Logo Compta Online
Editions Tissot
ET

RGPD, avec le recul, qu'avez-vous changé ?

3
189
3
3 réponses
189 lectures
3 votes

Gmacquart
ProfilGmacquart
Assistant comptable en cabinet
  • 76 - Seine-Maritime
Envoyer un message privé    Ajouter à mes contacts
  • 3 votes
popupBulle tail
Profil
Assistant comptable en cabinet


Ecrit le: 04/12/2018 12:03
+1
VOTER
Votez MoinsVotez Plus
Message édité par Gmacquart le 04/12/2018 12:05

Bonjour,

Je suis aujourd'hui chargé de mettre en conformité notre petit cabinet d'audit/expertise comptable au RGPD.

J'ai des différences d'interprétation du règlement avec mes collègues.

  • le divorce d'un(e) gérant(e) est considéré par un collaborateur comme une information importante, à mettre au dossier permanent du client. Son raisonnement est que ce divorce peut être le point de départ d'une mauvaise tenue des comptes ou de fraude, et qu'il suppose un audit plus soigné l'année qui suit.

Est-ce une donnée personnelle devant être retirée d'un dossier permanent et supprimée ? Est-ce que sa collecte relève d'une finalité licite tout court ?

  • les courriels de B2B, c'est-à-dire les échanges entre notre cabinet et nos clients professionnels, doivent-ils être supprimés ou peuvent-ils être conservés en tant qu'éléments probants dans l'éventualité d'un litige ?
  • les données accessibles publiquement (numéro de téléphone, nom, date de naissance etc) sont-elles des données personnelle telles que l'entend le RGPD ?

La RGPD est un gros morceau, j'espère pouvoir m'appuyer sur votre expérience pour trouver une réponse à ces questions !

Merci,

Cordialement,

Macquart


Breizhea
ProfilBreizhea
Directeur Administratif et financier en entreprise
  • 29 - Finistère
Envoyer un message privé    Ajouter à mes contacts
  • 39 votes
popupBulle tail
Profil
Voir son compte Twitter Voir son compte LinkedIn
Directeur Administratif et financier en entreprise


Re: RGPD, avec le recul, qu'avez-vous changé ?
Ecrit le: 04/12/2018 13:48
+2
VOTER
Votez MoinsVotez Plus

Bonjour Macquart,

En réponse à vos différentes questions, voici quelques réponses :

--> Est-ce que le divorce est une donnée personnelle devant être retirée d'un dossier permanent et supprimée ? Est-ce que sa collecte relève d'une finalité licite tout court ?

Le divorce est un acte d'état civil. Si vous réussissez à collecter cette information auprès de l'état civil, alors elle est collectable "publiquement" et vous pouvez la détenir et la conserver (+ cf. la réponse à votre troisième question ci dessous).

Si c'est une information collectée auprès du client, il convient de se positionner par rapport aux conditions de cette collecte (à quelles fins cette donnée a-t-elle été collectée ?), et de s'y tenir strictement.

Détenir cette information a un intérêt dans le cadre de l'accompagnement que les experts-comptables proposent à leurs clients car cela leur permet d'avoir une meilleure connaissance de la situation et des besoins de ces derniers pour leur proposer un accompagnement personnalisé et ne pas leur redemander ultérieurement ces informations nécessaires à l'établissement de certaines missions (IRPP, conseil en gestion de patrimoine, conseil / accompagnement en transmission d'entreprise).

Au sein de votre cabinet, le fait d'avoir connaissance du divorce d'un(e) gérant(e) vous amène à identifier un risque au sein de la structure que vous accompagnez et ainsi à mettre en oeuvre des contrôles et un accompagnement spécifique : cela correspond à la finalité du traitement. Le RGPD prévoit que les personnes concernées (donc le gérant / la gérante dans le cas présent) soient informées et donnent leur consentement quant au traitement de leurs données à caractère personnel. Il vous faut donc recueillir le consentement de votre client pour détenir cette données, pour l'exploiter, et pour qu'il vous autorise à la ou les finalités prévues. Votre client peut refuser le traitement de ses données dans le cadre de cette finalité (droit à la limitation du traitement - article 18 du RGPD).

