Le règlement général sur la protection des données (RGPD), appliqué à partir du 25 mai 2018, fait beaucoup parler de lui. Vous même, vous vous posez certainement des questions sur l’incidence sur votre activité d’expert-comptable ou encore sur l’impact sur votre marketing…
Pour faire le point, nous avons interrogé Amélie CARO, diplômée d’Expertise comptable, co-directrice avec Baptiste LARVOL-SIMON de la société Libre Informatique, société productrice de PiaLab, une solution d’accompagnement à la mise en conformité au RGPD dédié aux entreprises et administrations.
Qu’est-ce que le RGPD ?
Le RGPD est l’acronyme de « règlement général sur la protection des données », le règlement européen sur la protection des données personnelles qui entre en application le 25 Mai 2018 sans qu’aucune loi française ne soit nécessaire pour le transposer sur le territoire national. Le RGPD a vocation à redonner aux personnes physiques le contrôle de leurs données personnelles en mettant en place un cadre réglementaire unifié au sein de l’Union Européenne.
La protection des données personnelles n’est pas un sujet nouveau, la loi informatique et liberté de 1978 en parlait déjà. Le règlement européen modifie toutefois certaines dispositions qui y figuraient et en crée d’autres.
Le RGPD introduit ainsi :
- la création d’un registre des traitements,
- la réalisation d’études d’impact,
- la création du poste de délégué à la protection des données (DPD ou DPO – Data Protection Officer)
- des nouveaux droits aux personnes concernées par le traitement de leurs données,
- le principe de responsabilité du responsable de traitement (principe de l’accountability),
- les notions de privacy by design et de privacy by default,
- des procédures à déployer en cas de fuite de données ou d’intrusion dans le système,
- ainsi que de nombreuses obligation en matière de sous-traitance.
Le RGPD détaille les obligations à la charge des entreprises qui sont établies sur le territoire européen et qui gèrent des données personnelles et celles qui sont installées en dehors de l’Union Européenne et qui manipulent des données personnelles de citoyens de l’Union Européenne.
Les experts-comptables sont-ils concernés ?
Tout comme nombre de leurs clients, les experts-comptables sont concernés par la gestion de données personnelles, soit pour leur besoin interne, soit pour les missions qu’ils réalisent pour leurs clients, dès lors qu’un traitement (automatisé ou non) est réalisé, et qu’il porte sur des données à caractères personnelles .
L’article 4 du RGPD définit «traitement», toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction »
Les experts-comptables manipulent de nombreuses données personnelles :
- lors de la gestion de leurs ressources humaines : CV, données sur l’état civil et la situation de famille de leurs salariés, coordonnées téléphoniques et postales, numéros de sécurité sociale, coordonnées bancaires…,
- lors de la gestion des prospects : données sur l’état civil du porteur de projet ou de l’entrepreneur, coordonnées téléphoniques et postales,
- lors de la gestion des clients : données personnelles des associés, données personnelles des salariés des clients (numéro de sécurité sociale, informations sur la situation de famille pour les mutuelles…), coordonnées bancaires des personnes physiques …,
- lors des relations avec leurs fournisseurs : coordonnées des personnes physiques travaillant chez leurs fournisseurs etc..
Les experts-comptables sont ainsi concernés par ce règlement européen, et à plusieurs titres : premièrement, ils sont responsables de nombreux traitements de données personnelles et doivent donc se mettre eux-mêmes en conformité, ensuite, du fait de leur devoir de conseil envers leurs clients, ils doivent informer et mettre en garde ces derniers et peuvent, comme certains cabinets l’ont fait, étoffer leur catalogue de prestations pour accompagner leurs clients dans leur démarche de mise en conformité ! Les événements publics organisés pour sensibiliser les professionnels rassemblent pour l’instant trop peu de professionnels alors que les enjeux sont vraiment importants. En tant que conseils privilégiés, les experts-comptables représentent, à mon sens, les meilleurs interlocuteurs pour sensibiliser les entreprises qu’ils accompagnent. Les amendes prévues par le règlement européen en cas de non respect des obligations mettraient en péril de nombreuses entreprises (20 millions d’euros ou 4 % du chiffre d’affaires mondial, le montant le plus important des deux étant retenu…), il est donc important que le plus grand nombre y soit sensibilisé au plus vite.
Et concernant la politique marketing du cabinet d’expertise-comptable, qu’est-ce que le RGPD implique ?
Le RGPD renforce les droits des personnes physiques auxquelles appartiennent les données personnelles exploitées.
Ainsi, comme pour tous les autres traitements de données personnelles que l’expert-comptable listera, et pour lesquels il s’identifiera comme étant le responsable de traitement (celui qui va exploiter les données), il devra s’assurer que les personnes physiques à qui appartiennent les données personnelles qu’il traite ont bien été informées de manière claire et explicite de la ou des finalités du ou des traitements qu’il va en faire et il doit s’assurer que ces dernières ont bien donné leur consentement et qu’elles ont été informées de la possibilité de modifier ou supprimer leurs données à tout moment. Cela implique que les experts-comptables doivent ajouter des informations complémentaires dans les supports de collecte de données (formulaire en ligne ou papier, questionnaire…) ainsi que dans les documents contractuels (contrats, conditions générales de vente…), et ce dès maintenant. En outre, les formulaires de demande de rappel, ou de demande de devis par exemple ne pourront plus contenir de cases pré-cochées « J’accepte » : il est désormais indispensable que l’entreprise qui complète ce formulaire coche elle-même ce type de case.
Si jamais l’expert-comptable fait appel à un sous-traitant pour effectuer ses campagnes d’emailing, il devra s’assurer que tous les transferts de données personnelles sont conformes au RGPD, car en tant que responsable conjoint de traitement, il engage également sa responsabilité.
Quels sont les risques en cas de non respect ?
Les amendes applicables en cas de non respect du règlement européen sont dissuasives : elles s’élèvent à 20 millions d’euros ou 4 % du chiffre d’affaires mondial du groupe, le montant le plus haut des deux étant retenu. En cas de contrôle, l’expert-comptable devra prouver qu’il a entamé sa démarche de mise en conformité et transmettre tout document le prouvant aux autorités de contrôle, donc il est nécessaire de commencer la démarche de mise en conformité au plus vite. La solution PiaLab que nous avons développée et qui est destinée aux DPOs se veut simple d’utilisation pour permettre aux professionnels de gagner du temps en bénéficiant de modèles déjà complétés, et à vocation à leur permettre de devenir autonomes dans leur processus de mise en conformité en étant guidés pas à pas pour bien comprendre les enjeux du règlement européen. Le RGPD doit être perçu comme une opportunité par les entreprises : il permet d’améliorer leur organisation interne en sécurisant le traitement de données, ce qui sera un gage de confiance pour leurs clients !