Retour d'expérience sur la mise en conformité RGPD des cabinets d'expertise comptable

Article écrit par
Modifié le
5 326 lectures

Cet article a pour but de faire un retour d'expérience à mes anciens confrères concernant la mise en conformité de leur cabinet.

J'ai contribué à la mise en conformité RGPD de plusieurs cabinets comptables. Je vais développer ici des points d'attention spécifiques rencontrés durant ces missions. Les éléments communs à toutes les entreprises ne sont pas repris ici. D'autres sont développés dans la documentation de l'Ordre « La protection des données personnelles à l'usage des experts comptables » (juin 2018) que vous retrouvez sur l'intranet de l'Ordre (partie privée du site).

Ayez bien en tête que 80% des travaux de mise en conformité du RGPD concernent des changements organisationnels. Seulement 20% des mesures sont relatives à des problématiques matérielles ou logicielles.

La difficulté de définir si le cabinet est responsable ou co-responsable de traitement, ou s'il est sous-traitant

C'est l'un des points les plus techniques du RGPD car il s'agit dans tous les cas d'une appréciation de faits. Les notions de responsable, co-responsable de traitement et sous-traitant sont définies par les articles du chapitre 4 du RGPD.

Il existe un arbre de décision dans le recueil de l'Ordre page 36. Il n'est pas forcément évident à utiliser mais c'est une bonne base. Je conseille également de s'assurer de la cohérence entre le résultat de l'analyse faite et ce qui est inscrit dans la lettre de mission. Il serait fâcheux que votre analyse conduise à vous placer en co-responsable de traitement alors que vous avez signé une lettre de mission en mode sous-traitant.

Responsable de traitement : le cabinet détermine seul la finalité du traitement. Exemple : mise en place de travaux de révision. Ce n'est pas le client qui le demande, ni lui qui dit ce qu'il faut faire.

Co-responsable de traitement : le cabinet détermine la finalité du traitement avec le client. Exemple : dans les audits d'acquisition (dues diligences), on retrouve assez souvent des traitements en co-responsabilité.

Sous-traitants : le client détermine la finalité du traitement. Exemple : le client vous achète la réalisation d'une DPAE, vous êtes son sous-traitant.

La sécurité informatique, notamment le contrôle des droits d'accès

Le cas est plus ou moins simple à gérer selon que les salariés du cabinet sont polyvalents (tout le monde fait de l'EC, du social, voire du CAC) ou affectés exclusivement à des services.

« Tout le monde a accès à tout » a longtemps été la règle car les collaborateurs étaient soumis à l'obligation de secret professionnel.

Ce temps est désormais révolu. Il est difficilement concevable qu'un salarié de l'audit ait accès aux infos du service paie alors que ce ne sont pas les mêmes clients, et qu'il ne fait jamais de paie.

Le plus simple est souvent de créer des partitions différentes par service pour le serveur central de l'entreprise. Les solutions logicielles prévoient également des droits d'accès paramétrables.

Pour les équipes polyvalentes, il faut faire attention à ne pas tomber dans le contre-productif avec une politique de limitation de droits trop contraignante qui imposerait à l'expert-comptable de passer son temps à ouvrir et fermer des accès. C'est une question d'équilibre et de bon sens.

Et enfin, les cabinets n'échappent pas aux démons de toutes les entreprises : ne donnez pas les accès d'administration à tout le monde !

Outsourcing de l'hébergement

Ce n'est pas spécifique aux cabinets mais les confrères sont de plus en plus friands des solutions dites « SAAS » ou « Full web » (attention, c'est différent). Ils y sont largement incités par les éditeurs de logiciels eux-mêmes.

Première vérité : le cloud, ça n'existe pas.

Vos données ne sont pas dans un nuage, elles sont dans un datacenter. Où est physiquement ce datacenter ? En Union Européenne, en Suisse, en Chine ? Il est important de savoir où se trouvent vos données car en cas de sortie de l'UE, une information préalable à la collecte doit être réalisée auprès de la personne concernée. (Articles du Chapitre V du RGPD)

Quelles sont les mesures de sécurité mises en ½uvre par le datacenter ? Il existe des certifications qui définissent des standards en la matière. ISO 27001 est l'une d'entre elles mais ce n'est pas la seule.

Quel est le temps de redéploiement garanti en cas d'interruption de service ? Au-delà d'une problématique de RGPD, c'est toute la production du cabinet qui peut en dépendre. On a vu lors de la saison passée des cabinets renvoyer les salariés chez eux en pleine saison car les serveurs étaient indisponibles. Le 10 avril, c'est agaçant.

La mise en place d'un plan de continuité des activités (comment produire sans PC) et d'un plan de reprise des opérations (comment relancer efficacement le système) sont aujourd'hui indispensables pour un cabinet comptable.

L'analyse des différents contrats de outsourcing est nécessaire en tout état de cause.

