RGPD : la FAQ du Conseil supérieur de l’Ordre des experts-comptables

Publié il y a · 3 min de lecture

L’entreprise est responsable du respect de la protection des données personnelles. Dès son entrée en application le 25 mai 2018, les entreprises établies dans l’UE, mais aussi celles en dehors de l’UE lorsqu’elles traitent des données relatives aux activités des entreprises et des organisations de l’UE, doivent appliquer le Règlement général sur la protection des données (règlt UE 2016/679 du 27 avril 2016).

Le règlement impose ainsi de nouvelles mesures et obligations pour les entreprises détenant des données personnelles. Les cabinets d’expertise comptable doivent ainsi initier une démarche de mise en conformité avec les dispositions dudit règlement.

En cas de non-respect du règlement, les amendes administratives peuvent s’élever, pour les cas les plus graves, à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Dans ce cadre, le CSOEC vient de publier une foire aux questions (FAQ) qui vise à répondre aux principales interrogations des professionnels de l’expertise comptable selon les trois catégories suivantes :

  • champ d’application,
  • mise en conformité,
  • contrôles et sanctions.

Champ d’application

Le CSOEC rappelle tout d’abord qu’une donnée personnelle correspond à toute information identifiant une personne physique directement (nom, prénom, image, vidéo…) ou indirectement (numéro de téléphone, numéro de compte bancaire, empreinte…) et que seules sont exclues :

  • les données anonymisées,
  • les données concernant les personnes morales.

À titre d’exemples, le CSOEC fournit une liste des données personnelles classiques :

  • le nom, le prénom,
  • le sexe,
  • les initiales,
  • le n° d’Ordre,
  • la date et lieu de naissance,
  • l’adresse IP ou l’adresse MAC,
  • la situation familiale,
  • la situation militaire.

Certaines de ces données personnelles sont dites « sensibles », c’est le cas notamment :

  • du numéro de sécurité sociale,
  • de l’origine raciale ou ethnique,
  • des appartenances syndicales,
  • des informations relatives :
    • aux infractions,
    • aux données concernant la santé,
    • aux données biométriques aux fins d’identifier une personne de manière unique,
    • aux condamnations ou aux mesures de sûreté.

L’ensemble des cabinets d’expertise comptable sont donc nécessairement concernés par le RGPD dès lors que, dans le cadre de leur organisation interne, ils collectent, utilisent ou procèdent à toute forme d’opération sur des informations se rapportant à une personne physique identifiée ou identifiable. Une simple consultation de données personnelles dans le cadre de leurs missions suffit à créer un traitement de données.

Le traitement concerne toute opération portant sur des données personnelles, quel que soit le procédé utilisé (effectuée ou non à l’aide de procédés automatisés) : la collecte, l’enregistrement, la consultation, le verrouillage, la destruction, la conservation, l’extraction, l’utilisation, la communication par transmission, la diffusion, ou autre forme de mise à disposition, l’adaptation ou la modification.

Mise en conformité

Tout d’abord, le CSOEC rappelle le rôle du délégué à la protection des données ou data protection officer (DPO), qui est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné (règlt UE 2016/679 du 27 avril 2016, art.37).

Ainsi, le DPO est chargé :

  • d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés,
  • de contrôler le respect du règlement et du droit national en matière de protection des données,
  • de conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution,
  • de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.

Ensuite, s’agissant de l’obligation de nommer un DPO, si certaines structures ont l’obligation d’en désigner un — autorités et organismes publics, organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions — il n’y a donc pas d’obligation pour la plupart des cabinets d’expertise comptable. Néanmoins, la CNIL encourage à en désigner un, d’autant plus que le CSOEC précise qu’il est possible de désigner un DPO mutualisé ou externe à la structure à condition que cette personne puisse s’appuyer sur les ressources internes, notamment informatiques et juridiques, et bénéficier du soutien des organes de gouvernance pour pouvoir mener à bien ce projet.

Contrôles et sanctions

La CNIL est en charge de vérifier la mise en œuvre de la loi et a le pouvoir d’effectuer des contrôles auprès de l’ensemble des responsables de traitement. Les opérations de contrôles peuvent se dérouler sur place, sur pièces, sur audition ou en ligne.

RGPD : Guide pour les comptables et experts-comptables

Téléchargez gratuitement le livre blanc

Pour aller plus loin :

Retrouvez toutes les actualités de notre partenaire RFConseil édité par le Groupe Revue Fiduciaire sur son application GRF + :

Source : RF Conseil, http://rfcomptable.grouperf.com/depeches/40984.html, 01/03/2018.

Abonnez-vous à la newsletter Sage Advice et recevez, directement dans votre boîte aux lettres, nos tous derniers conseils.