Expert-comptable | Réglementation

RGPD et expert-comptable : quelles obligations ?

8 min
Écrit par  Frédéric d'AGIRIS
15 oct. 2024
RGPD et expert-comptable : quelles obligations ?
13:48

La réglementation qui encadre la protection des données dans l’Union européenne est en vigueur en France depuis 2018. C’est le RGPD. Les dispositions de cette loi concernent doublement les cabinets d’expertise-comptable, tant en interne qu’en externe, pour les relations avec leurs clients. En outre, ils occupent la place idéale pour recommander la bonne organisation aux dirigeants dans leurs propres entreprises. Voici un point complet sur les obligations et les préconisations en matière de RGPD pour l’expert-comptable.

RGPD : de quoi parle-t-on exactement ?

Le règlement général sur la protection des données appelé RGPD est entré en vigueur en France le 25 mai 2018. Toutes les entreprises, y compris les TPE et PME, clients privilégiés des cabinets d’expertise comptable, sont impactées par ces obligations relatives aux données personnelles.

Définition du Règlement Général sur la Protection des Données (RGPD)

C’est la loi du 20 juin 2018 relative à la protection des données personnelles qui régit la manière de collecter et d’utiliser ces données. Elle vise à renforcer le droit des individus, tout en responsabilisant les acteurs qui interviennent dans le traitement de ces données. La CNIL (Commission nationale de l’informatique et des libertés) procure la définition suivante pour la notion de donnée personnelle : "toute information se rapportant à une personne physique identifiée ou identifiable".

Pourquoi les experts-comptables sont-ils triplement concernés par le RGPD ?

Les cabinets d’expertise comptable sont aussi des entreprises. À ce titre, ils sont soumis aux obligations de protection dictées par le RGPD. Ainsi en interne, ils doivent se conformer aux exigences légales, tant pour les données relatives à leurs propres salariés que pour celles qui concernent leurs clients. Enfin, ils conseillent les TPE et PME pour déployer les bonnes procédures RGPD dans leurs entreprises.

Quels cas de figure existent en cabinet d’expertise comptable au regard du RGPD ?

Chaque cabinet doit procéder à une réelle appréciation des faits au cas par cas, sans pouvoir décider a priori, par type de mission, du niveau de sa responsabilité. Cette qualification importe pour comprendre les obligations qui incombent à l'expert-comptable. Par exemple, le CSOEC recommande aux cabinets de rendre les clients responsables d'informer les personnes physiques lorsqu'ils sont co-responsables du traitement.

Le recueil ad hoc de l’Ordre des experts-comptables propose un arbre de décision sur ce point. Il convient aussi de croiser cette analyse avec le contenu de la lettre de mission afin de s’assurer de la cohérence. Plusieurs situations peuvent ainsi survenir pour un expert-comptable au regard du RGPD :

  • Il est responsable du traitement opéré lorsqu’il est le seul à déterminer l’objectif dudit traitement (comme pour des travaux de révision des comptes).
  • Il est co-responsable lorsqu’il détermine conjointement avec le client la finalité du traitement. C’est le cas par exemple pour un processus de due diligence dans le cadre d’un audit d’acquisition.
  • Il se positionne en tant que sous-traitant, lorsque l’entreprise cliente fixe la finalité du traitement. Citons l’exemple de la déclaration préalable à l’embauche (DPAE).

Quelle est la responsabilité de l'expert-comptable face au RGPD ?

L’expert-comptable est évidemment responsable de la protection des données internes à son cabinet et qui émanent de ses salariés, en tant que personnes physiques. Concernant les données relatives aux dossiers clients, ça dépend de son statut, responsable ou sous-traitant.

Responsable de traitement des données ou data controller : rôle et obligations

L’expert-comptable qui est responsable du traitement doit s’assurer qu’il respecte les différentes obligations prévues par le RGPD dans ce cas de figure. Une nouvelle fonction, le data controller, apparaît dans les cabinets et prend en charge ces tâches.

Qu’est-ce qu’un data controller ?

Le nouveau métier de data controller se développe dans les cabinets d’expertise comptable. Avec l’explosion de la data, sa dématérialisation, l’automatisation des processus et les exigences du RGPD, il devient urgent d'organiser les tâches autour des données.

