Comprendre le RGPD

Compte tenu du contexte actuel de développement de l’économie numérique et des systèmes d’information, le nombre de données à caractère personnel a augmenté de manière exponentielle ces dernières années. Yann Padova¹ parle d’« un déluge de données, leur volume doublant tous les vingt-quatre mois ». C’est dans ce contexte que l’Europe a décidé de renforcer la législation sur la protection des données à caractère personnel. L’avantage du règlement est son application immédiate dans les pays membres sans qu’il y ait besoin de transposer le texte dans le droit national contrairement à une directive européenne. Cela permet d’assurer une homogénéité de la réglementation dans l’ensemble des pays européens. Toutefois, les échanges de données à caractère personnel avec les pays tiers, bien qu’encadrés par le règlement, nécessiteront de nouvelles négociations notamment pour assurer une égalité de traitement entre les sociétés européennes et les grandes firmes américaines et asiatiques du big data, qui sont moins contraintes par une réglementation sur la protection des données.

RGPD : renforcer la confiance dans l’économie numérique

Les objectifs du RGPD sont triples. Le premier d’entre eux est de renforcer la confiance dans l’économie numérique et d’assurer une transition digitale maîtrisée en protégeant les données à caractère personnel détenues par chaque entité. Cela nécessite d’une part, de responsabiliser tous les responsables de traitement des données à caractère personnel – on parle d’accountability. On observe un changement de paradigme entre la loi « Informatique et Libertés » qui reposait sur des déclarations préalables à la réalisation de traitements et le RGPD dont l’objectif est d’intégrer tous les acteurs dans le processus de protection des données.

Et d’autre part, cela nécessite de renforcer les droits des personnes dont les données personnelles sont collectées, traitées et détenues par des entités pour des raisons diverses et variées. Le droit à l’information, le droit d’accès et le droit d’opposition qui existait déjà dans la loi « Informatique et Libertés » sont précisés, étendus et renforcés dans le nouveau règlement. De plus, le texte européen fait apparaître deux nouveaux droits : le droit à la portabilité des données et le droit à la limitation du traitement. Enfin, le droit de suppression est remplacé par le droit à l’effacement ou droit à l’oubli. En outre, les règles liées au consentement sont renforcées et la charge de la preuve du consentement reposera désormais sur le responsable de traitement.

Le G29 et futur comité européen de protection des données (CEPD) qui est à l’origine de ce nouveau règlement regroupe l’ensemble des autorités de contrôle nationales des pays de l’Union européenne. La France y est représentée par la CNIL (Commission Nationale de l’Informatique et des Libertés) qui devient donc l’interlocuteur de référence pour les entreprises françaises dans leur projet de mise en conformité au nouveau règlement. Elle propose notamment un guide de mise en conformité en six étapes ainsi que des outils à destination des entreprises qui entrent dans le cadre du RGPD ; c’est-à-dire l’ensemble des organisations qui collectent des données à caractère personnel ou qui réalisent des traitements portant sur des données à caractère personnel.

Les données à caractère personnel sont définies comme « toute information se rapportant à une personne identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». Un numéro de Sécurité sociale, une adresse IP et même un cookie sont donc considérés comme des données à caractère personnel.

Comment démarrer la mise en conformité ?

Les traitements de données à caractère personnel correspondent à « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ». Au regard de ces deux définitions, la quasi-totalité des entreprises françaises est touchée par le sujet de la protection des données et doit donc entamer une analyse de son organisation interne pour s’assurer de sa mise en conformité avec le RGPD.

Les cabinets d’expertise comptable sont particulièrement concernés au vu de la nature des données qu’ils collectent et qu’ils traitent dans la réalisation de leurs missions comptables, fiscales et sociales pour le compte de leurs clients. Si l’on se place dans le cadre d’une mission d’établissement des bulletins de paie, le cabinet doit collecter les noms, prénoms, dates de naissance, montant de la rémunération, informations sur la situation familiale et RIB des salariés de son client pour ne citer que quelques exemples. Dans le cadre d’une mission d’établissement des comptes annuels, le client du cabinet fournit au collaborateur toutes ses pièces comptables qui font apparaître les noms des clients et des fournisseurs avec lesquels l’entreprise travaille, le niveau de sa trésorerie, le détail des investissements et des emprunts souscrits. Bien souvent, l’expert-comptable dispose aussi des identifiants et mots de passe nécessaires à la connexion sur des plateformes réservées aux entrepreneurs telles que son espace professionnel sur le site impôts.gouv.fr, sur le site du RSI (Régime social des Indépendants), l’accès à ses relevés bancaires sur le site Internet de sa banque…

