.svg){kind=small}
Aujourd’hui, plus aucune entreprise n’échappe au Règlement Européen pour la Protection des Données (RGPD), pour peu qu’elle ait affaire aux données de ses clients. 👀 C’est le cas des experts-comptables et des commissaires aux comptes qui traitent les données personnelles de leurs clients et de leurs collaborateurs, mais c’est aussi le cas de la plupart des entreprises qu’ils conseillent !
Par conséquent, même si le sujet peut être rebutant à première vue, il est indispensable de vous assurer d’être en conformité avec la réglementation européenne. Dans le cas contraire, vous vous exposeriez à des sanctions pouvant aller jusqu’à 4% du chiffre d’affaires de votre cabinet. 😕
Alors, quelles sont les étapes clés à respecter pour s’assurer d’être en parfaite conformité avec le RGPD ? Comment guider au mieux vos clients dans ce parcours du combattant ? 💪
#1 Bien identifier la nature des données et les acteurs qui y ont accès
C’est le B.A.-BA lorsqu’on traite un large lot de données : il est impératif de commencer par faire le point sur les données personnelles en question. Consciente de l’ampleur du projet, la CNIL a mis au point un modèle de registre simplifié qui permet d’avoir une vision d’ensemble sur vos traitements de données.📊
Le registre des traitements doit permettre d’identifier :
- les parties prenantes qui interviennent dans le traitement des données ;
- les catégories de données traitées ;
- à quoi servent ces données ;
- qui y accède et à qui elles sont communiquées ;
- combien de temps elles sont conservées ;
- comment elles sont sécurisées.
Pour remplir ce registre, il convient de commencer par identifier quelles activités, au sein de votre entreprise, utilisent des données personnelles. Cela peut aller du service de paie à la gestion des prospects, en passant par les services de recrutement et de formation. 👨👨👧👦 Chaque activité en prise avec des données personnelles constitue un “traitement”.
Dans l’Excel, vous créez ensuite un onglet par traitement, en détaillant les critères suivants :
- l’objectif poursuivi derrière la collecte de ces données ;
- les catégories de données utilisées ;
- les personnes qui ont accès à ces données ;
- la durée de conservation de ces données.
Bon à savoir : Ce travail doit être fait de manière continue, il est de la responsabilité du dirigeant de l’entreprise de s’assurer que le registre est régulièrement mis à jour. ✅ Pour l’aider dans cette tâche, la désignation d’un Data Protection Officer est une option intéressante, à défaut d’être une obligation légale.
#2 Faire le tri dans ses données afin de limiter au maximum la possibilité d’abus
Une fois toutes ces informations compilées, place à l'analyse et à l’optimisation. L’idée sous-jacente est alors de faire en sorte de n’avoir que le strict nécessaire sur vos clients ou collaborateurs. 👥
Voilà ce qu’il vous faudra plus précisément vous demander :
- Est-ce que chaque donnée dont je dispose est réellement nécessaire à mon activité ?
- Est-ce que chaque acteur qui a accès aux données est habilité à le faire ?
- Est-ce que je supprime bien les données au-delà du délai nécessaire ? Pensez à définir des règles automatiques d’effacement ou d’archivage.
- Est-ce que je dispose de données sensibles sur mes clients ? Si oui, est-ce que je suis certain d’avoir le droit de les traiter ?
Bon à savoir : Est considérée comme sensible toute donnée qui a trait à l’origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l'appartenance syndicale, au traitement des données génétiques ou biométriques aux fins d'identifier une personne physique de manière unique, à la santé, à la vie sexuelle ou à l'orientation sexuelle d'une personne physique. 🙌
#3 Communiquer de manière proactive et transparente avec les personnes concernées
L’un des buts du RGPD est de protéger l’utilisateur, c’est-à-dire celui qui donne ses données à un tiers. Voilà pourquoi il vous faudra redoubler d'efforts en matière de communication à l’égard des personnes concernées, qu’elles soient des clients ou des collaborateurs de votre cabinet. ☺️
Pour être en conformité avec la CNIL, vous devez vous soumettre aux deux obligations suivantes.
1. À chaque fois que vous collectez les données d’une personne, dites-lui.
Concrètement, cela signifie qu’il faut faire apparaître certains éléments sur le support qui vous sert à collecter ces données. 🙂
Ces éléments correspondent en fait peu ou prou à des points que vous aurez déjà listés dans le registre (cf. étape 1) :
- Expliquez la finalité de votre démarche, c’est-à-dire la raison pour laquelle vous collectez ces données.
- Explicitez-en le fondement juridique, c’est-à-dire ce qui vous autorise à traiter ces données.
- Indiquez qui a accès aux données, sans donner de nom évidemment, mais en mentionnant les catégories d’acteurs concernés.
- Dites combien de temps vous allez conserver ces données.
- Expliquez comment les personnes concernées peuvent exercer leurs droits.
En cas de transfert de données hors de l’UE, faites-le savoir. 🙋🏼♂️
Pour vous faciliter la vie, la CNIL met à disposition deux exemples de mentions pré-rédigées, qui font apparaître les mentions minimales d’information sur le support de collecte. N’hésitez pas à piocher dedans !
NB : Votre lettre de mission peut être appropriée pour informer votre client en bonne et due forme ! 📩
2. Donnez à la personne l’opportunité d’exercer facilement ses droits.
À partir du moment où vous recueillez les données d’une personne, celle-ci possède des droits dessus : droit d’accès, de rectification, d’opposition, d’effacement, de portabilité et de limitation de traitement. 📒
La CNIL insiste sur le fait de permettre aux personnes concernées d’exercer ces droits. Veillez donc à prévoir un formulaire de contact spécifique pour vos clients et/ou collaborateurs, et à traiter les demandes dans des délais courts (1 mois maximum). 📋
#4 Sécuriser ses données pour se prémunir contre les cyberattaques
Dites-vous une chose : le recueil de données implique de grandes responsabilités. Si votre cabinet se fait pirater, non seulement vos propres données sont en danger, mais également celles de vos clients et de vos collaborateurs ! 🚨
Pour parer à cette sombre éventualité, il est important d’adopter les bons réflexes : mettez à jour vos antivirus, changez régulièrement vos mots de passe, faites des sauvegardes et chiffrez vos données quand les circonstances l’exigent. 💻
Sachez qu’en cas de difficultés (un sinistre, une attaque informatique...), le site gouvernemental www.cybermalveillance.gouv.fr vous propose de l’aide en ligne, ainsi qu’une liste de prestataires approuvés. 👈
Malgré toutes ces précautions, si jamais vous constatez une violation de données personnelles, vous avez l’obligation de la signaler à la CNIL, et ce, dans un délai de 72 heures. Vous pouvez recourir à ce signalement directement en ligne, sur le site de la CNIL.
Avec Welyb, bénéficiez d'une plateforme en toute conformité RGPD et Made In France 👇
L’expert-comptable, meilleur allié du RGPD ?
Depuis septembre 2020, un partenariat entre la CNIL et l’ordre des experts-comptables vous encourage à conseiller vos clients pour favoriser leur mise en conformité vis-à-vis du RGPD. On compte sur vous pour faire passer le mot ! 🖐
>> Pour aller plus loin :
Expert-comptable : les bonnes pratiques pour vous conformer au RGPD
