Les experts-comptables sont au coeur de la gestion financiere de milliers d’entreprises et de particuliers. Ils manipulent quotidiennement des donnees personnelles sensibles : bulletins de paie, declarations fiscales, bilans financiers, donnees bancaires et informations sur les dirigeants. Le RGPD impose aux cabinets d’expertise comptable un cadre strict, d’autant que la profession est egalement soumise au secret professionnel.
Les donnees personnelles dans un cabinet d’expertise comptable
Un cabinet comptable traite des volumes importants de donnees personnelles pour le compte de ses clients. La tenue de la comptabilite implique l’acces aux releves bancaires, aux factures nominatives, aux notes de frais et aux justificatifs de paiement. La gestion sociale (etablissement des bulletins de paie) genere des donnees particulierement sensibles : identite des salaries, numero de securite sociale, situation familiale, salaires, arrets maladie, adhesions syndicales.
Les missions de conseil fiscal ajoutent des informations sur le patrimoine personnel des dirigeants, leurs revenus fonciers, leurs placements financiers et leur situation familiale. Les missions d’audit et de commissariat aux comptes donnent acces a l’ensemble des donnees comptables et sociales de l’entite controlee.
Double casquette : responsable de traitement et sous-traitant
La qualification du cabinet d’expertise comptable au regard du RGPD depend de la nature de ses missions. Pour sa gestion interne (fichier clients, facturation, gestion du personnel du cabinet), l’expert-comptable est responsable de traitement. Pour les missions realisees pour le compte de ses clients (tenue de comptabilite, etablissement de la paie), il agit generalement en qualite de sous-traitant.
Cette double qualification impose des obligations differentes. En tant que responsable de traitement, le cabinet doit informer ses propres clients et ses salaries, tenir un registre de ses traitements et respecter les droits des personnes. En tant que sous-traitant, il doit formaliser un contrat conforme a l’article 28 du RGPD avec chaque client, detaillant les instructions de traitement, les mesures de securite et les obligations de confidentialite.
Secret professionnel et RGPD
L’expert-comptable est soumis au secret professionnel en vertu de l’article 21 de l’ordonnance du 19 septembre 1945. Ce secret couvre l’ensemble des informations dont il a connaissance dans l’exercice de ses fonctions. Le RGPD ne remet pas en cause cette obligation mais y ajoute des exigences supplementaires de securisation et de transparence.
En cas de demande d’acces d’un tiers (administration fiscale, tribunal), l’expert-comptable doit verifier la base legale de la demande avant de communiquer des donnees couvertes par le secret professionnel. Le Conseil superieur de l’Ordre des experts-comptables (CSOEC) a publie des recommandations pour guider les professionnels dans l’articulation entre secret professionnel et obligations RGPD.
Securite des donnees comptables
La securite des donnees est un enjeu critique pour les cabinets d’expertise comptable. Les logiciels comptables doivent etre proteges par des acces authentifies, les sauvegardes realisees regulierement et stockees de maniere securisee. Le recours au cloud pour l’hebergement des donnees comptables impose de verifier les certifications du prestataire et la localisation des serveurs.
Les echanges de documents avec les clients doivent transiter par des canaux securises. L’envoi de bulletins de paie, de declarations fiscales ou de bilans par e-mail non chiffre presente des risques de confidentialite. Les plateformes collaboratives securisees sont a privilegier pour le partage de documents sensibles.
En cas de violation de donnees (piratage, ransomware), le cabinet doit notifier la CNIL dans les 72 heures et informer ses clients si le risque pour les droits des personnes est eleve. Un plan de gestion de crise doit etre prepare en amont.
Durees de conservation et archivage
Les documents comptables doivent etre conserves pendant dix ans conformement au Code de commerce. Les documents sociaux (bulletins de paie) sont conserves cinq ans. Les declarations fiscales doivent etre disponibles pendant les delais de prescription fiscale (trois ans en general, six ans pour certaines situations). A l’issue de ces delais, les donnees personnelles doivent etre supprimees ou anonymisees.
Plan d’action pour votre cabinet
Pour mettre votre cabinet en conformite, commencez par identifier vos roles (responsable de traitement ou sous-traitant) pour chaque type de mission. Tenez un registre des traitements complet. Formalisez des contrats de sous-traitance avec vos clients. Formez l’ensemble de vos collaborateurs aux bonnes pratiques de protection des donnees et aux reflexes de confidentialite.