Détention des mots de passe des clients

Un point critique est la détention centralisée par le cabinet d'une multitude de clefs d'authentification (login, mots de passe, tokens...).

Si vous avez tout stocké dans un fichier Excel sur le bureau de votre ordinateur, vous savez déjà que ce n'est pas la bonne solution.

Il existe des logiciels de gestion des mots de passe qui permettent un stockage avec un chiffrement des mots de passe (la technologie qu'il vous faut = AES 256 bits). L'ANSSI recommande notamment l'utilitaire gratuit et opensource KeePass. A noter toutefois que c'est un logiciel à la base monoposte et qu'une centralisation des mots de passe au sein d'une société peut s'avérer compliquée à mettre en ½uvre si votre stratégie de sécurité est d'un certain niveau de finesse.

Vous trouverez ici une analyse comparative de différents logiciels qui est assez bien faite : « Gestionnaires de mots de passe : comparatif 2018 des meilleurs logiciels ».

Pour les tokens physiques (les clefs qui se branchent au PC comme une clef USB, pour signer les appels d'offres publiques sur la plateforme PLACE par exemple) : un bon vieux coffre-fort, on n'a pas encore fait mieux.

Nomadisme

Les équipes d'audit notamment sont concernées par les risques inhérents au nomadisme. Le fait qu'elles se déplacent avec leur matériel informatique implique un risque supplémentaire.

Il convient déjà de rappeler quelques règles simples :

  • mettre un code d'accès sur les matériels (PC, téléphone...) et toujours verrouiller avant de quitter la pièce ;
  • ne pas utiliser de wifi public et limiter les accès autant que possible aux réseaux wifi non sécurisés ;
  • ne pas accepter de clef USB d'autrui, même si c'est pratique (utilisez le mail et faites une analyse anti-virus avant d'utiliser la pièce jointe).

Si les équipes se déplacent dans des pays étrangers, en particulier dans des pays comme la Chine très intrusifs au moment de passer les douanes, des précautions supplémentaires sont à prendre.

L'ANSSI a sorti une mise à jour en mai 2019 de son guide pratique pour les personnels nomades que vous trouverez ici : « Bonne pratique à l'usage des professionnels en déplacement ».

Site Internet

Il n'y a pas de particularité spécifique RGPD pour les cabinets concernant les sites Internet. L'idéal est à mon sens tout de même de s'assurer qu'il est correctement sécurisé car il donne bien souvent accès aux informations des clients, et parfois au système informatique du cabinet. Un test de pénétration serait le cas échéant une bonne idée, ne serait-ce que pour sécuriser votre business.

NB : Un audit de vulnérabilité serait également bienvenu compte tenu de la dépendance critique de la production du cabinet au système informatique. Ça ne coûte pas aussi cher que vous le pensez. Idéalement, faites réaliser ces tests par une autre SSII que celle qui vous fait l'infogérance ou a mis en place le système.

Archivage et flux de mails

L'archivage dans le RGPD est une notion très simple à comprendre et très compliquée à mettre en ½uvre. Le flux de mails est extrêmement important en cabinet et la situation devient vite ingérable.

La difficulté n'est pas de définir pour chaque donnée la bonne durée de conservation. La difficulté est qu'une donnée peut se retrouver dans un mail avec plusieurs autres données qui ont des durées de conservation différentes.

Il n'existe pas à ce jour (à ma connaissance, mais si quelqu'un connaît une solution miracle, je suis très intéressé) de solution de gestion des mails véritablement efficace.

Un premier travail important à faire est de mettre en place des règles internes concernant les mails : ne pas mettre en copie la terre entière à chaque message, bien gérer le cc/cci, ne pas parler de plusieurs dossiers différents dans le même mail, mettre un objet explicite, etc. Un argument peut être écologique : un mail envoyé, c'est l'énergie d'une ampoule allumée pendant 1 heure.

Ensuite, l'idéal est de limiter autant que possible la transmission de données par mail : utilisez les plateformes de vos logiciels, vous payez assez cher pour y avoir accès. Les logiciels de paies proposent quasiment tous des interfaces web sécurisées pour permettre aux clients de déposer des documents. Au niveau comptable aussi. En audit, cela commence à arriver.

Si vous devez transmettre un document au client, utilisez aussi la plateforme. En même temps, ça le forcera à utiliser votre outil. Si vous devez tout de même joindre une pièce jointe, mettez un mot de passe (et n'indiquez pas le mot de passe dans le même mail...).

Pour aller plus loin, je vous invite à vous référer au guide réalisé par l'Ordre des Experts Comptables, assez complet et bien fait, même s'il ne traite pas toutes les problématiques. Au crédit de l'Ordre, on peut noter que le guide avait été sorti très tôt au moment du passage au RGPD, et donc qu'ils n'avaient pas le recul dont on bénéficie aujourd'hui.

Charly VOULOT, DPO

Certification DPO Sciences Po Paris (2019)
Président de la société OPTIMUS EXPERTS SAS, spécialiste en conformité RGPD