RGPD 2018 : quel impact pour les experts-comptables?
Le nouveau règlement général sur la protection des données (RGPD) va entrer en vigueur le 25 mai 2018. En tant qu’expert-comptable, il vous faut dès à présent appréhender ses conséquences dans le traitement des données que vous collectez tant pour votre cabinet que pour vos clients.
Que prévoit le nouveau règlement ?
Conformément aux nouveaux usages du numérique et afin d’uniformiser le niveau de protection des ressortissants dans toute l’Europe, le nouveau règlement, issu d’une directive européenne, rehausse les droits des personnes en ce qui concerne l’utilisation de leurs données personnelles par les entreprises. Il impose aux entreprises qui collectent des données de mettre en place des mesures qui amélioreront leur protection et faciliteront leur accès aux usagers concernés. Il incite globalement les entreprises à traiter ces données de manière loyale, licite et transparente.
Votre cabinet est-il concerné ?
Dans votre cabinet, vous collectez immanquablement des données à caractère personnel, qui permettent d’identifier vos collaborateurs, vos salariés et vos clients directement (par leur nom) ou indirectement (par un numéro de téléphone ou par des informations comptables par exemple). Vous êtes donc concerné par la mise en place de ces nouvelles mesures, qui poursuivent 4 grands objectifs :
- Le renforcement de l’information préalable (sur ce à quoi sont destinées les données collectées) et du consentement (explicite et éclairé) de vos clients, collaborateurs et salariés auprès de qui vous collectez des données.
- La possibilité pour les clients du cabinet de récupérer leurs données afin de les réutiliser ailleurs (droit à la portabilité des données).
- La limitation de la collecte des données à ce qui est strictement nécessaire, pour un temps limité (destruction des données une fois la finalité accomplie).
- La mise en place des mesures de sécurité appropriées pour l’accès et l’utilisation des données.
Quelles mesures pour le cabinet ?
Concrètement, cela signifie que vous devrez mettre en place des mesures techniques et organisationnelles dans le traitement de ces données pour garantir leur bonne utilisation avec un niveau de sécurité adapté. Il peut s’agir de chiffrement des informations par l’installation de nouveaux logiciels, de mise en place de nouveaux contrôles d’accès pour les salariés utilisateurs, de formation de ces salariés… Un registre indiquant toutes les mesures prises doit d’ailleurs être tenu pour permettre un suivi par la CNIL et les individus qui communiquent leurs données. Des études d’impact sur la vie privée doivent également être lancées s’il s’agit d’informations à risque.
Pour vous aider dans ces démarches, la CNIL propose différents guides et documents pratiques téléchargeables sur son site, comme par exemple un modèle de registre ou encore une méthode pour mener une étude d’impact sur la vie privée. Enfin, en cas de faille détectée, il faudra la notifier à la CNIL dans les 72 heures via un téléservice dédié qui sera opérationnel en mai 2018, voire informer directement les personnes dont les données sont concernées par la faille.
Les conséquences avec vos clients
Compte tenu du grand nombre d’opérations informatisées de transfert de données que vous effectuez probablement avec vos clients, vous avez tout intérêt à ce que ceux-ci se soient également mis au diapason de la nouvelle réglementation. Car eux aussi collectent des données : celles de leurs propres clients. Dans ce cadre, vous pourrez être amené à les récupérer. Or, ces données font l’objet de la même protection. Ne les collectez donc qu’en cas de nécessité, vous pourriez sinon engager votre responsabilité. De même concernant la sécurité des données, il est indispensable que vos clients aient renforcé leurs systèmes informatisés pour ne pas contaminer votre propre circuit lors des transferts d’informations.
Saisissez cette opportunité pour jouer votre rôle d’accompagnateur auprès de vos clients pour la mise en place de cette nouvelle réglementation, voire à leur signaler que son non-respect est puni d’une pénalité financière pouvant s’élever dans les cas les plus graves jusqu’à 20 millions d’euros ou à 4% du chiffre d’affaires annuel…