Le cabinet d’expertise comptable face au RGPD

A LA UNE
Outils
TAILLE DU TEXTE

Le règlement général sur la protection des données ou RGPD est un texte de l’Union européenne concernant la protection des données à caractère personnel. Ce règlement « encadre le traitement des données personnelles sur le territoire de l’Union européenne » comme le souligne la Cnil.

Une « donnée personnelle » correspond à toute information se rapportant à une personne physique, directement ou indirectement. Le cabinet d’expertise comptable, de par la nature de ses missions, fait face à une grande quantité de données personnelles quotidiennement. Il est ainsi concerné par le RGPD tant au niveau du traitement des données personnelles internes au sein du cabinet, notamment celles des salariés ou fournisseurs, que sur le traitement des données clients.

Mise en conformité avec le RGPD

Pour s’assurer de leur conformité, les cabinets d'expertise comptable doivent prendre les mesures nécessaires afin de garantir la protection des données personnelles qu’ils détiennent ou traitent. Leur responsabilité et les mesures qu’ils devront prendre dépendent du statut du cabinet en tant que responsable de traitement (« data controller »), sous-traitant (« data processor ») ou responsable conjoint de traitement.

Responsabilité en tant que responsable de traitement

En tant que responsable de traitement ou « data controller », le cabinet d’experts-comptables « détermine les finalités et les moyens du traitement des données personnelles » de ses salariés et de ses clients. De ce fait, il doit s’assurer du consentement pour la collecte et le traitement des données, sécuriser l’accès à ces informations et les stocker selon les exigences légales. En outre, le cabinet comptable doit sensibiliser ses collaborateurs aux pratiques recommandées pour la sécurité des données personnelles. Un « data protection officer » ou DPO doit être nommé au sein de l'entreprise.

Obligations en tant que sous-traitant ou responsable conjoint de traitement

Le sous-traitant ou « data processor » traite les données personnelles pour le compte du responsable de traitement. Ses devoirs envers le responsable de traitement figurent généralement dans un contrat qu’il a conclu avec ce dernier. Ainsi, par exemple, lorsqu’un cabinet d’experts-comptables conclut un contrat avec un client afin d’agir pour son compte, ses missions sont clairement définies dans l'accord alors que le client demeure le responsable de traitement des données.

Néanmoins, le cabinet comptable pourrait être considéré comme responsable conjoint de traitement si le client lui laisse une part d’initiative quant à la réalisation du traitement. De ce fait, le cabinet d’experts-comptables doit s’assurer que ses missions sont clairement définies dans le contrat et qu’il s’y conforme pour éviter l’éventualité qu’il soit considéré comme responsable conjoint de traitement.

Arzeenah Hassunally

Les Annuaires du Monde du Chiffre