BanStat
Logo Compta Online

Enjeux du RGPD pour les cabinets d'expertise comptable

26 683 lectures
1 commentaire
Catégorie : Actualité des métiers du chiffre
26 683
1
Article écrit par (1145 articles)
Modifié le
Votre cabinet d'expertise comptable est-il concerné par le RGPD ?


Le règlement général sur la protection des données personnelles ou RGPD s'applique à compter du 25 mai 2018. Il concerne potentiellement tous les cabinets d'expertise comptable à des degrés divers qui doivent être appréciés au cas par cas.

Un Webinar proposé par le Conseil supérieur de l'Ordre des experts-comptables permet de découvrir les enjeux et opportunités du RGPD.

Ce Webinar était animé par Gaëlle Patetta, secrétaire général adjointe et Directeur juridique du CSO, Florence Hauducoeur, Trésorière du CSO, Sanaa Moussaïd, présidente du comité transition numérique, Dominique Perier, président du comité technologique.

 

En quoi les cabinets d'expertise comptable sont-ils concernés par le RGPD ?

Les cabinets d'expertise comptable sont concernés par la protection des données personnelles et le RGPD à plusieurs titres. Dans le cadre de leurs missions, ils récoltent les données personnelles de leurs propres salariés et de leurs clients.

La donnée personnelle, c'est une information qui concerne une personne physique, identifiée ou identifiable, de manière directe ou indirecte. Le matricule, l'adresse IP sur internet ou la situation familiale en font partie.

La simple consultation ou conservation d'une donnée personnelle sur un document papier dans les archives est un traitement.

« Missions courtes, longues, récurrentes ou non récurrentes, toutes les missions de l'expert-comptable sont potentiellement concernées par cette réglementation. » précise Florence Haudecoeur.

Les informations recueillies par l'expert-comptable dans le cadre de ses missions peuvent concerner les dirigeants, associés et salariés des entreprises, les artisans, commerçants et professions libérales.

Il s'agit des informations nécessaires aux déclarations fiscales que sont les formulaires 2067, les IFU, la DAS2 avec les jetons de présence, l'IFI. Il faut également y ajouter le secrétariat juridique et les bulletins de paie avec le numéro de sécurité sociale.

 

L'expert-comptable est-il responsable du traitement ou sous-traitant de ses clients ?

Pour Gaëlle Patteta, « l'analyse doit se faire au cas par cas ». Impossible de définir des missions types pour lesquelles le cabinet d'expertise comptable serait responsable du traitement et d'autres, dans lesquelles le cabinet serait sous-traitant.

« Le cabinet doit se poser 3 grandes questions » précise Florence Haudecoeur. À chaque étape, si la réponse est le cabinet d'expertise comptable, ce dernier devient responsable du traitement. Ces trois questions sont :

  • qui détermine la finalité du traitement ?
  • qui a un vrai contrôle sur le traitement des données personnelles ?
  • qui détermine les moyens essentiels des données du traitement ?

La responsabilité du cabinet et son obligation d'information ne sont pas les mêmes. C'est pour cette raison que « le CSOEC conseille au cabinet de mettre l'obligation d'information des personnes physiques à la charge du client lorsque le cabinet est co-responsable du traitement » indique Gaëlle Patteta.

Florence Haudecoeur considère pour sa part que pour tout ce qui concerne les missions sociales et la paie, les cabinets d'expertise comptable seraient plutôt sous-traitants. Dans le cadre des missions comptables, de secrétariat juridique, l'expert-comptable serait plutôt responsable de traitement ».

 

Qu'implique la mise en conformité au RGPD pour le cabinet d'expertise comptable ?

Si la désignation d'un DPO n'est généralement pas obligatoire, les cabinets d'une certaine taille devront sans doute désigner un référent parmi leurs collaborateurs. C'est fortement recommandé.

Le registre des traitements n'est obligatoire que dans les entreprises de plus de 250 salariés ou les responsables de traitement qui manipulent spécifiquement certaines données comme la gestion de personnel, la gestion de fournisseurs ou clients. Le registre, qui peut être un simple fichier excel, répertorie alors les traitements effectués sur les données sensibles comme l'appartenance syndicale etc...

Pour Dominique Perier, le registre doit ensuite « être mis à jour de manière régulière » puisque les cabinets vont être amenés à changer de logiciels, à faire évoluer leur organisation interne ou à changer de sous-traitants. « La protection des données doit être continue ».

« Nous devons revoir tous nos contrats, nos lettres de missions, penser à effacer les mails pour ceux qui ne l'ont jamais fait pour supprimer les données personnelles et prévenir les risques » estime à son tour Sanaa Moussaid. En cas de failles, la CNIL doit être prévenue dans les 72 heures.

Enfin, il est désormais exclu d'envoyer les fiches de paie par email. Ces données personnelles doivent pouvoir être récupérées sur une plateforme sécurisée.

Le CSOEC propose un manuel des procédures à télécharger pour faciliter la tâche des cabinets et un guide sur le RGPD.

Sandra Schmidt

Sandra Schmidt
Rédactrice sur Compta Online de 2014 à 2022, média communautaire 100% digital destiné aux professions du Chiffre depuis 2003.


Le 13/08/2023 16:17, Magalieee a écrit :
  

Bonjour

Je reviens sur l'article où vous formulez que le registre des traitements est obligatoire pour les entreprises de plus de 250 salariés, or le RGPD est très précis à ce sujet

"L'obligation de tenir un registre des traitements concerne toutes les entreprises et quelle que soit leur taille, dès lors qu'elles traitent des données personnelles. Cette obligation concerne également les ST dont les activités impliquent le traitement de données personnelles pour le compte d'un client."

Cordialement



Enjeux du RGPD pour les cabinets d'expertise comptable


© 2024 Compta Online
Retour en haut