD s’applique dès lors que l’organisme opère des traitements sur des données à caractère personnel. Certes, toutes les données ne sont pas concernées mais il convient d’avoir en tête que la définition est volontairement si large qu’elle englobe beaucoup de données.

Ainsi, une donnée à caractère personnel est toute information directe ou indirecte se rapportant à une personne physique identifié ou identifiable (article 4 RGPD). Ainsi, les renseignements pouvant, directement ou non, être reliés à un individu sont considérés comme des données personnelles.

⚠️ Même dans une relation B2B il y a de la donnée à caractère personnel dans la mesure où derrière une entreprise se cache toujours une personne physique. Et dans ce cas, la donnée personnelle sera relative à l’email professionnel et l’identité de la personne physique représentant l’entreprise.

Les cabinets d’experts comptables opèrent généralement des traitements de données personnelles suivants :

  • Identité, contact de vos prospects et clients. Par exemple, l’email professionnel de votre client etc.
  • Toutes les informations que vous détenez sur vos collaborateurs (salariés, stagiaires, alternant etc.).
  • ⚠️ N’oubliez pas les données personnelles que votre client B2B pourraient vous transmettre sur ses clients B2C.

Toutes ces données personnelles doivent être protégées au titre du RGPD.

Les sanctions encourues par l’expert-comptable au titre du RGPD

En cas de contrôle de la CNIL, si une non-conformité majeure devait être relevée, l’expert-comptable, en tant qu’entreprise, peut écoper d’une amende pouvant aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial, selon le montant le plus élevé. Par ailleurs, si le manquement cause des dommages aux clients, il pourrait engager sa responsabilité professionnelle vis-à-vis de ces derniers.

Au-delà de cette menace juridique, une faille dans le traitement et la sécurité des données risque d’entacher durablement la réputation d’un cabinet. Comme évoqué en introduction, le RGPD est à la fois un moyen de développer sa clientèle mais à l’inverse, en cas d’amende de la CNIL, de plainte, de signalement ou de faille de sécurité, c’est un coût réputationnel inestimable et la confiance de votre clientèle durablement fragilisée.

Expert comptable : responsable de traitement ou sous-traitant ?

En tant qu'expert-comptable, vous endossez deux statuts différents au regard du RGPD : responsable de traitement ou sous-traitant.

  • Vous êtes responsable de traitement pour les données de vos clients que vous traitez pour votre propre compte dans le cadre de votre mission d'expertise comptable (tenue de comptabilité, réalisation de bilans comptables etc.). En tant que responsable de traitement, vous déterminez les finalités et les moyens du traitement de ces données.
  • Vous êtes sous-traitant pour les données que vous traitez pour le compte de vos clients dans le cadre d'une prestation externalisée par ceux-ci. Par exemple, si un client vous confie la gestion de sa paie, vous êtes alors sous-traitant pour le traitement des données salariales, le client restant responsable du traitement.

En tant que sous-traitant, vous ne décidez pas des finalités ni des moyens du traitement, vous agissez uniquement sur instruction du responsable de traitement. Votre rôle se limite à traiter les données personnelles pour le seul compte du responsable de traitement, selon ses directives.

Cette distinction est importante car elle emporte des obligations différentes au titre du RGPD. Le responsable de traitement porte la responsabilité principale de la conformité tandis que le sous-traitant voit son rôle et ses obligations définis contractuellement.

Dans un cas comme dans l'autre, la relation avec votre client doit être encadrée par un contrat sous-traitant dont le contenu est fixé par l’article 28 RGPD.

La conformité RGPD d’un expert-comptable en 3 étapes clés

Etape n°1 - Construire votre registre de traitements

Le responsable du traitement , dixit un cabinet d'experts comptables, doit tenir un registre relatif aux traitements de données mis en œuvre sous sa responsabilité (article 30 du RGPD). Il s’agit d’un document qui rassemble toutes les informations sur vos traitements de données personnelles : quelles types de données sont collectées, comment l’organisme les utilise, pendant combien de temps etc.

