AVRIL 2018

SIC N°372

AU SOMMAIRE:
Edito
En bref
5 questions à...
Focus
Vie de l'Ordre
Exercice professionnel
Actu des régions
Partenaires
vide

Consulter le SIC papier

Le SIC papier existe également en version numérisé .pdf, à télécharger ci-dessous.

Historique

AddToAny
Share

RGPD : pourquoi les cabinets d'expertise comptable sont-ils tous concernés ?

Les cabinets d’expertise comptable traitent nécessairement des données personnelles  dans leur activité quotidienne.

L’article 2 du Règlement général européen sur la protection des données prévoit que ce dernier s’applique « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. »


Or, tous les cabinets d’expertise comptable, dans le cadre de leur organisation interne, collectent, utilisent ou procèdent à des opérations sur des informations se rapportant à des personnes physiques identifiées ou identifiables. Une simple consultation de données personnelles dans le cadre des missions pour les clients par ailleurs, suffit à créer un traitement de données.

 

Organisation interne  des cabinets


La gestion de la comptabilité du cabinet, du personnel (annuaire interne, dossiers professionnels avec les différents entretiens annuels prévus par la législation, formation continue, GED des dossiers des salariés, candidats au recrutement etc.), de la paie des salariés, constituent donc des traitements de données personnelles qui comportent des données sensibles relatives aux enfants mineurs ou liées à l’état de santé des personnes physiques.


A noter que le numéro d'inscription au Répertoire national d'identification des personnes physiques, communément appelé numéro de Sécurité sociale ou NIR, utilisé dans le traitement de la paie est considéré par le RGPD (article 87), ainsi que par la loi de 1978, non pas comme une donnée sensible mais comme une donnée devant faire l’objet d’un traitement particulier. Les Etats membres sont tenus de préciser les conditions spécifiques de traitement du NIR garantissant le respect des droits et libertés de la personne concernée. Ainsi, l’enregistrement ou l’utilisation du NIR ne peut se faire que si un texte juridique spécifique l’autorise (autorisations données par exemple aux employeurs, publics ou privés, pour la gestion de la paie et le calcul des cotisations versées aux organismes de protection sociale - CNIL délib n° 2004-097, 9 décembre 2004). Les dossiers relatifs aux représentants syndicaux du personnel impliquent également un traitement de données personnelles sensibles.


Les cabinets sont aussi concernés pour les données qu’ils recueillent et traitent de leurs fournisseurs : par exemple, les coordonnées d’une personne physique au sein d’une entreprise prestataire.


Enfin, pour les besoins de prospection commerciale, de communication externe ou marketing, les cabinets peuvent être amenés à collecter des données personnelles de tiers personnes physiques.

 

Missions réalisées  pour les clients


De la même façon, les données personnelles collectées pour les besoins des missions réalisées pour les clients constituent des traitements de données personnelles.

 

La mission d’établissement des bulletins de paye implique nécessairement d’utiliser des données personnelles des salariés des clients. Les déclarations sociales DADS-U ou DSN réalisées par les cabinets pour leurs clients, impliquent l’utilisation du NIR, donnée bénéficiant d’un traitement particulier. La gestion des arrêts maladie, les fiches d’inscription aux mutuelles avec la mention des conjoints et enfants couverts, impliquent d’utiliser des données personnelles sensibles en lien avec la santé et les mineurs. La déclaration AGEFIPH (déclaration annuelle obligatoire d’emploi des travailleurs handicapés, des mutilés de guerre et assimilés) mentionne également le taux d’incapacité.


Il se peut également que dans le domaine social, les cabinets soient amenés à proposer à leurs clients une mission d’assistance à l’organisation des élections professionnelles. Cette mission induit l’accès à des données sensibles relatives à l’appartenance syndicale.

 

Si les cabinets proposent une mission d’assistance au recrutement, il faudra être très attentif aux traitements de données contenues dans les CV et aux compte rendus d’entretien qui peuvent comporter des appréciations sur les candidats.