A votre question "Est-ce une donnée personnelle devant être retirée d'un dossier permanent et supprimée ?", il y a plusieurs réponses :
- Oui si votre client n'est pas informé que vous détenez cette donnée (sauf si elle a été collectée publiquement), du traitement que vous en faites ou qu'il a refusé que vous la conserviez (excepté en cas de collecte publique). S'il accepte que vous la conserviez mais pas pour les finalités liées à la détection de la fraude, il vous faut stocker cette information également dans votre dossier permanent (ou dans votre CRM s'il est plus souple pour stocker ce type d'infos - article 7 - conditions applicables au consentement)
- Non si votre client vous autorise à la collecter et/ou à l'exploiter pour les finalités que vous lui avez exposées (article 6 - Liceité du traitement).

A votre question "Est-ce que sa collecte relève d'une finalité licite tout court ?", l'article 6 - "Licéité du traitement" prévoit que :

Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;
c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique;
e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Dans le cas ou la collecte de la donnée est nécessaire à l'exécution d'un contrat - Article 6, alinéa b, par exemple pour établir la déclaration de revenus de vos clients, la collecte de la donnée est effectivement licite mais cela ne signifie pas que vous pouvez utiliser la donnée à toutes les fins que vous souhaitez.

Dans le cas d'un objectif de détection de la fraude, l'article 6 alinéa c précise que le traitement est licite si "le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis". Au motif de devoir respecter l'obligation de déclarer les soupçons de blanchiment d'argent à Tracfin, la liceité de la collecte et du traitement de la donnée pourrait être défendue. Toutefois, j'émets un doute sur la pertinence du lien de causalité entre la donnée personnelle "divorcé" et le risque de fraude... Se baser sur le nécessaire respect de l'obligation Tracfin pour conserver et traiter cette donnée personnelle me semble ainsi border line...

--> Les courriels de B2B, c'est-à-dire les échanges entre notre cabinet et nos clients professionnels, doivent-ils être supprimés ou peuvent-ils être conservés en tant qu'éléments probants dans l'éventualité d'un litige ?

Concernant votre question sur les courriels B2B : dans le cadre de vos relations contractuelles avec vos clients, il est tout à fait normal qu'il y ait des échanges de courriers et de courriels. Sauf à ce que ces derniers contiennent des données personnelles non nécessaires à la réalisation des missions déléguées par votre client, il n'y a pas de contre indication à conserver les documents, dans la limite des délais maximum de conservation calés sur les délais de prescription en cas de litige. Dans l'idéal, il faudrait toutefois anonymiser les informations les plus personnelles, surtout si elles ne sont pas sources d'éléments de preuve. Resterait enfin à mesurer le risque de la conservation par rapport à son intérêt.

--> Les données accessibles publiquement (numéro de téléphone, nom, date de naissance etc) sont-elles des données personnelle telles que l'entend le RGPD ?

Elles constituent des données personnelles et le restent.

Conformément à ce que prévoit l'article 14 ("Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée"), si vous avez collecté ces informations via leur source publique, vous devez quand même en informer les personnes concernées (cf. art.14), et ce dans les délais précisés au 14.3.

Si les données sont publiées par ailleurs, avec le consentement de la personne concernées, ces données ne sont alors plus confidentielles et les impacts (PIA) liés au risque de leur perte ou de leur diffusion sont annulés (attention de conserver la preuve de leur publication par ailleurs, ainsi que de sortir le risque de modification non désiré du périmètre de nullité). Par voie de conséquence les mesures de protection de ces données relativement à ces risques (perte ou diffusion) n'ont plus d'exigence opérationnelle, car la perte ou la diffusion de ces données n'est plus un souci du fait de leur publication par ailleurs (à condition de pouvoir prouver leur publication au moment où une source de risque advient).

