Conformité RGPD Expert Comptable

Entre la progression accrue des usages numériques, l’explosion du Big Data et du commerce en ligne ainsi qu’une forte augmentation de la cybercriminalité, l’adoption du Règlement européen sur la protection des données personnelles, dit RGPD, était vivement nécessaire afin d’harmoniser les règlementations européennes et répondre aux attentes et exigences des communautés.

Voté en 2016 et entré en vigueur en 2018 afin de laisser le temps aux organismes de se mettre en conformité, le RGPD s’applique à tous les organismes, publics ou privés, traitant des données personnelles (telles qu’un nom, prénom, identifiant, photo, etc.), qu’il s’agisse des données client, adhérent, partenaire, fournisseur ou collaborateur.

Le RGPD met donc en place un socle commun de la protection des données personnelles avec notamment un renforcement du droit des personnes, une conformité basée sur la transparence et la responsabilisation des organismes concernés, un encadrement des transferts hors UE, des responsabilités partagées et précisées avec des sanctions encadrées, graduées et renforcées.

Les sanctions encourues en cas de non-conformité au RGPD pouvant s’élever à hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l’entreprise.

Être en conformité au RGPD est donc primordial car, au-delà d’être une obligation légale et règlementaire et de constituer un risque de sanction, le RGPD est une véritable opportunité puisqu’il permet de :

• Valoriser la data en exploitant les données de manière légale et qualitative
• Accroître la confiance des clients, partenaires et prospects grâce à la transparence,
• Conforter et renforcer l’image de marque du cabinet,
• Acquérir de nouveaux clients et de nouveaux marchés,
• Remporter des appels d’offre (les acheteurs publics ont l’obligation de vérifier la conformité RGPD des soumissionnaires à appel d’offres),
• Améliorer l’organisation interne et renforcer la confiance des collaborateurs de l’organisme.

Tout organisme, quels que soient sa taille, son pays d’implantation et son activité, peut être concerné. En effet, le RGPD s’applique à tout organisme, public ou privé, qui traite des données personnelles pour son propre compte ou non, dès lors :

que l’organisation est établie sur le territoire de l’Union européenne,

ou que son activité cible directement des résidents européens.

Le RGPD concerne également les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes. Ainsi, si vous traitez ou collectez des données pour le compte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées.

Les cabinets d’expertise comptable sont donc concernés par la protection des données personnelles et le RGPD à de nombreux égards. Tout d’abord, les cabinets traitent les données personnelles de leurs collaborateurs. Ensuite dans le cadre de leurs missions, les experts-comptables traitent les données personnelles de leurs clients.

Pour rappel, une donnée personnelle est une information qui concerne une personne physique, identifiée ou identifiable, de manière directe ou indirecte. Ainsi par exemple, un numéro de matricule, une adresse IP ou des informations relatives à la situation professionnelle ou familiale sont des données personnelles.

Également, la simple consultation ou conservation d’une donnée personnelle sur un document numérique ou papier est constitutif d’un traitement. Ainsi, la simple conservation de données personnelles au sein des archives papier constitue un traitement de données personnelles. De même, qu’il s’agisse de missions courtes, longues, à

Les experts-comptables sont amenés à collecter et traiter les données personnelles de leurs collaborateurs et de leurs clients.

S’agissant des données personnelles des clients, il peut s’agir de données concernant des dirigeants, associés et collaborateurs d’entreprises, des artisans, des commerçants ou des professionnels libéraux.

Il s’agit notamment des informations nécessaires aux déclarations fiscales (formulaire 2067-SD, imprimé fiscal unique, formulaire DAS2 avec les jetons de présence, etc.) ainsi que les données traitées par le service juridique et celles relatives au bulletin de paie (NIR…).

Dans le cadre des missions réalisées par les experts comptables, cette question nécessite une analyse au cas par cas. En effet, si les cabinets sont notamment responsables des traitements qu’ils réalisent sur les données personnelles de leurs collaborateurs ; et que l’on peut considérer, dans une certaine mesure, que les cabinets seraient plutôt qualifiés de sous-traitants s’agissant des missions relatives à la paie et les missions sociales, et de responsables de traitement s’agissant des missions comptables et de secrétariat juridique. Il s’avère néanmoins hasardeux de définir des missions types pour lesquelles le data controller cabinet comptable et d’autres pour lesquelles ils seraient sous-traitants au sens du RGPD.