L’article 30 RGPD précise que c’est une obligation pour tout organisme, dès lors que les traitements ne sont pas occasionnel. Or, au regard de l’activité de l’expert-comptable et du volume de données que lui transmettent ses clients, ce dernier ne peut échapper à son obligation de tenir un registre et de documenter régulièrement sa conformité.

Ce registre est un outil de pilotage par excellence. Dans le détail, l’ensemble des informations suivantes doivent être tenues à jour :

  • Les contacts des individus impliqués dans les opérations :
  • Contact du responsable de traitement (votre organisme),
  • De vos sous-traitants, c’est à dire les entreprises par lesquelles vous passez pour votre activité : prestataires de service, logiciel SaaS, hébergement etc.
  • De la personne en charge du sujet RGPD dans votre organisme. Il peut s'agir du délégué à la protection des données personnelles (DPD) ou en anglais DPO si vous en avez un. C’est une obligation dans certain cas. N’hésitez pas à jeter un oeil à notre article sur le sujet.
  • Les entités ayant accès à ces informations (au minimum, les départements concernés).
  • Les types de données personnelles récoltées. Basez-vous sur un schéma détaillé de vos données.
  • Les groupes d'individus touchés. Plusieurs groupes peuvent être visés par le traitement, tels que les clients, prospects, membres du personnel, ex-employés, prestataires et autres.
  • La base légale. C'est la justification légale qui vous donne le droit de rassembler des données personnelles (article 6 RGPD). Six situations permettent, selon le RGPD, la collecte et le traitement des données : le contrat, le consentement, la loi, l’intérêt légitime, l’intérêt public ou l’intérêt vital. Ces deux derniers cas concernent moins souvent votre secteur d’activité.
  • La finalité. C'est la justification pour laquelle vous rassemblez ces données. C'est un point crucial car vos actions futures seront définies par cet objectif (article 5 RGPD). Par exemple, vous pouvez spécifier que vous gérez une CVthèque pour vos besoin en matière de ressources humaines. Votre exploitation des données doit être en accord avec l'objectif fixé.
  • La période pendant laquelle les données sont gardées. Selon le RGPD, aucune donnée personnelle ne peut être stockée de manière permanente. Les responsables du traitement doivent fixer une période de conservation ou, au moins, un procédé pour la définir.
  • Les mesures de sécurité qui servent à protéger ces données contre toute violation de donnée (fuite, vol, perte, destruction etc.)

Etape n°2 - Mettez en place des mesures de sécurité solide

La protection des données personnelles des personnes consiste essentiellement à garantir que toutes les systèmes informatiques soient suffisamment sécurisé pour empêcher une fuite de données. C’est ce que le RGPD appelle une “violation de données personnelles”. Cette expression correspond à l’accès, la disparition ou la modification non autorisé des données. Pour prévenir ce risque, le responsable de traitement, en l’occurence le cabinet d’expert comptable, doit prévoir et décrire les mesures de sécurité qui sont mises en place.

Il en existe trois types : les mesures de sécurité techniques, organisationnelles et physiques. Voici quelques exemples de mesure que votre cabinet pourraient mettre en place :

  • utilisation de méthodes comme la pseudonymisation, l’anonymisation et le chiffrement pour protéger les données personnelles ;
  • mise en place d’outils assurant en permanence la confidentialité, l'intégrité, et la disponibilité des systèmes de traitement des données ;
  • sélection de solutions pour restaurer rapidement l'accès aux données personnelles en cas de problèmes techniques ou physiques ;
  • adoption d’un processus pour tester et évaluer l'efficacité des mesures de sécurité ;
  • la signature d’une clause de confidentialité par l’ensemble des collaborateurs ;
  • la sécurisation de l’accès au bâtiment accueillant le cabinet (badge d’accès etc.) ;
  • un data center protégé de tout accès ou incident ;
  • la sensibilisation des collaborateurs au sujet du RGPD et des bonnes pratiques.

L’ensemble de ces mesures doivent être renseignées dans le registre des traitements et/ou dans un document dédié appelé Politique de mesures de sécurité. C’est un élément essentiel dans la réassurance de vos partenaires et de vos clients.

Etape n°3 -  Droits des personnes RGPD et experts comptables

L'un des fondements de la protection des informations personnelles porte sur les droits des personnes concernées : droit d’accès, droit à la portabilité, droit d’opposition, droit à l'information, droit de rectification, droit à l’effacement etc.

