Experts-Comptables

Une solution clé
en main pour votre conformité Rgpd

Parce qu’il est difficile de maîtriser les obligations lées au RGPD, sur l’ensemble des sujets de votre organisation. Mydatasolution à conçu une malette d’outils pour vous accompagner à chaque étape.

Croec Numéria -
Mydatasolution

Partenaire de confiance
du Conseil de l’Ordre des Experts-Comptables

Après 2 ans d’accompagnement auprès du Croec Réunion sur leur conformité RGPD, nous avons gagné leur confiance, ce qui nous a permis de concevoir une offre dédiée répondant spécifiquement aux besoins des cabinets comptables.

Sécurisez votre activitée

Évitez les sanctions
pour vous et vos clients

En cas de non-respect du RGPD, les cabinets et leurs clients s’exposent à des sanctions de la part de la CNIL, de la mise en demeure à l’amende administrative pouvant s’élever jusqu’à 4% du chiffre d’affaires annuel. A cela s’ajoute des sanctions pénales pouvant s’élever jusqu’à 5 ans d’emprisonnement et de 300 000 euros.

Que dire, dès lors, des solutions de Mydatasolution ? Elles sont complètes, transversales et faciles à mettre en œuvre. Si je parle de mon expérience directe, j’ai pris l’ensemble des solutions car cela me permettait de me focaliser sur mon métier d’expertise-comptable.

Voir la recommandation
Richard Lin
Cabinet – Global 974
Le CROEC et NUMERIA ont mis en place un partenariat avec la société Mydatasolution et nous avons bénéficié d’un audit RGPD et d’un accompagnement de mise en conformité de la part de MDS qui est également notre DPO.


Voir toute la recommandation
L’Ordre des Experts-Comptables
Je tenais à remercier, Mydatasolution et ses équipes, qui par leur sens de l’écoute, de professionnalisme et de réactivité, m’ont permis d’une part, d’être en conformité RGPD rapidement et d’autre part de pouvoir conseiller mes clients sur ces mêmes enjeux.

Voir toute la recommandation
Jérome Moutien
Cabinet – JCM
Gagnez du temps

Facilitez votre mise en conformité avec notre
solution Registre

Notre logiciel permet de piloter une conformité complète de votre cabinet. Il comprend :

  • Le registre de vos traitements de données, 1er document de preuve de votre conformité.
  • L’ensemble des modèles de documents adaptés à votre secteur d’activité pour une exploitation légale de vos données.
  • ​​​​​Un tableau de bord de suivi en temps réel pour une conformité en toute transparence.
Croec Numéria -

Des offres pensées pour les experts comptables

Afin de transformer une obligation réglementaire en opportunité pour votre cabinet.

Questions fréquentes

Entre la progression accrue des usages numériques, l’explosion du Big Data et du commerce en ligne ainsi qu’une forte augmentation de la cybercriminalité, l’adoption du Règlement européen sur la protection des données personnelles, dit RGPD, était vivement nécessaire afin d’harmoniser les règlementations européennes et répondre aux attentes et exigences des communautés.

Voté en 2016 et entré en vigueur en 2018 afin de laisser le temps aux organismes de se mettre en conformité, le RGPD s’applique à tous les organismes, publics ou privés, traitant des données personnelles (telles qu’un nom, prénom, identifiant, photo, etc.), qu’il s’agisse des données client, adhérent, partenaire, fournisseur ou collaborateur.

Le RGPD met donc en place un socle commun de la protection des données personnelles avec notamment un renforcement du droit des personnes, une conformité basée sur la transparence et la responsabilisation des organismes concernés, un encadrement des transferts hors UE, des responsabilités partagées et précisées avec des sanctions encadrées, graduées et renforcées.

Les sanctions encourues en cas de non-conformité au RGPD pouvant s’élever à hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l’entreprise.

