LA PROTECTION DES DONNEES - oec-montpellier.org RGPD pour le… · Comment sécuriser les données personnelles ? ..... 64 7. Quid des ... également être utilisés pour vos clients

LA PROTECTION DES DONNEES

PERSONNELLES A L’USAGE DES EXPERTS-COMPTABLES

Guide pratique

Edition juin 2018

ISBN :978-2-35267-651-5

ISSN :2264-8135

Sommaire

La protection des données personnelles © CSO Edition 2018

3

SOMMAIRE PARTIE 1 LES NOTIONS A RETENIR ................................................ 11

PARTIE 2 LES CABINETS D’EXPERTISE COMPTABLE SONT-ILS CONCERNES ? ........ 17

1. Votre cabinet d’expertise comptable traite nécessairement des données personnelles ............................. 19

2. Quelles sont les obligations à votre charge ? ........................... 21

PARTIE 3 FOCUS SUR LES POINTS SENSIBLES....................................... 37

1. Quels sont les droits des personnes sur leurs données ? ............ 39

2. Quid du consentement des personnes physiques ? ................... 48

3. Comment respecter l’obligation d’information ? ...................... 52

4. Quelle gestion des données sensibles ? .................................. 57

5. Combien de temps faut-il conserver les données ? ................... 62

6. Comment sécuriser les données personnelles ? ....................... 64

7. Quid des données transférées dans d’autres pays ? .................. 74

8. Quid des sanctions ? .......................................................... 76

PARTIE 4 COMMENT SE METTRE EN CONFORMITE AVEC LE RGPD ? ................ 87

1. Désigner une personne responsable des données personnelles au sein de votre cabinet ................................... 89

2. Auditer les traitements de données personnelles existants ........ 90

3. Réaliser un audit technique du cabinet et un audit des prestataires .................................................................... 94

4. Arrêter un plan d’action .................................................... 95

5. Création du registre des traitements si nécessaire ................... 96

6. Organiser les procédures internes et documenter les actions menées ................................................................ 98


4

PARTIE 5 ANNEXES ............................................................... 99

1. Exemple de mention d’information ..................................... 101

2. Exemples de durées de conservation recommandées ............... 103

3. Exemple de tableau pour évaluer les risques d’atteinte à la sécurité des données personnelles ................................... 109

4. Exemple de Charte informatique ........................................ 110

5. Exemple de clauses à insérer dans le contrat de travail des salariés ......................................................................... 118

6. Exemple de clause de confidentialité à insérer dans le contrat d’un partenaire extérieur au cabinet (notamment sous-traitance) :.............................................................. 120

7. Exemple de clause en cas de maintenance par un tiers ............ 121

8. Exemple de clauses à insérer dans les contrats avec les sous-traitants ................................................................. 122

9. Exemple de clauses à insérer dans la lettre de mission ............ 125

10. Exemple de référentiel pour mener les entretiens pour réaliser l’audit de traitements............................................ 128

11. Exemple de fiche d’écart .................................................. 137

12. Exemple de questionnaire d’audit technique ......................... 137

13. Procédure de demande d’exercice des droits ........................ 141

14. Procédure de gestion des failles de sécurité .......................... 142

15. Modèle de registre de traitement ........................................ 142

16. Liens utiles .................................................................... 143

Préface


5

PREFACE

Pour quelle raison le Conseil supérieur de l’Ordre des experts-comptables a-t-il décidé de rédiger un guide sur les données personnelles dédié aux experts-comptables ?

Les experts-comptables comme leurs clients entreprises sont concernés par la gestion des données personnelles.

Tous les cabinets font du traitement de données de personnes physiques que ce soit pour leur besoin interne ou pour les missions réalisées pour les clients. De fait, les cabinets d’expertise comptable font des déclarations CNIL en conformité avec la loi informatique et liberté de 1978.

La législation sur la protection des données personnelles évolue puisqu’un nouveau règlement européen entrera en application le 25 mai 2018. Il modifie certaines des dispositions contenues dans la loi de 1978. Il introduit surtout une nouvelle façon de gérer les traitements de données personnelles qui a des incidences sur le fonctionnement des cabinets.

Il est donc indispensable de se mettre à jour sur ces questions afin d’adapter l’organisation des cabinets. Le Conseil supérieur a souhaité vous accompagner dans cette réflexion au travers de ce nouveau guide.

Ce guide, la démarche et les outils proposés pour vous adapter à la législation nouvelle applicable aux traitements de données peuvent également être utilisés pour vos clients.

Vous pouvez leur proposer une mission d’accompagnement et de conseil dans la mise en place du RGPD sur la base de ce guide une fois que vous aurez mis à niveau votre cabinet dans ce domaine. Dans ce cas, pensez à vérifier que votre cabinet est bien assuré pour ce type de mission.

Introduction


7

INTRODUCTION

Le nouveau règlement général sur la protection des données (RGPD) sera applicable à compter du 25 mai 2018.

Ce règlement européen vient compléter le dispositif existant actuellement en France et met un certain nombre de nouvelles obligations à la charge des entreprises et donc des cabinets d’expertise comptable.

Partant du constat que les réglementations nationales ne répondaient pas suffisamment aux menaces issues de l’exploitation des données personnelles, le législateur européen a en effet souhaité revoir les règles applicables en profondeur. Le législateur européen demande aux entreprises d’assurer un respect des textes sur la durée : la gouvernance des entreprises, ses politiques internes et des dispositifs de contrôle doivent être revus afin de garantir le respect des données personnelles dans la durée. La gestion des données personnelles entre dans l’ère de la conformité.

S’agissant d’un règlement européen, il est normalement automatiquement applicable dans les Etats membres à la date de son entrée en vigueur. Cependant, un projet de loi relatif à la protection des données personnelles a été adopté par le parlement le 14 mai 2018 afin d’adapter la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés aux dispositions du règlement. Il est actuellement en cours d’examen par le conseil constitutionnel.

Le règlement européen est applicable si le responsable du traitement des données personnelles ou son sous-traitant est établi sur le territoire de l’Union européenne ou s’ils mettent en œuvre des traitements de données visant à fournir des biens et des services aux résidents européens ou à les « cibler ».

Quelles sont les nouveautés introduites par le RGPD ?

Les objectifs du règlement européen sont notamment de renforcer les droits des personnes physiques dont les données personnelles sont exploitées.

Lorsque le traitement de données personnelles est fondé sur le consentement préalable de la personne physique, ce consentement doit être un « acte positif clair qui exprime de façon libre, spécifique, éclairée et univoque l'accord de la personne concernée ». Il doit être donné pour

Introduction


8

chaque finalité, peut être retiré à tout moment et doit être traçable. La charge de la preuve du consentement incombe à l’entreprise qui entend traiter les données (responsable de traitement). Une case pré-cochée sur un formulaire internet n’est désormais plus acceptable.

Le traitement de données personnelles peut être réalisé sur d’autres fondements tels que pour l’exécution d’un contrat avec la personne physique concernée, à la suite de la requête de la personne ou en vue de la conclusion d’un contrat. Dans ces cas, le consentement de la personne physique n’est pas nécessaire. Le responsable de traitement peut également être amené à traiter des données en application d’une obligation légale, ou pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne, ou pour une mission d’intérêt public ou officielle, ou enfin dans un intérêt légitime supérieur aux intérêts ou libertés et droits fondamentaux de la personne concernée. Enfin, les traitements qui sont réalisés pour des raisons d’archivage dans l’intérêt public, scientifique, statistique ou historique ne nécessitent pas non plus d’obtenir le consentement des personnes physiques.

Une information claire, intelligible et aisément accessible sur le traitement des données doit être fournie à ces personnes par le responsable de traitement.

Les personnes physiques disposent par ailleurs de nombreux droits sur ces données personnelles : droit d’accès, droit à la portabilité des données, droit à la limitation des traitements en cas de contestation de la légalité ou de l’exactitude des données à caractère personnel par exemple, droit à l’oubli.

Le RGPD introduit de nouveaux concepts intitulés « privacy by design » et « privacy by default » selon lesquels il est nécessaire de tenir compte de la protection des données dès la conception des traitements. Les outils, produits, applications ou services offerts aux clients doivent intégrer dès leur conception et de façon effective les principes relatifs à la protection des données et par défaut, ces outils, produits, applications ou services doivent garantir que seules sont traitées les données nécessaires à la finalité du traitement au regard de la quantité de données collectées, de l’étendue de leur traitement, de la durée de conservation et du nombre de personnes qui y a accès.

Ces principes permettent d’assurer que le responsable de traitement respecte son obligation principale de responsabilité (accountability). Il doit en vertu de celle-ci mettre en œuvre les mesures techniques et organisationnelles nécessaires pour s’assurer que les traitements des données personnelles sont effectués conformément au RGPD. Il doit également être en mesure de le démontrer.

Introduction


9

Alors que les obligations de la loi Informatique et Libertés ne s’imposent qu’au responsable de traitement, le RGPD impose des obligations spécifiques aux sous-traitants qui doivent notamment aider les responsables de traitement dans leur démarche permanente de mise en conformité de leurs traitements.

Le RGPD fixe de nouvelles règles visant à responsabiliser les entreprises qui traitent les données personnelles. Les formalités préalables à la mise en place des traitements de données personnelles sont allégées (déclarations et autorisations), mais en contrepartie, une obligation de tenue d’un registre des traitements des données personnelles est mise à la charge de certaines entreprises (celles disposant de plus de 250 salariés, traitements susceptibles de comporter un risque pour les droits et des libertés des personnes, traitements non occasionnels, données sensibles ou données relatives à des condamnations pénales et à des infractions.– voir partie concernant le registre ci-après). Ce registre doit détailler pour chaque traitement un certain nombre d’éléments (finalité, durée de conservation, etc.) et doit être tenu à jour.

A noter que le projet de loi relatif à la protection des données personnelles adopté par le parlement le 14 mai 2018 maintient certaines formalités préalables pour les traitements des données les plus sensibles, par exemple pour les données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes, pour les données génétiques, ou encore pour les traitements utilisant le numéro d’inscription au répertoire national d’identification des personnes physiques ou les données de santé.

Les entreprises sont par ailleurs, tenues de notifier toutes les failles de sécurité qui pourraient intervenir à la CNIL et aux personnes physiques dont les données sont traitées s’il existe un risque élevé pour leurs droits. Dans certaines hypothèses, elles ont également l’obligation de désigner un délégué à la protection des données (DPO – voir ci-après). Des études d’impact sur la vie privée doivent être désormais réalisées avant la mise en place de certains traitements de données.

Enfin, le règlement européen prévoit des sanctions plus fortes en cas de non-respect de ses dispositions que ce soit par le responsable de traitement ou le sous-traitant. Les entreprises peuvent ainsi être sanctionnées à hauteur de 20 millions d’euros ou de 4% de leur chiffre d’affaires annuel mondial en cas de violation la plus élevée comme l’absence de consentement des personnes physiques ou la violation des principes de bases de la gestion des données personnelles (licéité, transparence, loyauté – voir principes ci-dessous).

Introduction


10

Quels sont les grands principes à respecter en matière de données personnelles ?

Le RGPD pose six principes qui doivent être respectés par les entreprises (article 5.1 du RGPD).

• Licéité, transparence, loyauté Le traitement doit être licite dans le sens où il doit avoir une finalité autorisée. Les personnes physiques doivent être informées de l’existence de ce traitement qui doit correspondre à la description qui en est faite.

• Limitation des finalités Le responsable de traitement doit déterminer les finalités du traitement. Les mentions relatives aux données personnelles, les conditions générales et autres documents d’information doivent informer les personnes sur la finalité du traitement.

• Minimisation des données Les données collectées doivent être celles qui sont strictement nécessaires au traitement. Ce principe s’applique également dans les rapports entre responsable de traitement et sous-traitants : il ne faut pas transmettre au sous-traitant plus de données que nécessaire à la réalisation de sa mission.

• Exactitude Les données traitées doivent être exactes et à jour. Il faut donc mettre en place une procédure afin que les données soient toujours à jour. Il faut aussi mettre en place un process pour que les personnes physiques puissent exercer leur droit de rectification.

• Limitation de la conservation Quand les données personnelles ne sont plus nécessaires au traitement, elles doivent être supprimées ou anonymisées.

• Intégrité et confidentialité Le responsable de traitement s’expose à des sanctions en cas de violation des données. Il est donc indispensable de prévoir une politique de sécurisation des données et de ne prévoir l’accès qu’aux personnes dont les missions le justifient.

PARTIE 1

LES NOTIONS A RETENIR

Les notions à retenir


13

Qu’est-ce qu’une donnée à caractère personnel ?

Cette notion est définie à l’article 4 du RGPD. Il s’agit de toute information se rapportant à une personne physique identifiée et identifiable.

Une personne physique identifiable est une personne physique qui peut être identifiée, directement ou indirectement, par référence à un identifiant, tel qu’un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Exemples de données personnelles classiques : les données d’identification comme le nom, le prénom, le sexe, les initiales, le : d’Ordre, date et lieu de naissance … , l’adresse IP ou l’adresse MAC, la situation familiale, la situation militaire, la formation, les diplômes, les distinctions, l’adresse, les caractéristiques du logement, la vie professionnelle, la situation économique et financière, les moyens de déplacement des personnes, l’utilisation des médias et les moyens de communication.

Qu’est-ce qu’une donnée sensible ?

Il s’agit des origines raciales ou ethniques, des opinions politiques, philosophiques ou religieuses, des appartenances syndicales des personnes, des données biométriques aux fins d’identifier une personne de manière unique, des données concernant la santé, des données génétiques, des données concernant la vie sexuelle ou l’orientation sexuelle, des données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes (articles 9 et 10 du RGPD).

Qu’est-ce qu’un traitement de données personnelles ?

Il s’agit de toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou des ensemble de données telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction (article 4 RGPD).

Les fichiers papier entendus comme « tout ensemble structuré de données à caractère personnel, accessibles selon des critères déterminés », constituent donc des traitements de données au sens du RGPD.



14

Qu’est-ce qu’un responsable de traitement ?

Il s’agit de la personne, l'autorité publique, la société ou l'organisme qui décide de la création du traitement et détermine les finalités et les moyens de celui-ci (article 4 RGPD).

Qu’est-ce qu’un responsable conjoint de traitement ?

Le RGPD créé la notion de responsable conjoint de traitement. Celui-ci assume une responsabilité solidaire avec le responsable de traitement vis-à-vis des personnes physiques dont les données sont traitées. Le contrat liant les deux responsables peut cependant répartir différemment les rôles et responsabilités.

Qu’est-ce qu’un sous-traitant ?

Toute personne physique ou morale, autorité publique, service ou autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement (article 4 RGPD). Ces données sont traitées sur instruction du responsable de traitement et il n’y a pas d’utilisation des données pour son propre compte (par exemple, le prestataire qui établit les bulletins de paies des salariés de son client sur la base d’instructions claires données par le client et définies dans la lettre de mission : qui payer, quels montants, à quelle date etc.

Il s’agit donc par exemple des prestataires de services informatiques (hébergement, maintenance, …), des intégrateurs de logiciels, des sociétés de sécurité informatique, des sociétés de services et d'ingénierie en informatique (SSII) qui ont accès aux données, des prestataires de service (agences de marketing ou de communication, distributeurs, …) qui traitent des données personnelles pour le compte de leurs clients.

Qu’est-ce qu’un DPO ?

Le délégué à la protection des données (DPD) ou le data protection officer (DPO), est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné (articles 37 et s du RGPD).

Il est ainsi chargé d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés, de contrôler le respect du règlement et du droit national en matière de protection des données, de conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution, de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.



15

Sa désignation est obligatoire pour les autorités ou les organismes publics, les responsables de traitement ou sous-traitant dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, ou dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Un délégué, interne ou externe, peut être désigné pour plusieurs organismes sous conditions.

Plusieurs documents sont disponibles sur le site de la CNIL relatif au DPO, dont les lignes directrices du groupe de travail G291 :

https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees

1 Le G 29 est un groupe de travail « Article 29 », qui regroupe les autorités de contrôle européennes en matière de traitements de données personnelles telles la CNIL, et qui rend régulièrement des avis sur le sujet de la protection des données personnelles

https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees

PARTIE 2

LES CABINETS D’EXPERTISE COMPTABLE SONT-ILS CONCERNES ?

Les cabinets d’expertise comptable sont-ils concernés ?


19

1. Votre cabinet d’expertise comptable traite nécessairement des données personnelles

La question essentielle en matière de protection des données personnelles, est de savoir si le nouveau règlement s’applique à votre activité.

Le critère déterminant pour répondre à cette question est celui de l’existence d’un traitement de données personnelles ou non dans votre cabinet. L’article 2 du RGPD prévoit en effet qu’il s’applique « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. »

Votre cabinet est donc nécessairement concerné par le RGPD dès lors que dans le cadre de votre organisation interne vous collectez, utilisez ou procédez à toute forme d’opération sur des informations se rapportant à une personne physique identifiée ou identifiable. Une simple consultation de données personnelles dans le cadre de vos missions, suffit à créer un traitement de données (voir définition du traitement de données personnelles ci-dessus).

Organisation interne du cabinet

La gestion de la comptabilité de votre cabinet, de votre personnel (annuaire interne, dossiers professionnels avec les différents entretiens annuels prévus par la législation, formation continue, GED des dossiers des salariés, candidats au recrutement etc.), de la paie de vos salariés, constituent donc des traitements de données personnelles qui comportent des données sensibles relatives aux enfants mineurs ou liées à l’état de santé des personnes physiques.

A noter que le numéro d'inscription au Répertoire National d'Identification des Personnes Physiques, communément appelé numéro de sécurité sociale ou NIR, utilisé dans le traitement de la paie est considéré par le RGPD (article 87), ainsi que par la loi de 1978, non pas comme une donnée sensible mais comme une donnée devant faire l’objet d’un traitement particulier. Les Etats membres sont tenus de préciser les conditions spécifiques de traitement du NIR garantissant le respect des droits et libertés de la personne concernée. Ainsi, l’enregistrement ou l’utilisation du NIR ne peut se faire que si un texte juridique spécifique l’autorise (autorisations données par exemple aux employeurs, publics ou privés, pour la gestion de la paie et le calcul des cotisations versées aux organismes de protection sociale - CNIL délib n° 2004-097, 9 décembre 2004). Le projet de loi relatif à la protection des données personnelles modifiant la loi de 1978 prévoit que les traitements utilisant le NIR doivent être autorisé par catégorie de



20

responsables de traitement et finalités après avis de la CNIL par un décret en Conseil d’Etat qui est en cours d’élaboration. Les dossiers relatifs aux représentants syndicaux du personnel impliquent un traitement de données personnelles sensibles.

Si votre cabinet a mis en place un système de vidéo-surveillance couplé avec des données de biométrie permettant la reconnaissance des personnes physiques (reconnaissance du visage) vous êtes en présence de données sensibles liées à la biométrie (cet usage est cependant rare dans les cabinets d’expertise comptable). De la même façon, les systèmes d’accès aux ordinateurs ou smartphone par l’empreinte peuvent dans certaines circonstances extrêmes constituer des traitements de données personnelles (voir partie Quelle gestion des données sensibles pour plus de détail sur ces points).

Les cabinets sont aussi concernés pour les données qu’ils recueillent et traitent de leurs fournisseurs : par exemple, les coordonnées d’une personne physique au sein d’une entreprise prestataire.

Enfin, pour les besoins de prospection commerciale, de communication externe ou marketing, le cabinet peut être amené à collecter des données personnelles de tiers personnes physiques.

Missions réalisées pour les clients

De la même façon, les données personnelles collectées pour les besoins des missions réalisées pour vos clients constituent également des traitements de données personnelles.

