Depuis son entrée en application le 25 mai 2018, le Règlement Général de Protection des Données (RGPD) renforce la protection des données personnelles brassées par les entreprises. Ce Règlement concerne ainsi toute donnée qui permet d’identifier directement ou indirectement une personne : son nom, son courriel, un matricule, une adresse IP, une photo, une vidéo… et apporte aux citoyens européen une protection accrue, notamment en termes de consentement, d’accessibilité, de droit à l’oubli et de portabilité. Il renouvelle – et de manière significative – le cadre juridique applicable en la matière (notamment la directive 95/46/CE de 1995). Un Cabinet d’Expertise-comptable est une entreprise et donc nous sommes confrontés aux mêmes règles que les entreprises parce que nous gérons des données de nos collaborateurs mais notre particularité c’est que nous sommes sous-traitants de nos clients pour la production d’éléments fiscaux et sociaux. Une double obligation nous incombe : pour notre Cabinet d’expertise-comptable mais également pour tous nos clients. La mise en place de nouveaux réflexes organisationnels et opérationnels s’impose.
Voyons ensemble d’un peu plus près les différentes implications du RGPD sur les Cabinets d’experts-comptables et commissaires aux comptes.
RGPD : impacts sur la conformité des traitements dans l’organisation d’un Cabinet de commissaires aux comptes :
Garant de la régularité des comptes de votre entreprise et collectant immanquablement des données à caractère personnel (bulletin de paie, contacts…), notre Cabinet est donc concerné par le règlement européen notamment au niveau organisationnel ce qui implique de renforcer les procédures et d’imposer des mesures pour initier une démarche de mise en conformité. Les Cabinets doivent alors mettre en œuvre de nouvelles mesures techniques et organisationnelles pour répondre aux dispositions du règlement européen.
Retenez que toute entreprise qui collecte des données doit désormais avoir cinq réflexes concernant les données personnelles pour être en conformité avec le RGPD :
– Finalité du traitement ;
– Pertinence des données collectées ;
– Durée de conservation ;
– Sécurité des informations ;
– Respect des droits des personnes.
Les nouvelles responsabilités fixées par le RGPD diffèrent selon le statut même. En effet, il faut en amont déterminer le statut dans les traitements réalisés dans le cabinet pour chacun des opérations :
– Responsable de traitement
– Responsable conjoint de traitement
– Sous-traitant
L’exemple du traitement des fiches de paie de nos clients :
En tant que responsable ou co-responsable du traitement des données de nos clients et compte tenu donc de la finalité de l’établissement de leurs fiches de paie, il nous faudra assurer et documenter la sécurité du dispositif pour éviter qu’elles ne soient accessibles en protégeant l’accès aux serveurs, leur durée de conservation sera de 5 ans et nous n’avons aucune obligation de les anonymiser.
Quid de l’obligation de nommer un DPO dans les Cabinets d’expertise-comptable :
Contrairement à la sphère publique, où la nomination d’un Data Personal Officer (DPO) est obligatoire, trois critères cumulatifs sont nécessaires pour le rendre obligatoire dans la sphère privée :
1. le traitement des données sensibles (origine raciales, sexuelles, données de santé) ; 2. Le suivi systématique et régulier des personnes ;
3. Le traitement doit être effectué à large échelle.
Soucieux des profonds enjeux de la big data auxquels notre société fait aujourd’hui face, nous tenons à coeur de respecter ce nouveau règlement et ne manquerons pas de vous tenir au courant de ces évolutions en pratique. Si vous avez besoin de renseignements, n’hésitez pas à nous joindre au 01 47 63 17 18.