 

De même, la mission de tenue de comptabilité et d’établissement des comptes annuels comporte le traitement de données personnelles concernant notamment les associés et dirigeants de la structure avec la mention de leur rémunération le cas échéant (pour les sociétés cotées). La comptabilité peut par ailleurs conduire à la création d’un compte fournisseur pour une personne physique professionnel libéral ou travaillant en BNC avec mention de son numéro IBAN (identifiant bancaire).

 

La mission d’établissement des déclarations fiscales va conduire à traiter les données personnelles relatives aux personnes les mieux rémunérées de l’entité cliente (déclaration fiscale 2067) ou bien encore les données des associés avec leur adresse. Les déclarations IFU (déclaration 2561) comportent les noms, prénoms adresses et numéro de sécurité sociale, la mention des dividendes et intérêts qui leur ont été versés. La DAS 2 transmise aux services fiscaux mentionne les versements d’honoraires, de commissions, de remises commerciales, de droits d’auteurs ou d’inventeurs à des tiers qui peuvent être des personnes physiques professions libérales ou BNC.


Les déclarations pour l’impôt sur les revenus des particuliers et ses annexes (2042, 2044 pour les revenus fonciers, 2074 pour les plus-values mobilières, 2047 pour les revenus encaissés à l’étranger), l’impôt sur la fortune immobilière IFI, impliquent le traitement de données personnelles.

 

Les missions d’audit contractuel et de secrétariat juridique imposent elles aussi de traiter des données personnelles que ce soit au travers des informations relatives aux personnes physiques de la structure auditée ou au travers des données sur les associés des entités dont le secrétariat juridique est réalisé.


A noter que les entreprises individuelles sont également concernées par le RGPD dès lors qu’il s’agit de personnes physiques. Dès lors, les cabinets qui traitent avec une entreprise individuelle, qu’il s’agisse d’un fournisseur ou d’un client, doivent appliquer les mêmes précautions qu’à toute personne physique avec laquelle ils sont en contact.

 

Quelles sont les obligations  à la charge des cabinets ?


Les cabinets doivent veiller à la conformité des traitements de données réalisés à cette nouvelle réglementation issue du RGPD et doivent également en application du nouveau principe de responsabilité (accountability) documenter la manière dont est pilotée et contrôlée cette conformité.


Pour connaitre précisément l’étendue des obligations à la charge des cabinets, il faut déterminer leur statut dans les traitements réalisés.


Il est en effet nécessaire de définir pour chaque traitement de données réalisé quelle est la qualité du cabinet d’expertise comptable : est-il responsable de traitement, responsable conjoint de traitement ou sous-traitant ?


Les nouvelles responsabilités fixées par le RGPD diffèrent en effet selon le statut retenu même si le nouveau règlement tend à étendre les obligations du sous-traitant et à les rapprocher de celles du responsable de traitement.

 

Comment déterminer le statut des cabinets dans le traitement de données personnelles ?


Le groupe de travail « Article 29 », qui regroupe les autorités de contrôle européennes en matière de traitement de données personnelles telles la CNIL, a dégagé un certain nombre de critères permettant d’identifier dans des situations complexes quelle est l’entité qui agit en qualité de responsable de traitement (avis n°1/2010 du 16 février 2010).


La détermination du statut repose en priorité sur la définition des finalités, c’est-à-dire du résultat qui est recherché en mettant en place le traitement de données. L’entité qui décide de la finalité du traitement a automatiquement la qualité de responsable de traitement.


Il est également possible de s’appuyer sur le rôle décisionnel joué par l’entité pour apprécier son statut dans le traitement. Pour certains traitements, la loi ou un texte règlementaire désignent le responsable de traitement. Ainsi certains organismes publics se voient donner la qualité de responsable de traitement car ils sont nommément autorisés à mettre en œuvre un traitement en décidant des finalités et des moyens mis en œuvre.