La mission d’établissement des bulletins de paye implique nécessairement d’utiliser des données personnelles des salariés de votre client. Les déclarations sociales DADS-U ou DSN réalisées par votre cabinet pour ses clients, implique l’utilisation du NIR, données bénéficiant d’un traitement particulier. La gestion des arrêts maladie, les fiches d’inscription aux mutuelles avec la mention des conjoints et enfants couverts, impliquent d’utiliser des données personnelles sensibles en lien avec la santé et les mineurs. La déclaration AGEFIPH (déclaration annuelle obligatoire d’emploi des travailleurs handicapés, des mutilés de guerre et assimilés) mentionne également le taux d’incapacité.

Il se peut également que dans le domaine social, votre cabinet soit amené à proposer à ses clients une mission d’assistance à l’organisation des élections professionnelles. Cette mission induit l’accès à des données sensibles relatives à l’appartenance syndicale.



21

Si votre cabinet propose une mission d’assistance au recrutement, il devra être très attentif aux traitements de données contenues dans les CV et aux compte rendus d’entretien qui peuvent comporter des appréciations sur les candidats.

De même, la mission de tenue de comptabilité et d’établissement des comptes annuels comporte le traitement de données personnelles concernant notamment les associés et dirigeants de la structure avec la mention de leur rémunération le cas échéant (pour les sociétés cotées). La comptabilité peut par ailleurs conduire à la création d’un compte fournisseur pour une personne physique professionnel libéral ou travaillant en BNC avec mention de son numéro IBAN (identifiant bancaire).

La mission d’établissement des déclarations fiscales va conduire votre cabinet à traiter les données personnelles relatives aux personnes les mieux rémunérées de l’entité cliente (déclaration fiscale 2067) ou bien encore les données des associés avec leur adresse. Les déclarations IFU (déclaration 2561) comportent les noms, prénoms adresses et numéro de sécurité sociale, la mention des dividendes et intérêts qui leur ont été versés. La DAS 2 transmise aux services fiscaux mentionne les versements d’honoraires, de commissions, de remises commerciales, de droits d’auteurs ou d’inventeurs à des tiers qui peuvent être des personnes physiques professions libérales ou BNC.

Les déclarations pour l’impôt sur les revenus des particuliers et ses annexes (2042, 2044 pour les revenus fonciers, 2074 pour les plus-values mobilières, 2047 pour les revenus encaissés à l’étranger), l’impôt sur la fortune immobilière IFI, impliquent le traitement de données personnelles.

Les missions d’audit contractuel et de secrétariat juridique imposent elles aussi de traiter des données personnelles que ce soit au travers des informations relatives aux personnes physiques de la structure auditée ou au travers des données sur les associés des entités dont le secrétariat juridique est réalisé.

A noter que les entreprises individuelles sont également concernées par le RGPD dès lors qu’il s’agit de personnes physiques. Dès lors, un cabinet qui traite avec une entreprise individuelle, qu’il s’agisse d’un fournisseur ou d’un client, doit appliquer les mêmes précautions qu’à toute personne physique avec laquelle il est en contact.

2. Quelles sont les obligations à votre charge ?

Votre cabinet doit veiller à la conformité des traitements de données à cette nouvelle réglementation issue du RGPD et doit également en application du



22

nouveau principe d’accountability (responsabilité) documenter la manière dont vous pilotez et contrôlez cette conformité.

Comme toute personne qui utilise des données personnelles, un certain nombre d’obligations sont à votre charge. Mais pour en connaitre précisément l’étendue, il vous faut déterminer votre statut dans les traitements réalisés dans votre cabinet.

Il vous faut donc définir pour chaque traitement de données réalisé quelle est votre qualité : êtes-vous responsable de traitement, responsable conjoint de traitement ou sous-traitant ?

Les nouvelles responsabilités fixées par le RGPD diffèrent en effet selon votre statut même si le nouveau règlement tend à étendre les obligations du sous-traitant et à les rapprocher de celles du responsable de traitement.

La responsabilité de votre cabinet d’expertise comptable peut être engagée au plan civil si les règles fixées par le règlement RGPD n’ont pas été correctement appliquées. Il peut donc y avoir des conséquences importantes tant en termes d’image qu’en termes financier pour le professionnel qui se verrait sanctionné pour non-respect du règlement européen. Il est donc impératif de déterminer pour chaque traitement votre qualité précise. Les obligations du responsable de traitement

L’article 24 du RGPD prévoit que l’obligation principale du responsable de traitement est de mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au règlement.

Le responsable de traitement a un certain nombre d’obligations à sa charge.

S’assurer que le traitement a une cause licite et qu’elle le reste tout au long du traitement

Le traitement de données doit trouver sa source dans une cause licite c’est-à-dire qu’il doit avoir une finalité déterminée, explicite et légitime et que les données soient traitées conformément à cette finalité. A noter que tout traitement nouveau des données pour une autre finalité est totalement interdit sauf si cette nouvelle finalité est jugée compatible avec la finalité initiale (article 5.1 b) du RGPD).

La finalité doit être décrite de manière claire et explicite. Cela permet d’assurer la transparence, la prévisibilité et le contrôle du traitement.

La notion de légitimité est importante. Elle renvoie aux fondements admis pour réaliser des traitements :



23

• sauvegarde de la vie, des intérêts vitaux de la personne physique dont les données personnelles sont traitées ;

• respect d’une obligation légale incombant au responsable de traitement2 ;

• exécution d’une mission de service public, d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable de traitement ;

• exécution d’un contrat signé avec la personne physique ou sur la base de dispositions précontractuelles ;

• réalisation d’un intérêt légitime3 poursuivi par le responsable de traitement ou par le destinataire ou par un tiers et sous réserve de préserver l’intérêt ou les droits et libertés fondamentaux de la personne physique ;

• consentement de la personne physique concernée (les traitements à des fins de prospection commerciale par voie électronique sont nécessairement fondés sur le consentement - code des postes et des communications électroniques)

Il doit aussi porter sur un objet proportionné, c’est-à-dire que le traitement doit porter sur des données nécessaires à la poursuite de la finalité (voir principe de proportionnalité).

Veiller à ce que la personne visée ait donné son consentement lorsqu’il est nécessaire et qu’elle soit informée de ses droits

Lorsque le consentement est le fondement du traitement (voir ci-dessus sur les fondements admis des traitements), il doit être donné de manière univoque, libre, spécifique et éclairé (article 32 RGPD).

2 L’obligation légale doit être explicite sur la nécessité de réaliser le traitement. Tel est le cas des prestataires internet tenus de conserver les données permettant d’identifier toute personne ayant contribué à la création de contenus mis en ligne en application du décret n°2011-2019 du 25 février 2011. 3 L’intérêt légitime n’est admis comme fondement d’un traitement que s’il ne méconnait pas les intérêts ou les libertés et droits fondamentaux de la personne physique dont les données sont traitées. Un équilibre doit être trouvé entre cet intérêt légitime et les conséquences négatives éventuelles et l’attente raisonnable de la personne par exemple. Ainsi en présence de données sensibles, l’intérêt de la personne prévaut. Exemples d’intérêts légitimes : prospection directe conventionnelle ou autre forme de prospection commerciale ou de publicité, prévention de la fraude ou du blanchiment d’argent, surveillance du personnel à des fins de sécurité ou de gestion, sécurité physique, sécurité des systèmes et réseaux informatiques, étude du comportement général des clients afin de piloter son activité et améliorer ses offres.



24

De nombreux droits sont accordés aux personnes physiques dont les données personnelles sont traitées : droit à la portabilité, droit d’accès, de rectification, de limitation et d'opposition pour motifs légitimes, droit à l’oubli (voir partie ci-dessous).

Une obligation d’information importante est mise à la charge des responsables de traitement à l’égard des personnes dont les données personnelles sont traitées par les articles 13 et 14 du RGPD (voir partie ci-dessous comment respecter l’obligation d’information).

Veiller à préserver la sécurité et la confidentialité des données

Le responsable de traitement doit mettre en place des procédures pour protéger les données des personnes physiques : procédures de gestion des failles de sécurité, politique globale de sécurité, politique globale sur la conservation des données etc.

Il doit également créer un registre des traitements réalisés lorsque cela est nécessaire (entreprise de plus de 250 salariés etc – voir partie création du registre des traitements si nécessaire).

Notifier à la CNIL les violations de données personnelles

Cette notification doit être réalisée par le cabinet lorsqu’il est responsable de traitement, sous un délai de 72 heures au plus tard après en avoir pris connaissance, à moins que les violations ne soient pas susceptibles d’engendrer un risque pour les droits et libertés des personnes concernées.

A noter qu’il est également nécessaire d’avertir les personnes concernées s’il existe un risque élevé (article 34 RGPD) sauf si des mesures de protection techniques et organisationnelles appropriées ont été mises en œuvre (chiffrement par exemple) ou si des mesures ultérieures ont été prises pour garantir que le risque élevé n’est plus susceptible de se réaliser ou si la communication à la personne concernée exige des efforts disproportionnés ; dans ce cas, une communication publique devra être faite.

Désigner un délégué à la protection des données personnelles DPO

Dès lors que le responsable de traitement remplit les critères prévus par le RGPD, c’est-à-dire dès lors que le responsable de traitement appartient au secteur public, ou que son activité principale l’amène à traiter à grande échelle des données dites sensibles, ou que son activité principale l’amène à réaliser un suivi régulier et systématique des personnes à grande échelle, il doit désigner un DPO.



25

Mettre en place une étude d’impact sur la protection des données (PIA)

Cette étude devra être réalisée dès lors que le responsable de traitement identifie des risques élevés pour les droits et libertés des personnes concernées (notamment les traitements de données sensibles et les traitements reposant sur le profilage4).

Mettre à jour les contrats avec les sous-traitants et les partenaires pour se conformer au RGPD

Une revue des contrats existants doit être réalisée. Il faut également s’assurer que tout transfert de données personnelles est conforme au RGPD.

La réalisation de ces obligations doit être adaptée au contexte, c’est-à-dire qu’il est nécessaire de tenir compte du type de traitement de données en place, du nombre et de la sensibilité des données personnelles traitées, de la quantité d’informations partagées, etc.

Le responsable conjoint de traitement qui détermine avec le responsable de traitement les finalités et les moyens du traitement, assume une responsabilité solidaire avec ce dernier (articles 26-1 et 82.4 du RGPD).

Le RGPD permet cependant d’adapter cette règle au travers du contrat qui lie les deux responsables conjoints de traitement. La personne physique pourra agir contre n’importe lequel des responsables conjoints pour la réparation de l’intégralité de son préjudice mais le responsable conjoint actionné pourra ensuite se retourner contre son co-contractant sur la base du contrat signé pour engager la part de responsabilité de ce dernier.

Il est donc indispensable de répartir les rôles et les responsabilités dans le contrat qui lie les responsables de traitement entre eux.

4 Il s’agit d’une forme de traitement automatisé de données à caractère personnel qui consiste à utiliser ces données pour évaluer certains aspects personnels notamment pour analyser ou prédire des comportements (le rendement au travail, la situation économique, la santé, les préférences et centres d’intérêt personnels, sa fiabilité ou son comportement, sa localisation ou ses déplacements etc.). Il faut que le traitement produise des effets juridiques pour la personne concernée ou qu’il l’affecte de façon similaire de manière significative. La personne doit être informée de l’existence de ce profilage et des conséquences de celui-ci (principe de traitement loyal et transparent).



26

2.1. Les obligations du sous-traitant

A l’heure actuelle, les obligations en vigueur dans la loi Informatique et Libertés ne s’imposent qu’au responsable de traitement. Le contrat conclu entre le sous-traitant et le responsable du traitement précise cependant généralement les obligations incombant au sous-traitant pour protéger la sécurité et la confidentialité des données.

Le règlement européen RGPD prévoit lui une responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles. A compter du 25 mai 2018, de nouvelles obligations sont donc mises à la charge du sous-traitant, ce qui augmente sa responsabilité.

Obligation de transparence et de traçabilité

Le sous-traitant et le responsable de traitement sont tenus d’établir un contrat écrit précisant les obligations des parties et reprenant les dispositions de l’article 28 du RGPD.

Le contrat devra notamment comprendre l’objet, la nature et la finalité du traitement, la durée du traitement, le type de données traitées, les catégories de personnes concernées, les obligations et droits du responsable du traitement, les obligations du sous-traitant.

Le sous-traitant doit également recenser toutes les instructions du client concernant le traitement des données personnelles, obtenir de son client l’autorisation écrite pour faire appel à un autre sous-traitant, lui fournir toutes informations nécessaires pour démontrer le respect de ses obligations.

Il doit comme le responsable de traitement dans les cas où cela est obligatoire (voir partie registre) tenir un registre qui recense les clients et décrit les traitements effectués pour leur compte.

Privacy by design et Privacy by default

Le sous-traitant doit offrir à ses clients, la garantie que le traitement mis en œuvre pour leur compte répond aux exigences du règlement européen et protège les droits des personnes concernées.

Cela signifie notamment que :

• dès leur conception (privacy by design), les outils, produits, applications ou services mis en place par le sous-traitant, intègrent de façon effective les principes relatifs à la protection des données. Pour un cabinet d’expertise comptable, il peut s’agir par exemple de la



27

conformité d’un nouvel outil informatique qu’il aurait développé et proposé à ses clients.

• par défaut (privacy by default), les outils, produits, applications ou services garantissent que seules sont traitées les données nécessaires à la finalité du traitement au regard de la quantité de données collectées, de l’étendue de leur traitement, de la durée de conservation et du nombre de personnes qui y a accès. A titre d’exemple, le sous-traitant peut paramétrer par défaut et a minima la collecte de données et ne pas rendre techniquement obligatoire le renseignement d’un champ facultatif ;

• de ne collecter que les données strictement nécessaires à la finalité du traitement (minimisation des données).

Obligation de garantir la sécurité du traitement

Le sous-traitant devra offrir au responsable de traitement « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de façon à ce que le traitement réponde aux exigences du règlement et garantisse la protection des droits de la personne concernée » (article 28 du règlement européen).

Pour atteindre cet objectif, le sous-traitant sera notamment tenu de soumettre ses employés à une obligation de confidentialité, notifier le responsable de traitement, dans les meilleurs délais, en cas de violation de ses données et prendre les mesures utiles afin de garantir un niveau de sécurité adapté aux risques.

Au terme de sa prestation, le sous-traitant devra détruire ou renvoyer au client les données et copies. Il n’est en effet pas autorisé à conserver les documents appartenant à son client.

A la fin de leurs missions, les experts-comptables se retrouvent en possession de deux types de documents : les documents reçus des clients et établis pour eux, et leurs propres documents de travail.

En vertu du contrat accessoire de dépôt (articles 1915 et suivants du Code civil), qui les lient à leurs clients, les experts-comptables sont tenus de conserver les documents qu’ils reçoivent des clients ou qu’ils créent pour eux, puis de les restituer en totalité après exécution de leurs obligations, sauf à mettre en œuvre le droit de rétention faute de paiement des honoraires par les clients (article 1948 du Code civil et article 168 du décret du 30 mars 2012).

La question de la conservation des dossiers de travail pour se ménager des moyens de preuve pour faire face à une éventuelle action en justice d’un



28

client et établir l’existence d’un droit ou l’exécution d’une obligation, ne se pose donc la plupart du temps que pour les documents de travail des experts-comptables.

Ainsi, quelle que soit la qualité des experts-comptables dans les traitements de données (sous-traitant ou responsable conjoint de traitement), ils devront restituer aux clients l’intégralité des documents appartenant à ces derniers, mais pourront conserver une copie des documents qu’ils auront réalisé pendant la durée de la prescription de l’action en responsabilité.

Obligation d’assistance, d’information, d’alerte et de conseil du responsable de traitement

Le sous-traitant doit livrer au responsable de traitement une description complète des caractéristiques de son offre : niveaux de services, localisation géographique des moyens de traitement, éventuels transferts vers des pays tiers, mesures de sécurité, sort des données en fin de contrat etc (article 28.3 RGPD). Il doit également tenir le responsable de traitement informé des évolutions de l’infrastructure sur laquelle s’opère le traitement.

En cas d’instruction susceptible de constituer une violation des règles en matière de données personnelles, le sous-traitant est tenu d’en informer son client. Il doit fournir au responsable de traitement les informations nécessaires pour qu’il puisse établir sa conformité au RGPD et contribuer aux audits menés. Il doit également l’alerter en cas de difficulté et le conseiller sur les bonnes pratiques à adopter.

Lorsqu’une personne exerce les droits découlant du RGPD (accès, modification, portabilité, oubli et plus généralement tous droits garantis par le RGPD), le sous-traitant doit dans toute la mesure du possible aider le responsable de traitement à donner suite à cette demande. Le sous-traitant doit enfin assister le responsable de traitement en vue de s’assurer du respect des obligations en matière de sécurité, de notification de violation de données et d’analyse d’impact.

Le sous-traitant doit notifier au responsable de traitement la violation des données personnelles mais pas à la CNIL ni aux personnes concernées par le traitement des données personnelles.

Cette obligation de notification des violations des données personnelles doit être prévue dans le contrat avec le responsable de traitement et notamment le délai de notification, la forme, la personne à contacter chez le responsable de traitement.



29

Il convient donc de déterminer précisément la qualité du cabinet d’expertise comptable dans le traitement de données afin de déterminer quelles sont précisément ses obligations.

Obligation en cas d’appel à un sous sous-traitant

Le sous-traitant ne peut faire appel à un autre sous-traitant qu’après avoir obtenu l’autorisation écrite du responsable de traitement.

Ce sous sous-traitant est soumis aux mêmes obligations que celles qui s’imposent au sous-traitant dans le cadre du contrat avec le responsable de traitement.

Il doit en particulier présenter des garanties suffisantes sur la mise en œuvre de mesures techniques et organisationnelles appropriées pour que le traitement soit conforme au règlement européen.

Attention, si le sous-sous-traitant ne respecte pas ses obligations, le sous-traitant reste responsable vis-à-vis du responsable de traitement de l’exécution par ce sous-sous-traitant de ses obligations.

Nomination d’un DPO

Le sous-traitant doit désigner un délégué à la protection des données (DPO) s’il est dans les cas où cela est obligatoire (article 37 1° RGPD) :

• le sous-traitant est une autorité publique ou un organisme public ;

• activités de base amenant le sous-traitant à réaliser, pour le compte des responsables de traitement - clients, un suivi régulier et systématique des personnes à grande échelle ;

• activités de base amenant le sous-traitant, pour le compte des responsables de traitement - clients, à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et des infractions.



30

Synthèse des obligations du responsable de traitement et du sous-traitant :

Obligations du responsable de traitement Obligations du sous-traitant

S’assurer que le traitement a une cause licite pérenne

Information du responsable de traitement (obligation de renseignement, de mise en garde et de conseil)

Vérifier le consentement donné lorsqu’il est nécessaire et réaliser les informations sur les droits des personnes en cas de collecte directe ou indirecte

Respect des instructions du responsable de traitement et encadrement du recours aux intervenants

Assistance du responsable de traitement

Gestion des données en fin de contrat

Assurer la sécurité des données et la confidentialité des données : • Mise en œuvre des mesures appropriées • Réalisation d’une étude d’impact si nécessaire • Notification en cas de violation des données

Encadrer le transfert des données

Transparence et traçabilité • Formaliser un contrat écrit entre acteurs d’un même traitement : entre

responsable de traitement et sous-traitant et entre responsables conjoints de traitement

• Recensement des instructions données • Information et autorisation en cas d’appel à un sous-sous-traitant

Tenir un registre des traitements

Désignation d’un DPO si nécessaire

2.2. Comment déterminer le statut des entités intervenant dans le traitement de données personnelles ?

Le groupe de travail « Article 29 », qui regroupe les autorités de contrôle européennes en matière de traitements de données personnelles telles la CNIL, a dégagé un certain nombre de critères permettant d’identifier dans des situations complexes quelle est l’entité qui agit en qualité de responsable de traitement (avis n°1/2010 du 16 février 2010).