Être en conformité au RGPD est donc primordial car, au-delà d’être une obligation légale et règlementaire et de constituer un risque de sanction, le RGPD est une véritable opportunité puisqu’il permet de :

  • Valoriser la data en exploitant les données de manière légale et qualitative
  • Accroître la confiance des clients, partenaires et prospects grâce à la transparence
  • Conforter et renforcer l’image de marque du cabinet
  • Acquérir de nouveaux clients et de nouveaux marchés
  • Remporter des appels d’offre (les acheteurs publics ont l’obligation de vérifier la conformité RGPD des soumissionnaires à appel d’offres)
  • Améliorer l’organisation interne et renforcer la confiance des collaborateurs de l’organisme

Tout organisme, quels que soient sa taille, son pays d’implantation et son activité, peut être concerné. En effet, le RGPD s’applique à tout organisme, public ou privé, qui traite des données personnelles pour son propre compte ou non, dès lors :

  • que l’organisation est établie sur le territoire de l’Union européenne,
  • ou que son activité cible directement des résidents européens.

Le RGPD concerne également les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes. Ainsi, si vous traitez ou collectez des données pour le compte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées.

Les cabinets d’expertise comptable sont donc concernés par la protection des données personnelles et le RGPD à de nombreux égards. Tout d’abord, les cabinets traitent les données personnelles de leurs collaborateurs. Ensuite dans le cadre de leurs missions, les experts-comptables traitent les données personnelles de leurs clients.

Pour rappel, une donnée personnelle est une information qui concerne une personne physique, identifiée ou identifiable, de manière directe ou indirecte. Ainsi par exemple, un numéro de matricule, une adresse IP ou des informations relatives à la situation professionnelle ou familiale sont des données personnelles.

Également, la simple consultation ou conservation d’une donnée personnelle sur un document numérique ou papier est constitutif d’un traitement. Ainsi, la simple conservation de données personnelles au sein des archives papier constitue un traitement de données personnelles. De même, qu’il s’agisse de missions courtes, longues, à caractère récurrent ou non, toutes les missions de l’expert-comptable sont potentiellement concernées par le RGPD.

Les experts-comptables sont amenés à collecter et traiter les données personnelles de leurs collaborateurs et de leurs clients.

S’agissant des données personnelles des clients, il peut s’agir de données concernant des dirigeants, associés et collaborateurs d’entreprises, des artisans, des commerçants ou des professionnels libéraux.

Il s’agit notamment des informations nécessaires aux déclarations fiscales (formulaire 2067-SD, imprimé fiscal unique, formulaire DAS2 avec les jetons de présence, etc.) ainsi que les données traitées par le service juridique et celles relatives au bulletin de paie (NIR…).

Dans le cadre des missions réalisées par les experts comptables, cette question nécessite une analyse au cas par cas. En effet, si les cabinets sont notamment responsables des traitements qu’ils réalisent sur les données personnelles de leurs collaborateurs ; et que l’on peut considérer, dans une certaine mesure, que les cabinets seraient plutôt qualifiés de sous-traitants s’agissant des missions relatives à la paie et les missions sociales, et de responsables de traitement s’agissant des missions comptables et de secrétariat juridique. Il s’avère néanmoins hasardeux de définir des missions types pour lesquelles les experts-comptables seraient responsables de traitement et d’autres pour lesquelles ils seraient sous-traitants au sens du RGPD.

Pour rappel, si vous agissez en tant que sous-traitant, c’est-à-dire que vous traitez ou collectez des données pour le compte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées.

En vue d’identifier cette qualification entre responsable de traitement, sous-traitant ou responsable conjoint, il convient donc de se poser les trois questions principales suivantes :

  • qui détermine la finalité du traitement ?
  • qui dispose du contrôle sur le traitement des données personnelles ?
  • qui détermine les moyens essentiels du traitement ?

Si pour chacune de ces questions, la réponse est le cabinet d’expertise comptable, alors celui-ci est responsable du traitement.

La responsabilité du cabinet et son obligation d’information diffèrent en fonction de la qualification. Le CSOEC préconise d’ailleurs à ce sujet que l’obligation d’information des personnes physiques soit assumée par le client lorsque le cabinet est co-responsable du traitement.

Depuis le 25 mai 2018, tout organisme qui ne respecte pas ses obligations en matière de protection des données personnelles (RGPD et Loi Informatique et Libertés) s’expose à des sanctions administratives et pénales.

A l’issue de contrôle ou de plaintes, en cas de méconnaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la CNIL peut prononcer des sanctions à l’égard des responsables de traitements et/ou de leurs sous-traitants qui ne respecteraient pas ces textes.

