RECEIPT BANK

Les bonnes pratiques du RGPD en cabinet d'expertise comptable

Article écrit par (1432 articles)
Modifié le
1 714 lectures
Conseils pour la mise en conformité au RGPD dans un pôle social

Le cabinet d'expertise comptable qui n'a pas encore fait le point sur la conformité de ses pratiques avec le RGPD, le règlement général de protection des données personnelles, peut voir sa responsabilité engagée en cas de problème.

Pourtant, cette mise en conformité peut présenter quelques avantages, comme celui d'éviter certains accidents qui autorisent les mauvaises personnes à accéder aux mauvaises informations. Dans certains cas, le cabinet peut perdre un client.

Sans entrer dans le détail des obligations prévues par le règlement, retour sur les bonnes pratiques proposées par Stefan Engler, expert-comptable et conseiller fiscal, dans le cadre des rendez-vous annuels du club social du CSOEC.

 

Le RGPD au sein d'un pôle social en cabinet d'expertise comptable

Le cabinet d'expertise comptable collecte de nombreuses données provenant de ses clients mais aussi sur ses propres collaborateurs. Au moment de l'entrée du salarié dans une entreprise cliente, la fiche salarié en est un bon exemple, qu'il s'agisse de données renseignées dans le logiciel de paie ou d'un document fournit par le client.

L'employeur est responsable de la sécurité des données personnelles de son entreprise et le cabinet d'expertise comptable engage potentiellement sa responsabilité en qualité de sous-traitant ou de responsable du traitement.

Or, une donnée personnelle peut se trouver n'importe où. Utiliser la fiche de paie anonymisée d'un directeur financier ou d'une femme de ménage en laissant le SIRET de l'entreprise, alors qu'une personne unique occupe l'un ou l'autre poste permet de retrouver facilement la personne concernée.

« Dès lors qu'une personne physique est clairement identifiable, cela devient une donnée personnelle » rappelle Stefan Engler.

 

Recueillir le consentement des salariés

Le consentement des salariés n'est pas obligatoire pour l'établissement des fiches de paie, obligation légale. Il est en revanche indispensable pour tous les autres traitements comme le calcul d'une provision de congés payés par exemple.

Ce consentement s'obtient facilement par l'insertion d'une clause dans les nouveaux contrats de travail. Les anciens salariés pourront signer un avenant ou tout autre document, qui autorise les traitements par le pôle social ou le service des ressources humaines.

Si la fiche salarié est un document rempli par le salarié lui-même, il est possible de « lui demander de la signer et d'insérer une phrase comportant cette autorisation ».

Le consentement doit être donné par un acte positif clair.

La lettre de mission peut toutefois permettre au cabinet de mettre cette obligation à la charge de son client, qui s'occupera de recueillir les autorisations et de les conserver.



Utilisation de pseudonymes ou anonymisation pour éviter le RGPD

Le pseudonyme permet de traiter les données à caractère personnel de manière à interdire leur attribution à une personne déterminée, sans avoir besoin d'obtenir des informations supplémentaires, conservées à part.

« En paie, l'utilisation systématique du numéro de matricule sur les feuilles de travail peut être une solution ». Le collaborateur qui souhaite vérifier l'identité du salarié doit ouvrir le dossier paie et consulter les fiches de paie.

Idéalement, le dossier paie ne sera accessible qu'au collaborateur en charge de l'établissement des paies et à l'expert-comptable par exemple.

 

La gestion des login et mots de passe au sein du cabinet

La gestion des droits d'accès au serveur du cabinet ou d'une entreprise mais aussi aux portails externes (URSSAF, administration fiscale, marchés publics) revêt une importance particulière.

« Un collaborateur ne devrait pas avoir accès à tous dossiers du cabinet mais seulement à ceux de son portefeuille pour la partie qui le concerne ».

Ainsi, en présence d'un pôle social, les collaborateurs comptables ne sont pas concernés par la partie paie et ne devraient pouvoir y accéder directement. Ils accèdent idéalement aux informations dont ils ont besoin dans un espace dédié mis à leur disposition.

De la même manière, chaque collaborateur devrait avoir son propre login et mot de passe. Cela permet :

  • de suivre les logs et de savoir qui a eu accès à quelles données et quand ;
  • de prévoir une procédure de sortie informatique en révoquant les accès inutiles.

Le collaborateur qui quitte le cabinet doit perdre son accès le lendemain de son départ, au moins par changement du mot de passe. Idem sur les portails externes au cabinet (URSSAF, net-entreprise etc.).

Enfin, le fait de vérifier quotidiennement les logs ou connexions au serveur permet de repérer une connexion à distance d'un ordinateur non autorisé et d'anticiper les fuites de données.

 

Prévoir des procédures particulières en cas de travaux urgents

C'est le cas d'un client qui demande la modification urgente d'une fiche de paie. Le collaborateur habituel n'est pas là, pas disponible ou a quitté le cabinet et la mission est confiée à un autre collaborateur.

Ce second collaborateur ignore tout de la procédure habituelle, envoie la paie par fax ou mail et se trompe de numéro de fax ou d'adresse email. Au lieu d'envoyer la fiche de paie au dirigeant, il l'envoie à un autre salarié qui n'est pas le salarié concerné par la paie.

Obliger le collaborateur à faire valider l'envoi par l'expert-comptable ou prévoir une procédure particulière, peut permettre d'anticiper le problème.

Il s'agit donc « d'identifier les traitements sensibles, d'envoyer les bulletins de paie, tous les mois selon la bonne procédure et d'avoir une procédure spécifique pour les traitements exceptionnels ».

 

L'envoi de données par email au client : un pdf protégé par mot de passe !

On pense souvent à tort que le mail est sécurisé et qu'il est peu probable qu'une personne non autorisée arrive à le lire. « C'est pourtant l'équivalent d'une carte postale que n'importe qui, équipé du bon logiciel, peut lire s'il n'est pas crypté ».

Les emails contenant des pdf avec les liasses fiscales, fiches de paie et autres documents confidentiels devraient faire l'objet d'une procédure particulière.

Il suffit de crypter le pdf (cryptage AES 128) envoyé en pièce jointe et de fournir le mot de passe à son client par sms ou téléphone, jamais dans le mail qui contient la pièce jointe.

Le cabinet tient alors un cahier avec tous les mots de passe ainsi générés pour les retrouver facilement. Ces mots de passe peuvent être changés tous les mois ou tous les ans.

Sandra Schmidt

Sandra Schmidt
Rédactrice sur Compta Online, média communautaire 100% digital destiné aux professions du Chiffre depuis 2003.
J'interviens sur Compta Online depuis 2007 et j'ai rejoint l'équipe en 2014. Mes articles abordent la comptabilité, la fiscalité, le droit social, les IFRS, mais aussi l'intelligence artificielle, la blockchain...
Suivez moi sur Linkedin et sur Twitter.

Twitter   Facebook   Linkedin

RECEIPT BANK