A défaut de texte légal désignant expressément l’identité du responsable de traitement, il est possible de se référer à la pratique juridique établie. Selon le G29, l’employeur a traditionnellement la qualité de responsable de traitement pour les informations sur ses salariés, l’association pour les informations sur ses adhérents.


La définition des moyens du traitement est un critère qui peut également être pris en compte dans la détermination du statut après celui de la finalité.
 

L’entité qui détermine les moyens ne sera cependant pas nécessairement considérée comme responsable de traitement. Le recours de plus en plus fréquent aux prestataires techniques très qualifiés qui ont une large marge d’autonomie dans le choix des moyens a en effet, conduit le G29 à considérer que seule l’entité qui détermine les aspects essentiels des moyens qui sont traditionnellement et intrinsèquement réservés à l’appréciation du responsable de traitement, peut être considérée comme telle. Ces éléments essentiels sont ceux relatifs à la licéité du traitement : choix des catégories de données traitées, durée de conservation des données etc.


Enfin, les éléments factuels doivent être pris en compte dans l’appréciation du statut des intervenants au traitement. Les dispositions contractuelles pourront être un indice de la qualité des intervenants au traitement, le degré de contrôle exercé par un des intervenants, l’image donnée aux personnes physiques dont les données sont collectées et les attentes raisonnables que cette visibilité peut susciter.


Les traitements réalisés  pour l’organisation interne des cabinets


La qualité des cabinets dans les traitements de données réalisés pour l’organisation interne (gestion de vos salariés, réalisation de la comptabilité du cabinet, opération de prospection pour le cabinet etc.) est logiquement celle de responsable de traitement.

 

Les cabinets sont en effet ceux qui décident de ces traitements et de leur finalité. Et même si les cabinets sous-traitent pour partie la réalisation de ces traitements, ils donnent les instructions à ces prestataires extérieurs et contrôlent la réalisation de ces prestations. Ils déterminent également les données traitées, la durée du traitement etc. Autant d’éléments qui désignent les cabinets comme les responsables de ces traitements.


Les traitements réalisés  pour la réalisation des missions  pour les clients du cabinet


Il est plus délicat de déterminer la qualité des cabinets lorsqu’il s’agit de traitements de données mis en place dans le cadre de l’exécution de missions convenues avec des clients. Il n’est ainsi pas possible de déterminer dans l’absolu au regard des missions types réalisées par les cabinets (mission d’établissement des bulletins de paie, révision de la comptabilité et réalisation des comptes annuels etc.) si les cabinets sont responsables de traitement conjoints ou sous-traitants. Les circonstances dans lesquelles la mission est réalisée, la qualité et les compétences du client doivent en effet être prises en compte.


Le G29 s’est prononcé dans son avis de 2010 sur la qualité des prestataires intervenants dans le domaine de la comptabilité et de la paie.


La base légale sur laquelle intervient la mission et donc le traitement de données personnelles est un critère à prendre en compte pour déterminer celui qui a la qualité de responsable de traitement en lien avec le critère de la pratique juridique établie évoqué antérieurement.

 

Ainsi, la mission de présentation des comptes résulte de l’obligation faite aux entreprises et sociétés commerciales de tenir une comptabilité et de produire des comptes annuels (bilan, compte de résultat et annexe - article L 123-12 du code de commerce). L’exécution de la mission de présentation des comptes induit la réalisation d’un traitement de données personnelles. La décision de réaliser les comptes annuels s’impose au chef d’entreprise de par la législation. La décision de réaliser le traitement de données personnelles est donc celle du client qui a nécessairement la qualité de responsable de traitement (le cabinet pourrait être dans certaines situations considéré comme responsable conjoint de traitement si l’on suit le raisonnement du G29). De la même façon, lorsque les cabinets élaborent les déclaration fiscales ou sociales pour les clients et les télétransmettent aux administrations, ils le font pour le compte des clients qui ont une obligation en ce sens prévue par les textes.