Pour l'expert-comptable, responsable du traitement des données, ces droits se traduisent par l'obligation d'informer les personnes sur l'utilisation de leurs informations mais aussi de répondre à leurs demandes (effacement, portabilité, rectification...) dans le délai d'un mois hors demande complexe.

Cependant, vu la spécificité du métier d'expertise comptable, ces droits doivent s'articuler avec les contraintes de la profession et l’ensemble de la règlementation à laquelle il est soumis concernant ce qu'il peut et doit faire des dossiers de ses clients (contenant de nombreuses données personnelles).

Concrètement, l'expert-comptable peut être confronté à deux types de demandes d'exercice de droits :

Concernant une requête d'un client

Lorsqu'un client décide de changer d'expert-comptable et donc de récupérer son dossier, l'expert-comptable a l'obligation de transmettre l'intégralité du dossier. Il convient d’articuler les contraintes du RGPD avec les contraintes du métier. Il en va de même pour la suppression des données qui est régie par une procédure très encadrée. Quoi qu'il en soit, il faut tenir le client informé de tous les éléments de la procédure.

Concernant une demande d'un collaborateur

Tout ex-collaborateur ou candidat (n’étant pas allé au bout de la procédure de recrutement) est légitime à demander la suppression de l’ensemble de ces données. Attention, ce droit doit s’articuler avec votre intérêt légitime à conserver certaines données, notamment pour constituer une preuve en vue d’une éventuelle action en justice, notamment concernant un ancien collaborateur. Vous avez ainsi l’obligation de donner suite à sa demande concernant ses données (accès, modification, opposition) tout en conservant certaines données 5 ans après le départ du collaborateur car cette durée correspond, en général, à la prescription légale pour une action en justice. Après cette date, votre cabinet n’aura plus d’intérêt légitime à conserver ces données.

Informez l’ensemble des personnes concernées via une Politique de Confidentialité

L'information transparente sur l'utilisation des données personnelles est un droit essentiel accordé par l’article 13 et 14 du RGPD. Les entreprises ont le devoir de clarifier leur gestion des données via une Politique de confidentialité. Celle-ci permet à chaque personne de comprendre comment ses informations sont gérées et comment ils peuvent exercer leurs droits.

Sachez aussi qu'en cas de contrôle par la CNIL, la première vérification s'effectue en ligne via votre site web”. Sa présence et sa qualité sont donc essentielles pour garantir la sécurité juridique de votre cabinet.

Votre Politique de Confidentialité doit contenir les informations suivantes :

  • Identité et coordonnées du responsable des données et du délégué à la protection des données (DPO) si vous en avez un.
  • Types de données collectées.
  • La finalité de la collecte (son but).
  • Base légale du traitement (le fondement légal vous autorisant à les collecter).
  • Destinataires des données (vos outils, sous-traitants, logiciels, personnes habilitées à avoir accès aux données).
  • Durée de conservation des données en fonction de vos traitements.
  • Droits des personnes (accès, rectification, effacement, opposition, portabilité etc.) et la manière dont ils peuvent les exercer.  de portabilité des données pour les utilisateurs
  • Mesures de sécurité mises en place
  • Et la mention de la possibilité, pour toute personne, de former une réclamation auprès de la CNIL.

RGPD et expert-comptable : nos tops 5 recommandations

✅ Identifiez votre responsabilité dans les données : responsable de traitement ou sous-traitant.

✅ Recensez toutes les données que vous traitez et construisez votre registre des activités de traitement.✅ Mettez en place des mesures de sécurité solide pour garantir aucune fuite de données.

✅ Informez les personnes de leurs droits et n’oubliez pas de rédiger un contrat sous-traitant conforme à l’article 28 du RGPD.

✅ Aidez-vous du logiciel RGPD Leto pour pilotez l’ensemble de ces sujets.

A propos de l'auteur
Garance Bouvet

Avocate de formation, Garance a plus de 10 années d'expérience en droit public, droit constitutionnel et est experte en protection des données personnelles.

Cela pourrait vous intéresser

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?