31

La détermination du statut repose en priorité sur la définition des finalités, c’est-à-dire du résultat qui est recherché en mettant en place le traitement de données. L’entité qui décide de la finalité du traitement a automatiquement la qualité de responsable de traitement.

Il est également possible de s’appuyer sur le rôle décisionnel joué par l’entité pour apprécier son statut dans le traitement. Pour certains traitements, la loi ou un texte règlementaire désignent le responsable de traitement. Ainsi certains organismes publics se voient donner la qualité de responsable de traitement car ils sont nommément autorisés à mettre en œuvre un traitement en décidant des finalités et des moyens mis en œuvre.

A défaut de texte légal désignant expressément l’identité du responsable de traitement, il est possible de se référer à la pratique juridique établie. Selon le G29, l’employeur a traditionnellement la qualité de responsable de traitement pour les informations sur ses salariés, l’association pour les informations sur ses adhérents.

La définition des moyens du traitement est un critère qui peut également être pris en compte dans la détermination du statut après celui de la finalité.

L’entité qui détermine les moyens ne sera cependant pas nécessairement considérée comme responsable de traitement. Le recours de plus en plus fréquent aux prestataires techniques très qualifiés qui ont une large marge d’autonomie dans le choix des moyens a en effet, conduit le G29 à considérer que seule l’entité qui détermine les aspects essentiels des moyens qui sont traditionnellement et intrinsèquement réservés à l’appréciation du responsable de traitement, peut être considérée comme telle. Ces éléments essentiels sont ceux relatifs à la licéité du traitement : choix des catégories de données traitées, durée de conservation des données etc.

Enfin, les éléments factuels doivent être pris en compte dans l’appréciation du statut des intervenants au traitement. Les dispositions contractuelles pourront être un indice de la qualité des intervenants au traitement, le degré de contrôle exercé par un des intervenants, l’image donnée aux personnes physiques dont les données sont collectées et les attentes raisonnables que cette visibilité peut susciter.

En pratique pour les traitements réalisés pour l’organisation interne du cabinet

La qualité de votre cabinet dans les traitements de données réalisés pour votre organisation interne (gestion de vos salariés, réalisation de la



32

comptabilité du cabinet, opération de prospection pour votre cabinet etc.) est logiquement celle de responsable de traitement.

Votre cabinet est en effet celui qui décide de ces traitements et de leur finalité. Et même si votre cabinet sous-traite pour partie la réalisation de ces traitements, il donne les instructions à ces prestataires extérieurs et contrôle la réalisation de ces prestations. Il détermine également les données traitées, la durée du traitement etc. Autant d’éléments qui désignent votre cabinet comme le responsable de ces traitements.

En pratique pour les traitements réalisés pour la réalisation des missions pour les clients du cabinet

Il est plus délicat de déterminer la qualité de votre cabinet lorsqu’il s’agit de traitements de données mis en place dans le cadre de l’exécution de missions convenues avec des clients. Il n’est ainsi pas possible de déterminer dans l’absolu au regard des missions types réalisées par les cabinets (mission d’établissement des bulletins de paie, révision de la comptabilité et réalisation des comptes annuels etc.) si votre cabinet est responsable de traitement conjoint ou sous-traitant. Les circonstances dans lesquelles la mission est réalisée, la qualité et les compétences du client doivent en effet être prises en compte.

Le G29 s’est prononcé dans son avis de 2010 sur la qualité des prestataires intervenants dans le domaine de la comptabilité et de la paie.

Il a ainsi considéré sur les notions de « responsable du traitement » et de « sous-traitant » que la qualité des « comptables » peut varier en fonction du contexte. « Lorsque les comptables fournissent des services au public et aux petits commerçants sur la base d’instructions très générales (« préparer ma déclaration de revenus »), le comptable est un responsable du traitement (tout comme les avocats qui interviennent dans des situations analogues et pour des raisons similaires). En revanche, lorsqu’un comptable est engagé par une société et qu’il reçoit des instructions détaillées du comptable de cette dernière, peut-être pour procéder à un audit détaillé, et qu’il n’est pas un employé permanent, il sera considéré comme un sous-traitant, en raison du caractère explicite des instructions et de la marge de manœuvre limitée qui en résulte. Cette analyse connaît cependant une exception majeure, à savoir que lorsqu’ils estiment avoir découvert des irrégularités qu’ils sont obligés de signaler, dans ce cas, en raison des obligations professionnelles auxquelles ils sont tenus, les comptables agissent de manière autonome en tant que responsables du traitement.

La base légale sur laquelle intervient la mission et donc le traitement de données personnelles est un critère à prendre en compte pour déterminer



33

celui qui a la qualité de responsable de traitement en lien avec le critère de la pratique juridique établie évoqué antérieurement.

Ainsi, la mission de présentation des comptes résulte de l’obligation faite aux entreprises et sociétés commerciales de tenir une comptabilité et de produire des comptes annuels (bilan, compte de résultat et annexe - article L 123-12 du code de commerce). L’exécution de la mission de présentation des comptes induit la réalisation d’un traitement de données personnelles. La décision de réaliser les comptes annuels s’impose au chef d’entreprise de par la législation. La décision de réaliser le traitement de données personnelles est donc celle du client qui a nécessairement la qualité de responsable de traitement (le cabinet pourrait être dans certaines situations considéré comme responsable conjoint de traitement si l’on suit le raisonnement du G29). De la même façon, lorsque le cabinet élabore les déclaration fiscales ou sociales pour le client et les télétransmet aux administrations, il le fait pour le compte du client qui a une obligation en ce sens prévue par les textes.

En ce qui concerne la gestion de la paie, ce même avis du G29 de 2010 a considéré que lorsqu’une société fait réaliser sa paie par un prestataire extérieur et donne des instructions claires (qui payer, quels montants, à quelle date etc.), même si le prestataire dispose d’une certaine latitude (y compris pour les logiciels à utiliser), ses tâches sont clairement et précisément définies par la société cliente. En outre, si le prestataire peut proposer ses conseils, il est clairement tenu d’agir selon les instructions de la société cliente. De plus, seule la société cliente a le droit d'utiliser les données qui sont traitées. La société est donc le responsable du traitement et le prestataire peut être considéré comme un sous-traitant en ce qui concerne le traitement spécifique des données réalisé pour son compte.

La mission d’établissement des bulletins de paie pour un client repose sur l’obligation légale qui est faite à ce dernier de délivrer des bulletins de paie à ses salariés (article L 3243-2 code du travail). Dès lors que cette obligation est mise à la charge de l’employeur, c’est donc votre client qui vous confie la mission de réalisation des bulletins de paie, qui décide du traitement des données personnelles et de sa finalité.

Lorsque votre cabinet contracte avec un client pour la réalisation d’une mission d’audit contractuel, il le fait sur la base d’un contrat (la lettre de mission). Vous agissez pour le compte de ce client qui vous confie la réalisation de cet audit pour l’utiliser pour son propre compte. Le client est donc bien celui qui décide du traitement, de sa finalité, qui vous donne les instructions pour mener à bien celui-ci et ce même si votre cabinet apporte son conseil, son expertise et est libre des diligences à réaliser ainsi que de l’opinion émise en conclusion de cet audit. Le client est donc le responsable du traitement de données.



34

Enfin, une fois déterminée la qualité de celui qui est responsable de traitement et dans l’hypothèse où il s’agit de votre client, il reste à déterminer le statut de votre cabinet.

Etes-vous sous-traitant ou pouvez-vous être considéré comme responsable conjoint de traitement ?

Tel pourrait être le cas si vous étiez décisionnaire quant aux moyens essentiels du traitement mis en œuvre (type de données traitées, durée de conservation des données etc.). Tout dépend en pratique de la part d’initiative laissée au cabinet par votre client dans la réalisation du traitement (existence ou non d’instructions, compétence du client etc. ainsi que l’indique le G29 dans son avis de 2010).

Votre cabinet a donc tout intérêt à détailler dans la lettre de mission les instructions données par le client dans la réalisation du traitement et de s’y conformer précisément, sous peine de se voir reconnaitre la qualité de responsable conjoint et de voir en conséquence sa responsabilité engagée solidairement avec celle du client responsable de traitement.

Si votre cabinet, dans une des missions réalisées pour un client, est nécessairement responsable conjoint de traitement, il est fortement conseillé de répartir dans la lettre de mission les obligations et responsabilités à la charge de votre client et de votre cabinet afin d’aménager cette responsabilité solidaire prévue par le RGPD entre responsables (voir exemple de clause de la lettre de mission en annexe). Ainsi pour la mission d’audit contractuel, votre cabinet est libre des diligences à réaliser et des traitements de données à mettre en place pour réaliser l’audit. Le cabinet peut donc être considéré comme responsable conjoint de traitement.

Le Conseil supérieur vous propose un arbre de décision pour vous aider à déterminer, pour chaque traitement de données réalisé, le statut de votre cabinet en fonction des circonstances de l’espèce.

A noter que les cabinets d’expertise comptable proposent souvent à leurs clients des solutions de GED ou d’archivage par le maintien à disposition de ces derniers dans une base gérée par le cabinet (extranet), des informations et donc des données personnelles collectées lors de la réalisation d’une mission classique d’élaboration des bulletins de paie par exemple ou de présentation des comptes. Ces propositions de service sont assez proches de celles offertes par les prestataires informatiques. Il s’agit dans ce cas d’un nouveau traitement de données personnelles dont les finalités sont différentes de celles du traitement réalisé en exécution de la mission principale. L’appréciation du statut du cabinet doit se faire au regard de ce nouveau traitement. Il convient donc de rechercher qui détermine les



35

finalités et décide du traitement en reprenant la démarche et les critères détaillés ci-dessus.

Dans la plupart des cas cependant, cette mise à disposition documentaire a pour objectif de permettre au client du cabinet de conserver dans un espace sécurisé et facilement accessible les documents pendant le temps de la conservation que lui imposent les textes (pour le bulletin de paie par exemple, pendant la durée du contrat de travail du salarié et 5 ans après la fin de ce contrat – voir en annexe le tableau sur la durée de conservation). Le cabinet d’expertise comptable ne va pas utiliser ces données personnelles pour son propre compte. Le client décide de contracter pour ce service. Dès lors le client est bien dans ce cas le responsable du traitement et ce même si le cabinet d’expertise comptable arrête les moyens techniques pour réaliser ce traitement.



36

Arbre de décision

PARTIE 3

FOCUS SUR LES POINTS SENSIBLES

Focus sur les points sensibles


39

1. Quels sont les droits des personnes sur leurs données ?

L’objectif du RGPD est de permettre aux personnes physiques de mieux comprendre et de contrôler les traitements réalisés sur leurs données personnelles. Ces personnes disposent donc d’un panel de droits qui pour certains existaient déjà.

Droit d’accès

Corollaire de l’obligation d’information préalable, le droit d’accès existait avant le RGPD. Le règlement a cependant introduit la possibilité pour la personne concernée de demander des informations complémentaires lorsqu’elle exerce ce droit.

La loi de 1978 dans son article 39 permet à la personne concernée d’avoir accès aux informations suivantes : les finalités du traitement, les catégories de données personnelles concernées, les destinataires ou catégories de destinataires, les transferts de données hors UE si tel est le cas, l’existence d’une prise de décision automatisée du traitement.

Le RGPD (article 15) ajoute les informations complémentaires qui peuvent être communiquées à la personne concernée telles la durée de conservation des données, la source des données quand elles n’ont pas été collectées auprès de la personne, le profilage éventuel, les garanties prises en cas de transfert hors UE, l'existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou le droit de s'opposer à ce traitement.

Le responsable de traitement est tenu de fournir une copie des données personnelles et cette copie est gratuite. Mais si la personne concernée demande une ou plusieurs copies supplémentaires, le responsable de traitement peut exiger le paiement de frais raisonnables calculés en fonction de « coûts administratifs ».

Si la demande d’accès est présentée par voie électronique, les informations sont fournies à la personne concernée sous format électronique « d’usage courant », à moins que la personne concernée souhaite qu’il en soit autrement.

Droit d’opposition

Les dispositions du RGPD diffèrent en partie de celles de la loi de 1978.



40

Selon la législation française, toute personne est en droit de s’opposer, pour des motifs légitimes, à ce que des données la concernant fassent l’objet d’un traitement. Le RGPD prévoit que le même droit s’exerce, à tout moment pour des raisons tenant « à la situation particulière » de la personne concernée.

Mais tandis que la législation nationale admet que, sauf exception, le droit d’opposition porte sur l’ensemble des traitements, le RGPD limite principalement son champ d’application aux traitements nécessaires à l’exécution d’une mission de service public, aux fins des intérêts légitimes du responsable de traitement ou d’un tiers, réalisés à des fins de prospection et ou de profilage5 (article 21 RGPD). La personne doit être informée de ce droit au plus tard au moment de la première communication et il doit être présenté clairement et séparément de toute autre information.

En cas d’usage du droit d’opposition, le responsable de traitement doit cesser de traiter les données sauf s’il démontre l’existence de motifs « légitimes et impérieux » pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice.

Droit de rectification

Les personnes physiques disposent d’un droit de rectification de leurs données. Elles doivent recevoir une réponse dans les meilleurs délais (article 16 RGPD).

En pratique, si les données personnelles sont inexactes ou incomplètes, la personne concernée peut obtenir que ces dernières soient complétées ou modifiées en fournissant une « déclaration complémentaire ».

Droit à la portabilité

Les personnes ont un droit à la portabilité de leurs données personnelles dès lors que le traitement est effectué à l’aide de procédés automatisés et a été fait sur la base d’un consentement ou de l’exécution d’un contrat.

5 Il s’agit d’une forme de traitement automatisé de données à caractère personnel qui consiste à utiliser ces données pour évaluer certains aspects personnels notamment pour analyser ou prédire des comportements (le rendement au travail, la situation économique, la santé, les préférences et centres d’intérêt personnels, sa fiabilité ou son comportement, sa localisation ou ses déplacements etc.). Il faut que le traitement produise des effets juridiques pour la personne concernée ou qu’il l’affecte de façon similaire de manière significative. La personne doit être informée de l’existence de ce profilage et des conséquences de celui-ci (principe de traitement loyal et transparent).



41

Elles ont ainsi le droit de demander au responsable de traitement une copie des données personnelles les concernant sous un format électronique et interopérable. Le responsable de traitement a l’obligation de fournir les outils nécessaires. L’objectif est de permettre aux utilisateurs de changer de fournisseur sans perdre de données.

Ce droit ne s’applique pas en présence d’une mission de service public ou lorsque la divulgation des données à caractère personnel pourrait porter atteinte aux droits et libertés de tiers (exemple atteinte aux droits de propriété intellectuelle – article 20 du RGPD).

Ce droit à la portabilité rend possible, par exemple, un changement de plateforme numérique, avec transfert des données à une autre plateforme. Le transfert n'entraîne toutefois pas nécessairement un dessaisissement total des données par le responsable de traitement. Les données sont conservées par le responsable du traitement pour la durée initialement prévue lors de la collecte (durée qui doit être proportionnée avec la finalité du traitement). Elles peuvent continuer de faire l'objet d'un traitement par le responsable qui reste tenu envers la personne concernée de toutes les obligations habituelles (droit d'accès, de rectification, de suppression...).

Ce droit à la portabilité se concilie difficilement avec le secret professionnel de l’expert-comptable dans l’hypothèse où la personne physique demanderait à un expert-comptable de transférer ses données à un tiers. Le considérant 164 du règlement européen prévoit qu’en « ce qui concerne les pouvoirs qu'ont les autorités de contrôle d'obtenir du responsable du traitement ou du sous-traitant l'accès aux données à caractère personnel et l'accès à leurs locaux, les États membres peuvent adopter par la loi, dans les limites du présent règlement, des règles spécifiques visant à garantir l'obligation de secret professionnel ou d'autres obligations de secret équivalentes, dans la mesure où cela est nécessaire pour concilier le droit à la protection des données à caractère personnel et l'obligation de secret professionnel. Cela s'entend sans préjudice des obligations existantes incombant aux États membres en matière d'adoption de règles relatives au secret professionnel lorsque le droit de l'Union l'impose ». Ces dispositions permettent à l’expert-comptable de s’opposer lors d’un contrôle de la CNIL à la fourniture de certains éléments couverts par le secret professionnel (voir partie ci-dessous Quid des sanctions).

Rien n’est cependant précisé concernant l’exercice du droit à la portabilité avec demande par la personne concernée de transmission à un tiers des données personnelles. La doctrine de la CNIL à venir devrait préciser ce point. En attendant, il est conseillé de prévoir dans les mentions d’information sur les droits pouvant être exercés par les personnes une phrase telle que « sous réserve des dispositions légales et réglementaires



42

applicables » qui permettra si la législation le prévoit par la suite, de pouvoir opposer le secret professionnel en cas d’exercice du droit à la portabilité.

Droit au refus du profilage ou de décisions automatisées

L’article 22 du RGPD prévoit également que les personnes ont un droit au refus des décisions automatisées ou du profilage (voir cette notion dans la partie obligation du responsable de traitement ci-dessus).

Ce droit de refuser de faire l’objet d’un traitement automatisé produisant des effets juridiques ne peut cependant jouer lorsque la décision est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable de traitement.

Il en va de même, lorsque le traitement en question est autorisé par le droit auquel le responsable de traitement est soumis dès lors que cette législation prévoit des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée.

Enfin, dès lors que la personne a donné son consentement explicite, le droit d’opposition n’est plus possible (article 22 RGPD).

Droit à l’oubli

Le RGPD prévoit en son article 17, l’existence d’un droit à l’effacement (droit à l’oubli) dans les meilleurs délais et dans plusieurs hypothèses :

• dès lors que les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;

• la personne retire son consentement sur lequel est fondé le traitement ;

• la personne concernée s’oppose au traitement sauf motif légitime impérieux ;

• le traitement est illicite ;

• respect d’une obligation légale prévue par le droit de l’Union ou de celui de l’Etat membre auquel le responsable de traitement est soumis.

Il existe cependant des exceptions à l’exercice de ce droit qui peuvent être opposées par le responsable de traitement pour l’exercice du droit à la liberté d’expression et d’information, le respect d’une obligation légale ou l’exécution d’une mission d’intérêt public, des motifs d’intérêts publics, à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, la constatation, l’exercice ou la défense des droits en justice.



43

En pratique, ce droit est souvent utilisé pour supprimer les données personnelles sur les réseaux sociaux. Les moteurs de recherche sont directement visés par ce droit à l’oubli.

Droit à la limitation du traitement

Toute personne dont les données seraient collectées sans consentement, « dans l’intérêt légitime » du responsable du traitement, peuvent contester cet intérêt légitime.

Pendant la « procédure » la personne concernée aura droit de faire limiter l’utilisation des données litigieuses.

La personne physique a également le droit d'obtenir la limitation du traitement en présence de l’un des éléments suivants :

• L’exactitude des données à caractère personnel est contestée par la personne concernée, de sorte que la limitation doit s’appliquer pendant une durée permettant de vérifier l'exactitude des données ;

• Les données font l’objet d’un traitement illicite mais la personne concernée s'oppose à leur effacement et exige à la place la limitation de leur utilisation ;

• Les données personnelles ne sont plus nécessaires à la personne concernée pour la constatation, l'exercice ou la défense de droits en justice ;

• La personne concernée s'est opposée au traitement en vertu de son droit d’opposition.