Lorsque des manquements au RGPD ou à la loi sont portés à sa connaissance, la CNIL peut :

  • Prononcer un rappel à l’ordre ;
  • Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
  • Limiter temporairement ou définitivement un traitement ;
  • Suspendre les flux de données ;
  • Ordonner de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;
  • Prononcer une amende administrative qui peut être rendue publique et dont le montant peut s’élever :
  • Jusqu’à 2 % du chiffre d’affaires mondial de l’entreprise pour des manquements tels que l’absence de registre de traitements, le défaut d’annonce suite à une faille décelée, le défaut d’étude d’impact sur la vie privée (en cas de données sensibles), etc.
  • Jusqu’à 4 % du chiffre d’affaires mondial notamment en cas de refus d’obtempérer aux injonctions de la CNIL, de traitements de données illégaux, de défaut de consentement, de non-respect des droits des personnes, etc.

Également, toute personne concernée par une violation de ses données personnelles par le responsable de traitement et/ou son sous-traitant, et ayant subi un dommage matériel ou moral du fait de cette violation, peut obtenir réparation de son préjudice notamment sous la forme de dommages et intérêts. En cas de contrôle de la CNIL, vous devez être en mesure de garantir la protection des données personnelles et de démontrer les mesures prises à cet effet.

Il est nécessaire de se mettre en conformité au RGPD et ce pour plusieurs raisons.

Tout d’abord, il s’agit d’une obligation imposée à tout organisme, public ou privé, traitant des données personnelles dès lors que celui-ci est établi sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens.

Ensuite, les organisations non conformes au RGPD s’exposent à de forts risques de sanctions dont notamment des amendes administratives pouvant s’élever à hauteur de 2 ou 4% du chiffre d’affaires annuel mondial de l’entreprise.

Enfin, au-delà d’être une obligation légale et règlementaire et de constituer un risque accru de sanction, le RGPD est une véritable opportunité puisqu’il permet de :

  • Valoriser la data en exploitant les données de manière légale et qualitative
  • Accroître la confiance des clients, partenaires et prospects grâce à la transparence
  • Conforter et renforcer l’image de marque du cabinet
  • Acquérir de nouveaux clients et de nouveaux marchés
  • Remporter des appels d’offre (les acheteurs publics ont l’obligation de vérifier la conformité RGPD des soumissionnaires à appel d’offres)
  • Améliorer l’organisation interne et renforcer la confiance des collaborateurs de l’organisme

Être conforme RGPD est donc primordial.

En application de l’article 155 du Décret du 30 mars 2012 relatif à l’exercice de l’activité d’expertise comptable, les experts-comptables sont tenus à un devoir d’information et de conseil à l’égard de leurs clients ou adhérents.

Dès lors, dans sa qualité et son devoir de conseil, le rôle de l’expert comptable est de veiller à ce que ses clients respectent le RGPD, notamment à l’occasion de ses missions d’audits ou de l’élaboration de propositions offres d’accompagnement. Pour éviter tout cas de contentieux en défaut d’information et de conseil, les experts-comptables doivent donc à minima informer leurs clients de leur obligation à se mettre en conformité au RGPD.

Un partenariat entre la CNIL et le CSOEC a été conclu en ce sens en 2020 afin notamment de diffuser une culture de la protection des données personnelles auprès des experts-comptables, à la fois pour la mise en conformité de leur propre structure mais également dans leur rôle de proximité auprès des entreprises.

En effet, les experts-comptables ont une connaissance approfondie des risques liés à l’activité de leurs clients et ils constituent un interlocuteur privilégié pour répondre aux besoins de mise en conformité de ces derniers. Le CSOEC estime ainsi que « Les experts-comptables sont compétents en matière de protection des données personnelles dès lors qu’ils ont déjà mis en place les obligations imposées par le RGPD au sein de leurs cabinets. Ils peuvent donc proposer une mission dans laquelle ils accompagnent leurs entreprises clientes à mettre en place le RGPD ».

C’est dans ce contexte que l’expert-comptable est amené à la fois à alerter ses clients sur leur conformité RGPD et à leur proposer des prestations de service relatives à la mise en conformité RGPD.

