RGPD : les experts comptables doivent revoir leurs pratiques de gestion des données personnelles

Au même titre que les autres secteurs d’activité, les cabinets d’experts comptables sont contraints, par le nouveau Règlement européen sur la protection des données à caractère personnel (RGPD), d’assurer une protection optimale des données personnelles. Etre en conformité avec le RGPD leur impose d’intervenir sur deux fronts : les données personnelles internes au cabinet – RH, DAF ou marketing – et les données de leurs clients.

Un cabinet d’expertise comptable est responsable de traitement ou « data controller »

Dans un premier cas de figure, le cabinet d’experts comptables est responsable de traitement ou data controller, car il exploite les données personnelles de ses propres salariés ou de ses clients. Sa mission consiste à analyser la façon dont toutes les données à caractère personnel manipulées par le cabinet sont collectées, traitées, stockées et sécurisées. Il doit donc s’assurer que tous les process et usages répondent bien aux critères du RGPD à savoir : recueillir le consentement pour collecter et traiter la donnée ; minimiser les données ; habiliter l’accès selon les profils des collaborateurs ; donner la possibilité de modifier, supprimer, récupérer les données et satisfaire les conditions légales de stockage. Des logiciels dotés de fonctionnalités liées aux droits des personnes (par exemple le droit à la portabilité) facilitent le respect de ces exigences.

Pour les cabinets qui ont fait le choix de garder en local leurs infrastructures informatiques, le responsable du traitement ou data controller doit s’assurer de la sécurité physique des serveurs : lieux protégés, redondances des machines dans des lieux différents. Il doit également vérifier que toutes les infrastructures – serveurs, pc, tablettes, smartphones – et tous les applicatifs sont équipés d’outils de sécurité type antivirus, anti-malware, pare-feu, etc. Enfin, il doit sensibiliser les collaborateurs aux bonnes pratiques de la sécurité en leur présentant par exemple les éventuelles conséquences de laisser une clé USB ou un mot de passe trainer sur un bureau, ou en les informant des menaces liées à Internet – ransomware ou phishing.

Pour les cabinets qui ont fait le choix du SaaS, la sécurité des serveurs et applicatifs hébergés doit être assurée par le prestataire infogérant ou le CSP (cloud service provider). Cegid, par exemple, a mis en œuvre une infrastructure technique agile et sécurisée, garantissant une sécurité 24 h/24 et 7 jours/7.

A découvrir : consulter le glossaire complet du RGPD

Il est également sous-traitant (data processor) de ses clients : quelles responsabilités complémentaires ?

En tant que responsable de traitement, les cabinets d’experts comptables doivent, quelle que soit leur taille, nommer un DPO (Data Protection Officer) car ils manipulent des volumes importants de données personnelles (notamment avec les missions sur les paies). Le DPO peut être mutualisé dans un groupement d’experts comptables ou être externalisé.

Le cabinet est également sous-traitant de ses clients (data processor). Dans ce cadre, au-delà de s’assurer de la conformité du cabinet avec le RGPD, le DPO du cabinet doit également vérifier la façon dont les données de ses clients sont manipulées. C’est dans ce contexte que l’Ordre des experts comptables les incite actuellement à revoir leurs contrats avec leurs clients en incluant dans leurs lettres de mission de nouvelles clauses sur la responsabilité des traitements des données personnelles.

Mais ils peuvent aussi proposer à leurs clients une nouvelle mission d’accompagnement et de conseil dans la mise en place du RGPD avec le DPO.

Au-delà du texte réglementaire, il est important de souligner qu’à ce jour, il n’existe pas d’expert RGPD à proprement parler, parce que de nombreux éléments de la réglementation restent encore flous, et parce qu’il n’y a pas d’antécédent, ni de jurisprudence. Il convient en conséquence de considérer avec méfiance toute recette miracle qui vous serait proposée…

A dater du 25 mai nous apprendrons tous en marchant.

Besoin d’accompagnement dans votre mise en conformité ?