Lorsque l’un des éléments susvisés est satisfait, les données personnelles ne pourront plus être traitées.

Ce droit ne s’applique pas si le traitement a fait l’objet du consentement de la personne concernée, ou encore s’il est nécessaire (article 18 RGPD) :

• à la constatation, l’exercice ou la défense des droits en justice,

• à la protection des droits d’une autre personne physique ou morale,

• à la prise en compte de motifs importants d’intérêts public de l’Union ou d’un Etat membre.

En pratique, les méthodes destinées à la limitation des traitements peuvent consister à déplacer temporairement les données sélectionnées vers un autre système de traitement, à les rendre inaccessibles aux utilisateurs ou à les retirer d’un site internet.



44

S’agissant de fichiers automatisés, la limitation du traitement doit être assurée par des moyens techniques empêchant que les données en cause fassent l’objet d’opérations de traitement ultérieur. La limitation du traitement doit être indiquée de manière claire dans le fichier.

En pratique pour les cabinets d’expertise comptable

La personne physique dont les données sont traitées peut demander l’exercice des différents droits exposés ci-dessus auprès du responsable de traitement ou du responsable conjoint selon les obligations prévues dans le contrat liant le responsable de traitement et le responsable conjoint.

En effet, le responsable conjoint peut avoir été chargé de répondre aux demandes des personnes physiques qui souhaitent exercer leurs droits. Il faut cependant que cette obligation soit définie dans le contrat qui lie le responsable de traitement et le responsable conjoint.

Le responsable de traitement doit donc mettre en œuvre un mécanisme de réponse. En cas de doute sur l’identité de la personne qui souhaite faire valoir un de ses droits, il pourra demander des informations supplémentaires comme la d’une photocopie d’une pièce d’identité.

Si les données ont été collectées par la voie électronique, la personne concernée peut exercer ses droits par la même voie.

Il est également possible d’exercer ses droits oralement. La personne pourra justifier de son identité par tout moyen et se faire accompagner par un conseil ou se faire représenter par un mandataire qui devra justifier de son mandat.

Le responsable de traitement a un mois pour répondre à la demande. Ce délai peut être prorogé de deux mois en raison de la complexité et du nombre de demandes (la personne doit en être avertie dans le mois suivant sa demande – article 12.3 RGPD). Si le responsable de traitement refuse la demande, il doit en informer la personne concernée en lui indiquant les motifs de son refus et la possibilité d’introduire une réclamation auprès de la CNIL ou une juridiction (article 12.4 RGPD).

L’envoi à la personne concernée des informations est par principe gratuit (différent de la législation française antérieure). Toutefois, si les demandes sont manifestement infondées ou excessives notamment en raison de leur caractère répétitif, le responsable de traitement a la possibilité d’exiger le paiement de frais raisonnables calculés en fonction des coûts administratifs. II peut aussi refuser de donner suite à de telles demandes (article 12.5 RGPD).



45

Vous trouverez ci-dessous une synthèse des modalités d’exercice des droits et des possibilités de refus du responsable de traitement.

Droits Application du droit Non application du droit

Droit d’accès

Informations à donner gratuitement sur : • les finalités du traitement, • les catégories des données

personnelles et destinataires des données ou catégorie de destinataires,

• les transferts de données hors UE et existence des garanties appropriées,

• la durée de conservation des données,

• l’existence du droit de rectification ou d’effacement, de limitation ou d’opposition du traitement,

• le droit d’introduire une réclamation auprès de la CNIL

• l’origine des données (collecte indirecte)

• l’existence d’une prise de décision automatisée (y compris le profilage)

Possibilité de demander une ou plusieurs copies supplémentaires mais dans ce cas paiement possible de frais raisonnables en fonction des coûts administratifs

Refus possible si : • demande abusive ou

excessive (répétitif, systématique)

• traitement à des fins statistiques, de recherche scientifique ou historique

• la demande porte atteinte aux droits et libertés d’autrui.

Droit de rectification

Application de ce droit lorsque les données sont inexactes ou incomplètes Le responsable de traitement doit notifier à chaque destinataire cette demande à moins qu’une telle notification se révèle impossible ou exige des efforts disproportionnés.

Refus possible en raison d’une impossibilité « technique » à justifier



46


Droit d’opposition

Seulement dans les cas suivants : Pas de consentement donné et pour les traitements suivants : • exécution d’une mission

d’intérêt public, ou relevant de l’exercice de l’autorité publique, dont est investi le responsable de traitement,

• aux fins d’intérêts légitime poursuivis par le responsable de traitement ou un tiers.

Pour les traitements de données à des fins de prospection commerciale et profilage.

Refus possible pour : • les traitements pour

lesquels elle a donné son consentement (contrat...),

• si le responsable de traitement démontre qu’il existe de motifs « légitimes et impérieux » pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée,

• la constatation, l'exercice ou la défense de droits en justice.

Droit à la portabilité

Ce droit est prévu pour : • les données fournies par la

personne concernée, • le traitement effectué à l’aide

de procédés automatisés, • les données qui sont traitées

sur la base du consentement ou de l’exécution d’un contrat.

Refus possible pour : • le traitement sur papier, • le traitement qui résulte

d’une obligation légale, de la sauvegarde des intérêts vitaux de la personne concernée, qui relèvent d’une mission d’intérêt public,

• atteinte aux droits et libertés d’autrui (les données à caractère personnel des tiers + droit de propriété intellectuelle)



47


Droit à l’effacement ou à l’oubli

Ce droit est prévu dans 5 cas : • les données ne sont plus

nécessaires à la poursuite des finalités,

• retrait du consentement, • exercice du droit d’opposition

reconnu valable, • traitement dépourvu de

fondement juridique valable, • respect d’une obligation légale

prévue par le droit de l’Union ou de celui de l’Etat membre auquel le responsable de traitement est soumis.

Si le responsable de traitement a rendu publiques les données, il doit prendre les mesures raisonnables compte tenu des technologies disponibles et des coûts de mise en œuvre, pour informer les autres personnes qui traitent ces données que la personne concernée a demandé l’effacement de toute copie ou de toute reproduction de ces données, ainsi que de tout lien vers lesdites données.

Refus possible lorsque le traitement est nécessaire : • à l'exercice du droit à la

liberté d'expression et d'information,

• pour respecter une obligation légale prévue par le droit de l’Union ou pour exécuter une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement,

• pour des motifs d'intérêt public dans le domaine de la santé publique,

• à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques,

• à la constatation, à l'exercice ou à la défense de droits en justice.



48


Droit à la limitation

Ce droit s’applique si : • l’exactitude des données à

caractère personnel est contestée par la personne concernée, de sorte que la limitation doit s’appliquer pendant une durée permettant de vérifier l'exactitude des données,

• les données font l’objet d’un traitement illicite mais la personne concernée s'oppose à leur effacement et exige à la place la limitation de leur utilisation,

• les données personnelles ne sont plus nécessaires à la personne concernée pour la constatation, l'exercice ou la défense de droits en justice,

• la personne concernée s'est opposée au traitement en vertu de son droit d’opposition.

Le responsable de traitement doit notifier cette demande à chaque destinataire à moins qu’une telle notification se révèle impossible ou exige des efforts disproportionnés.

Lorsque le traitement a été limité, les données à caractère personnel ne peuvent, à l'exception de la conservation, être traitées : • qu'avec le consentement

de la personne concernée, • ou pour la constatation,

l'exercice ou la défense de droits en justice, ou pour la protection des droits d'une autre personne physique ou morale, ou encore pour des motifs importants d'intérêt public de l'Union ou d'un État membre.

2. Quid du consentement des personnes physiques ?

La personne physique dont les données personnelles font l’objet d’un traitement doit donner son consentement préalable.

Les traitements peuvent cependant être réalisés sur d’autres fondements que le consentement tels que l’exécution d’un contrat, d’une obligation légale, pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne, pour une mission d’intérêt public ou officielle, dans un intérêt légitime supérieur aux intérêts ou libertés et droits fondamentaux de la personne concernée etc. (voir partie sur les obligations du responsable de traitement). Les traitements qui sont réalisés pour des raisons d’archivage dans l’intérêt public, scientifique, statistique ou historique ne



49

nécessitent pas non plus de consentement des personnes physiques concernées.

A noter que les traitements à des fins de prospection commerciale par voie électronique sont fondés en principe sur le consentement (article L 34-5 du code des postes et communication électroniques), sauf pour les cas où la prospection commerciale est réalisée par courrier électronique et porte sur des produits ou services analogues à ceux déjà acquis par la personne concernée (la personne est déjà client), sur la base de coordonnées recueillies directement et légalement auprès de la personne concernée à l'occasion d'une vente ou d'une prestation de services. Dans ce cas, le traitement a pour fondement l’intérêt légitime du responsable de traitement et le consentement préalable n’est donc pas nécessaire.

Une délibération de la Cnil n°2016-264 du 21 juillet 2016 précise également que les cas de prospection par voie postale ou téléphonique avec intervention humaine (l’intervention humaine s’oppose aux messages pré-enregistrés), la prospection entre professionnels, la cession d’adresse postale et numéros de téléphones à des fins de prospection avec intervention humaine, et la cession à des partenaires de données relatives à l’identité ou la situation familiale, économique et financière, dès lors que les organismes destinataires ne s’engagent à les exploiter que pour s’adresser aux intéressés à des fins exclusivement commerciales, n’ont également pas pour fondement le consentement.

Il faut néanmoins que la personne concernée soit informée que son adresse électronique sera utilisée à des fins de prospection et qu’elle soit en mesure de s’opposer à cette utilisation de manière simple et gratuite.

La Commission nationale de l'informatique et des libertés (Cnil) recommande que le droit d'opposition soit exercé par le biais d'une case à cocher (opt out) libellé de la façon suivante « si vous ne souhaitez pas recevoir de notre part des offres commerciales pour nos produits analogues à ceux que vous avez déjà acheté / pour ne plus recevoir nos courriels, merci de cocher la case ci-dessous ».

Lorsque le consentement est la base du traitement, il doit être un « acte positif clair qui exprime de façon libre, spécifique, éclairée et univoque l'accord de la personne concernée » (article 32 RGPD).

Le silence sans comportement ultérieur, ne constitue pas un consentement valable.

Il est n’est donc plus possible d’exprimer tacitement son consentement pour accepter les cookies par exemple. Le consentement doit être donné via une action affirmative claire telle que, cocher une case d’acceptation ou choisir les paramètres ou les préférences via un menu de configuration. La simple



50

visite d’un site ne compte donc pas comme consentement. Après avoir reçu un consentement valide, les sites doivent offrir aux utilisateurs l’option de se désinscrire. Si vous demandez le consentement via des cases à cocher dans un menu de paramétrage, les utilisateurs doivent pouvoir retourner à ce menu afin de modifier leurs préférences. Le consentement via un « soft opt-in » qui donne l’opportunité d’agir avant que les cookies ne soient réglés lors d’une première visite sur un site parait la solution la plus adaptée au recueil du consentement selon le RGPD. Il faut donc prévoir un avertissement raisonnable en page d’accueil du site avec une demande d’acceptation. La continuation de la navigation par la personne physique peut ensuite être considérée comme étant un consentement via une action affirmative. »

Le consentement peut également être exprimé de manière expresse écrite ou orale. Une case pré-cochée sur un formulaire internet n’est donc pas acceptable, en revanche une case à cocher sera acceptée (opt-in - considérant 32 RGPD).

Le consentement doit être donné librement et ne pas résulter de tromperies ou de manœuvres. Il faut aussi que la personne physique puisse être en mesure de refuser le traitement sans subir de préjudice (considérant 42 RGPD).

Le consentement doit être donné pour chaque finalité, peut être retiré à tout moment et doit être traçable. Le fait d'accepter des conditions générales dans un contrat ne vaut en effet pas consentement à être démarché commercialement. Le consentement ne doit pas être associé à l'obtention d'un lot, d'une réduction.

Le consentement peut être retiré ultérieurement. Dans ce cas, le retrait n’a d’effet que sur les opérations de traitement réalisées postérieurement à ce retrait. Ainsi, les processus engagés dans le passé ne peuvent donc pas être purement et simplement annulés.

La charge de la preuve du consentement incombe à celui qui entend traiter les données, c’est-à-dire au responsable de traitement.


Pour les personnes ayant un contrat de travail ou d’entreprise avec votre cabinet d’expertise comptable, comme le dispose l’article 7-4° de la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, ce contrat est le fondement pour effectuer le traitement de données à caractère personnel. Il n’est donc pas nécessaire de recueillir un consentement spécifique supplémentaire.



51

La gestion des données des clients du cabinet ou de leurs salariés intervient également dans le cadre de l’exécution d’un contrat.

Pour les personnes dont les données seraient collectées par votre cabinet pour d’autres finalités et hors de toute lettre de mission et donc contrat, il sera parfois possible de vous appuyer sur un intérêt légitime qui ne porte pas atteinte aux droits et intérêts des personnes concernées pour fonder ce traitement dès lors que vous le justifiez. En dehors de ce cas, il sera nécessaire de recueillir un consentement positif clair qui exprime de façon libre, spécifique, éclairée et univoque l'accord de la personne concernée (opt-in).

Par ailleurs, si votre cabinet traite de données sensibles, le consentement préalable (opt-in) des personnes concernées sera obligatoire sauf si le traitement des données est fondé sur les fondements suivants :

• respect d’une obligation légale,

• sauvegarde de la vie de la personne concernée,

• exécution d’une mission de service public dont est investi le RT ou le destinataire du traitement,

• exécution d’un contrat auquel la personne concernée est partie, soit sur des mesures précontractuelles prises à la demande de celle-ci.

De la même façon, avant d'envoyer des messages par courrier électronique, fax ou SMS, ou de céder à des partenaires des adresses électroniques ou numéros de téléphone à des fins de prospection électronique, il est nécessaire d’obtenir le consentement préalable de la personne concernée sous forme d’un opt-in au moment de la collecte des données sauf dans le cas de prospection pour des produits ou services analogues comme exposé ci-dessus.

L’Opt-in se matérialise par une case à cocher qui peut se présenter de la façon suivante :

• « si vous souhaitez recevoir nos propositions commerciales par voie électronique, merci de cocher cette case »,

• « si vous souhaitez recevoir les offres de nos partenaires par voie électronique, merci de cocher cette case ci-dessous ».



52

En synthèse :

Principe consentement préalable Exceptions : autres fondements

Consentement préalable sous forme d’opt-in (expression préalable et exprès - case à cocher)

Traitement de données sur les fondements suivants : • respect d’une obligation légale

incombant au responsable de traitement,

• sauvegarde de la vie de la personne concernée,

• exécution d’une mission de service public dont est investi le RT ou le destinataire du traitement,

• exécution d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci,

• intérêt légitime du responsable de traitement

3. Comment respecter l’obligation d’information ?

A l’instar de la loi Informatique et liberté de 1978, le RGPD prévoit que le responsable de traitement ou le responsable conjoint de traitement, ont une obligation d’information vis-à-vis de la personne physique dont les données sont collectées.

Les articles 13 et 14 du RGPD énumèrent les informations qui doivent être fournies aux personnes concernées :

• les coordonnées du responsable de traitement et de son DPO,

• la finalité des informations au sujet de toute autre finalité lorsque le responsable de traitement a l’intention d’effectuer un traitement ultérieur,

• le fondement juridique du traitement (tels que le consentement, les intérêts légitimes du responsable, le caractère réglementaire ou contractuel de la collecte des données en précisant si celles-ci conditionnent la conclusion d’un contrat et si la personne concernée est tenue de fournir les données ainsi que les conséquences éventuelles de la non fourniture de celles-ci),

• les destinataires des données,

• la durée de conservation,



53

• les droits des personnes : droit à la portabilité de vos données, de droits d’accès, de rectification, de limitation et d'opposition, le droit de retirer son consentement lorsque le traitement des données est fondé sur le consentement, le droit d’introduire une réclamation auprès de l’autorité de contrôle,

• le transfert vers un pays hors UE, Une mention est à ajouter en cas de transfert des données personnelles en dehors de UE (préciser le ou les pays d’établissement du destinataire des données dans les cas où ce ou ces pays sont déterminés lors de la collecte des données, la nature des données transférées, la finalité du transfert envisagé, la ou les catégories de destinataires des données, le niveau de protection offert par le ou les pays tiers (décision de la Commission européenne autorisant ce transfert - mention de l’exception prévue à l’article 69 ou de la décision de la CNIL autorisant ce transfert).

• s’il est procédé à des prises de décisions automatisées (profilage).

En cas de collecte indirecte6 des données personnelles, l’information de la personne concernée doit comporter les éléments indiqués ci-dessous à l’exception de la mention du caractère réglementaire ou contractuel du traitement et les conséquences du refus de renseigner ses données

Il faut par ailleurs ajouter les éléments ci-dessous :

• les catégories de données,

• la source d’où proviennent les données,

• la mention indiquant qu’elles sont issues ou non de sources accessibles au public.

Ce droit à l’information (collecte directe ou indirecte) ne s’applique pas :

• dans l’hypothèse où la personne concernée dispose déjà des informations mentionnées ci-dessus, c’est-à-dire qu’elle a déjà été informée au préalable à condition que l’information ait été donnée de manière précise (finalités, droits garantis…),

• pour les traitements aux fins de journalisme ou d’expression littéraire et artistique,

• pour les traitements ayant pour finalité la lutte contre les infractions pénales,

• pour les traitements de données appelées à être anonymisées à bref délai.

6 Lorsque les données personnelles sont collectées auprès d’un tiers et non directement auprès de la personne concernée.



54

En cas de collecte indirecte, le responsable de traitement n’est pas tenu à cette obligation d’information dans les cas ci-dessous (article 14,5-b, c, d) :

• si la fourniture des informations prévues se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ;

• si l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union ou celui d’un Etat membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée ;

• si les données personnelles doivent rester confidentielles en vertu d’une obligation de secret professionnel (ce point est important pour les experts-comptables) ;

• lorsque le traitement est fait pour le compte de l’Etat et intéresse la sûreté de l’Etat, la défense, la sécurité publique ou bien a pour objet l’exécution des condamnations pénales ou des mesures de sûretés7.

Les modalités de cette information divergent selon la façon dont la collecte des données personnelles a été réalisée.

En cas de collecte directe, les personnes doivent être informées (article 32 LIL et article 13 du RGPD) au moment de la collecte de leurs données.

En cas de collecte indirecte (par exemple l’achat de fichiers de données auprès de partenaires pour la prospection commerciale), les informations doivent être transmises à la personne concernée (article 14 du RGPD) :

• dans un délai raisonnable, ne dépassant pas un mois après avoir obtenu les données à caractère personnel,

• si les données doivent être utilisées aux fins de communication avec la personne concernée, au moment de la première communication,

• s’il est envisagé de communiquer les données personnelles à un autre destinataire, au plus tard lorsque ces données sont communiquées pour la première fois.

Dans le cas où les données sont utilisées pour une autre finalité que celle pour laquelle elles ont été collectées, l’article 13 du RGPD prévoit que le responsable de traitement a l’obligation de fournir au préalable, à la personne concernée, des informations au sujet de cette autre finalité et

7 Cette exception est conforme aux dispositions du RGPD qui bien que ne la prévoyant pas formellement, ménage aux Etats membres la possibilité de la prévoir.



55

toute autre information pertinente visée au paragraphe 2 de l’article 13 du RGPD (durée de conservation, les droits des personnes concernées, l’existence d’une prise de décision automatisée y compris le profilage).