Pour rappel, si vous agissez en tant que sous-traitant, c’est-à-dire que vous traitez ou collectez des données pour le compte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées.

En vue d’identifier cette qualification entre responsable de traitement, sous-traitant ou responsable conjoint, il convient donc de se poser les trois questions principales suivantes :

• Qui détermine la finalité du traitement ?
• Qui dispose du contrôle sur le traitement des données personnelles ?
• Qui détermine les moyens essentiels du traitement ?

Si pour chacune de ces questions, la réponse est le cabinet d’expertise comptable, alors celui-ci est responsable du traitement.

La responsabilité du cabinet et son obligation d’information diffèrent en fonction de la qualification. Le CSOEC préconise d’ailleurs à ce sujet que l’obligation d’information des personnes physiques soit assumée par le client lorsque le cabinet est co-responsable du traitement.

Depuis le 25 mai 2018, tout organisme qui ne respecte pas ses obligations en matière de protection des données personnelles (RGPD et Loi Informatique et Libertés) s’expose à des sanctions administratives et pénales.

A l’issue de contrôle ou de plaintes, en cas de méconnaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la CNIL peut prononcer des sanctions à l’égard des responsables de traitements et/ou de leurs sous-traitants qui ne respecteraient pas ces textes.

Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la CNIL peut :

• Prononcer un rappel à l’ordre ;
• Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
• Limiter temporairement ou définitivement un traitement ;
• Suspendre les flux de données ;
• Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;
• Prononcer une amende administrative qui peut être rendue publique et dont le montant peut s’élever :
• Jusqu’à 2 % du chiffre d’affaires mondial de l’entreprise pour des manquements tels que l’absence de registre de traitements, le défaut d’annonce suite à une faille décelée, le défaut d’étude d’impact sur la vie privée (en cas de données sensibles), etc.
• Jusqu’à 4 % du chiffre d’affaires mondial notamment en cas de refus d’obtempérer aux injonctions de la CNIL, de traitements de données illégaux, de défaut de consentement, de non-respect des droits des personnes, etc.

Également, toute personne concernée par une violation de ses données personnelles par le responsable de traitement et/ou son sous-traitant, et ayant subi un dommage matériel ou moral du fait de cette violation, peut obtenir réparation de son préjudice notamment sous la forme de dommages et intérêts. En cas de contrôle de la CNIL, vous devez être en mesure de garantir la protection des données personnelles et de démontrer les mesures prises à cet effet.

Il est nécessaire de se mettre en conformité au RGPD et ce pour plusieurs raisons.

Tout d’abord, il s’agit d’une obligation imposée à tout organisme, public ou privé, traitant des données personnelles dès lors que celui-ci est établi sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens.

Ensuite, les organisations non conformes au RGPD s’exposent à de forts risques de sanctions dont notamment des amendes administratives pouvant s’élever à hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l’entreprise.

Enfin, au-delà d’être une obligation légale et règlementaire et de constituer un risque accru de sanction, le RGPD est une véritable opportunité puisqu’il permet de :

• Valoriser la data en exploitant les données de manière légale et qualitative
• Accroître la confiance des clients, partenaires et prospects grâce à la transparence
• Conforter et renforcer l’image de marque du cabinet
• Acquérir de nouveaux clients et de nouveaux marchés
• Remporter des appels d’offre (les acheteurs publics ont l’obligation de vérifier la conformité RGPD des soumissionnaires à appel d’offres)
• Améliorer l’organisation interne et renforcer la confiance des collaborateurs de l’organisme

Être conforme RGPD est donc primordial.

En application de l’article 155 du Décret du 30 mars 2012 relatif à l’exercice de l’activité d’expertise comptable, les experts-comptables sont tenus à un devoir d’information et de conseil à l’égard de leurs clients ou adhérents.

Dès lors, dans sa qualité et son devoir de conseil, le rôle de l’expert comptable est de veiller à ce que ses clients respectent le RGPD, notamment à l’occasion de ses missions d’audits ou de l’élaboration de propositions offres d’accompagnement. Pour éviter tout cas de contentieux en défaut d’information et de conseil, les experts-comptables doivent donc à minima informer leurs clients de leur obligation à se mettre en conformité au RGPD.

Un partenariat entre la CNIL et le CSOEC a été conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des données personnelles auprès des experts-comptables, à la fois pour la mise en conformité de leur propre structure mais également dans leur rôle de proximité auprès des entreprises.