Le data controller est responsable du traitement des données. Son métier consiste à gérer des flux dématérialisés et structurés. Au regard du RGPD, le data controller appartient donc à l’organisation qui prend les décisions sur la finalité des traitements ainsi que les moyens et conditions de leur mise en œuvre.

Le data controller travaille aussi pour les collaborateurs du cabinet. Il leur garantit sécurité, fluidité et fiabilité de la data :

  • appui aux clients afin d'utiliser la plateforme du cabinet ;
  • gestion du paramétrage des dossiers clients pour les aspects traitement de données ;
  • vérification que la collecte de données fonctionne correctement.

Quelles sont les obligations du responsable de traitement des données au regard du RGPD ?

L’objectif du RGPD consiste à protéger l’utilisateur qui communique ses données personnelles à un tiers. Le responsable de traitement des données doit respecter trois types d’obligations.

Obligation d‘information

Dès que l’expert-comptable collecte des données personnelles, tant auprès de ses collaborateurs que de ses clients, il doit informer la personne qui transmet ses données. Il mentionne sur le support qui sert à les récupérer :

  • l’identité du responsable du traitement du fichier ;
  • la finalité de la collecte ;
  • la source légale qui autorise au traitement ;
  • le type de personnes habilitées à accéder aux données ;
  • la durée de conservation ;
  • les droits des utilisateurs qui donnent ces informations.
Obligation de sécurisation

Le responsable du traitement des données a aussi l’obligation de les sécuriser et de maintenir leur confidentialité. Il doit donc organiser les tâches avec des processus informatiques et des locaux de stockage qui préviennent des risques comme l’endommagement, la modification ou l’accès par des personnes non autorisées.

Obligation d’analyse d’impact dans certains cas

Enfin, si le traitement des données peut comporter un risque pour les droits et libertés des individus, le data controller doit réaliser une analyse d’impact. En cas de risque élevé identifié, il convient d’en informer la CNIL.

Obligations de l’expert-comptable en tant que sous-traitant ou data processor

Le terme de data processor désigne le sous-traitant, soit celui qui réalise le traitement des données à caractère personnel pour le compte du data controller, le responsable de traitement. Ce professionnel doit respecter la réglementation en vigueur. En outre, le data controller doit s’en assurer.

Comme le précise la CNIL sur son site, le sous-traitant dispose aussi d’obligations sur le plan des données personnelles. Il doit les mentionner dans son contrat de prestation :  

  • obligation de traçabilité et de transparence ;
  • protection des données ;
  • sécurisation des données traitées ;
  • assistance, alerte et conseil, notamment en cas de violation des données personnelles.

Non-conformité au règlement général sur la protection des données : les risques encourus

En cas de non-respect de ses obligations RGPD, l’expert-comptable court des risques financiers, sans oublier l’impact négatif sur l’image et la réputation du cabinet. Plusieurs sanctions existent. La Commission Nationale de l’Informatique et des Libertés (CNIL) détaille sur son site web les différentes mesures envisageables pour la procédure contradictoire. Citons notamment :

  • une injonction de mise en conformité, sachant que l’astreinte peut s’élever à 100 000 euros par jour de retard ;
  • une amende administrative qui peut atteindre, pour les cas les plus graves, 4 % du chiffre d’affaires mondial de l’entreprise, avec un maximum de 20 millions d’euros ;
  • la possibilité de dénoncer l’entreprise publiquement selon le principe du name and shame.

Notez aussi l’existence d’une procédure de sanction simplifiée en cas de manquements de faible gravité.

Mise en conformité RGPD en cabinet : points de vigilance, bonnes pratiques et opportunités

Se mettre en conformité ou vérifier le respect des exigences du RGPD suppose d’abord de savoir qui prend en charge le processus au fil de l’eau. En effet, au-delà du contrôle ponctuel, c’est un exercice permanent, car le cabinet comme les dossiers clients sont en perpétuel mouvement.

Organisation du cabinet autour du RGPD : DPO et registre des données

Avant de se lancer dans la vérification ou le déploiement du RGPD, posez-vous la question de nommer ou pas un DPO (délégué à la protection des données). Même si vous ne vous situez pas dans les cas de DPO obligatoire, c’est recommandé. Ainsi, vous commencez à structurer votre organisation en matière de gestion de la data.