Le contenu de l’information doit en outre être complété par le consentement (opt-in ou opt-out) en fonction des traitements envisagés :

• Prospection électronique, collecte ou cession de données sensibles : Opt-in (case à cocher si : « je déclare accepter recevoir des publicités commerciales »),

• Prospection par voie postale ou téléphonique avec intervention humaine, prospection électronique pour produits ou services analogues, prospection entre professionnels, données relatives à l’identité ou la situation familiale à des fins commerciales : Opt-out (case à cocher si « Je refuse de recevoir des publicités commerciales »),

Le sous-traitant a également une obligation d’information mais vis-à-vis du responsable de traitement (voir partie ci-dessus sur les obligations du responsable de traitement et le sous-traitant).


Dans les cas ou votre cabinet est le responsable de traitement, il vous incombe de réaliser cette information auprès des personnes dont vous traitez les données.

Ainsi, lors de l’informatisation de leurs données, les salariés du cabinet doivent être clairement informés des objectifs poursuivis par le traitement, du caractère obligatoire ou facultatif de leurs réponses, des destinataires des données et des modalités d’exercice de leurs droits (droit d’accès, de rectification, d’opposition etc.). Cette information peut être diffusée par tout moyen approprié : panneaux d’affichage, page « protection des données » ou « informatique et libertés » sur l’intranet du cabinet. De surcroît, l’employeur doit s’assurer du respect des procédures préalables de consultation et d’information obligatoires des instances représentatives du personnel.

En ce qui concerne les données des clients et de leurs salariés, tout dépend de votre statut dans le traitement (voir partie ci-dessus Comment déterminer le statut des entités intervenants dans le traitement de données personnelles ?).

Les cabinets d’expertise comptable sont dans la plupart des cas sous-traitants ou responsables de traitement conjoint. Dans la première hypothèse, il convient de prévoir dans la lettre de mission avec votre client



56

qu’il assume cette obligation d’information pour ses salariés dès lors qu’il est le responsable de traitement.

A noter que si votre cabinet considère être responsable de traitement, il pourra dans les hypothèses de collecte indirecte des données des salariés de ses clients faire jouer l’exception à l’obligation d’information de ces derniers sur le fondement du secret professionnel (voir ci-dessus article 14,5 d RGPD).

Si vous êtes sous-traitant, vous n’avez pas d’obligation d’information des personnes physiques concernées à votre charge.

Des exemples d’information à insérer dans les supports de collecte des données ou les documents contractuels sont proposés en annexe.

Si votre cabinet entend réaliser de la prospection commerciale ou démarchage en utilisant les données personnelles de personnes physiques, il devra informer les personnes concernées selon les modalités évoquées ci-dessus en fonction des modalités de collecte de ces données.



57

En synthèse, sur l’application de l’obligation d’information par le responsable de traitement

Application de l’obligation d’information Non application

Collecte directe ou utilisation pour une autre finalité : • coordonnées du responsable de

traitement, le cas échéant du DPO, • finalité, • fondements du traitement :

caractère réglementaire ou contractuel du traitement et les conséquences du refus de renseigner ses données,

• destinataire des données, • transfert vers un pays hors UE, • durée de conservation, • droits des personnes, • profilage. Collecte indirecte – information complémentaire : • catégories des données, • source des données et mention

indiquant qu’elles sont issues ou non de sources accessibles au public,

• information non nécessaire : caractère réglementaire ou contractuel du traitement et conséquences du refus de renseigner ses données

• la personne concernée dispose déjà de ces informations

Collecte indirecte : • fourniture des informations

impossible ou exigerait des efforts disproportionnés,

• obtention ou communication des informations expressément prévues par le droit de l’Union ou celui d’un Etat membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée,

• les données doivent rester confidentielles en vertu d’une obligation de secret professionnel,

• pour les traitements aux fins de journalisme ou d’expression littéraires et artistiques,

• pour les traitements ayant pour finalité la lutte pour les infractions pénales,

• pour les traitements de données appelées à être anonymisées à bref délai.

4. Quelle gestion des données sensibles ?

Les articles 9 et 10 du RGPD définissent de façon plus large que la loi informatique et liberté de 1978, les données personnelles (voir partie ci-dessus notions à retenir).

Le traitement de données sensibles est en principe interdit par l’article 9.1 du RGPD.



58

Mais ce principe comporte des exceptions dès lors que :

• Un consentement est donné par la personne physique concernée (article 9.2 a), sauf disposition législative contraire privant d’effet le consentement en présence notamment d’un traitement de données sensibles ;

• Il s’agit d’un traitement relatif à la santé – traitement nécessaire à la sauvegarde des intérêts vitaux, relatifs à la prévention, détection et administration de soins médicaux, relatif à la recherche, aux études et évaluations, nécessaires pour des motifs d’intérêt public dans le domaine de la santé ;

• Il s’agit d’un traitement réalisé par des associations ou organismes à but non lucratif ;

• Il s’agit d’un traitement portant sur des données rendues publiques par la personne concernée ;

• Il s’agit d’un traitement nécessaire à la constatation, l’exercice ou la défense d’un droit ;

• Il s’agit d’un traitement à des fins archivistes dans l’intérêt du public, à des fins de recherche scientifique, ou historique, ou à des fins statistiques sur la base du droit de l’Union ou d’un Etat ;

• Il s’agit d’un traitement portant sur des données anonymisées ;

• Il s’agit d’un traitement autorisé ou justifié par l’intérêt public ;

• Il s’agit d’un traitement nécessaire pour des motifs d’intérêt public en matière sociale.

L’article 10 du RGPD prévoit que le traitement de données sensibles relatives aux condamnations pénales et aux infractions ou aux mesures de sureté connexes ne peut être fait que sous le contrôle de l’autorité publique.

Des règles spéciales s’appliquent par ailleurs à certains traitements qui en raison de leurs caractéristiques et des techniques qu’ils emploient sont susceptibles de créer des risques pour les personnes concernées. Certains traitements doivent avec l’entrée en vigueur du RGPD être soumis à une étude d’impact. Il s’agit des traitements tels que les prises de décision automatisées produisant des effets juridiques ou affectant de manière significative la personne concernée ou la surveillance systématique à grande échelle d’une zone accessible au public.



59


Ainsi qu’indiqué précédemment, l’organisation interne de votre cabinet ou les missions réalisées pour vos clients impliquent le traitement de données sensibles (voir partie ci-dessus - votre cabinet d’expertise comptable traite nécessairement des données personnelles).

Données relatives aux mineurs

Les fiches d’inscription aux mutuelles réalisées par votre cabinet pour vos salariés ou pour vos clients, les dossiers de vos salariés comportent des données concernant les mineurs.

Données relatives à la santé

En l’absence de définition dans la loi de 1978, la CNIL a défini les données de santé comme toute information permettant d’identifier la nature d’une affection, d’un handicap ou d’une déficience (catégorie ou codification). A l’inverse la CNIL considère que ne relèvent pas de cette catégorie des informations dont le degré de généralité (présence d’un handicap oui/non) ne relève pas la pathologie de la personne concernée.

Avant l’entrée en vigueur du RGPD, la CNIL et la jurisprudence ont ainsi considéré que l’indication du fait qu’une personne s’est blessée au pied et est en congé maladie partielle (CJUE 6 novembre 2003 aff C-101/01 pt 51) était une donnée relative à la santé.

La jurisprudence a par ailleurs considéré que le code CLIS (pour classe d’intégration scolaire), identifié par l’un des quatre chiffres codant le type de handicap ou de déficience des élèves inscrits au sein d’une école primaire non spécialisée et dont la seule mention permet d’identifier immédiatement la nature de l’affection ou du handicap propre à l’élève concerné, est également une donnée de santé (CE 19 juillet 2010, n°317182). Par contre, ne relève pas de cette catégorie la mention du taux d’incapacité ou d’invalidité (CE 28 mars 2014 n°361042).

Le RGPD définit la catégorie des données de santé comme l’ensemble des données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne (article 4 15) RGPD). A titre d’exemple, le considérant 35 du RGPD précise que toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique, ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin



60

ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro, est une donnée de santé. Cette définition devrait conduire à un élargissement de cette catégorie de données.

Au vu de la jurisprudence antérieure au RGPD, la gestion des arrêts maladie pour les salariés de votre cabinet ou ceux de vos clients constituent des données sensibles. Au vu de cette même jurisprudence, le taux d’incapacité des salariés contenu dans la déclaration AGEFIPH ne constituait pas une donnée sensible de santé. Le RGPD semble cependant modifier cette analyse. La doctrine de la CNIL à venir devrait préciser ce point.

Données relatives à l’appartenance syndicale

Votre cabinet dans le cadre de sa gestion interne, pourra traiter dans les dossiers relatifs aux représentants syndicaux du personnel, des données sensibles.

Si votre cabinet propose à ses clients une mission d’assistance à l’organisation des élections professionnelles, des données sensibles relatives à l’appartenance syndicale vont également être traitées.

Données biométriques

Si votre cabinet a mis en place un système de vidéo-surveillance en lien avec des données de biométrie permettant la reconnaissance des personnes physiques (reconnaissance du visage), vous êtes en présence d’un traitement de données sensibles. Ce dispositif n’est cependant pas très répandu dans les cabinets.

Cependant, les systèmes d’accès aux ordinateurs ou smartphone par l’empreinte ne constituent pas aujourd’hui selon la CNIL des cas de traitements de données sensibles dès lors qu’ils répondent à l’ensemble des critères suivants (article 2 de la loi LIL) :

• l’utilisateur utilise ce dispositif à titre privé, grâce à ses propres données biométriques, pour déverrouiller son téléphone ou pour accéder à des applications qu’il a téléchargées de son propre chef ;

• l’utilisateur décide seul d’utiliser l’authentification biométrique intégrée dans son appareil : - Cela exclut toute authentification biométrique imposée par un

employeur, notamment si l’appareil lui a été fourni dans le cadre de ses activités professionnelles ;

- Cela implique que les fournisseurs d’application proposent un mode d’authentification alternatif à la biométrie (par exemple la saisie d’un code), sans contrainte additionnelle. Si le fournisseur



61

d’application ne propose que l’authentification biométrique, le traitement de données correspondant relève de la responsabilité du fournisseur.

• le gabarit biométrique est stocké dans l’appareil, dans un environnement cloisonné et n’est pas accessible ou transmis à l’extérieur : - Cela exclut les dispositifs biométriques envoyant le gabarit dans une

base de données distante. - Il exclut aussi toute possibilité d’intervention d’un organisme

extérieur (fournisseur de l’appareil ou d’une application par exemple) sur les données biométriques.

• le gabarit biométrique est stocké dans l’appareil de manière chiffrée à l’aide d’un algorithme cryptographique et d’une gestion des clés conformes à l’état de l’art ;

• lors du contrôle d’accès, seul un jeton ou une donnée indiquant la réussite ou l’échec de la reconnaissance de la biométrie présentée est transmis.

En revanche, lorsque les dispositifs d’authentification basés sur la reconnaissance biométrique fonctionnent en interaction avec des serveurs distants maîtrisés par un organisme tiers, quels qu’il soit, l’organisme en question (qu’il s’agisse du fournisseur de l’application, de l’appareil, etc.) doit effectuer aujourd’hui une demande d’autorisation auprès de la CNIL.

Le RGPD confirme cette analyse puisqu’il considère que les données biométriques aux fins d’identifier une personne physique de manière unique, sont des données sensibles.

Il faudra donc dans le cas évoqué ci-dessus où les dispositifs d’authentification basés sur la reconnaissance biométrique fonctionnent en interaction avec des serveurs distants maîtrisés par un organisme tiers, recueillir le consentement exprès (signature écrite ou case à cocher opt-in), libre (aucune sanction en cas de refus), spécifique (pour un usage défini) et éclairé (ensemble des informations données) des personnes concernées si votre cabinet est responsable de traitement.

Si votre cabinet est responsable conjoint ou sous-traitant, il faudra prévoir dans le contrat souscrit avec le responsable de traitement que ce dernier ait recueilli le consentement des personnes concernées.



62

Quid du numéro NIR ?

Les déclarations sociales DADS-U ou DSN impliquent l’utilisation du NIR qui est une donnée bénéficiant d’un régime particulier (voir partie 2 Votre cabinet d’expertise comptable traite nécessairement des données personnelles).

Le NIR n’entre pas dans la catégorie des données sensibles telle que définit par les textes mais est considéré comme une donnée particulière bénéficiant d’un régime spécifique (article 87 du RGPD voir partie 2 Votre cabinet d’expertise comptable traite nécessairement des données personnelles).

Le projet de loi portant modification de la loi de 1978, adopté le 14 mai 2018, prévoit en son article 11 que les traitements utilisant le NIR devront être autorisés par décret par catégorie de responsables de traitement et finalités après avis de la CNIL avec quelques exceptions pour lesquelles une analyse d’impact seule sera nécessaire.

5. Combien de temps faut-il conserver les données ?

Le règlement européen prévoit en son article 5.1, que les données doivent être conservées « pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Les informations ne peuvent donc être conservées de façon indéfinie et ce d’autant que l’un des principes du règlement européen est la limitation de la conservation (voir ci-dessus les principes du règlement européen).

Une durée de conservation la plus brève possible doit être établie au regard de la finalité de chaque traitement.

La durée est fixée en fonction de l'utilité de la donnée au regard du but poursuivi par le traitement, mais aussi en fonction des textes législatifs et règlementaires ainsi que de la position de la CNIL sur le sujet.

La conservation se fait donc en fonction des délais prévus dans les lois ou règlements ou pendant la durée de la relation prévue au contrat. Au-delà, la conservation est possible et notamment pendant la période de mise en cause potentielle de la responsabilité (prescription) par exemple.

En dehors de ces cas, la conservation des données sera sanctionnée sauf si elle est effectuée à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le règlement afin de garantir les



63

droits et libertés de la personne concernée (principe de limitation de la conservation – article 5 du RGPD).

Pour l’application de ces dispositions sur la durée de conservation, il faut distinguer trois modalités de conservation des données (« archives ») :

• archives courantes : « données d’utilisation courante par les services concernés dans les entreprises, organismes ou établissements privés. » En pratique, ces archives courantes correspondent à une base active, accessible ou consultable sans restriction particulière pendant la durée prévue par les lois et règlements ou issue de la relation avec la personne physique (contrat) ;

• archives intermédiaires : « données qui présentent encore pour les services concernés un intérêt administratif, comme par exemple en cas de contentieux », et dont les durées de conservation sont fixées par les règles de prescription applicables. La CNIL recommande que l’accès à ces archives soit limité à un service spécifique (ex : service juridique ou service du contentieux) et qu’il soit procédé, a minima, à un isolement des données archivées au moyen d’une séparation logique (gestion des droits d’accès et des habilitations).

• archives définitives : « données qui présentent un intérêt historique, scientifique ou statistique justifiant qu’elles ne fassent l’objet d’aucune destruction. » La CNIL recommande que ces archives soient conservées sur un support indépendant, non accessible par les systèmes de production, n’autorisant qu’un accès distinct, ponctuel et précisément motivé auprès d’un service spécifique seul habilité à consulter ce type d’archives.

La décision de mettre en place, outre des archives courantes, des archives intermédiaires et/ou définitives dépend de la durée de conservation prévue pour les données en question et donc de la finalité de leur traitement.

En tout état de cause :

• les archives courantes et intermédiaires sont soumises au droit d’accès des intéressés. Par ailleurs, les supports utilisés doivent présenter des garanties de longévité et d’intégrité suffisantes pour permettre d’utiliser si nécessaire les informations contenues à titre de preuves ;

• la CNIL recommande que les archives définitives des organismes privés soient anonymisées, en particulier en cas de données sensibles (délibération n°2005-213 du 11 octobre 2005).



64


Votre cabinet doit fixer pour chaque traitement la durée de conservation la plus courte possible en archive courante. Ces données pourront ensuite être basculées en archives intermédiaires en cas de contentieux notamment pour les données des clients.

Les cabinets d’expertise comptable ne sont pas concernés par la constitution d’archives définitives.

Vous pouvez utilement vous reporter au tableau figurant en annexe qui répertorie les durées de conservation des données recommandées par la réglementation ou la CNIL.

6. Comment sécuriser les données personnelles ?

Tout responsable de traitement, responsable conjoint et sous-traitant de données personnelles doit mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque présenté par le traitement de données personnelles (article 32 du RGPD).

Cet article du RGPD requiert la mise en œuvre de moyens de sécurisation des traitements de données et des systèmes associés permettant d’en assurer :

• la confidentialité (les informations ne sont accessibles qu’aux personnes autorisées à les consulter ou les traiter),

• l’intégrité (les informations ne doivent pas être altérées de façon fortuite, illicite ou malveillante),

• la disponibilité (le service doit s’effectuer sans interruption durant les plages d’utilisation définies avec le niveau de performance requis),

• la résilience (il s’agit de l’aptitude du service à continuer à opérer dans les niveaux de services attendus malgré un incident, un choc, une perturbation ou une panne).

Le règlement impose également de prévoir les moyens de rétablir la disponibilité des données à caractère personnel et leur accès dans des délais appropriés en cas d’incident physique ou technique.

Pour répondre aux prescriptions du RGPD, il faudra prendre en compte la protection des données personnelles dans chaque nouveau projet pour



65

l’avenir, qu’il s’agisse de la conception de nouveaux services, de leur mise en œuvre ou de leurs évolutions.

Les mesures à déployer devront être adaptées aux risques et impacts identifiés à l’issue des analyses d’impact relatives à la vie privée (PIA).

Les mesures de protection des données personnelles prévues par le RGPD s’ajoutent donc aux mesures de sécurité informatique classiques existant déjà dans vos cabinets.

La CNIL a élaboré un guide de la sécurité des données personnelles accessible par le lien suivant :

https://www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf

Le non-respect de l’obligation de sécurité est sanctionné de 2 % ou 10 millions d’euros de sanction financière (article 32 RGPD).

Le responsable du traitement, le responsable conjoint et le sous-traitant sont donc astreints à une obligation de protection des données dès la conception du traitement.

Le RGPD prévoit par ailleurs que toutes les failles de sécurité soient notifiées par le responsable de traitement (il est possible également de prévoir dans une clause du contrat avec le responsable de traitement, que le sous-traitant a la charge de la notification) à l’autorité de contrôle (la CNIL) dans les 72h au plus tard après en avoir pris connaissance à moins que la violation ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques (article 33 RGPD).

La communication aux personnes dont les données personnelles sont visées doit également être réalisée s’il existe un risque élevé (article 34 RGPD) sauf si des mesures de protection techniques et organisationnelles appropriées ont été mises en œuvre (chiffrement par exemple) ou si des mesures ultérieures ont été prises pour garantir que le risque élevé n’est plus susceptible de se réaliser ou si la communication à la personne concernée exige des efforts disproportionnés ; dans ce cas, une communication publique devra être faite.

La notification doit décrire la nature de la violation, donner l’identité et les coordonnées du DPO, indiquer les mesures à prendre pour atténuer les conséquences négatives, décrire les conséquences de la violation et les mesures proposées ou prises pour remédier à la violation.





66


Pour être en mesure de déterminer les mesures de sécurité à mettre en place dans votre cabinet, il est indispensable d’apprécier les risques sur les données personnelles engendrés par chaque traitement réalisé.

Les risques sur les données personnelles sont de trois ordres : accès illégitime aux données, modification non désirée des données, disparition des données.