Le processus de mise en conformité au RGPD implique de respecter la mise en œuvre de plusieurs mesures, notamment :

  • Constituer un registre des traitements des données

Il permet au cabinet d’avoir une vision d’ensemble sur les traitements de données qu’il réalise. Le registre requiert de procéder à une identification des activités principales du cabinet ayant recours au traitement de données personnelles, c’est ce qu’on appelle les traitements. Le responsable de traitement ou le sous-traitant doit ainsi procéder à la création d’une fiche pour chaque traitement recensé, en indiquant notamment sa finalité, c’est-à-dire l’objectif en vue duquel les données sont traitées par le cabinet.

Enfin, le registre doit être mis à jour régulièrement car les cabinets peuvent être amenés à changer de logiciels, à faire évoluer leur organisation interne ou à changer de sous-traitants. La protection des données doit donc être continue.

A noter : Il est vivement conseillé de confier la tenue du registre de traitements au délégué à la protection des données (DPD) / data protection officer (DPO) qui se chargera de sa mise à jour régulièrement.

  • Trier les données

Le cabinet doit se limiter à la collecte des données strictement nécessaires au traitement. C’est le principe de minimisation des données. Ainsi, les données ne doivent être traitées que si :

  • elles sont nécessaires à l’activité de l’organisme ;
  • il ne s’agit pas de données dites « sensibles », dans le cas contraire il convient de s’assurer que le cabinet a bien le droit de les traiter ;
  • les données sont accessibles uniquement aux personnes habilitées ;
  • les données sont conservées uniquement le temps nécessaire et/ou règlementaire.
  • Respecter les droits des personnes

Le RGPD a pour objectif de renforcer la protection des données des personnes. C’est pourquoi il est venu conférer à ces dernières un certain nombre de droits, notamment le droit d’accès, de rectification, d’opposition, d’effacement, le droit à la limitation du traitement, à la portabilité. C’est au responsable de traitement qu’il appartient de mettre en place les mesures visant à faire respecter ces droits.

  • Sécuriser les données personnelles

Le responsable de traitement doit prendre les mesures nécessaires afin de garantir la sécurisation des données personnelles en réduisant les risques de violations de données en respectant notamment les principes suivants :

  • Le principe de confidentialité : les données doivent être accessibles aux seules personnes autorisées
  • Le principe d’intégrité : les données ne doivent pas être altérées ou modifiées
  • Le principe de disponibilité : les données doivent être en permanence accessibles aux personnes autorisées

Si un organisme subi une violation de données, il doit procéder à un signalement à la CNIL dans les 72 heures suivant la violation, si celle-ci est susceptible de représenter un risque pour les droits et libertés des personnes concernées.

  • Respecter le principe d’accountability

Ce principe désigne l’obligation pour les cabinets de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

En cas de contrôle de la CNIL, la cabinet doit donc être en mesure de démontrer sa conformité au RGPD et les mesures prises à cet effet.

  • Révision des pratiques, contrats et lettres de mission

Dans le cadre du processus de mise en conformité, il est également nécessaire de modifier tous les contrats de prestation et les lettres de mission du cabinet. L’Ordre des experts comptables recommande en ce sens de revoir les contrats clients en incluant dans les lettres de mission de nouvelles clauses sur la responsabilité des traitements des données personnelles.

Également, il est désormais exclu de communiquer des bulletins de paie par email. Il convient dorénavant d’utiliser une plateforme sécurisée pour l’envoi de documents contenant des données personnelles.

Au-delà des responsabilités inhérentes à la qualité de responsable de traitement, le RGPD implique de nouvelles responsabilités pour les experts-comptables. Tout d’abord, ils voient leur responsabilité renforcée en matière de devoir d’information et de conseil, du fait de leur devoir d’informer leurs clients quant à l’obligation d’être en conformité au RGPD.

Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations spécifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur démarche permanente de mise en conformité.

Dès lors, dès qu’un cabinet intervient en qualité de sous-traitant dans le cadre de ses missions, celui-ci doit offrir à ses clients « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » (Art.28 RGPD).

