12 Sep

RGPD : des difficultés d'application dans les cabinets comptables

By 
(0 votes)

Obligation - ou non - de tenir un registre des traitements, consentement des personnes qui envoient une candidature pour travailler au cabinet, gestion des accès logiques, lieu de stockage des données... Autant de points d'attention pour les experts-comptables dans la mise en application du règlement général sur la protection des données personnelles (RGPD).

"Qui d'entre nous pense qu'il a fini la mise en place de ses procédures et processus GDPR au sein de son cabinet ?". Silence dans la salle après cette question posée par Florence Hauducoeur, associée PwC et élue du CSOEC, lors d'une conférence aux universités d'été de la profession francilienne vendredi dernier. Une ou deux mains se lèvent. "Qui a commencé ?". Là, beaucoup plus d'experts-comptables se manifeste. Ce rapide sondage reflète assez bien ce qui se passe dans la profession. Le règlement général sur la protection des données personnelles (RGPD), en application depuis un peu plus de trois mois (le 25 mai 2018), commence tout juste à entrer dans le quotidien des cabinets comptables. Et peut leur poser certaines difficultés de mise en oeuvre.

Registre des traitements : une faculté... obligatoire en pratique

La tenue d'un registre des traitements fait partie de ces interrogations. Selon le règlement européen, chaque responsable de traitement de données doit faire l'inventaire des process qui incluent un traitement et mettre en place un registre des activités de traitement effectuées sous sa responsabilité. Des exemptions sont prévues pour les petites entreprises (moins de 250 salariés), notamment lorsque les données sont traitées de manière "occasionnelle". Ce qui, en pratique, est très rare dans la profession. "On n'a pas de traitement occasionnel. On a quand même beaucoup de clientèle récurrente, sauf (…) [cas] de cabinets qui font des missions très ponctuelles. Mais quand vous faites des missions traditionnelles, vos traitements c'est tous les mois, tous les trimestres, tous les ans", analyse Florence Hauducoeur. Tous les cabinets sont donc obligés de tenir un tel registre. 

Alors comment faire ? Lors de l'identification des traitements, "faites attention à la granularité, conseille l'experte-comptable. Ne descendez pas trop trop dans des choses hyper micro précises". Car ce sera d'autant plus difficile à mettre à jour. "La bonne jauge" pour un cabinet est d'identifier une trentaine de traitements, d'après Florence Hauducoeur. Une concision par ailleurs recommandée concernant la documentation qui prouve la conformité au RGPD (en lien avec la norme professionnelle de maîtrise de la qualité). Deux pages suffisent, selon l'associée PwC. Car il faudra, là encore, prévoir un réexamen et une actualisation régulières. Donc "il ne faut pas que ça mobilise quatre personnes au sein d'un cabinet de dix personnes", souligne Fabrice Vidal, expert-comptable au cabinet Caderas Martin.

Attention au consentement pour la gestion des candidatures

Autre point qui peut être compliqué à gérer : le consentement des personnes physiques – obligatoire au préalable – dans certaines situations. Pour les clients du cabinet, la question ne se pose pas en principe car le consentement est donné par la lettre de mission. Cependant, si de nouveaux services sont proposés aux clients, l'accord de ces derniers est nécessaire via le système de « l'opt-out » (la personne ne doit pas avoir exprimé son refus).

Il en est autrement de la gestion des candidatures que pourrait recevoir le cabinet (dans un processus de recrutement de salariés). "Là il n'y a pas de contrat, pas d'obligation légale, et donc il faut je crois obtenir le consentement des candidats pour pouvoir collecter et traiter leurs données voire pour pouvoir [les] conserver quelques temps", indique Fabrice Vidal. L'accord est ici un « opt-in », c'est-à-dire que le candidat doit avoir coché une case pour exprimer son consentement. Cette obligation est requise aussi pour les candidatures spontanées. "C'est assez sensible les candidatures", estime Florence Hauducoeur. Ce sont de "vrais niveaux de risques pour les cabinets, parce qu'un candidat malheureux, éconduit, qui n'a pas été retenu... on peut tomber sur un mauvais coucheur qui va venir nous voir et nous dire « Est-ce que vous avez bien détruit mes données ? Qu'est-ce que vous avez gardé ? Qu'est-ce que vous avez sur moi ? ». (…) Ça peut arriver à tous les cabinets".

