FÉVRIER 2018

Consulter le SIC papier

Le SIC papier existe également en version numérisé .pdf, à télécharger ci-dessous.

Historique

AddToAny
Share

Protection des données personnelles : comment s'y préparer

Comment les cabinets d’expertise comptables peuvent-ils se préparer à l’entrée en vigueur  du règlement européen sur la protection des données personnelles (RGPD) ?  Détails d’une méthodologie en six étapes.

Quelques définitions incontournables

 

  • Traitement de données personnelles : toute opération portant sur ces données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme.
  • Donnée personnelle : toute information se rapportant à une personne physique identifiée et identifiable. Une personne physique identifiable est une personne physique qui peut être identifiée, directement ou indirectement, par référence à un identifiant, tel qu’un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
  • Responsable de traitement (RT) : La personne, l'autorité publique, la société ou l'organisme qui décide de la création du traitement et détermine les finalités et les moyens de celui-ci (par exemple, le cabinet d’expertise comptable qui met en place une GED pour ses salariés ou ses clients).
  • Sous-traitant (ST) : La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. Ces données sont traitées sur instruction du responsable de traitement et il n’y a pas d’utilisation des données pour son propre compte (par exemple, le prestataire qui établit les bulletins de paies des salariés de son client sur la base d’instructions claires données par le client et définies dans la lettre de mission (qui payer, quels montants, à quelle date etc.).

Ce règlement européen vient compléter le dispositif existant actuellement en France et met un certain nombre de nouvelles obligations à la charge des entreprises et donc des cabinets d’expertise comptable.


Il s’applique à l’intégralité des données du cabinet, y compris celles détenues dans le cadre des missions qu’il réalise pour ses clients, étant précisé qu’il ne s’agit pas exclusivement des données relatives à des travaux de paie.


Les objectifs du règlement européen sont, avant tout, de renforcer les droits des personnes physiques dont les données personnelles sont exploitées. Ainsi, une information claire, intelligible et aisément accessible sur le traitement des données doit être fournie à ces personnes. Il est également nécessaire de recueillir leur consentement préalable au traitement. La charge de la preuve de ce consentement repose sur le responsable du traitement. Les personnes physiques disposent par ailleurs de nombreux droits sur ces données personnelles (droit d’accès, droit à la portabilité des données, droit à la limitation des traitements en cas de contestation de la légalité ou de l’exactitude des données à caractère personnel par exemple, droit à l’oubli).


Le RGPD fixe également de nouvelles règles visant à responsabiliser les entreprises qui traitent les données personnelles. Les formalités préalables à la mise en place des traitements de données personnelles sont allégées (déclarations et autorisations), mais en contrepartie, une obligation de tenue d’un registre des traitements des données personnelles est mise à la charge de certaines entreprises (celles de plus de 250 salariés ou celles dont l’un des traitements effectué est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s'il n'est pas occasionnel, ou s'il porte notamment sur des données sensibles ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions). Ce registre doit détailler pour chaque traitement un certain nombre d’éléments (finalité, durée de conservation, droits d’accès etc.) et doit être tenu à jour. Les entreprises sont par ailleurs, tenues de notifier toutes les failles de sécurité qui pourraient intervenir à la CNIL et aux personnes physiques dont les données sont traitées. Dans certaines hypothèses, elles ont également l’obligation de désigner un délégué à la protection des données (DPO – voir ci-après). Des études d’impact sur la vie privée doivent être désormais réalisées avant la mise en place de certains traitements des données.

 

1. Désigner une personne responsable  des données personnelles au sein  de votre cabinet

 

Elle sera notamment chargée de réaliser une cartographie des traitements de données personnelles réalisés actuellement dans votre cabinet tant pour vos propres besoins que dans le cadre des missions que vous effectuez pour vos clients.


Certaines structures ont l’obligation de désigner un délégué à la protection des données personnelle (DPO) ; il s’agit des autorités et organismes publics (ministères, collectivités territoriales, établissements publics), des organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle (compagnies d'assurance ou les banques pour leurs fichiers clients, opérateurs téléphoniques ou fournisseurs d'accès internet), des organismes dont les activités de base les amènent à traiter à grande échelle des données dites "sensibles" (données biométriques, génétiques, relatives à la santé, la vie sexuelle, l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale) ou relatives à des condamnations pénales et infractions.


Il n’y a donc pas d’obligation pour la plupart des cabinets d’expertise comptable même si la CNIL encourage la désignation d’un DPO.  A noter qu’il est également possible de désigner un DPO mutualisé ou externe à la structure.

 

Focus sur le consentement 

La personne physique dont les données personnelles font l’objet d’un traitement doit donner son consentement préalable. Il s’agit d’un « acte positif clair qui exprime de façon libre, spécifique, éclairée et univoque l'accord de la personne concernée ». Il doit être donné pour chaque finalité, peut être retiré à tout moment et doit être traçable. La charge de la preuve du consentement incombe à l’entreprise qui entend traiter les données. Une case pré-cochée sur un formulaire internet n’est désormais plus acceptable.