L’appréciation de ces risques pour votre cabinet se fait en identifiant :

• les impacts potentiels sur les droits et libertés des personnes concernées des traitements réalisés en cas d’accès illégitime à des données, en cas de modification non désirée de données ou en cas de disparition de données ;

• les sources de risques - qui ou quoi pourrait être à l’origine de chaque évènement redouté ? ;

• les menaces réalisables - qu’est-ce qui pourrait permettre que chaque évènement redouté survienne ? Ces menaces se réalisent via les supports des données (matériels, logiciels, canaux de communication, supports papier, etc.), qui peuvent être utilisés de manière inadaptée, modifiés, perdus, observés, détériorés, surchargés ;

• les mesures existantes ou prévues qui permettent de traiter chaque risque (la réalisation d’un audit de sécurité permet d’avoir une vue d’ensemble des mesures mises en place ou à adopter – voir partie sur l’audit technique ci-dessous) ;

• Enfin l’estimation de la gravité et la vraisemblance des risques, au regard des éléments ci-dessus

Vous trouverez en annexe un exemple de tableau à renseigner pouvant vous servir de base pour apprécier les risques dans votre cabinet.

Une fois cette appréciation des risques réalisée, vous pouvez déterminer les mesures de sécurité à mettre en place. Ainsi, si votre cabinet ne traite qu’un volume faible de données personnelles basiques, le risque pourra paraitre négligeable si votre cabinet a mis en place un certain nombre de mesures de sécurité. Il ne sera dès lors pas nécessaire de prévoir des actions supplémentaires.

Si votre cabinet traite un volume modéré de données basiques ou un volume faible de données sensibles ou un volume élevé de données anonymisées, le risque sera modéré. Si votre cabinet traite un volume modéré de données sensibles ou un volume élevé de données basiques, le risque pourra être



67

qualifié d’important. Enfin si votre cabinet traite un volume élevé de données sensibles, le risque pourra être estimé maximal. Dans tous ces cas, le niveau de sécurité devra être adapté en conséquence.

Quelles sont les mesures de sécurité principales à mettre en place ?

Sensibiliser les utilisateurs :

Il est nécessaire de sensibiliser les utilisateurs sur ces questions de sécurité des données.

Il est ainsi nécessaire de documenter les procédures d’exploitation, de les tenir à jour et de les rendre disponibles à tous les utilisateurs concernés. Toute action sur un traitement de données à caractère personnel, qu’il s’agisse d’opérations d’administration ou de la simple utilisation d’une application, doit être expliquée dans un langage clair et adapté à chaque catégorie d'utilisateurs, dans des documents auxquels ces derniers peuvent se référer.

L’établissement de fiches réflexes permettant de garantir la bonne application des procédures ainsi que d’une politique de gestion des données personnelles est également préconisée.

La mise en place d’une charte informatique ou politique interne informatique est également préconisée depuis longtemps par la CNIL afin que le responsable de traitement s’assure d’avoir répondu à toutes ses obligations, en particulier aux obligations d’information et de sécurisation des données.

Elle établit, de façon générale, les règles d’utilisation par les salariés du système d’information et de communication du conseil, et contient les sanctions du non-respect de ces règles.

Cette charte doit concerner spécifiquement les salariés du cabinet d’expertise comptable et être annexée au Règlement intérieur éventuellement existant.

Elle informe les salariés sur les procédés de surveillance dont ils font l’objet. Elle peut également avoir un effet dissuasif sur les salariés qui utiliseraient de façon répréhensible les outils mis à leur disposition.

Le contenu de la charte doit être soumis aux mêmes instances que celles validant le Règlement intérieur (représentants du personnel s’il y en a, inspection du travail etc.).

Un exemple de charte informatique est fourni en annexe.



68

Enfin, il faut insérer dans les contrats de travail des salariés des clauses relatives à la protection des données personnelles. Vous trouverez des exemples de clause en annexe.

Il peut également être ajouté dans les contrats avec les prestataires une clause permettant de retenir la faute de la personne dès lors qu’elle divulgue une information confidentielle sans autorisation préalable (voir annexe). Peu importe que le prestataire présente un contrat-type, il est toujours possible d’y ajouter certaines clauses.

Cette clause peut être large, la confidentialité s’appliquant alors à toutes les informations écrites et verbales, qui seraient communiquées ou acquises, tant lors de la négociation du contrat, que lors de son exécution. Elle peut également être limitée à certaines informations, par le biais d’une énumération ou d’un renvoi à des documents visés par les parties.

Il est important de prévoir l’entretien de l’environnement des salles informatiques (climatisation, onduleur, etc). Une panne sur ces installations a souvent comme conséquence l’arrêt des machines ou l’ouverture des accès aux salles (circulation d’air) neutralisant de facto des éléments concourant à la sécurité physique des locaux. Les opérations de maintenance doivent être encadrées pour maitriser l’accès aux données par les prestataires. Un exemple de clause en annexe vous est proposé en ce sens.

Elaborer une politique d’accès

Les droits d’accès aux données doivent être précisément définis en fonction des besoins réels de chaque personne (lecture, écriture, suppression). Ainsi, les données à caractère personnel ne doivent être consultées que par les personnes habilitées à y accéder en raison de leurs fonctions. S’agissant par exemple de la gestion de la paie des salariés du cabinet, les personnes habilitées sont les membres du service des ressources humaines. En ce qui concerne les données de connexion à internet, seuls les administrateurs réseaux doivent y avoir accès.

Les données peuvent néanmoins être communiquées à des tiers autorisés en application de dispositions législatives particulières (inspections du travail, services fiscaux, services de police).

Il est donc recommandé d’établir, de documenter et de réexaminer régulièrement une politique de contrôle d’accès en rapport avec les traitements mis en œuvre par l’organisation qui doit inclure :

• les procédures à appliquer systématiquement à l’arrivée ainsi qu’au départ ou au changement d’affectation d’une personne ayant accès aux données à caractère personnel ;



69

• les conséquences prévues pour les personnes ayant un accès légitime aux donnés en cas de non-respect des mesures de sécurité ;

• les mesures permettant de restreindre et de contrôler l’attribution et l’utilisation des accès au traitement.

La CNIL recommande de ne pas :

• Créer ou utiliser des comptes partagés par plusieurs personnes.

• Donner des droits d’administrateurs à des utilisateurs n’en ayant pas besoin.

• Accorder à un utilisateur plus de privilèges que nécessaire.

• Oublier de retirer des autorisations temporaires accordées à un utilisateur (pour un remplacement, par exemple).

• Oublier de supprimer les comptes utilisateurs des personnes ayant quitté l’organisation ou ayant changé de fonction.

Authentifier les utilisateurs

Pour s’assurer qu’un utilisateur accède uniquement aux données dont il a besoin, il doit être doté d’un identifiant propre.

Il est recommandé sur ce point de suivre la recommandation de la CNIL dans le cas des authentifications des utilisateurs basées sur des mots de passe. Cette dernière préconise de stocker les mots de passe de façon sécurisée et en appliquant les règles de complexité suivantes :

• au moins 8 caractères comportant 3 des 4 types de caractères (majuscules, minuscules, chiffres, caractères spéciaux) si l’authentification prévoit une restriction de l’accès au compte (cas le plus courant) comme une temporisation d’accès au compte après plusieurs échecs, un « Captcha », un verrouillage du compte après 10 échecs, 12 caractères minimum et 4 types de caractères si l’authentification repose uniquement sur un mot de passe ;

• plus de 5 caractères si l’authentification comprend une information complémentaire. L’information complémentaire doit utiliser un identifiant confidentiel d’au moins 7 caractères et bloquer le compte à la 5ème tentative infructueuse ;

• le mot de passe peut ne faire que 4 caractères si l’authentification s’appuie sur un matériel détenu par la personne et si le mot de passe n’est utilisé que pour déverrouiller le dispositif matériel détenu en propre par la personne (par exemple une carte à puce ou téléphone portable) et qui celui-ci se bloque à la 3ème tentative infructueuse



70

La CNIL met en avant ce qu’il ne faut pas faire en matière de gestion des mots de passe :

• Communiquer son mot de passe à autrui.

• Stocker ses mots de passe dans un fichier en clair, sur un papier ou dans un lieu facilement accessible par d’autres personnes.

• Enregistrer ses mots de passe dans son navigateur sans mot de passe maître.

• Utiliser des mots de passe ayant un lien avec soi (nom, date de naissance, etc).

• Utiliser le même mot de passe pour des accès différents.

• Conserver les mots de passe par défaut.

• S’envoyer par e-mail ses propres mots de passe.

Tracer les accès et sécuriser

Il est recommandé d’adopter les dispositifs suivants :

• Protection du réseau du cabinet (antivirus, firewall, proxy)8

• Filtrer l’accès à Internet et protéger le réseau WIFI en utilisant un chiffrement WEP

• Mise en place d’un système de verrouillage automatique des sessions en cas de non utilisation des postes informatiques après un temps donné

• Utilisation de services sécurisés

• Ne pas utiliser des comptes utilisateurs génériques (c’est à dire partagés entre plusieurs utilisateurs).

• Mise en place d’un système de journalisation des activités des utilisateurs, des anomalies et des évènements liés à la sécurité

• Ne pas utiliser pour d’autres fonctions les serveurs hébergeant les bases de données, notamment pour naviguer sur des sites web, accéder à la messagerie électronique, etc.

• Sécurité et suivi des opérations de maintenance (accès à distance)

8 La CNIL recommande de ne pas utiliser le protocole telnet pour la connexion aux équipements actifs du réseau (pare-feu, routeurs, passerelles). Il convient d’utiliser plutôt SSH ou un accès physique direct à l’équipement.



71

• Sécurisation des matériels mobiles (ordinateur portable, clés USB, Iphone, Ipad, téléphones mobiles, CD-ROM)

• Chiffrement et anonymisation des données (en cas de fuite de données chiffrées, celles-ci ne peuvent être exploitées, dans la mesure où elles demeurent illisibles)9.

Votre cabinet peut par ailleurs décider de s’appuyer sur un standard de sécurisation qui lui semble adapté à sa situation. Il en existe plusieurs, régulièrement cités tels que l’ISO 27001 (standard de spécification du système de management de la sécurité de l’information (SMSI) - recense les mesures de sécurité nécessaires à la protection des fonctions et données contre tout vol, altération ou perte, et les systèmes informatiques contre toute intrusion ou sinistre), l’ISO/IEC 29100 « cadre de référence sur la protection des données à caractère personnel « ou l’ISO 20000-1 sur les systèmes de management de services IT.

Ce qu’il ne faut pas faire selon la CNIL :

• Ne pas transmettre des fichiers contenant des données personnelles en clair via des messageries grand public.

• Utiliser les informations issues des dispositifs de journalisation à d’autres fins que celles de garantir le bon usage du système informatique (par exemple, utiliser les traces pour compter les heures travaillées est un détournement de finalité, puni par la Loi).

• Utiliser des systèmes d’exploitation obsolètes.

• Donner des droits administrateurs aux utilisateurs n’ayant pas de compétences en sécurité informatique.

• Utiliser comme outil de sauvegarde ou de synchronisation les services cloud installés par défaut sur un appareil sans analyse approfondie de leurs conditions d’utilisation et des engagements de sécurité pris par les fournisseurs de ces services.

Services de stockage en ligne ou cloud :

Si votre cabinet utilise des services de stockage en ligne ou sur le cloud ou utilise des applications selon le modèle SAAS (« software as a service » – les

9 Attention, il ne faut pas confondre fonction de hachage et chiffrement. La fonction de hachage seule n’est pas suffisante pour assurer la confidentialité d’une donnée. Bien que les fonctions de hachage soient des fonctions « à sens unique », c’est-à-dire des fonctions difficiles à inverser, une donnée peut être retrouvée à partir de son empreinte. Ces fonctions étant rapides à utiliser, il est souvent possible de tester automatiquement toutes les possibilités et ainsi de reconnaitre l’empreinte.



72

données ou applications sont stockées sur des serveurs distants et non sur la machine de l’utilisateur), il faut impérativement vous poser la question du lieu où les données sont stockées. La question du stockage des données hors de l’Union européenne est en effet très sensible (voir partie ci-après).

Votre cabinet doit demander aux prestataires de services de cloud, les informations suivantes :

• Dans quelles conditions les données sont transférées en dehors de l’UE,

• S’il existe des centres de données secondaires en dehors de l’UE,

• Comment et sous quel délai vous serez informé de tout changement,

• Les détails et la durée des plans de recouvrement des données,

• Comment les données sont retirées des facilités de stockage hors UE,

• La nature et le contenu des plans de continuité du service en cas de restructuration ou de changement de propriétaire,

• Les modes de notification des failles de sécurité.

Le cabinet devra s’assurer également que le prestataire de cloud supprime bien les données personnelles pour lesquelles une personne physique aura fait jouer son droit à l’oubli.

Pour plus de détail sur les précautions à prendre, vous pouvez vous appuyer sur la recommandation de la CNIL « pour les entreprises qui envisagent de souscrire à des services de Cloud computing » :

https://www.cnil.fr/sites/default/files/typo/document/Recommandations_pour_les_entreprises_qui_envisagent_de_souscrire_a_des_services_de_Cloud.pdf

La CNIL a constaté que dans certains cas les clients, bien que responsables du choix de leurs prestataires, ne peuvent pas réellement leur donner d’instructions et ne sont pas en mesure de contrôler l’effectivité des garanties de sécurité et de confidentialité apportées par les prestataires. Cette absence d’instruction et de moyens de contrôle est due notamment à des offres standards, non modifiables par les clients, et à des contrats d’adhésion qui ne leur laissent aucune possibilité de négociation.

Aussi, dans ces situations, le prestataire informatique pourrait a priori être considéré comme conjointement responsable puisqu’il participe à la détermination des finalités et des moyens des traitements de données à caractère personnel. Afin de prévenir tout risque de dilution des responsabilités dû à la présence de responsables de traitement conjoints, la CNIL demande à ce qu’un partage clair des responsabilités soit réalisé dans le contrat de prestation afin d’éviter notamment que les personnes






73

physiques concernées ne soient affectées par la présence de responsables conjoints du traitement.

Sécurité des locaux :

Tout responsable de traitement, responsable conjoint ou sous-traitant de données personnelles doit également adopter des mesures de sécurité physiques (sécurité des locaux). L’intrusion de personnes étrangères au cabinet sans autorisation pourrait être un risque à la fois pour la sécurité du personnel, mais aussi pour la sécurité des informations (dont certaines sont confidentielles), dossiers ou matériels informatiques. Le cabinet a donc la possibilité d’inscrire dans son Règlement intérieur les modalités de restriction et de régulation des personnes étrangères. La présence de personnes étrangères dans le bâtiment peut être soumise à autorisation.

Il incombe au cabinet de recourir à des entreprises spécialisées dans la sécurité, à une surveillance interne (accueil), à des badges ou cartes électroniques ou encore à la vidéosurveillance pour assurer le contrôle des entrées dans le bâtiment. Chacun de ces moyens possède son propre encadrement juridique.

Toutefois, pour pouvoir être mis en place de façon licite, il convient de respecter et de renvoyer aux dispositions légales relatives aux représentants du personnel. Ces derniers ne peuvent être empêchés de circuler librement dans le cabinet.

Les laissez-passer pour accéder au cabinet peuvent prendre différentes formes. Il peut s’agir d’une carte d’identité professionnelle, d’une carte à puce ou encore d’un badge électronique.

La CNIL autorise la mise en place de tout système de contrôle des habilitations d’entrées et de sorties dès lors que cela permet uniquement un accès au bâtiment au même titre qu’une clé ou un code.

De son côté, le droit du travail impose à l’employeur, dès lors que le badge produit un contrôle nominatif, d’informer individuellement et au préalable les salariés (art. L 1222-4 du code du travail) de leur droit d’accès et de rectification des informations, ainsi que les organes représentatifs des salariés (art. L 2323-32 du code du travail).

Les textes autorisent la vidéosurveillance dans les entreprises privées dans un but de protection des personnes et des biens, et non pour surveiller l’activité professionnelle des salariés. La mise en œuvre d’un système de vidéosurveillance des employés doit respecter le principe de proportionnalité. Elle doit donc s’effectuer de façon adéquate, pertinente, non excessive et strictement nécessaire à l’objectif poursuivi.



74

Ainsi, les caméras peuvent être installées aux entrées et sorties des bâtiments des issues de secours et des voies de circulation mais elles ne doivent pas filmer les salariés sur leur poste de travail.

La conservation des enregistrements vidéo ne doit pas s’étendre au-delà d’un mois. Cette durée maximum peut être paramétrée dans le système. Les enregistrements doivent ensuite être détruits.

Les salariés doivent être individuellement informés au préalable à la mise en place de tout système de vidéosurveillance (article L 1222-4 du code du travail).

Les visiteurs doivent être informés au moyen d’un panneau visible de l’existence du dispositif de vidéosurveillance, du nom de son responsable et de la procédure à suivre pour demander l’accès aux enregistrements visuels les concernant.

Pour aller plus loin

Votre cabinet peut s’appuyer sur plusieurs documents de l’ANSSI (agence nationale de la sécurité des systèmes d’information) en matière de sécurité informatique :

• Guide d’hygiène informatique – Renforcer la sécurité de son système d’information en 42 mesures

• Sécurité des mots de passe

• Le guide d’externalisation pour les systèmes d’information

• Le guide sur la virtualisation

• Les notes techniques (exemple celle sur la sécurité web).

Ces documents sont accessibles sur le site de l’agence http://www.ssi.gouv.fr/entreprise/bonnes-pratiques

7. Quid des données transférées dans d’autres pays ?

Le transfert des données au sein de l’UE est admis sans difficulté. Par contre, le principe est qu’à l’exception des opérations ponctuelles, le transfert de données personnelles (hébergement de données dans un autre pays, call center, filiale hors UE, usines de fabrication ou prestataire de service hors UE etc.) vers un pays situé en dehors de l’UE et de l’Espace économique européen n’est pas autorisé.

http://www.ssi.gouv.fr/entreprise/bonnes-pratiques



75

Trois exceptions permettent de transférer les données personnelles dans les pays hors UE :

Le transfert est possible lorsque le pays de destination a fait l’objet d’une décision d’adéquation de la part de la Commission européenne. L’Etat doit respecter l’état de droit, permettre l’accès à la justice, respecter les droits humains et les libertés fondamentales et avoir des lois appropriées relatives à la sécurité publique, la défense, la sécurité nationale, l’ordre public et le droit pénal.

Les pays reconnus par la Commission Européenne comme offrant un niveau de protection adéquat (transferts autorisés) sont : Andorre, Argentine, Canada, Guernesey, Île de Man, Îles Féroé, Israël, Jersey, Nouvelle-Zélande, Suisse, Uruguay. Cette liste est publiée sur le site de la CNIL et est revue tous les 4 ans.

La seconde exception correspond au cas dans lequel le transfert de données fait l’objet de garanties appropriées pour la protection des données (instrument juridiquement contraignant entre les autorités, règles d’entreprises contraignantes – Binding corporate rules ou BCR qui fixent les règles applicables aux transferts de données hors UE et EEE entre les entités d’un groupe, clauses de protection des données, codes de conduite ou certification).

Des exceptions à cette interdiction de transfert des données hors du respect de ces deux conditions, sont également prévues :

• si le consentement de la personne concernée a été recueilli après information sur les risques relatifs à l’absence de décision d’adéquation et de garanties,

• si le transfert est nécessaire à l’exécution ou à la conclusion d’un contrat avec la personne concernée ou dans son intérêt,

• pour des raisons importantes liées à l’intérêt public,

• dans le cadre d’une demande en justice,

• pour la protection des intérêts vitaux de la personne concernée ou d’autres personnes,

• si le transfert est réalisé à partir d’un registre destiné à offrir des informations au public et ouvert à consultation mais seulement dans la mesure autorisée par les lois applicables.

