Logo Compta Online

Enjeux du RGPD pour les cabinets d'expertise comptable

10 479 lectures
0 commentaire
Catégorie : Actualité des métiers du chiffre
10 479
0
Article écrit par (1164 articles)
Modifié le

Votre cabinet d'expertise comptable est-il concerné par le RGPD ?

Le règlement général sur la protection des données personnelles ou RGPD s'applique à compter du 25 mai 2018. Il concerne potentiellement tous les cabinets d'expertise comptable à des degrés divers qui doivent être appréciés au cas par cas.

Un Webinar proposé par le Conseil supérieur de l'Ordre des experts-comptables permet de découvrir les enjeux et opportunités du RGPD.

Ce Webinar était animé par Gaëlle Patetta, secrétaire général adjointe et Directeur juridique du CSO, Florence Hauducoeur, Trésorière du CSO, Sanaa Moussaïd, présidente du comité transition numérique, Dominique Perier, président du comité technologique.

 

En quoi les cabinets d'expertise comptable sont-ils concernés par le RGPD ?

Les cabinets d'expertise comptable sont concernés par la protection des données personnelles et le RGPD à plusieurs titres. Dans le cadre de leurs missions, ils récoltent les données personnelles de leurs propres salariés et de leurs clients.

La donnée personnelle, c'est une information qui concerne une personne physique, identifiée ou identifiable, de manière directe ou indirecte. Le matricule, l'adresse IP sur internet ou la situation familiale en font partie.

La simple consultation ou conservation d'une donnée personnelle sur un document papier dans les archives est un traitement.

« Missions courtes, longues, récurrentes ou non récurrentes, toutes les missions de l'expert-comptable sont potentiellement concernées par cette réglementation. » précise Florence Haudecoeur.

Les informations recueillies par l'expert-comptable dans le cadre de ses missions peuvent concerner les dirigeants, associés et salariés des entreprises, les artisans, commerçants et professions libérales.

Il s'agit des informations nécessaires aux déclarations fiscales que sont les formulaires 2067, les IFU, la DAS2 avec les jetons de présence, l'IFI. Il faut également y ajouter le secrétariat juridique et les bulletins de paie avec le numéro de sécurité sociale.

 

L'expert-comptable est-il responsable du traitement ou sous-traitant de ses clients ?

Pour Gaëlle Patteta, « l'analyse doit se faire au cas par cas ». Impossible de définir des missions types pour lesquelles le cabinet d'expertise comptable serait responsable du traitement et d'autres, dans lesquelles le cabinet serait sous-traitant.

« Le cabinet doit se poser 3 grandes questions » précise Florence Haudecoeur. À chaque étape, si la réponse est le cabinet d'expertise comptable, ce dernier devient responsable du traitement. Ces trois questions sont :

  • qui détermine la finalité du traitement ?
  • qui a un vrai contrôle sur le traitement des données personnelles ?
  • qui détermine les moyens essentiels des données du traitement ?

La responsabilité du cabinet et son obligation d'information ne sont pas les mêmes. C'est pour cette raison que « le CSOEC conseille au cabinet de mettre l'obligation d'information des personnes physiques à la charge du client lorsque le cabinet est co-responsable du traitement » indique Gaëlle Patteta.

Florence Haudecoeur considère pour sa part que pour tout ce qui concerne les missions sociales et la paie, les cabinets d'expertise comptable seraient plutôt sous-traitants. Dans le cadre des missions comptables, de secrétariat juridique, l'expert-comptable serait plutôt responsable de traitement ».

 

Qu'implique la mise en conformité au RGPD pour le cabinet d'expertise comptable ?

Si la désignation d'un DPO n'est généralement pas obligatoire, les cabinets d'une certaine taille devront sans doute désigner un référent parmi leurs collaborateurs. C'est fortement recommandé.

Le registre des traitements n'est obligatoire que dans les entreprises de plus de 250 salariés ou les responsables de traitement qui manipulent spécifiquement certaines données comme la gestion de personnel, la gestion de fournisseurs ou clients. Le registre, qui peut être un simple fichier excel, répertorie alors les traitements effectués sur les données sensibles comme l'appartenance syndicale etc...

Pour Dominique Perier, le registre doit ensuite « être mis à jour de manière régulière » puisque les cabinets vont être amenés à changer de logiciels, à faire évoluer leur organisation interne ou à changer de sous-traitants. « La protection des données doit être continue ».

« Nous devons revoir tous nos contrats, nos lettres de missions, penser à effacer les mails pour ceux qui ne l'ont jamais fait pour supprimer les données personnelles et prévenir les risques » estime à son tour Sanaa Moussaid. En cas de failles, la CNIL doit être prévenue dans les 72 heures.

Enfin, il est désormais exclu d'envoyer les fiches de paie par email. Ces données personnelles doivent pouvoir être récupérées sur une plateforme sécurisée.

Le CSOEC propose un manuel des procédures à télécharger pour faciliter la tâche des cabinets et un guide sur le RGPD.


Sandra Schmidt

Sandra Schmidt
Directrice de la rédaction sur Compta Online



Enjeux du RGPD pour les cabinets d'expertise comptable

Retour en haut