Mettez en place aussi un registre des traitements des données. La loi spécifie le niveau de vos obligations, en fonction de la taille de l’entreprise. Ainsi les exigences légales sont moindres en cas d’effectif inférieur à 250 salariés. Ce registre correspond à une cartographie qui recense l’ensemble des catégories de données manipulées par les collaborateurs. Il contient les types de données, pour quelles activités, les personnes qui y accèdent et dans quel but, la forme et la durée de conservation, etc.

Les points pratiques de vigilance à passer en revue dans le cabinet

En plus des bonnes pratiques recommandées par le CSOEC, voici des aspects à analyser afin de vous assurer que vous respectez le RGPD :

  1. Conformité RGPD du site web sur le plan de sa sécurisation.
  2. Sécurité informatique et gestion des droits d’accès, tant en interne du cabinet que pour les mots de passe que les clients vous confient. Pensez à compartimenter les activités et accès autant que possible. Dotez-vous de logiciels adéquats pour gérer ces mots de passe.
  3. Gestion de l’hébergement des données par l’expert-comptable, notamment situation géographique des datacenters pour des solutions en mode cloud. Notez bien l’obligation concernant l’information préalable à la collecte des données, si vous les stockez en dehors de l’Union européenne. Assurez-vous des délais garantis en cas de rupture dans le service. Pensez au plan de continuité des activités.
  4. Cas du télétravail et du nomadisme des experts-comptables et commissaires aux comptes. Mettez en place les procédures ad hoc pour les collaborateurs qui travaillent régulièrement en dehors des bureaux. Fournissez-leur un matériel approprié avec codes d’accès et sans utilisation de lecteurs externes du type USB.
  5. Gestion des boîtes mail et préconisation de solutions alternatives. Définissez des règles internes au cabinet pour l’envoi des mails. Privilégiez les plateformes sécurisées afin de communiquer en toute confiance et sans risque avec les clients (données de paie et pièces comptables).

Transformer la conformité RGPD en avantage concurrentiel pour l’expert-comptable

Le respect du RGPD concerne votre cabinet, mais aussi tous vos clients. Le fait de communiquer sur cette thématique avec les dirigeants des entreprises contribue à conforter la relation avec l’expert-comptable.

Sécuriser les données pour renforcer la confiance des clients

Partenaire du pilotage de la performance comme de la prévention des risques, l’expert-comptable se veut le conseiller privilégié des dirigeants d’entreprise. En expliquant comment il sécurise les données que lui communique son client, il contribue assurément à améliorer sa confiance. N’hésitez donc pas à mettre en avant votre management du RGPD.

Anticiper les évolutions réglementaires pour rester compétitif

La réglementation évolue en permanence et dans tous les domaines. Les experts-comptables se positionnent aussi sur cette thématique, la veille. L’entrepreneur qui doute ou s’interroge sur un texte de loi se retourne naturellement vers son expert-comptable. Confiez donc à votre DPO la responsabilité de cette surveillance des obligations réglementaires. Il prend également en charge les adaptations organisationnelles nécessaires le cas échéant. Enfin, il prépare l’information des clients en cas de nouveautés ou changements.

Proposer des missions d’accompagnement sur la conformité RGPD des entreprises

Au-delà de vos obligations RGPD en tant qu’expert-comptable, transformez cette thématique en une nouvelle mission proposée aux clients. Complétez votre offre de services afin de les accompagner dans le respect de la conformité RGPD en interne de leur propre entreprise. Voici quelques idées :

  • formation aux obligations RGPD ;
  • audit de conformité RGPD ;
  • déploiement de services au travers d’une plateforme sécurisée pour le traitement des données personnelles ;
  • proposition de documents types pour le recueil des autorisations et consentements ou pour l’information en matière de RGPD.

Le RGPD en expertise comptable ne constitue pas une option. En dépassant vos obligations légales, vous pouvez même en faire un avantage concurrentiel. Les TPE et PME sont tout autant concernées par ce règlement que votre cabinet, tant pour leur collecte que pour le traitement de données personnelles auprès de leurs clients. Qui de mieux que l’expert-comptable peut les aider à respecter le RGPD ?

Retour ressources