Juillet-Août 2019

SIC N° 386

AU SOMMAIRE:
Edito
En bref
5 questions à...
Focus
Vie de l'Ordre
Exercice professionnel
Actu des régions
Les incontournables de l’Ordre
Partenaires
Juillet-Août 2019

Consulter le SIC papier

Le SIC papier existe également en version numérisé .pdf, à télécharger ci-dessous.

AddToAny
Share

RGPD : un an déjà…

Il y a un an le règlement européen sur la protection des données personnelles entrait en vigueur.

Il impose aux cabinets d’expertise ­comptable d’intégrer les principes du RGPD dans leurs activités au quotidien, que ce soit dans le cadre de leur organisation interne ou pour les missions réalisées pour les clients.

Pour accompagner les cabinets dans l’acquisition des réflexes RGPD, le service juridique du Conseil supérieur vous propose un rappel des points de vigilance pour être conforme aux nouvelles obligations.

Vous trouverez ainsi, ci-après, une liste de questions à se poser au lancement de tout nouveau projet (produits, applications, services...) du cabinet.

 

Est-ce que le nouveau projet implique l’utilisation de données personnelles ?

Avant la mise en place du nouveau projet, il faut vérifier si des données personnelles vont être collectées. Il est ensuite nécessaire de s’interroger sur la pertinence de la collecte de chacune de ces données.

 

Quelle est la finalité poursuivie par le traitement de données personnelles ?

Vous devez vous interroger sur la raison de la collecte des données personnelles et la documenter. Exemples de finalité : la gestion du personnel et des rémunérations, la gestion des fournisseurs, la gestion de la comptabilité...

 

Qu’est-ce qui vous autorise à utiliser ces données personnelles ?

Il faut déterminer le fondement légal qui vous autorise à traiter les données personnelles : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime ».

 

Est-ce qu’une durée de conservation des données personnelles est fixée ?

Garder des données personnelles plus longtemps que le traitement ne le nécessite, représente un risque de perte ou de violation de données. Le RGPD impose de conserver les données le moins longtemps possible.

Cette durée de conservation est à définir en fonction de vos obligations légales et des nécessités du traitement.

Par exemple, la Cnil recommande que les coordonnées d’un prospect en matière commerciale qui ne répond à aucune sollicitation pendant trois ans soient supprimées.

 

Qui a accès aux données personnelles ?

Les cabinets doivent se demander si les personnes ayant accès aux données personnelles du projet sont uniquement celles habilitées au regard de leurs missions. Il faut donc vérifier la pertinence des droits d’habilitation accordés aux personnes concernées.

Est-ce que la personne dont les données sont collectées est informée de cette collecte ?

À chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire...) doit comporter les mentions d’information suivantes :

  • la raison de la collecte des données (par exemple pour la gestion administrative des adhésions, gestion de la comptabilité...) ;
  • ce qui vous autorise à traiter ces données (il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat, du respect d’une obligation légale qui s’impose à vous, de votre « intérêt légitime ») ;
  • qui a accès aux données, c’est-à-dire les destinataires de ces données ; 
  • la durée de conservation des données ;
  • les droits des personnes (droits d’accès, de rectification, de limitation et d’opposition, le droit de retirer son consentement lorsque le traitement des données est fondé sur le consentement, le droit à l’oubli, le droit à la portabilité) ; 
  • les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits ainsi que les coordonnées du responsable de traitement et de son DPO –  délégué à protection des données – (par un message sur une adresse e-mail dédiée, par un courrier postal).
Quelles sont les mesures de sécurité mises en place ?

Chaque nouvelle application ou nouveau projet doit s’accompagner de mesures de sécurité adaptées pour assurer la protection et la sécurité des données personnelles collectées.

Par exemple : pour la conception d’une application ou d’une plateforme, pensez à vérifier :

  • la sécurité des accès à la plateforme ;
  • la sécurité des données (confidentialité, intégrité et disponibilité), la traçabilité des connexions à la plateforme ;
  • la sauvegarde des données.

Pensez aussi à changer régulièrement les mots de passe des outils que vous utilisez ; utilisez si besoin le chiffrement de certaines données.

 
Est-ce qu’il est prévu une clause RGPD dans les contrats avec les éventuels prestataires ?

Vous devez vérifier, dès la conception du projet, si des données personnelles sont susceptibles d’être transmises ou traitées par les prestataires pour qu’ils réalisent leur mission. Vous devez transmettre au prestataire uniquement les données nécessaires à la réalisation de sa mission.

Les prestataires collectant des données pour le compte du cabinet doivent s’engager contractuellement à mettre en œuvre les mesures de protection adaptées en matière de données personnelles.

Il faut donc prévoir une clause spécifique RGPD avec ces prestataires.

 

Où sont stockées les données personnelles ? Dans un pays hors de l’Union européenne ?

Si vous transférez des données à un prestataire qui héberge vos données hors de l’Union européenne, vous devez vérifier si ce pays dispose d’une législation de protection des données et si celle-ci est reconnue adéquate par la Commission européenne. Une carte du monde présentant les législations de protection des données est à votre disposition sur le site de la Cnil.

 

Parcourir l'historique du SIC :

Toutes les parutions

Juillet-Août 2019

SIC N° 386

  • La palette de nos prestations s'élargit !
  • Mission d'audit contractuel d'états financiers en France
  • La seconde édition de la Conférence de Paris réussit son pari

Consulter

Juin 2019

SIC N° 385

  • La NPLAB, la nouvelle norme LAB du Conseil supérieur
  • 74e Congrès : demandez le programme
  • Aider les cabinets sur la stratégie numérique

Consulter

MAI 2019

SIC N° 384

  • Les chiffres-clés de la filière comptable
  • Lutte contre le blanchiment : la France évaluée en 2020 par le Gafi
  • Administration provisoire de l'expert-comptable

Consulter

AVRIL 2019

SIC N° 383

  • S'engager dans l'action au service de l'économie
  • Un congrès pour plonger au cœur des flux
  • Site privé : mais où gérer les délégations de droits Comptexpert

Consulter