Quant aux demandes d'accès aux droits, la personne concernée dispose de l'ensemble de ces droits (limitation des traitements, s'opposer à un traitement, en demander la rectification, la portabilité, effacement, etc.). Il faut juste comprendre que, puisque ces données sont publiées par ailleurs, il se peut que vous les collectiez à nouveau, créant une nouvelle boucle prévue à l'article 14.

En espérant avoir pu répondre à vos interrogations

Très bonne journée à vous,

Et bonne mise en conformité au RGPD ;).

Amélie,



--------------------
Diplômée du DEC - Session Novembre 2016
CFO / CCO - www.PiaLab.io - Accompagnement (services et logiciels) à la mise en conformité au RGPD - Audit RGPD - DPO externalisé - Formation et sensibilisation au RGPD.

Gmacquart
ProfilGmacquart
Assistant comptable en cabinet
  • 76 - Seine-Maritime
Envoyer un message privé    Ajouter à mes contacts
  • 3 votes
popupBulle tail
Profil
Assistant comptable en cabinet


Re: RGPD, avec le recul, qu'avez-vous changé ?
Ecrit le: 04/12/2018 14:32
0
VOTER
Votez MoinsVotez Plus
Message édité par Gmacquart le 04/12/2018 14:33

Breizha,

Merci beaucoup d'avoir pris le temps de me répondre.

Vos explications sont très claires et me permettent de voir le RGPD sous un angle bien plus concret que les articles/dossiers que j'avais lus jusqu'à présent. Je commence à vraiment cerner ce qu'est une donnée personnelle et les obligations qui l'accompagnent.

Votre point de vue quant au divorce des gérants et sa base juridique pour recueillir et conserver cette information est tout à fait juste.

Je vais pouvoir revenir vers votre post en cas de doute durant la procédure de mise en conformité.

Je vous remercie encore d'avoir pris la peine de partager votre savoir en la matière.

Passez une excellente journée,

Macquart

Breizhea
ProfilBreizhea
Directeur Administratif et financier en entreprise
  • 29 - Finistère
Envoyer un message privé    Ajouter à mes contacts
  • 39 votes
popupBulle tail
Profil
Voir son compte Twitter Voir son compte LinkedIn
Directeur Administratif et financier en entreprise


Re: RGPD, avec le recul, qu'avez-vous changé ?
Ecrit le: 04/12/2018 15:22
0
VOTER
Votez MoinsVotez Plus
Ravie d'avoir pu vous apporter quelques explications plus concrètes,

Très bonne journée à vous également,

Amélie,


--------------------
Diplômée du DEC - Session Novembre 2016
CFO / CCO - www.PiaLab.io - Accompagnement (services et logiciels) à la mise en conformité au RGPD - Audit RGPD - DPO externalisé - Formation et sensibilisation au RGPD.

Retour en haut









Retour en haut
Retour en haut
Avertissement : Ce site permet aux internautes de dialoguer librement sur le thème de la comptabilité.
Les réponses des Internautes et des membres du forum n'engagent en aucun cas la responsabilité de Compta Online.
Tout élément se trouvant sur ce site est la propriété exclusive de Compta Online, sous réserve de droits appartenant à des tiers.
Toute copie, toute reprise ou tout usage des photographies, illustrations et graphismes, ainsi que toute reprise de la mise en page figurant sur ce site, ainsi que toute copie ou reprise en tout ou partie des textes cités sur ce site sont strictement interdits, sous réserve de l'autorisation express écrite de l'ayant droit.

Toute reprise ou tout usage, à quelque titre que ce soit, des marques textuelles, graphiques ou combinées (comme notamment les logos) sont également interdits, sous réserve de l'autorisation express écrite de l'ayant droit.

© 2003-2018 Compta Online
S'informer, partager, évoluer