Les Etats-Unis ne bénéficient pas d’une décision d’adéquation de l’UE. La tradition juridique de ce pays favorise la libre circulation de l’information, la patrimonialisation et donne des droits importants à l’Etat (Patriot act). Le niveau de protection est donc inférieur à celui de l’Europe. Cependant, de nombreux sous-traitants sont installés aux Etats-Unis (Microsoft etc.). Un



76

dispositif particulier a été mis en place : le EU-US Privacy Shield adopté en juillet 2016 (qui succède au Safe Harbor) et permet le transfert de données à des sociétés américaines protégées par celui-ci.

Les entreprises doivent demander à en bénéficier dès lors qu’elles respectent certains principes : informations des personnes, liberté de choix, responsabilité des transferts subséquents, sécurité des données etc. Elles sont inscrites sur un registre tenu par l’administration américaine (https://www.privacyshield.gov/welcome).

Il faudra donc vérifier si les données personnelles sont transférées aux Etats-Unis que la société qui les détient est bien protégée par le EU-US Privacy Shield.


Cet aspect est à prendre en considération pour les cas ou votre cabinet serait amené dans le cadre de son organisation à transférer des données personnelles à des structures basées à l’étranger.

De même il faudra être attentif aux cas plus fréquents ou il s’agit d’un prestataire ou sous-traitant qui transfère ces données à l’étranger pour assurer le traitement pour lequel vous avez contracté avec lui. Il s’agit d’un point de vigilance incontournable pour les prestations de cloud (voir partie ci-dessus sur la sécurité des données).

8. Quid des sanctions ?

Le non-respect de règles relatives à la protection des données personnelles peut être sanctionné au plan pénal, administratif ou civil.

Au plan pénal

Les sanctions pénales concernant les atteintes aux données personnelles peuvent être prononcées par le juge répressif sur le fondement du code pénal.

Dix-neuf incriminations sont prévues par le Code pénal, notamment le fait de « procéder ou faire procéder à un traitement(...) incluant parmi les données sur lesquelles il porte le numéro d’inscription au répertoire national d’identification des personnes physiques » (article 226-16-1 du Code pénal). Est également incriminé « le fait de collecter à caractère personnel par un moyen frauduleux, déloyal ou illicite » (article 226-18 du Code pénal), ou bien encore le fait, y compris par négligence, de procéder ou de faire



77

procéder à un traitement qui a fait l’objet d’une injonction de cesser le traitement ou d’un retrait d’autorisation (article 226-16 al 2 du code pénal). Le défaut de sécurité peut également être sanctionné (article L 226-17 du code pénal) ainsi que le détournement de finalité (article 226-21 du code pénal).

Certaines de ces infractions constituent des délits et d’autres des contraventions de 5éme classe. Les délits sont réprimés par des peines pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende.

Au plan administratif

La CNIL a également pour mission de contrôler l’application des règles relatives à la protection des données.

Elle peut donc effectuer des enquêtes à cette fin, et notamment :

• ordonner la communication de toute information dont elle a besoin pour l’accomplissement de ses missions ;

• procéder à des audits de protection des données ;

• procéder à un examen des certifications délivrées ;

• notifier une violation alléguée du RGPD ;

• obtenir l’accès à toutes les données à caractère personnel et informations nécessaires à l’accomplissement de ses missions ;

• obtenir l’accès à tous les locaux, notamment à toute installation et à tout moyen de traitement.

Par ailleurs, toute personne concernée a le droit d’introduire une réclamation auprès de la CNIL si elle considère qu’un traitement de données à caractère personnel la concernant constitue une violation des textes.

Suite à une enquête ou à une réclamation introduite par une personne concernée, la CNIL dispose du pouvoir d’adopter diverses mesures correctrices (article 58.2 du RGPD), à savoir :

• un avertissement qui peut être rendu public ;

• un rappel à l’ordre en cas de violation du règlement ;

• une mise en conformité avec le RGPD : ordonner et mettre les opérations de traitement en conformité avec le règlement ;

• respect des droits des personnes : - Ordonner de satisfaire aux demandes présentées par la personne

concernée en vue d’exercer ses droits ;



78

- Ordonner de communiquer à la personne concernée une violation de données à caractère personnel ;

- Ordonner la rectification ou l’effacement des données, ou la limitation du traitement conformément au règlement, et la notification de ces mesures aux destinataires auxquels les données ont été divulguées.

• Imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement.

• Retirer une certification, demander à l’organisme de certification de retirer une certification ou de ne pas délivrer une telle certification si les conditions requises ne sont pas ou plus satisfaites.

• Ordonner la suspension des flux de données adressées à un destinataire situé dans un pays tiers à l’UE ou à une organisation internationale.

Par ailleurs, des amendes administratives peuvent être prononcées par la CNIL, en complément ou à la place des mesures ci-dessus.

Le RGPD instaure une série de critères sur lesquels la CNIL peut s’appuyer pour fixer le montant de l’amende (article 83.2 du RGPD) notamment :

• la nature, la gravité et la durée de la violation ;

• le caractère délibéré ou non de la violation ;

• les mesures prises par le responsable de traitements ou le sous-traitant pour atténuer le dommage ;

• le degré de coopération avec l’autorité de contrôle en vue de remédier à l’infraction ou d’en atténuer les effets ;

• la nature des données à caractère personnel concernées par la violation (...).

En pratique, s’agissant des amendes administratives encourues, le RGPD distingue les violations en deux catégories :

• Les amendes administratives pouvant s’élever jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu) notamment : - non-respect des principes de privacy « by design » et « by default » ; - absence de tenue du registre des activités de traitement lorsqu’il

est obligatoire ; - absence de notification à l’autorité de contrôle ou à la personne

concernée d’une violation de données à caractère personnel ; - mesures de sécurité des données inexistantes, insuffisantes ou

inappropriées ;



79

- absence de réalisation de l’analyse d’impact lorsqu’elle est nécessaire ;

- défaut d’encadrement contractuel des relations entre les responsables conjoints de traitement ou avec les sous-traitants ;

- absence de désignation d’un délégué à la protection des données dans les hypothèses où une telle désignation est obligatoire.

• Les amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant le plus élevé étant retenu) notamment : - non-respect des principes de base applicables aux traitements de

données à caractère personnel (transparence, limitation des finalités, minimisation des données, durée de conservation...) ;

- non-respect des conditions de licéité du traitement ; - non-respect des droits des personnes concernées (information,

accès, rectification, effacement,...); - non-respect des conditions devant présider à la mise en œuvre de

traitements de données « particulières » ; - mise en œuvre de transferts de données vers des pays tiers ou une

organisation internationale sans que les conditions requises soient respectées ;

- non-respect d’une injonction prononcée par l’autorité de contrôle.

Au plan civil

La personne dont les données personnelles ont été violées peut obtenir réparation sur le terrain de la responsabilité civile.



80

La loi informatique et liberté de 1978 permettait déjà aux victimes d’un traitement illicite d’obtenir réparation auprès du responsable de traitement, sur le fondement du droit commun.

Le RGPD introduit plusieurs nouveautés.

La responsabilité du sous-traitant peut être engagée par toute personne dont les données personnelles sont violées. Le RGPD pose le principe selon lequel toute victime d’une non-conformité « a le droit d’obtenir du responsable de traitement ou du sous-traitant réparation du préjudice subi » (article 82.1 du RGPD).

Une responsabilité solidaire entre le responsable de traitement et le sous-traitant est créée.

• la personne concernée peut demander réparation de l’intégralité du préjudice soit au responsable de traitement ou au sous-traitant ;

• lorsque l’une des parties a réparé l’intégralité du dommage, celle-ci dispose ensuite d’un recours contre l’autre partie à hauteur de sa part de responsabilité dans le dommage.

La solidarité n’est valable que si les parties sont toutes responsables du manquement à l’origine du dommage. Tel ne sera pas le cas, si dans les contrats, les parties définissent clairement les rôles et responsabilités de chacune d’entre elles. Dans ce cas, chaque partie est seule responsable du dommage généré par un manquement aux obligations dont elle a la charge, et endosse seule cette responsabilité vis-à-vis de la personne dont les données personnelles sont violées.

A noter que depuis la loi n°2017-55 du 20 janvier 2017, un mécanisme d’action de groupe permet à une association satisfaisant à certaines conditions d’exercer une action pour obtenir la cessation d’un manquement pour le compte d’un collectif de victimes. Le RGPD étend cette action de groupe aux actions indemnitaires.


Même si la sanction pénale et la sanction financière ont moins de probabilités d’être prononcées à l’encontre de la majorité des cabinets d’expertise comptable qui ne traitent pas de grands volumes de données ou de données particulièrement sensibles, le simple avertissement peut avoir des conséquences négatives importantes.

Cet avertissement peut en effet être rendu public ce qui peut avoir un effet dévastateur pour la réputation du cabinet. Les réseaux sociaux peuvent également s’en faire l’écho ce qui peut être préjudiciable au cabinet.



81

Quelques conseils pratiques en cas de contrôle de la CNIL

Le contrôle porte sur tout traitement de données à caractère personnel mis en œuvre, en tout ou partie, sur le territoire français, même lorsque le responsable du traitement est établi sur le territoire d’un autre Etat membre de l’Union européenne.

Les cabinets d’expertise comptable sont donc concernés mais ne seront pas les premiers à être contrôlés au regard des entreprises existantes qui collectent des données sensibles et qui ont des activités de base les amenant à réaliser un suivi régulier et systématique de personnes à grande échelle.

Comment se passe les contrôles de la CNIL ?

La CNIL peut vérifier la mise en œuvre de la loi :

• sur place,

• sur pièces,

• sur audition,

• en ligne.

Comment votre cabinet sera-t-il informé du contrôle ?

Conformément aux articles 61 et suivants du décret n°2005-1309 du 20 octobre 2005 (modifié) pris pour l’application de la loi n°78-17 du 6 janvier 1978, la Cnil doit informer de :

• L’objet du contrôle

• L’identité et la qualité des personnes contrôlées

• Le cas échéant le droit d’opposition.

La Cnil doit donner ces informations au responsable du traitement au plus tard au début du contrôle sur place ou, en cas d’absence, dans les huit jours suivant le contrôle. L’information préalable du responsable du traitement est une décision prise en opportunité par la Cnil (D. 2005-1309, art. 62).

Est-il possible de vous opposer au contrôle ?

Conformément à l’article 44, II de la loi du 6 janvier 1978, vous devez être informé de votre droit à vous opposer à ce contrôle.

Les motifs de l’opposition seront portés au procès-verbal dressé par les agents de la Cnil et les opérations de contrôle ne pourront intervenir



82

qu’après autorisation du juge des libertés et de la détention, compétent qui dispose de 48h pour accepter ou refuser à la demande.

Vous pouvez vous opposer au contrôle sur le fondement du secret professionnel. Dans ce cas, vous devez indiquer les dispositions législatives ou réglementaires sur lesquels vous vous appuyez, ainsi que la nature des données que vous estimez couvertes par le secret professionnel. Le secret professionnel ne peut concerner que les fichiers comportant des éléments confidentiels. La mention de l’opposition, son fondement textuel, ainsi que la nature des données couvertes par le secret professionnel figurent sur le procès-verbal.

Par exception, en cas d’urgence, de risque de destruction ou de dissimulation de documents, ou lorsque la gravité des faits le nécessite, le contrôle peut intervenir sans information de votre cabinet et sur autorisation préalable du juge des libertés et de la détention, compétent. Vous ne serez alors pas en mesure de vous opposer au contrôle.

Si le contrôle est autorisé par le juge, il est placé sous son autorisation et contrôle. Il doit alors avoir lieu en présence de l’occupant des lieux ou de son représentant qui peut se faire assister d’un conseil de son choix ou, à défaut, en présence de deux témoins qui ne sont pas placés sous l’autorité des personnes chargées de procéder au contrôle. Attention, les personnes chargées du contrôle n’ont aucune obligation d’attendre l’arrivée de l’avocat pour effectuer les opérations de contrôle.

L’ordonnance ayant autorisé le contrôle mentionne que le juge peut être saisi à tout moment d’une demande de suspension ou d’arrêt de la visite. Elle indique également le délai et la voie de recours (appel devant le premier président de la Cour d’appel).

En cas d’autorisation par le juge du contrôle de la CNIL, conformément à l’article 51 de la loi du 6 janvier 1978, le délit d’entrave à l’action de la Cnil est puni d’un an d’emprisonnement et de 15 000 euros d’amende.

Ce délit est constitué par :

• Le refus de se soumettre à l’exercice de vérifications malgré l’autorisation du juge des libertés et de la détention.

• Le refus de communiquer aux membres et agents habilités de la Cnil les renseignements et documents utiles à leur mission en les dissimulant ou en les faisant disparaitre.

• La communication d’informations non conformes au contenu des enregistrements tel qu’il était au moment où la demande a été formulée ou qui ne présentent pas ce contenu sous une forme directement accessible.



83

Conformément à l’article 44 de la loi du 6 janvier 1978, les membres et les agents habilités de la Cnil peuvent procéder à des opérations de contrôle de traitement dans les locaux du responsable entre 6 heures et 21 heures.

Quelles sont les personnes habilitées à faire les contrôles et leurs pouvoirs ?

Les membres et agents de la Cnil reçoivent habilitation pour procéder à des opérations de contrôle sur place. Une carte professionnelle leur est remise à cet effet et leur permet d’attester qu’ils ont été habilités à effectuer lesdits contrôles. Cette habilitation est valable pour une durée de cinq ans, renouvelable.

Une mission de contrôle vise prioritairement à obtenir copie du maximum d’informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en œuvre des traitements de données à caractère personnel. Dans le cadre des opérations de contrôle, les membres et agents habilités (L. 78-17, art. 44, III) sont autorisés à :

• Obtenir communication et copie de tout document, quel qu’en soit le support, leur permettant d’apprécier les conditions dans lesquelles des traitements automatisés de données à caractère personnel, notamment en termes de sécurité, d’information des personnes, de modalités de collecte des données, sont mis en œuvre. Il peut s’agir de : contrats (location de fichiers, sous-traitance informatique etc.), formulaires, dossiers papiers, bases de données informatiques, accéder aux programmes informatiques et aux données.

• Demander la transcription de tout document directement utilisable pour les besoins du contrôle.

• Recueillir tout renseignement technique ou juridique ou toute justification utile à l’accomplissement de leur mission.

La Cnil peut également, dans le cadre de sa mission de contrôle, convoquer toute personne dont l’audition lui parait utile et nécessaire.

Que contient le procès-verbal de constatation ?

Le procès-verbal de constatation est établi sur la base des éléments recueillis lors du contrôle et contient, conformément à l’article 64 du décret du 20 octobre 2005 :

• L’objet de la mission de contrôle,

• La nature du contrôle,

• Le jour et l’heure des opérations de contrôle,



84

• Le lieu de vérifications ou des contrôles effectués,

• Les membres présents lors du contrôle,

• Les personnes rencontrées,

• Les contrôles effectués,

• Les éventuelles difficultés rencontrées,

• Le cas échéant, l’opposition au contrôle du responsable des locaux sur le fondement du secret professionnel, les dispositions législatives ou réglementaires sur lesquels il s’appuie, ainsi que la nature des données qu’il estime couvertes par le secret professionnel.

En annexe doit figurer l’inventaire des pièces et documents dont les personnes chargées du contrôle ont pris copie. S’agissant de la mise sous scellé des différents éléments saisis, la loi est silencieuse.

Quelle est la portée du procès-verbal ?

La loi prévoit que le procès-verbal doit être établi contradictoirement par les agents de la Cnil et le responsable des lieux. A cet égard, le responsable des lieux ou son représentant a la possibilité d’émettre des réserves et des commentaires.

Le procès-verbal est signé par les personnes chargées du contrôle qui y ont procédé et par le responsable des lieux ou son représentant. En cas de refus ou d’absence de celles-ci, mention en est portée au procès-verbal.

Le procès-verbal est notifié au responsable du traitement et au responsable des lieux par lettre recommandé avec accusé de réception.

La loi ne prévoit pas la nullité du procès-verbal en cas d’absence de l’une des informations précitées. En outre, elle ne prévoit aucune restitution des copies des documents et données. Toutefois, leur conservation ultérieure fait l’objet d’une procédure particulière définie par le service des contrôles afin d’en garantir la confidentialité, l’authenticité et la sécurité.

Les membres et agents de la Cnil ayant procédé au contrôle sur place sont soumis à une obligation de confidentialité.

Que se passe-t-il après le contrôle ?

A la suite du contrôle, la Cnil examine les documents dont copie a été réalisée pour apprécier si les dispositions de la loi Informatique et libertés ont été respectées. Lorsque l’examen n’appelle pas d’observations particulières, un courrier est adressé par le Président de la Cnil au



85

responsable de traitement. Ce courrier peut contenir des recommandations telles que les modifications des durées de conservation ou des mesures de sécurité.

Lorsque l’examen fait ressortir des manquements sérieux, le dossier est transmis à la formation contentieuse de la Cnil, transmission non exclusive d’une dénonciation au parquet. En effet, conformément à l’article 40 du code de procédure pénale, la Cnil a le devoir d’informer sans délai le procureur de la République des infractions dont elle a connaissance à la suite du contrôle. A cet égard, le Conseil d’Etat a précisé que les faits devant être portés à la connaissance du procureur de la République devaient lui paraitre suffisamment établis et porter une atteinte caractérisée aux dispositions dont elle a pour mission d’assurer l’application.

Quelles sont les voies de recours ?

Selon l’article 62-3 du décret du 20 octobre 2005, le premier président de la Cour d’appel connait des recours contre le déroulement des opérations de visite autorisée par le juge des libertés et de la détention.

Il s’agira, dans les autres cas, d’un recours administratif contre la Cnil.

Quelques réflexes à avoir en tête :

Mettre en place une procédure interne applicable en cas de contrôle de la Cnil, afin que ce dernier se déroule dans les meilleures conditions possibles tant pour votre cabinet que pour les agents de la Cnil.

Former et informer votre personnel.

Vérifier, lors du contrôle, que le cadre légal est respecté (information par la CNIL, conditions horaires du contrôle, habilitation des agents de contrôle, établissement du procès-verbal ...).

Pensez à opposer le secret professionnel lorsque les conditions sont réunies !

PARTIE 4

COMMENT SE METTRE EN CONFORMITE AVEC LE RGPD ?

Comment se mettre en conformité avec le RGPD ?


89

Pour se préparer aux nouvelles obligations mises à la charge des cabinets d’expertise comptable par le règlement européen, le plus simple est de procéder par étapes.

Le conseil supérieur vous propose une méthodologie en plusieurs étapes.

1. Désigner une personne responsable des données personnelles au sein de votre cabinet

Il vous faut désigner une personne qui interviendra sur ce sujet pour votre cabinet et qui sensibilisera l’ensemble du personnel sur la protection des données personnelles au travers de réunions d’information et de formations régulières.

Certaines structures ont par ailleurs l’obligation de désigner un délégué à la protection des données personnelle - DPO.

Il s’agit des autorités et organismes publics (ministères, collectivités territoriales, établissements publics), les responsables de traitement ou les sous-traitants dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle (compagnies d'assurance ou les banques pour leurs fichiers clients, opérateurs téléphoniques ou fournisseurs d'accès internet), ou dont les activités de base les amènent à traiter à grande échelle des données dites "sensibles" (données biométriques, génétiques, relatives à la santé, la vie sexuelle, l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale) ou relatives à des condamnations pénales et infractions.

Il n’y a donc pas d’obligation pour la plupart des cabinets d’expertise comptable de désigner un DPO même si la CNIL encourage cette désignation.

A noter qu’il est également possible de désigner un DPO mutualisé ou externe à la structure.

La personne en charge du sujet des données personnelles ou le DPO désigné aura pour mission de mener à bien le projet RGPD. Cette personne devra pouvoir s’appuyer sur les ressources internes notamment informatiques et juridiques et bénéficier du soutien des organes de gouvernance pour pouvoir mener à bien ce projet.