En effet, les experts-comptables ont une connaissance approfondie des risques liés à l’activité de leurs clients et ils constituent un interlocuteur privilégié pour répondre aux besoins de mise en conformité de ces derniers. Le CSOEC estime ainsi que « Les experts-comptables sont compétents en matière de protection des données personnelles dès lors qu’ils ont déjà mis en place les obligations imposées par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes à mettre en place le RGPD ».

C’est dans ce contexte que l’expert-comptable est amené à la fois à alerter ses clients sur leur conformité RGPD et à leur proposer des prestations de service relatives à la mise en conformité RGPD.

Le processus de mise en conformité au RGPD implique de respecter la mise en œuvre de plusieurs mesures, notamment :

• Constituer un registre des traitements des données

Il permet au cabinet d’avoir une vision d’ensemble sur les traitements de données qu’il réalise. Le registre requiert de procéder à une identification des activités principales du cabinet ayant recours au traitement de données personnelles, c’est ce qu’on appelle les traitements. L’expert-comptable responsable de traitement ou le sous-traitant doit ainsi procéder à la création d’une fiche pour chaque traitement recensé, en indiquant notamment sa finalité, c’est-à-dire l’objectif en vue duquel les données sont traitées par le cabinet.

Enfin, le registre doit être mis à jour régulièrement car les cabinets peuvent être amenés à changer de logiciels, à faire évoluer leur organisation interne ou à changer de sous-traitants. La protection des données doit donc être continue.

A noter : Il est vivement conseillé de confier la tenue du registre de traitements au délégué à la protection des données (DPD) / data protection officer (DPO) qui se chargera de sa mise à jour régulièrement.

• Trier les données

Le cabinet doit se limiter à la collecte des données strictement nécessaires au traitement. C’est le principe de minimisation des données. Ainsi, les données ne doivent être traitées que si :

• elles sont nécessaires à l’activité de l’organisme ;
• il ne s’agit pas de données dites « sensibles », dans le cas contraire il convient de s’assurer que le cabinet a bien le droit de les traiter ;
• les données sont accessibles uniquement aux personnes habilitées ;
• les données sont conservées uniquement le temps nécessaire et/ou règlementaire ;
• Respecter les droits des personnes. 

Le RGPD a pour objectif de renforcer la protection des données des personnes. C’est pourquoi il est venu conférer à ces dernières un certain nombre de droits, notamment le droit d’accès, de rectification, d’opposition, d’effacement, le droit à la limitation du traitement, à la portabilité. C’est au responsable de traitement qu’il appartient de mettre en place les mesures visant à faire respecter ces droits.

• Sécuriser les données personnelles

Le responsable de traitement doit prendre les mesures nécessaires afin de garantir la sécurisation des données personnelles en réduisant les risques de violations de données en respectant notamment les principes suivants :

• Le principe de confidentialité : les données doivent être accessibles aux seules personnes autorisées
• Le principe d’intégrité : les données ne doivent pas être altérées ou modifiées
• Le principe de disponibilité : les données doivent être en permanence accessibles aux personnes autorisées

Si un organisme subi une violation de données, il doit procéder à un signalement à la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de représenter un risque pour les droits et libertés des personnes concernées.

• Respecter le principe d’accountability

Ce principe désigne l’obligation pour les cabinets de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

En cas de contrôle de la CNIL, la cabinet doit donc être en mesure de démontrer sa conformité au RGPD et les mesures prises à cet effet.

• Révision des pratiques, contrats et lettre de mission rgpd expert-comptable

Dans le cadre du processus de mise en conformité, il est également nécessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L’Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilité des traitements des données personnelles.

Également, il est désormais exclu de communiquer des bulletins de paie par email. Il convient dorénavant d’utiliser une plateforme

Au-delà des responsabilités inhérentes à la qualité de responsable de traitement, le RGPD implique de nouvelles responsabilités pour les experts-comptables. Tout d’abord, ils voient leur responsabilité renforcée en matière de devoir d’information et de conseil, du fait de leur devoir d’informer leurs clients quant à l’obligation d’être en conformité au RGPD.

Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations spécifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur démarche permanente de mise en conformité.

Dès lors, dès qu’un cabinet intervient en qualité de sous-traitant dans le cadre de ses missions, celui-ci doit offrir à ses clients « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (Art.28 RGPD).

Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformité à certaines obligations prévues par le RGPD (analyses d’impact, notification de violation, sécurité, destruction des données, contribution aux audits). Cela implique :

• Une obligation de transparence et de traçabilité
• La prise en compte des principes de protection des données dès la conception et par défaut
• Une obligation de garantir la sécurité des données traitées
• Une obligation d’assistance, d’alerte et de conseil

C’est dans ce contexte que l’Ordre des experts comptables préconise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilité des traitements des do

Le RGPD a instauré la fonction de Délégué à la Protection des Données (DPD) / Data Protection Officer (DPO). L’article 37 du RGPD vise 3 situations dans lesquelles la désignation d’un DPO est obligatoire :

• Le traitement de données personnelles est mis en œuvre par une autorité publique ou un organisme public ;
• L’entité concernée a pour activités de base la mise en œuvre de traitement de données qui, du fait de leur nature, de leur portée et/ou de leur finalité, exigent un suivi régulier et systématique à grande échelle d’individus ;
• L’entité concernée a pour activités de base la mise en œuvre de traitement à grande échelle de catégories particulières de données (données de santé, relatives aux opinions philosophique, religieuses, etc.) ou de données relatives à des condamnations pénales ou des infractions.

Si l’un de ces trois critères est rempli, l’entité concernée a l’obligation de désigner un DPO. Si la désignation d’un DPO n’est donc pas nécessairement obligatoire, il est dans tous les cas vivement recommandé de désigner à minima un référent RGPD parmi les collaborateur

L’AFCDP a établi une liste de 15 bonnes raisons de désigner un DPO, à savoir la désignation d’un DPO :

• permet de réduire le risque juridique
• contribue à un allègement des formalités
• permet à une organisation de bénéficier d’une relation privilégiée avec la CNIL, avec des interlocuteurs dédiés
• permet à une organisation de mettre en œuvre plus rapidement les traitements de données à caractère personnel
• améliore l’image de marque de l’organisation
• contribue à l’amélioration du climat social (gestion de la cybersurveillance)
• favorise la mise en œuvre d’une approche qualité pour la gestion de l’information au sein de l’organisation (cartographie des traitements)
• contribue à améliorer la politique de sécurité informatique de l’organisation
• contribue à réduire les coûts de traitement des informations (rationalisation des traitements, suppression des données obsolètes)
• contribue à réduire les coûts de gestion client (exercice du droit d’accès, gestion des litiges)
• permet d’identifier, donc de maîtriser, les coûts déjà engagés pour la mise en conformité avec la réglementation informatique et libertés
• permet une meilleure valorisation du patrimoine informationnel
• facilite la mise en œuvre de nouveaux services en ligne
• permet de développer la collaboration et les synergies entre services (juridique, informatique, marketing, …)
• facilite la coopération avec les groupes multinationaux qui disposent pour la plupart d’un Chief Privacy Officier influent

Le RGPD implique deux principaux changements dans l’exercice des missions des experts-comptables. Tout d’abord, les experts-comptables ont dorénavant le devoir d’informer leurs clients quant à l’obligation d’être en conformité avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations spécifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur démarche permanente de mise en conformité.

Dès lors, dès qu’un cabinet intervient en qualité de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformité à certaines obligations prévues par le RGPD (analyses d’impact, notification de violation, sécurité, destruction des données, contribution aux audits). Cela implique :

• Une obligation de transparence et de traçabilité
• La prise en compte des principes de protection des données dès la conception et par défaut
• Une obligation de garantir la sécurité des données traitées
• Une obligation d’assistance, d’alerte et de conseil

C’est dans ce contexte que l’Ordre des experts comptables préconise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilité des traitements des données personnelles.

L’imputation comptable rgpd implique souvent le traitement de données personnelles sensibles, telles que des informations financières et fiscales. Pour assurer la conformité RGPD dans ce processus, les experts-comptables doivent s’assurer que les données personnelles sont traitées de manière légale, équitable et transparente, avec un fondement juridique approprié. Ils doivent également veiller à ne traiter que les données personnelles nécessaires à la finalité du traitement, à protéger ces données contre tout accès, divulgation ou perte non autorisés, et à assurer l’exactitude et la mise à jour des données personnelles traitées. Les experts-comptables doivent également informer les personnes concernées des finalités du traitement, des catégories de données personnelles traitées, des destinataires des données et de leurs droits en matière de protection des données. Enfin, les experts-comptables doivent tenir des registres de traitement et des registres de violations de données et nommer un délégué à la protection des données, si nécessaire.