Le règlement général sur la protection des données (RGPD) a pour objectif de redonner la maîtrise de leurs données aux utilisateurs et de responsabiliser les entreprises qui les manipulent. Or, les cabinets d’experts-comptables sont amenés à traiter deux types de données personnelles : celles de leurs clients (financières, fiscales, sociales, etc.) et celles de leurs collaborateurs. Quelles règles spécifiques s’appliquent dans ce contexte ?

Expert comptable et RGPD, quels enjeux ?

Les données traitées

Les experts-comptables manipulent et traitent une quantité importante de données sensibles liées aux finances et à la gestion des entreprises. ☢️ Ces données incluent des informations personnelles, financières et parfois carrément top secret : le RGPD exige de porter une attention particulière à la protection de la vie privée des individus.

Une donnée personnelle, kézako ? Cela désigne une information liée à une personne physique, identifiable directement ou indirectement, comme un numéro de sécurité sociale ou la mention de la situation familiale.

Les experts-comptables mettent donc en place des mesures de sécurité pour garantir la confidentialité, l'intégrité et la disponibilité de ces informations. 🛡️ Et puis, ils doivent informer clairement leurs clients sur la manière dont les données sont traitées, obtenir leur consentement lorsque cela est nécessaire, et s'assurer que les processus de traitement sont conformes aux principes du RGPD. Car en cas de non-conformité, attention aux sanctions !

Garanties de sécurité

Tels des chevaliers en armure, les experts-comptables doivent protéger les informations qu’ils manipulent au quotidien. Pour cela, pas d’épée ou de pique, mais la mise en place de protocoles de cryptage, de pare-feu et autres dispositifs de protection pour assurer la confidentialité des données. ⚔️

Comme il est important de choisir ses batailles, les experts-comptables doivent appliquer une politique stricte de gestion des accès et n’autoriser la consultation des informations sensibles qu’aux personnes autorisées, ou adoubées. La sensibilisation de l’ensemble des collaborateurs sur les principes du RGPD et les meilleures pratiques en matière de sécurité est essentielle pour prévenir les erreurs humaines.

Autre tactique, des audits réguliers de sécurité et des évaluations des risques permettent d’identifier et corriger les éventuelles vulnérabilités.

Désignation d’un DPO

Le délégué à la protection des données (DPO, pour Data Protection Officer) supervise et gère les aspects liés à la protection des données au sein du cabinet. Aussi, il conseille et informe sur les obligations, surveille la conformité aux règlements européens et coopère avec les différentes autorités de contrôle. 💂

La désignation d'un DPO n’est pas obligatoire mais facilite l’organisation interne pour répondre aux enjeux liés à la confidentialité et à la sécurité des informations. Cela renforce également la confiance des clients dans la gestion responsable et éthique de leurs données financières et personnelles. L’idéal est donc d’avoir un référent RGPD dans l’équipe, et si personne ne se sent d’attaque, il est tout à fait possible de recourir à un DPO externalisé.

Les sanctions encourues

Les autorités de contrôle surveillent de près le traitement illégal de données, le défaut de consentement, ou encore le manquement aux obligations de sécurité. La Commission nationale de l'informatique et des libertés (CNIL) impose des amendes en cas de violation des dispositions du RGPD. 🚨

Ces sanctions financières peuvent atteindre des montants considérables, en fonction de la nature et de la gravité de l'infraction. Bref, personne n’a vraiment envie de s’y confronter ! Car au-delà des conséquences financières, c’est la réputation d’un cabinet d’expertise comptable qui peut être entachée en cas de non-conformité.

Responsable de traitement et sous-traitant

Deux rôles différents au regard du RGPD !

En tant que responsable de traitement, vous gérez les informations de vos clients pour votre propre usage, dans le cadre de vos missions d'expertise comptable (tenue de comptabilité, réalisation de bilans comptables, etc.). À ce moment-là, c’est vous qui déterminez comment les données sont utilisées.

En revanche, lorsque vous êtes sous-traitant, il s’agit d’une prestation externalisée et vous traitez les données pour le compte de vos clients. Dans le cas d’une gestion de paie, vous avez accès aux données salariales, mais le client reste responsable et vous agissez selon ses directives.

Une distinction importante car le responsable du traitement porte la responsabilité de la conformité tandis que le sous-traitant a des obligations définies contractuellement. Dans un cas comme dans l'autre, les relations doivent être encadrées par un contrat comme le stipule l’article 28 du règlement européen sur la protection des données.

Découvrez le comparatif Excel vs. Kanta

Comment être en conformité ?

Construction d’un registre de traitement

Toutes les entreprises, indépendamment de leur taille, sont tenues de créer un registre de traitement lorsqu'elles manipulent des données personnelles.

Ce registre contient :

  • Les coordonnées du responsable du traitement et du délégué à la protection des données.
  • La finalité des données.
  • Une description des catégories de personnes et des types de données concernées.
  • Les groupes ou organisations avec lesquels les données personnelles ont été ou seront partagées.
  • Le cas échéant, les transferts de données vers des pays en dehors de l’UE.
  • Les délais prévus pour la suppression des données.
  • Une description générale des mesures de sécurité mises en place.

Mesures de sécurité

Un grand pouvoir implique de grandes responsabilités. ⚠️ Si un cabinet comptable se fait pirater, ce sont non seulement les données des clients qui sont en danger, mais également celles des collaborateurs ! Pour prévenir cette sombre menace venant de l’extérieur, on vous conseille d’adopter les bons réflexes : mise à jour régulière des antivirus, changement fréquent des mots de passe et sauvegardes automatiques.

De notre côté, nous avons pris toutes les mesures nécessaires pour que Kanta soit en conformité avec la législation européenne. Les experts-comptables restent propriétaires de leurs données, qui sont sécurisées et hébergées en France.

Si, malgré toutes ces précautions, vous constatez une attaque, vous devez le signaler à la CNIL dans un délai de 72 heures.

Droit des personnes

Le principe est simple : à chaque fois que vous collectez les données d’une personne, dites-le-lui ! Voilà pourquoi vous devez faire apparaître certains éléments sur le support qui vous sert à collecter ces données.

Cela correspond plus ou moins aux éléments déjà listés dans le registre de traitement :

  • La raison pour laquelle vous collectez ces données.
  • Ce qui vous autorise à les traiter.
  • Quelle catégorie de collaborateurs y a accès.
  • Combien de temps vous allez les conserver.
  • S’il y a transfert de données hors de l’UE, faites-le savoir.

Pour vous simplifier l’existence, la CNIL propose des formulaires de collecte de données à caractère personnel avec les mentions minimales d’information. N’hésitez pas à les utiliser !

En outre, il faut donner aux personnes concernées l’opportunité d’exercer leurs droits : droit d’accès, de rectification, d’opposition, d’effacement, de portabilité et de limitation de traitement.

Nos derniers articles

Voir la vidéo de présentation Kanta