RGPD ? Comment accompagner ses clients dans sa mise en conformité.

5 min

Devant l’érosion des marges, le conseil et l’accompagnement apparaissent comme un terrain propice à la croissance future des cabinets. Pourquoi ne pas proposer à vos clients un accompagnement spécifique à la mise en conformité avec le Règlement Général sur la protection des données personnelles (RGPD) ?
Tirant parti de sa propre expérience de conformité, le cabinet d’expertise comptable Aequitas Expertise et Conseil, basé dans la Région des Hauts-de-France, a développé une démarche en cinq étapes, emblématique des principales exigences du règlement européen.

Avant de nous lancer dans l’élaboration d’un service d’accompagnement au RGPD, nous avons travaillé sur notre propre mise en conformité.

Pour cela, nous nous sommes appuyés sur le Guide de l’Ordre des experts comptables et, pour l’aspect juridique et pénal, sur ceux du Conseil National des Barreaux, du Barreau de Paris et de la Conférence des Bâtonniers. Ainsi, nous avons réalisé notre propre audit sur nos données personnelles relatives aux clients, partenaires et ressources humaines » déclare François Lerouge, responsable du service juridique droit des affaires d’Aequitas Expertise et Conseil.

Deux personnes du cabinet ont été dédiées à cette mission. Elles ont étudié la façon dont toutes les données à caractère personnel étaient collectées, traitées, sauvegardées et stockées. « Nous avons analysé tous les process et vérifié avec notre service informatique qu’il prenait bien en compte les aspects de minimalisation, de finalité, de modification, de suppression et de récupération des données, explique le responsable du service juridique. Toutefois, de par ses missions, un cabinet d’expertise comptable était déjà sensibilisation à la gestion des données personnelles de ses clients, via les obligations règlementaires qu’imposent l’Ordre. Par exemple, pour satisfaire aux contraintes de la loi anti-blanchiment, nous avons l’obligation de recueillir les pièces d’identité des clients et de notifier s’ils sont à risque ou non. Il nous faut donc prendre en compte les deux législations. »

Un service décliné en cinq volets

A l’issue de cette mission, Aequitas Expertise et Conseil décide de créer et déployer une offre de services autour du RGPD.

« Objectif : mettre à profit cette expérience pour aider nos clients TPE à se mettre en conformité. Pour cela, nous avons construit une offre déclinée en cinq volets » souligne François Lerouge.

Première étape : état des lieux des process

Il convient en effet de faire un état des lieux des process internes de l’entreprise relatifs à toutes les données à caractère personnel. « Selon le nombre de process, nous pouvons intervenir sur une demi-journée ou une journée. Nous procédons alors à un audit sur toutes les données personnelles traitées par l’entreprise ; que ce soit celles des clients, des prospects, des fournisseurs, des partenaires et des collaborateurs ». Cet audit donne lieu à un rapport pointant les non conformités au RGPD.

Deuxième étape : Audit informatique.

« Disposant en interne d’un service informatique, nous proposons à nos clients de réaliser un audit de leur SI pour vérifier s’il a bien le niveau de sécurité requis pour satisfaire aux exigences du RGPD : antivirus, firewall, serveurs de stockage, de sauvegarde, processus de mises à jour, etc. Aujourd’hui nous constatons que de nombreuses TPE manquent d’outils. L‘audit informatique peut non seulement générer une phase de conseils sur les process, mais également nous permettre d’être force de propositions sur des logiciels ou solutions informatiques », déclare François Lerouge.

Troisième étape : l’assistance au responsable du traitement des données personnelles.

l’assistance au responsable du traitement des données personnelles. Faute de moyens pour recruter un DPO, les petites entreprises confient bien souvent à un employé la responsabilité du traitement de données personnelles de l’entreprise. « Ces profils n’étant pas juridiques, nous leur proposons de répondre à toutes leurs interrogations juridiques et techniques. Par ailleurs, le RGPD imposant un nouveau cadre de responsabilité entre entreprises et sous traitants, nous leur proposons de les accompagner dans la rédaction de nouveaux contrats incluant de nouvelles clauses avec leurs sous-traitants » décrypte François Lerouge.

Quatrième étape : Un audit annuel

Un audit annuel pour s’assurer de la mise en conformité au cours du temps.

Il ne suffit pas d’être dans les clous à partir du 25 mai, encore faut-il pouvoir assurer cette obligation dans le temps. Or maintenir des process est difficile et les lois sont mouvantes. Pour preuve, l’annonce en 2019 d’un nouveau règlement européen qui viendra compléter le RGPD et, au niveau national une loi va être adoptée dans les prochains mois, pour renforcer les dispositions prévues dans le règlement, précise François Lerouge.

Cinquième étape : Une offre de sensibilisation des salariés

Enfin, Aequitas Expertise et Conseil proposera à moyen terme à ses clients une offre de sensibilisation des salariés à la protection des données personnelles. « Sans une mobilisation générale de l’ensemble des collaborateurs sur la collecte et le traitement des données personnelles et sur la sécurité informatique autour notamment du vol de données, des ransomware, des mots de passe ou des clés USB, les entreprises auront bien du mal à satisfaire les exigences du RGPD. La gestion de la donnée est l’affaire de tous » insiste le responsable juridique.

A l’heure où les cabinets d’experts comptables subissent de profondes mutations dues à la dérèglementation de la profession, à l’arrivée de nouvelles technologies, à l’automatisation de certaines tâches comptables et aux exigences du marché en termes de services, développer une offre RGPD est source de différenciation et de nouveaux revenus. Pour le cabinet Aequitas Expertise et Conseil, le RGPD est une sérieuse opportunité de croissance.

Besoin d’accompagnement dans votre mise en conformité ?

TÉLÉCHARGER NOTRE GUIDE PRATIQUE