Expert-comptable : les bonnes pratiques pour vous conformer au RGPD

Mis à jour le

8/10/2024

Saviez-vous qu’un expert-comptable qui transmet un bulletin de salaire par mail à son client n’est pas conforme à la réglementation ? Non, ce n’est pas une blague ! 🙃

La Commission nationale de l'informatique et des libertés (CNIL) est même très claire sur le sujet : « La messagerie électronique ne constitue pas un moyen de communication sûr pour transmettre des données personnelles », écrit-elle dans son guide sur la sécurité. Mais pas de panique, voici un résumé des informations clés pour vous aider à mettre votre cabinet en conformité au plus vite ! 👇

Le RGPD, c’est pour qui et pour quelles données ?

Publié en 2016, mais entré en vigueur le 25 mai 2018, le Règlement général sur la protection des données (RGPD) est devenu incontournable pour de nombreuses professions. Les experts-comptables et les commissaires aux comptes n’y échappent évidemment pas !

Même si cela nécessite un temps d’adaptation et le recours à des outils appropriés, sur le fond c’est une bonne chose, voire une chance de se distinguer de la concurrence. 🤩

Le RGPD, c’est quoi exactement ?

Sur le papier, c’est assez simple. Il s’agit d’un texte réglementaire qui vise à protéger les données personnelles des citoyens de l’Union européenne. Il est souvent vu en France comme étant une extension de la Loi française Informatique et Libertés de 1978, qui encadrait déjà la collecte et l’utilisation des données.

Concrètement il s’agit de :

Redonner la maîtrise de leurs données aux utilisateurs 💪 ;
Responsabiliser les entreprises qui les traitent.

La comptabilité… dans le viseur ?

Dans le mille ! Effectivement, le cabinet d’expertise comptable est amené à traiter au moins deux types de données personnelles : celles de ses clients (données financières, fiscales, sociales…) et celles de ses collaborateurs. À ce titre, il est donc considéré comme responsable de traitement aux yeux de la loi, et doit donc se conformer au règlement européen.

De plus, le cabinet d'expertise comptable « détermine les finalités et les moyens du traitement ». C’est donc à lui qu’incombe la mission de récolter le consentement pour les données collectées et traitées, mais aussi la sécurisation en matière de stockage notamment. 🔒

Pourquoi la mise en conformité est fondamentale pour les professionnels du Chiffre

Les garanties de sécurité à apporter à vos clients

En pratique, les experts-comptables ou les commissaires aux comptes sont tenus de respecter un certain nombre de procédures qu’il est possible de découper en trois grandes parties :

Sécurité ; assurer la protection « adaptée aux risques » et la traçabilité des données, les effacer à l’issue de la mission (sauf obligation légale), et respecter leur confidentialité. 🔑
Surveillance ; assurer le recensement et l’encadrement de la sous-traitance du traitement des données et tenir un registre à jour. 👀
Réactivité ; répondre aux demandes d’exercice du droit des utilisateurs (clients, prospects, partenaires et collaborateurs), notification à la CNIL en cas de violations de données personnelles, voire études d’analyse d’impact sur la vie privée. 🙌

Bon à savoir : La désignation d’un délégué à la protection des données personnelles (Data Protection Officer - DPO) n’est pas une obligation légale, mais elle reste tout de même encouragée par la CNIL et peut vous éviter de lourdes sanctions. Il vous est d’ailleurs possible de recourir à DPO externalisé si vous n’avez personne en interne formé à cette tâche, c’est ce que nous avons fait chez Welyb.

Évitez de lourdes sanctions !

Les sanctions prévues pour manquement à la conformité au RGPD ne sont pas sans conséquences… 💸 Elles peuvent être émises soit à l’issue d’un contrôle, soit à l’issue d’une plainte.