Le cabinet doit alors notamment assister et conseiller ses clients dans leur conformité à certaines obligations prévues par le RGPD (analyses d’impact, notification de violation, sécurité, destruction des données, contribution aux audits). Cela implique :

  • Une obligation de transparence et de traçabilité
  • La prise en compte des principes de protection des données dès la conception et par défaut
  • Une obligation de garantir la sécurité des données traitées
  • Une obligation d’assistance, d’alerte et de conseil

C’est dans ce contexte que l’Ordre des experts comptables préconise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilité des traitements des données personnelles.

Le RGPD a instauré la fonction de Délégué à la Protection des Données (DPD) / Data Protection Officer (DPO). L’article 37 du RGPD vise 3 situations dans lesquelles la désignation d’un DPO est obligatoire :

  • Le traitement de données personnelles est mis en œuvre par une autorité publique ou un organisme public ;
  • L’entité concernée a pour activités de base la mise en œuvre de traitement de données qui, du fait de leur nature, de leur portée et/ou de leur finalité, exigent un suivi régulier et systématique à grande échelle d’individus ;
  • L’entité concernée a pour activités de base la mise en œuvre de traitement à grande échelle de catégories particulières de données (données de santé, relatives aux opinions philosophique, religieuses, etc.) ou de données relatives à des condamnations pénales ou des infractions.

Si l’un de ces trois critères est rempli, l’entité concernée a l’obligation de désigner un DPO. Si la désignation d’un DPO n’est donc pas nécessairement obligatoire, il est dans tous les cas vivement recommandé de désigner à minima un référent RGPD parmi les collaborateurs du cabinet.

L’AFCDP a établi une liste de 15 bonnes raisons de désigner un DPO, à savoir la désignation d’un DPO :

  • permet de réduire le risque juridique
  • contribue à un allègement des formalités
  • permet à une organisation de bénéficier d’une relation privilégiée avec la CNIL, avec des interlocuteurs dédiés
  • permet à une organisation de mettre en œuvre plus rapidement les traitements de données à caractère personnel
  • améliore l’image de marque de l’organisation
  • contribue à l’amélioration du climat social (gestion de la cybersurveillance)
  • favorise la mise en œuvre d’une approche qualité pour la gestion de l’information au sein de l’organisation (cartographie des traitements)
  • contribue à améliorer la politique de sécurité informatique de l’organisation
  • contribue à réduire les coûts de traitement des informations (rationalisation des traitements, suppression des données obsolètes)
  • contribue à réduire les coûts de gestion client (exercice du droit d’accès, gestion des litiges)
  • permet d’identifier, donc de maîtriser, les coûts déjà engagés pour la mise en conformité avec la réglementation informatique et libertés
  • permet une meilleure valorisation du patrimoine informationnel
  • facilite la mise en œuvre de nouveaux services en ligne
  • permet de développer la collaboration et les synergies entre services (juridique, informatique, marketing, …)
  • facilite la coopération avec les groupes multinationaux qui disposent pour la plupart d’un Chief Privacy Officier influent

Le RGPD implique deux principaux changements dans l’exercice des missions des experts-comptables. Tout d’abord, les experts-comptables ont dorénavant le devoir d’informer leurs clients quant à l’obligation d’être en conformité avec le RGPD. Ensuite, le RGPD consacre une logique de responsabilisation de tous les acteurs et impose des obligations spécifiques aux sous-traitants qui doivent aider les responsables de traitement dans leur démarche permanente de mise en conformité.

Dès lors, dès qu’un cabinet intervient en qualité de sous-traitant dans le cadre de ses missions, celui-ci doit notamment assister et conseiller ses clients dans leur conformité à certaines obligations prévues par le RGPD (analyses d’impact, notification de violation, sécurité, destruction des données, contribution aux audits). Cela implique :

  • Une obligation de transparence et de traçabilité
  • La prise en compte des principes de protection des données dès la conception et par défaut
  • Une obligation de garantir la sécurité des données traitées
  • Une obligation d’assistance, d’alerte et de conseil

C’est dans ce contexte que l’Ordre des experts comptables préconise notamment de revoir les contrats de mission conclus entre les experts-comptables et leurs clients, en incluant dans les lettres de mission de nouvelles clauses sur la responsabilité des traitements des données personnelles.

Respectez votre devoir de conseil envers vos clients

Afin de transformer une obligation réglementaire en opportunité pour votre organisation.