 

En ce qui concerne la gestion de la paie, ce même avis du G29 de 2010 a considéré que lorsqu’une société fait réaliser sa paie par un prestataire extérieur et donne des instructions claires (qui payer, quels montants, à quelle date etc.), même si le prestataire dispose d’une certaine latitude (y compris pour les logiciels à utiliser), ses tâches sont clairement et précisément définies par la société cliente. En outre, si le prestataire peut proposer ses conseils, il est clairement tenu d’agir selon les instructions de la société cliente. De plus, seule la société cliente a le droit d'utiliser les données qui sont traitées. La société est donc le responsable du traitement et le prestataire peut être considéré comme un sous-traitant en ce qui concerne le traitement spécifique des données réalisé pour son compte.

 

La mission d’établissement des bulletins de paie pour un client repose sur l’obligation légale qui est faite à ce dernier de délivrer des bulletins de paie à ses salariés (article L 3243-2 code du travail). Dès lors que cette obligation est mise à la charge de l’employeur, c’est donc le client qui confie à l’expert-comptable la mission de réalisation des bulletins de paie, qui décide du traitement des données personnelles et de sa finalité.

 

POUR ALLER PLUS LOIN

Traitement des données personnelles : déterminez votre statut en 3 questions !

Le Conseil supérieur a élaboré un arbre de décision pour aider les cabinets à déterminer, pour chaque traitement de données réalisé, leur statut en fonction des circonstances de l’espèce. 

Disponible sur Conseil Sup' Services RGPD.

 

Lorsqu’un cabinet contracte avec un client pour la réalisation d’une mission d’audit contractuel, il le fait sur la base d’un contrat (la lettre de mission). Il agit pour le compte de ce client qui lui confie la réalisation de cet audit pour l’utiliser pour son propre compte. Le client est donc bien celui qui décide du traitement, de sa finalité, qui donne les instructions pour mener à bien celui-ci et ce même si le cabinet apporte son conseil, son expertise et est libre des diligences à réaliser ainsi que de l’opinion émise en conclusion de cet audit. Le client est donc le responsable du traitement de données.


Enfin, une fois déterminée la qualité de celui qui est responsable de traitement et dans l’hypothèse où il s’agit du client, il reste à déterminer le statut du cabinet d’expertise comptable.

 

Le cabinet est-il sous-traitant  ou peut-il être considéré comme  responsable conjoint de traitement ?


Tel pourrait être le cas si le cabinet était décisionnaire quant aux moyens essentiels du traitement mis en œuvre (type de données traitées, durée de conservation des données etc.). Tout dépend en pratique de la part d’initiative laissée au cabinet par le client dans la réalisation du traitement (existence ou non d’instructions, compétence du client etc. ainsi que l’indique le G29 dans son avis de 2010).


Les cabinets d’expertise comptable ont tout intérêt à détailler, dans la lettre de mission, les instructions données par le client dans la réalisation du traitement et de s’y conformer précisément, sous peine de se voir reconnaitre la qualité de responsable conjoint et de voir en conséquence leur responsabilité engagée solidairement avec celle du client responsable de traitement.

A noter
Les cabinets d’expertise comptable proposent souvent à leurs clients des solutions de GED ou d’archivage par le maintien à disposition de ces derniers dans une base gérée par le cabinet (extranet), des informations et donc des données personnelles collectées lors de la réalisation d’une mission classique d’élaboration des bulletins de paie par exemple ou de présentation des comptes.

Si le cabinet, dans une des missions réalisées pour un client, est considéré comme responsable conjoint de traitement, il est fortement conseillé de répartir dans la lettre de mission les obligations et responsabilités à la charge du client et du cabinet afin d’aménager cette responsabilité solidaire prévue par le RGPD entre responsables. Ainsi pour la mission d’audit contractuel, le cabinet est libre des diligences à réaliser et des traitements de données à mettre en place pour réaliser l’audit. Le cabinet peut donc être considéré comme responsable conjoint de traitement.