Il existe cependant des exceptions au consentement notamment pour l’exécution d’un contrat avec la personne physique concernée, à la suite de la requête de la personne ou en vue de la conclusion d’un contrat. Il en va de même lorsque l’entreprise traite les données en application d’une obligation légale, ou pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne, ou pour une mission d’intérêt public ou officielle, ou enfin dans un intérêt légitime supérieur aux intérêts ou libertés et droits fondamentaux de la personne concernée. Les traitements qui sont réalisés pour des raisons d’archivage dans l’intérêt public, scientifique, statistique ou historique ne nécessitent pas non plus d’obtenir le consentement des personnes physiques.

 

2. Réaliser une cartographie  des traitements de données  personnelles existants

 

La personne en charge de ce sujet pour le cabinet d’expertise comptable doit dresser un inventaire des traitements de données personnelles mis en œuvre afin d’évaluer les pratiques et identifier les risques associés à ces opérations de traitement. Cet inventaire permet de réaliser le « registre des traitements » s’il est nécessaire. Il existe un modèle de registre dont vous pouvez vous inspirer accessible sur le site de la CNIL (www.cnil.fr). Le registre contient un certain nombre d’informations sur les traitements de données personnelles existants qui répondent en pratique aux questions ci-dessous :


Qui ? Il faut indiquer dans le registre le nom et les coordonnées du responsable de traitement (RT) (et de son représentant légal) et du délégué à la protection des données le cas échéant. Il faut identifier les responsables des services opérationnels traitant les données au sein du cabinet. Il faut également établir la liste des sous-traitants (ST) intervenant dans ce traitement.

 

Quoi ? il faut identifiez les catégories de données traitées et identifier les données susceptibles de soulever des risques en raison de leur sensibilité particulière (données relatives à la santé par exemple).


Pourquoi ? le cabinet d’expertise comptable doit indiquer la ou les finalités pour lesquelles les données sont collectées ou traitées (traitement technique du dossier, gestion RH…). Les modèles de déclaration CNIL actuels peuvent vous aider pour déterminer les finalités des traitements d’ores et déjà réalisés par votre cabinet.


Où ? le registre doit indiquer le pays dans lequel les données sont hébergées, celui ou ceux vers lesquels les données sont éventuellement transférées.


Jusqu’à quand ? la durée de conservation pour chaque catégorie de données doit être précisée.


Comment ? il faut mentionner les mesures de sécurité qui sont mises en œuvre pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées.

 

Pourquoi est-il important de déterminer qui est le responsable de traitement et le ou les sous-traitant, pour le traitement de données réalisé ?

La responsabilité du cabinet d’expertise comptable peut être engagée au plan civil si les règles fixées par le règlement RGPD n’ont pas été correctement appliquées. Il peut donc y avoir des conséquences importantes en termes d’image pour le professionnel qui se verrait sanctionné pour non-respect du règlement européen. Il convient donc de déterminer précisément le statut du cabinet dans le traitement de données afin de déterminer quelles sont précisément ses obligations.

Il n’est pas possible de déterminer dans l’absolu au regard des missions types réalisées par les cabinets (mission de tenue de comptabilité, d’établissement des bulletins de paie, révision de la comptabilité et réalisation des comptes annuels) si le cabinet d’expertise comptable est responsable de traitement RT ou sous-traitant ST. Nous vous proposons cependant une grille de lecture pour vous aider à déterminer, pour chaque mission que vous concluez avec votre client, le statut de votre cabinet en fonction des circonstances de l’espèce :

- Qui détermine les finalités du traitement ? Finalité : résultat attendu qui est recherché ou guide les actions prévues - Pourquoi ce traitement a-t-il lieu, qui l’a entrepris ?

- Qui donne les instructions du traitement ? Influence de droit ou de fait sur le traitement - Quel est le degré de contrôle réel sur le traitement ? quelle est l’image donnée par les parties concernées ? quelles attentes raisonnables la visibilité peut-elle susciter ?

- Qui détermine les moyens du traitement ? Moyens : la façon de parvenir à un résultat ou d’arriver à une fin - Qui détermine les données traitées ? qui détermine les tiers qui auront accès aux données ? qui détermine la politique d’effacement des données ? Attention : Le responsable de traitement RT peut déléguer au sous-traitant ST la détermination des moyens techniques et organisationnels du traitement (choix du logiciel par exemple)

 

3. Arrêter un plan d’action

 

Votre cabinet doit déterminer les actions à mettre en œuvre pour respecter les nouvelles règles du RGPD. Il faut que vous vous assuriez notamment que seules les données strictement nécessaires à la poursuite de l’objectif du traitement sont collectées et traitées. Il faut identifier la base juridique sur laquelle se fonde le traitement (par exemple : intérêt légitime, contrat, obligation légale, consentement de la personne lorsqu’il est nécessaire).