Arbitrages entre la sécurisation des données et les besoins opérationnels du cabinet

La sécurisation des données personnelles par le cabinet est également un sujet d'attention. C'est une obligation quel que soit le statut (responsable de traitement ou sous-traitant). Il s'agit notamment d'élaborer une politique d'accès, en particulier concernant la gestion des "accès logiques" (qui a accès à quoi). C'est "la partie la plus compliquée", prévient Fabrice Vidal. "Si je suis trop large, il va peut-être y avoir trop de monde qui va avoir accès à trop de choses. En revanche, si je travaille trop finement, je vais mettre en place une usine à gaz et les droits d'accès vont être complètement ingérables. Il va falloir quatre personnes à temps plein pour [les] gérer". "On se heurte à la fluidité d'organisation de nos cabinets versus la protection des données telle qu'elle devrait être faite", confirme Florence Hauducoeur. "C'est à chacun de nous de réfléchir sur une solution raisonnable et vivable".

Dans le cabinet de Fabrice Vidal, se pose par exemple la problématique de la paie. L'accès à un dossier de paie est réservé au collaborateur qui travaille sur ce dossier, la responsable du service et "éventuellement la personne qui est là en back-up". Mais en cas de reportings mensuels, "derrière on a besoin d'expliquer, parfois de donner une formation plus fine à nos clients que l'OD de paie dans les reportings et ça veut dire qu'on a besoin d'accéder au bulletin de salaire", explique l'expert-comptable. Donc "ça passe du serveur paie au serveur comptabilité. (...) Ça veut dire que, dans l'absolu, l'ensemble (…) de nos équipes comptables pourrait avoir accès à certains bulletins de paie. (…) Ça nous paraît problématique". Il y a donc "des arbitrages à faire entre sécuriser et respecter la confidentialité des données, et d'un autre côté nos besoins opérationnels pour rendre le service attendu par nos clients", conclut Fabrice Vidal.

"Alors là, c'est une aventure"

Autre élément clé concernant la sécurisation des données : connaître précisément le lieu de stockage physique des datas. Et donc revoir les contrats cloud. "C'est une question maintenant que je pose systématiquement [à nos prestataires informatiques]", indique Florence Hauducoeur. "Et d'ailleurs nos fournisseurs deviennent de plus en plus sensibles à ça. (…) Assez spontanément maintenant, ils viennent nous le dire". Lorsque le data center est situé hors de l'Union européenne, la situation se complique car il faut des accords supplémentaires. Avec le RGPD, les transferts de données hors UE restent possibles mais sont encadrés. Florence Hauducoeur a, par exemple, un client pour qui elle fait la paie et qui demande que les bulletins de paie de ses salariés français partent en Inde pour vérification. "Alors là, c'est une aventure en terme de RGPD", lance l'experte-comptable. "Il faudrait que j'obtienne chaque mois l'autorisation de chacun des salariés".

Il n'est donc pas évident de se mettre tout de suite en conformité par rapport à certains points du RGPD. "Le texte n'est pas écrit pour les experts-comptables", relève Florence Hauducoeur. Il faut mettre en place des mesures proportionnelles aux risques dans les cabinets, selon elle. Et de conclure : "C'est une question de bon sens".

Céline Chapuis
Read 2491 times

Twitter

OÙ NOUS TROUVER ?

  • 10, Rue Ghandi, Hassan Rabat - Maroc
  • +212-537-730-158
  • rh@exalya.com
  • information@exalya.com
  • Venir chez Nous