Ces propositions de service sont assez proches de celles offertes par les prestataires informatiques. Il s’agit dans ce cas d’un nouveau traitement de données personnelles dont les finalités sont différentes de celles du traitement réalisé en exécution de la mission principale. L’appréciation du statut du cabinet doit se faire au regard de ce nouveau traitement. Il convient donc de rechercher qui détermine les finalités et décide du traitement en reprenant la démarche et les critères détaillés ci-dessus.


Dans la plupart des cas cependant, cette mise à disposition documentaire a pour objectif de permettre au client du cabinet de conserver dans un espace sécurisé et facilement accessible les documents pendant le temps de la conservation que lui imposent les textes (pour le bulletin de paie par exemple, pendant la durée du contrat de travail du salarié et 5 ans après la fin de ce contrat). Le cabinet d’expertise comptable ne va pas utiliser ces données personnelles pour son propre compte. Le client décide de contracter pour ce service. Dès lors le client est bien dans ce cas le responsable du traitement et ce même si le cabinet d’expertise comptable arrête les moyens techniques pour réaliser ce traitement.

 

Gaëlle Patetta
Secrétaire général adjoint et directeur juridique du Conseil supérieur
 

 

POUR EN SAVOIR PLUS

  •  Protection des données personnelles à l’usage des experts-comptables - guide pratique
    Le service juridique du Conseil supérieur a rédigé un guide d’accompagnement pour les expertscomptables « protection des données personnelles à l’usage des experts-comptables - guide pratique ». Ce guide fait le point sur les nouvelles règles de protection des données personnelles applicables, précise comment elles peuvent être mises en place par les cabinets d’expertise comptable et propose un plan d’action ainsi que des outils pratiques directement utilisables. Il est téléchargeable gratuitement sur Bibliordre et peut être acheté sur la Boutique de l'Ordre.  
  • Pour aller plus loin : le Conseil Sup’ Services dédiés au RGPD.

 

Parcourir l'historique du SIC :

ABONNEZ-VOUS AU SIC NUMERIQUE

Le SIC Numérique parait mensuellement, à l’instar de son homologue papier. Pour être averti par mail de la publication d’un nouveau numéro, abonnez-vous !
ABONNEZ-VOUS AU SIC NUMERIQUE
Le SIC Numérique parait mensuellement, à l’instar de son homologue papier. Pour être averti par mail de la publication d’un nouveau numéro, abonnez-vous !

Toutes les parutions

MARS 2018

SIC N°371

  • 10 commandements pour se prémunir de la cybercriminalité
  • 73e Congrès : stratégie et compétences pour la croissance
  • Le 73e Congrès ; un rendez-vous en terre d'exception à ne pas manquer

Consulter

FÉVRIER 2018

SIC N°370

  • Tout savoir sur la loi de finances  et loi de financement de la Sécurité sociale 2018

  • 5 questions à Gilbert Le Pironnec, vice-président  en charge du secteur Prospective  et Spécialités du Conseil supérieur

  • Le rapport de fin de mission,  en pratique

Consulter

JANVIER 2018

SIC N°369

  • Assurer le financement de la reprise d'entreprise
  • 5 questions à Lucie Desblancs, vice-présidente en charge du secteur Développement et Croissance économique du Conseil supérieur
  • 2e édition de la journée du numérique : un véritable succès !

Consulter

DECEMBRE 2017

SIC N° 368

  • Réforme du Code du travail : de nouvelles opportunités pour les entreprises
  • 5 questions à François Asselin, président de la Confédération des PME
  • Logiciels de caisse : « Tenez-vous prêts au 1er janvier 2018 »

Consulter