Le montant est à faire pâlir : jusqu’à 4% du chiffre d’affaires mondial de l’entreprise (sans compter la possibilité que la sanction soit rendue publique) ! Si c’est le pire cas de figure, la CNIL peut aussi adresser un rappel à l’ordre ou une injonction de se mettre en conformité assortie d’une astreinte pouvant aller jusqu’à 100 000 euros par jour de retard. 🥲

Ainsi, le cabinet n’est pas le seul exposé puisque le dirigeant l’est aussi par extension. Il est alors judicieux, pour un cabinet par exemple, de se positionner clairement en tant que partenaire conforme au RGPD, sans détours et avec une politique claire et lisible en la matière.

5 ressources utiles pour votre cabinet

Se rapprocher de l’Ordre des experts-comptables ; un partenariat avec la CNIL a été signé en septembre 2020 pour une durée de trois ans.

La boîte à outils de la CNIL ; on y trouve des bonnes pratiques à mettre en place ainsi que des ressources précises.

Un registre simplifié et ouvert ; l’article 30 du RGPD en impose la constitution et le maintien.

Un autodiagnostic gratuit pour les PME ; à faire en ligne, ce test permet d’évaluer la situation d’une entreprise en 14 questions.

L’atelier RGPD : mis à disposition par l’autorité administrative française, ce MOOC (Massive Open Online Course) permet de se former en ligne.

Disposer d’une GED conforme devient une évidence… et une nécessité absolue

Des outils communs, mais pas optimisés

Avec la dématérialisation, de nombreux professionnels du Chiffre avaient tout d’abord opté pour des solutions connues et souvent grand public. Qu’il s’agisse de Dropbox, de Google Drive ou de Microsoft OneDrive, elles sont effectivement bien souvent pratiques.

Toutefois, elles présentent plusieurs défauts majeurs. 🤷

Tout d’abord, le simple fait qu’elles ne répondent pas intégralement aux obligations légales indiquées par le RGPD (notamment en matière de protection et de mise en conformité générale). Comme l’a rappelé la Cour de justice de l'Union européenne, les données transférées hors de l’Union européenne doivent bénéficier des mêmes garanties de protection que celles hébergées sur le continent ! 🌍

Avec des solutions d’origine américaine soumises aux réglementations Patriot Act » et « Cloud Act », la sécurité et la politique de confidentialité vis-à-vis des données personnelles ne sont donc pas adaptées au sein de telles solutions.

De plus, il est important de rappeler que pour un expert-comptable, le recours à des serveurs hébergés en France est une obligation légale.

Enfin, notez qu’il n’existe pas pour autant de « certification RGPD » officielle contrairement à ce que certains acteurs peuvent parfois revendiquer sur leur site Internet ; uniquement des solutions conformes. 🤷♂️

La réponse ? Une GED sur mesure et adaptée

Face aux contraintes incontournables pour les éditeurs américains, les Européens ont une carte à jouer puisque les solutions GED européennes modernes intègrent tous les outils pour respecter à la lettre la réglementation RGPD.

Classement et traitement des données personnelles (clients et prospects), suppressions automatisées, traçabilité et sécurité… C’est ce que propose notamment la solution Welyb ! 🚀

Découvrez Welyb

Avec la mise en place d’un seul outil, vous pouvez désormais prouver facilement que vous êtes conforme à la loi. Sans compter évidemment les bénéfices supplémentaires, à retrouver dans notre comparatif des GED expert-comptable.

Un outil comme Welyb, véritablement dédiée à la profession, peut alors devenir un atout considérable que ce soit en termes marketing ou purement opérationnel pour vous et vos équipes.🔥

Un grand pas vers la conformité avec Welyb !

Malgré les craintes et contraintes introduites par le RGPD, la GED de Welyb est donc LA solution pour vous éviter les ennuis. 😱 La mise en place de notre plateforme est instantanée et sans frais d’installation. Deux bonnes raisons supplémentaires pour passer sans attendre au statut de cabinet 100% conforme à la législation sur les données personnelles !😇