Le RGDP est un rendez-vous important pour les professionnels du chiffre, tant pour les cabinets que pour leurs clients. C’est également une belle source d’opportunités en termes de nouvelles missions. Bien conscient de cela, l’Ordre des experts-comptables a proposé le 17 avril 2018 un webinaire sur le sujet, animé par Gaëlle Patetta, Directeur juridique du CSO, Florence Hauducoeur, Trésorière du CSO, Sanaa Moussaïd, Présidente du comité transition numérique et Dominique Perier, Président du comité technologique.

Pourquoi les experts-comptables sont-ils concernés par le RGPD ?

Les cabinets d’expertise comptable ont accès à des données personnelles pour l’organisation de leur propre structure, avec leurs salariés, ou bien dans le cadre des missions qui leur sont confiées par leurs clients.

Les cabinets sont des entreprises comme les autres et à ce titre, les données personnelles y sont omniprésentes : données relatives aux salariés pour la paie, la formation, les évaluations, le recrutement… mais également fichiers clients.

La tenue de comptabilité cite les mandataires sociaux, les associés avec éventuellement des éléments de rémunération. S’agissant du fiscal, la déclaration d’impôt sur le revenu par exemple, est une mine de données personnelles. Mais c’est surtout la paie qui emporte « le haut du tableau » sur ce point : l’établissement des bulletins et plus largement, l’assistance au recrutement ou encore, à l’organisation d’élections de représentants du personnel, dans lesquelles les affiliations syndicales des intéressés peuvent ressortir : données sensibles à la clé !

RGPD : quelles obligations à la charge des experts-comptables ?

La responsabilité des cabinets sur le RGPD dépend de leur statut : responsable de traitement ou bien sous-traitant ? Cette qualification est subtile et fonctionne au cas par cas, par faisceau d’indices. Elle dépend principalement du degré de contrôle des données, avec trois questions à se poser : qui détermine la finalité du traitement des données personnelles ? Qui a concrètement le contrôle, la main sur ce traitement ? Enfin, qui détermine les moyens essentiels des opérations ?

De manière schématique, pour tout ce qui relève de la paie et des déclarations sociales, l’expert-comptable sera plutôt sous-traitant. Et sur les aspects comptabilité, déclarations fiscales et secrétariat juridique, la qualification de responsable de traitement l’emportera davantage.

L’enjeu de cette distinction concerne la responsabilité. Le responsable de traitement répond de son action devant le seul régulateur, c’est-à-dire en France, la CNIL. En revanche, le sous-traitant est obligé à l’égard du régulateur, mais également du responsable de traitement.

Par ailleurs, les obligations d’information diffèrent selon le statut. Il revient en effet au responsable de traitement d’informer les personnes concernées, du traitement qui est réalisé sur leurs données personnelles et de mettre en place les procédures permettant à ces dernières d’exercer leur droit d’accès ou de rectification. Enfin, le responsable de traitement doit s’assurer que la finalité des opérations sur les données est bien conforme aux exigences du RGPD.

Responsables de traitement et sous-traitants ont également des obligations communes : garantir la sécurité informatique requise, mettre en place un DPO (délégué à la protection des données) si nécessaire et établir un registre de traitement le cas échéant.

Hugues Robert