Il faut en conséquence revoir les mentions d’information à destination des personnes physiques afin qu’elles soient conformes aux exigences du RGPD, les modalités d'exercice des droits des personnes concernées (droit d'accès, de rectification, droit à la portabilité, retrait du consentement etc.)


En cas de présence de sous-traitant des données, il convient de de vérifier que les sous-traitants connaissent leurs nouvelles obligations, leurs responsabilités et de les documenter. Il faut ainsi vérifier les clauses prévues dans les contrats avec ces derniers et les modifier si nécessaire afin qu’elles rappellent les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées. Il existe des modèles de clauses sur le site de la CNIL. Bien entendu, il faut vérifier les mesures de sécurité mises en place pour assurer la protection des données personnelles.


Attention, une vigilance particulière doit être portée sur les traitements de données sensibles (santé, concernant des mineurs ou ayant pour objet ou pour effet la surveillance systématique à grande échelle d'une zone accessible au public - vidéo surveillance, les opérations de profilage, les transferts de données hors de l'Union européenne).

 

Que contient une étude d'impact sur la protection des données (PIA) ?

 

Toutes les études d’impact comportent une description du traitement et de ses finalités, une évaluation de la nécessité et de la proportionnalité du traitement, une appréciation des risques sur les droits et libertés des personnes concernées et enfin les mesures envisagées pour traiter ces risques et se conformer au RGPD.

 

Des modèles et guides pour réaliser une PIA sont disponibles sur le site de la CNIL.

 

4. Procéder à une étude d’impact, si nécessaire

 

Si votre cabinet identifie des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées (notamment les traitements de données sensibles et les traitements reposant sur le profilage), il vous faudra obligatoirement réaliser une étude d'impact sur la protection des données (PIA). Une consultation de l’autorité de protection des données avant de mettre en œuvre ce traitement sera également nécessaire.

 

5. Organiser  les processus internes

 

Il est ensuite nécessaire de mettre en place au sein du cabinet d’expertise comptable des procédures internes pour assurer la protection des données tout au long du traitement. Il faut donc établir et écrire la procédure qui sera mise en place en cas de faille de sécurité, de demandes de rectification ou d’accès, de demande de modification des données collectées, de changement de prestataire etc. Le cabinet doit établir une politique de protection des données personnelles du cabinet.

 

6. Documenter

 

Enfin, afin de prouver la conformité du cabinet au RGPD en cas de contrôle, il sera nécessaire de constituer et de regrouper la documentation nécessaire. Il est également important que les procédures et documents réalisés à chaque étape soient réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
Cette étape de documentation des travaux s’inscrit naturellement dans le respect de la norme professionnelle de maîtrise de la qualité NPMQ et est en lien avec le manuel de procédure existant dans les cabinets.

 

 

 

 

Gaëlle Patetta,  Secrétaire général adjoint et directeur juridique du Conseil supérieur

 

POUR ALLER PLUS LOIN
Que contient une étude d’impact sur la protection des données ? Pourquoi est-il important de déterminer qui est le responsable du traitement et les sous-traitants ? ou encore focus sur le consentement… retrouver une version longue de cet article sur le Sic numérique de février 2018.

écrit par

CSOEC

Voir la fiche de l'auteur

Parcourir l'historique du SIC :

ABONNEZ-VOUS AU SIC NUMERIQUE

Le SIC Numérique parait mensuellement, à l’instar de son homologue papier. Pour être averti par mail de la publication d’un nouveau numéro, abonnez-vous !
ABONNEZ-VOUS AU SIC NUMERIQUE
Le SIC Numérique parait mensuellement, à l’instar de son homologue papier. Pour être averti par mail de la publication d’un nouveau numéro, abonnez-vous !

Toutes les parutions

SEPTEMBRE 2018

SIC N° 376

  • 5 questions à Florence Hauducoeur
  • Le projet de loi PACTE examiné en commission spéciale
  • 73e Congrès : Préparez votre parcours thématique

Consulter

JUILLET-AOUT 2018

SIC N° 375

  • Les outils du 73e Congrès
  • Le quiz du 73e Congrès
  • Comptexpert : comment déléguer vos droits ?

Consulter

JUIN 2018

SIC N° 374

  • 73e Congrès : Stratégie et compétences pour la croissance
  • Règlement général sur la protection des données : tenez-vous prêts !
  • Le site internet de l'Ordre fait peau neuve !

Consulter

MAI 2018

SIC N°373

  • Gestion des données personnelles et RGPD
  • 73e Congrès : cabinet, missions et marchés !
  • Déclaration annuelle des papiers : êtes-vous prêts ?

Consulter