Il est donc urgent pour les cabinets d’entamer leur démarche de mise en conformité au RGPD. Cette procédure de plusieurs mois, voire d’une année environ, ne sera donc pas arrivée à son terme au mois de mai 2018 d’autant plus que la période fiscale n’est pas l’époque de l’année la plus propice à la mise en œuvre de changements organisationnels au sein des cabinets. Toutefois, les contrôles de la CNIL n’interviendront pas dès le mois de juin 2018 sans qu’il y ait eu une déclaration préalable de manquement rapporté par partenaire ayant subi des préjudices économiques ou financiers du fait d’un système de sécurité des données défaillant du cabinet. Il ne faut donc pas se focaliser sur cette date du 25 mai 2018 mais bien entamer une réflexion globale sur la politique de sécurité des données au sein de nos cabinets afin d’être en mesure de justifier des moyens mis en œuvre dans ce but.

Désigner un délégué à la protection des données

La première étape consiste à désigner un délégué à la protection des données (ou Data Protection Officer – DPO) dont le rôle sera d’informer et de conseiller le responsable de traitement, de mener les actions nécessaires à la mise en conformité et d’être l’interlocuteur privilégié de l’autorité de contrôle dans le cabinet. Des compétences techniques et juridiques sont requises pour occuper cette fonction. Il convient donc de s’interroger sur l’opportunité de mandater un DPO externe plutôt que de recourir à une nomination en interne.

Le cabinet doit ensuite réaliser une cartographie des traitements de données à caractère personnel qui sont réalisés en interne. Cela nécessite d’identifier la nature des données traitées et la finalité des traitements pour s’assurer de la cohérence des données collectées par rapport aux traitements. Il convient également de déterminer les acteurs, internes ou externes, qui interviennent au cours des traitements. Enfin, les flux de données doivent être analysés : les émetteurs et les récepteurs doivent être identifiés et le mode de communication utilisé, sécurisé.

Mesurer les conséquences préjudiciables

Le cabinet doit ensuite réaliser une étude d’impact sur la vie privée (EIVP ou PIA – Privacy Impact Assessment) afin d’apprécier les conséquences préjudiciables qui pourraient survenir en cas d’utilisation frauduleuse des données ou en cas de détournement de la finalité initiale du traitement sur les personnes concernées. Cette étude d’impact doit comprendre les quatre éléments suivants :

• une description du traitement et de ses finalités

• une évaluation de la nécessité et de la proportionnalité du traitement

• une appréciation des risques sur les droits et les libertés des personnes concernées

• les mesures envisagées pour traiter ces risques

Pour aider les cabinets d’expertise comptable, mais aussi toutes les autres entreprises, la CNIL met à leur disposition un logiciel baptisé PIA et disponible gratuitement sur son site Internet.

La dernière étape du processus consiste à constituer un dossier documentaire permettant de justifier que le cabinet est en conformité avec le RGPD. Cette documentation doit notamment inclure un registre des traitements, les analyses de l’étude d’impact sur la vie privée, un registre des défaillances survenues. Il convient également d’y insérer les mesures techniques et organisationnelles qui permettent d’assurer la protection des données que ces mesures soient antérieures à la mise en conformité ou qu’elles aient été modifiées au cours de ce processus. Enfin, les actions de formation et de communication à destination des collaborateurs sont également des éléments importants de la documentation de conformité. En effet, elles permettent de souligner l’importance que le cabinet porte à la protection des données qu’il gère et la sensibilisation qui a été faite sur le sujet auprès d’un maximum de personnes.

De futurs prescripteurs

Une fois la mise en conformité réussie au sein des cabinets d’expertise comptable, on peut imaginer que la profession des experts-comptables pourra jouer le rôle de prescripteur auprès de ses clients notamment des TPE et PME. Ces derniers consultent déjà les techniciens de la profession comptable pour des sujets qui vont bien au-delà de leurs missions traditionnelles d’établissement des comptes et des déclarations fiscales. Il est donc pertinent d’envisager de nouvelles missions autour de la sensibilisation des différents professionnels à la sécurité des données dans un premier temps et de l’accompagnement des clients dans leur mise en conformité au RGPD dans un second temps.

1. Yann PADOVA, ancien secrétaire général de la CNIL, avocat chez Baker McKenzie, Protection des données : le rendez-vous manqué de la France ; LesEchos.fr ; 29 janvier 2018

Partager :