90

2. Auditer les traitements de données personnelles existants

La personne en charge du sujet pour le cabinet d’expertise comptable doit dresser un inventaire des traitements de données personnelles mis en œuvre afin d’évaluer les pratiques et identifier les risques associés à ces opérations de traitement.

Il est nécessaire de documenter les données personnelles que détient votre cabinet, d’où elles viennent, pourquoi elles ont été collectées à l’origine, combien de temps vous les conservez, quelle sécurité leur est apportée et avec qui elles sont partagées.

Vous pourrez ainsi vérifier si vous détenez des données personnelles inadaptées et ainsi rectifier la situation.

Il faut également identifier et documenter la base juridique de chaque traitement de données : est-il réalisé sur la base d’un consentement ou est-il nécessaire à l’exécution d’un contrat ? les droits des personnes physiques sont en effet différents selon la base juridique sur laquelle s’appuie le traitement de données. Les personnes physiques ont le droit d’obtenir la suppression de leurs données lorsque le traitement est basé sur leur consentement.

Cet audit est réalisé sur la base d’entretiens individuels avec les personnes du cabinet amenées à traiter des données personnelles.

Il est important également de recueillir lors de ces entretiens tous les documents relatifs à ces traitements : contrats, procédures (politique de sécurité des systèmes d’information, charte informatique, exercice des droits des personnes, formulaire de collecte des données etc.). Il est également recommandé de réaliser des tests client mystère lorsque cela est possible pour collecter ces documents (formulaire de collecte sur Internet, cookies utilisés sur le site Internet du cabinet, création de compte sur internet avec et sans achat, inscription à la newsletter etc.).

Les entretiens doivent s’appuyer sur un référentiel de conformité à élaborer par votre cabinet en fonction de son environnement. Le conseil supérieur vous propose un exemple de référentiel en annexe dont vous pouvez vous inspirer. Il comporte 12 points qui correspondent aux vérifications indispensables pour vous assurer du respect de la règlementation dans votre gestion des données personnelles :

• Recensement des traitements par finalités

• Catégories des données collectées

• Destinataires des données



91

• Outils de mise en œuvre du traitement

• Origine des données

• Mise à jour et durée de conservation des données

• Information des personnes concernées

• Exercice des droits par les personnes concernées

• Sécurité des données

• Flux transfrontières

• Vérification des déclarations antérieures CNIL

• Accountability (responsabilité)

Le référentiel permet de poser toutes les questions utiles pendant l’entretien qui permettront ensuite de dresser des fiches d’écart (voir annexe).

Ces fiches d’écart mesurent l’écart entre les objectifs fixés par la règlementation et la réalité ainsi que le risque associé.

L’évaluation du risque est importante car il est nécessaire de prévoir des mesures correctives pour les diminuer pour l’avenir. Ils doivent être évalués en fonction du contexte, de la nature de l’organisme, des enjeux et des objectifs préalablement définis.

Si votre cabinet identifie des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées (notamment les traitements de données sensibles et les traitements reposant sur le profilage), il faudra obligatoirement réaliser une étude d'impact sur la protection des données (Privacy Impact Assessment PIA – article 35 du RGPD).

Le risque élevé s’apprécie par rapport au recours à de nouvelles technologies, ainsi qu’à la nature, la portée, le contexte et les finalités du traitement. La gravité du risque peut également résulter des dommages physiques ou matériels ou du préjudice moral que la réalisation d’une menace peut entraîner. Des exemples de risques sont listés dans le considérant 75 du RGPD comme un traitement qui peut donner lieu à une discrimination, un vol ou une usurpation d’identité, une perte financière, une atteinte à la réputation, une perte de confidentialité des données protégées par le secret professionnel, à un renversement non autorisé du processus de pseudonymisation.

Cette obligation de réaliser une AIVP s’impose également pour tous les nouveaux traitements envisagés par votre cabinet dès lors qu’ils sont susceptibles d’engendrer un risque élevé pour les droits et libertés des



92

personnes physiques. L’AIVP doit en outre être remise à jour en permanence et à minima tous les trois ans.

L’article 35.3 du RGPD prévoit également que l’étude d’impact est obligatoire pour trois autres catégories de traitement :

• Prise de décision automatisée produisant des effets juridiques ou affectant de manière significative la personne concernée (traitements aboutissant à des exclusions ou discriminations),

• Traitement à grande échelle de données sensibles,

• Surveillance systématique à grande échelle d’une zone accessible au public.

Le G29 a dressé une liste de critères permettant de caractériser les traitements soumis à analyse d’impact plus large et préconise que dans le doute, une étude d’impact soit menée.

Que contient une étude d'impact sur la protection des données (PIA) ?

Toutes les études d’impact comportent à minima une description du traitement et de ses finalités, une évaluation de la nécessité et de la proportionnalité du traitement, une appréciation des risques sur les droits et libertés des personnes concernées et enfin les mesures envisagées pour traiter ces risques et se conformer au RGPD.

Le G29 propose par ailleurs de détailler un certain nombre d’éléments dans l’analyse d’impact :

• Description du traitement (article 35(7)(a) du RGPD) : - Nature, champs, contexte et finalités du traitement sont pris en

compte (considérant 90 du RGPD) ; - Les données personnelles, les récipiendaires et la période de

stockage des données personnelles sont indiquées ; - Une description fonctionnelle de l’opération de traitement est

fournie ; - Les actifs sur lesquels les données personnelles sont basées

(matériel, logiciels, réseaux, personnes, papier ou canaux de transmission papier) sont identifiés ;

- La conformité avec des codes de conduite approuvés est prise en compte (article 35(8) RGPD) ;

• Nécessité et proportionnalité (article 35(7)(b) RGPD) : - Les mesures envisagées pour se conformer au règlement sont

déterminées (article 35(7)(d) et considérant 90 RGPD) :



93

- Les mesures contribuant à la proportionnalité et à la nécessité du traitement sur la base de : Finalité(s) spécifiée(s), explicité(s) et légitime(s) (article

5(1)(b) RGPD) ; La licéité du traitement (article 6 RGPD) ; Données appropriées, pertinentes et limitées au nécessaire

(article 5(1)(c) RGPD) ; Durée de stockage limitée (article 5(1)(e) RGPD).

- Les mesures contribuant aux droits des personnes concernées : Informations fournies à la personne concernée (articles 12, 13

et 14 RGPD) ; Droit d’accès et droit à la portabilité des données (articles 15

et 20 RGPD) ; Droit à la rectification et à l’effacement (articles 16, 17 et 19

RGPD) ; Droit de refus et à la restriction du traitement (articles 18, 19

et 21 RGPD) ; Relations avec les sous-traitants (article 28 RGPD) ; Garanties encadrant les transferts internationaux (chapitre V

RGPD) ; Consultation préalable (article 36 RGPD).

• Risques relatifs aux droits et libertés des personnes concernées (article 35(7)(c) RGPD) : - Origine, nature, particularité et sévérité des risques sont appréciés

(cf. considérant 84 RGPD) ou, plus précisément, pour chaque risque (accès illégitime, modification non désirée, et disparition des données) du point de vue des personnes concernées : - Les sources des risques sont prises en compte (considérant 90

RGPD) ; - Les impacts potentiels sur les droits et libertés des personnes

concernées sont identifiés en cas d’événements incluant accès illégitime, modification non désirée et disparition des données ;

- Les menaces qui pourraient conduire à accès illégitime, modification non désirée et disparition des données sont identifiées ;

- La probabilité et la sévérité sont estimées (considérant 90 RGPD) ;

- Les mesures envisagées pour traiter ces risques sont déterminées (article 35(7)(d) et considérant 90 RGPD).

• Parties prenantes impliquées : - Le conseil du DPO est demandé (article 35(2) RGPD) ; - Les opinions des personnes concernées et de leurs représentants

sont demandées si nécessaire (article 35(9) RGPD).



94

Des modèles et guides pour réaliser une étude d’impact sont disponibles sur le site de la CNIL :

https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

Les fiches d’écarts comportent enfin des préconisations. Ce sont ces préconisations qui serviront de base au plan d’action de votre cabinet (voir partie 5 ci-dessous).

3. Réaliser un audit technique du cabinet et un audit des prestataires

L’audit technique du cabinet a pour objectif d’évaluer le niveau de sécurité des applications clés en conformité avec les exigences du RGPD (voir partie ci-dessus point 3.3 Gestion de la sécurité des données personnelles).

L’audit des traitements comporte des questions relatives à la sécurité des données (voir exemple de référentiel en annexe – point 9 – Sécurité des données). Cet audit des traitements peut cependant être utilement complété par un audit technique qui permettra de vérifier les déclarations effectuées dans le cadre des entretiens au niveau des applications et des flux, la durée effective de conservation des données, de réaliser des tests d’intrusion.

L’audit technique peut être limité aux différents systèmes et processus impliqués dans la collecte, la transmission, la conservation ou le traitement des données personnelles. Il peut être utile de regarder les systèmes d’information et de communication utilisés dans l’entreprise sans forcément que la direction en ait connaissance (fichiers stockés localement par les salariés, clouds personnels etc.).

Lors de cette évaluation du niveau de sécurité, il faut prendre en compte les risques de destruction, de perte, d’altération, de divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière ou de l’accès non autorisé à ces données de manière accidentelle ou illicite.

Au-delà de l’évaluation des moyens techniques mis en œuvre, l’audit devra permettre de déterminer le niveau de pertinence de la stratégie sécurité en place au regard de la protection de la vie privée et de préconiser des améliorations, voire sa création si nécessaire.

Le conseil supérieur vous propose en annexe un exemple de questionnaire qui peut être utilisé pour réaliser cet audit technique et l’évaluation des risques en conséquence.



95

Les tests de protection imposés par l’article 32 alinéa 1er d) du RGPD en vue du contrôle régulier des niveaux de sécurité pourront être réalisés utilement en même temps que l’audit. Il s’agit de tests de vulnérabilité, d’intrusion, de forçage des mots de passe et d’ingénierie sociale (exploitation des failles humaines). La mise en place de ces tests permettra ensuite d’apporter la preuve de l’amélioration du système de sécurité en cas de contrôle ultérieur de la CNIL.

L’audit des prestataires est également indispensable.

L’entrée en vigueur du règlement européen implique de revoir la gestion des données du cabinet mais aussi de ses fournisseurs et sous-traitants. Le cabinet doit renforcer son contrôle et vérifier le niveau de sécurité et de conformité des sous-traitants en se faisant remettre une attestation de conformité au RGPD.

L’exemple de questionnaire d’audit technique peut être utilisé pour l’audit des prestataires. Il permet au cabinet d’obtenir des informations sur les mesures mises en place par le sous-traitant en matière de gestion des données, de contrôle des accès, de protection des équipements et des réseaux.

Il permet d’identifier et ensuite de réduire les risques liés aux transmissions des données.

4. Arrêter un plan d’action

Votre cabinet après avoir réalisé ces audits est en mesure de déterminer les actions à mettre en œuvre pour respecter les nouvelles règles du RGPD et diminuer les risques pesant sur votre organisation.

Les fiches d’écarts vont vous permettre d’arrêter les points d’amélioration de la gestion des données réalisée par votre cabinet.

Un exemple de plan d’action est proposé en annexe.

Il faut que vous vous assuriez notamment que seules les données strictement nécessaires à la poursuite de l’objectif du traitement sont collectées et traitées. Il est nécessaire d’identifier la base juridique sur laquelle se fonde le traitement (par exemple : intérêt légitime, contrat, obligation légale, consentement de la personne lorsqu’il est nécessaire).

Il faut en conséquence revoir les mentions d’information à destination des personnes physiques afin qu’elles soient conformes aux exigences du RGPD,



96

les modalités d'exercice des droits des personnes concernées (droit d'accès, de rectification, droit à la portabilité, retrait du consentement etc.)

En cas de présence de sous-traitant des données, il convient de vérifier que les sous-traitants connaissent leurs nouvelles obligations, leurs responsabilités et de les documenter. Il faut ainsi vérifier les clauses prévues dans les contrats avec ces derniers et les modifier si nécessaire afin qu’elles rappellent les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées. Il existe des modèles de clauses sur le site de la CNIL.

Bien entendu, il faut revoir les mesures de sécurité mises en place pour assurer la protection des données personnelles si l’audit a démontré certaines faiblesses.

Attention, une vigilance particulière doit être portée sur les traitements de données sensibles (santé, concernant des mineurs ou ayant pour objet ou pour effet la surveillance systématique à grande échelle d'une zone accessible au public - vidéo surveillance avec biométrie, les opérations de profilage, les transferts de données hors de l'Union européenne).

5. Création du registre des traitements si nécessaire

L’audit des traitements vous permet de réaliser le « registre des traitements » prévu par l’article 30 du RGPD qui s’impose aux entreprises de plus de 250 salariés.

Pour les autres, ce registre est également nécessaire si le traitement est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s'il n'est pas occasionnel, ou s'il porte notamment sur des données sensibles ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions. Ces conditions sont appréciées individuellement comme l’a précisé le Groupe G29. Il suffit donc de faire des traitements de données personnelles de façon régulière pour être dans l’obligation de constituer un registre.

A noter que le sous-traitant comme le responsable de traitement, doit faire un registre dès lors qu’il entre dans les conditions évoquées ci-dessus. Le registre du sous-traitant doit comporter les dispositions suivantes (art 30 RGPD) :

• le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données ;



97

• les catégories de traitements effectués pour le compte de chaque responsable du traitement ;

• le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale ;

• les mesures de sécurité techniques et organisationnelles.

Ce registre lorsqu’il est réalisé doit être maintenu à jour et sert de base du respect de vos obligations lors d’un éventuel contrôle de la CNIL.

Il existe un modèle de registre dont vous pouvez vous inspirer accessible sur le site de la CNIL (https://www.cnil.fr/fr).

Les cabinets d’expertise comptable ont l’obligation de créer un registre des traitements, dès lors que leurs traitements de données ne sont pas occasionnels puisqu’ils résultent de l’exécution de la plupart de leurs missions pour leurs clients.

Vous trouverez en annexe un modèle de registre qui peut vous servir de base pour répertorier tous les traitements de données personnelles. Rappelons qu’en cas de contrôle de la CNIL, vous avez une obligation de documenter et justifier les traitements de données réalisés au sein de votre cabinet.

Ce registre est simple à réaliser dès lors que vous avez réalisé l’audit des traitements de votre cabinet. Le tableau dans lequel vous avez repertorié votre traitement peut servir de base à votre registre des traitements.

Le registre contient un certain nombre d’informations sur les traitements de données personnelles existants qui répondent en pratique aux questions ci-dessous :

Qui ? Il faut indiquer dans le registre le nom et les coordonnées du responsable de traitement (RT) (et de son représentant légal) et du délégué à la protection des données le cas échéant. Il faut identifier les responsables des services opérationnels traitant les données au sein du cabinet. Il faut également établir la liste des sous-traitants (ST) intervenant dans ce traitement.

Quoi ? il faut ici identifier les catégories de données traitées et identifier les données susceptibles de soulever des risques en raison de leur sensibilité particulière (données relatives à la santé par exemple).

Pourquoi ? le cabinet d’expertise comptable doit indiquer la ou les finalités pour lesquelles les données sont collectées ou traitées (traitement technique du dossier, gestion RH…). Les modèles de déclaration CNIL actuels



98

peuvent vous aider pour déterminer les finalités des traitements d’ores et déjà réalisés par votre cabinet.

Où ? le registre doit indiquer le pays dans lequel les données sont hébergées, celui ou ceux vers lesquels les données sont éventuellement transférées.

Jusqu’à quand ? la durée de conservation pour chaque catégorie de données doit être précisée.

Comment ? il faut mentionner les mesures de sécurité qui sont mises en œuvre pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées.

6. Organiser les procédures internes et documenter les actions menées

Il s’agit de répondre à la nouvelle obligation prévue par le RGPD d’accountability (responsabilité). Selon celui-ci il est nécessaire de mettre en œuvre des mécanismes et procédures internes permettant de démontrer le respect des règles relatives à la protection des données.

Le cabinet d’expertise comptable doit donc élaborer des procédures internes pour assurer la protection des données tout au long du traitement.

Ces procédures seront mises en place en cas de faille de sécurité, de demandes de rectification ou d’accès, de demande de modification des données collectées, de changement de prestataire etc.

Le cabinet doit établir une politique de protection des données personnelles du cabinet.

Afin de prouver la conformité du cabinet au RGPD en cas de contrôle, il sera nécessaire de constituer et de regrouper la documentation nécessaire. Il est également important que les procédures et documents réalisés à chaque étape soient réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Cette étape de documentation des travaux s’inscrit naturellement dans le respect de la norme professionnelle de maîtrise de la qualité NPMQ et est en lien avec le manuel de procédure existant dans les cabinets.

PARTIE 5

ANNEXES

Annexes


101

1. Exemple de mention d’information

Exemple de mention d’information en cas de collecte directe de données personnelles, à insérer dans le support de collecte des données (questionnaire etc.) ou les documents contractuels (contrat, conditions générales) :

« Nous vous informons que vos données à caractère personnel sont susceptibles de faire l’objet d’un traitement automatisé aux fins de [indiquer la finalité correspondante] par [nom du cabinet].

Les données collectées sont indispensables à ce traitement et sont destinées aux services concernés de [nom du cabinet]. Vos données sont susceptibles d'être conservées pour une durée de [indiquer la durée de conservation des données].

A des fins de [indiquer la finalité correspondante en cas de transfert de données hors Union européenne], vos données peuvent être transférées à [compléter le(s) destinataire(s) du transfert] situé [compléter avec le/les pays situés hors Union européenne concerné(s)].

Le transfert de ces données est encadré par les mesures à déployer pour encadrer ces flux de données comme par exemple les clauses contractuelles, l’obtention d’une autorisation ou approbation de l’autorité de contrôle, la décision d’adéquation de la Commission européenne.

Nous vous rappelons que vous disposez d’un droit à la portabilité de vos données, de droits d’accès, de rectification, de limitation et d'opposition pour motifs légitimes sous réserve des dispositions légales et réglementaires applicables. Vous avez la possibilité d’introduire une réclamation auprès d’une autorité de contrôle.

Pour exercer vos droits, il vous suffit d’adresser un email à l’adresse suivante : XXXX

Exemple de mention d’information pour l’utilisation des données à des fins commerciales (prospection électronique), à insérer dans le support de collecte des données (questionnaire etc.) ou les documents contractuels (contrat, conditions générales) :

L’information de la personne concernée porte sur tous les éléments précédemment mentionnés auxquels il faut également ajouter la case à cocher « je déclare accepter de recevoir des publicités commerciales en cochant la case suivante : □ »

Exemple de mention d’information pour l’utilisation des données collectées pour une autre finalité, à insérer dans le support de collecte

Annexes


102

des données (questionnaire etc.) ou les documents contractuels (contrat, conditions générales) :

« Les données collectées pour la finalité initiale peuvent également être transmises à nos partenaires commerciaux aux fins de traitement dont la finalité est XXX. Les destinataires des données sont XXX

Nous vous rappelons que vous disposez d’un droit à la portabilité de vos données, de droits d’accès, de rectification, de limitation et d'opposition pour motifs légitimes, du droit de retirer le consentement sous réserve des dispositions légales et réglementaires applicables.

En cas de traitement par les partenaires pour faire de la prospection électronique ou s’il s’agit de données sensibles : « je déclare accepter recevoir des publicités commerciales en cochant la case suivante : □ »

En cas de traitement par les partenaires pour faire de la prospection par voie postale ou téléphonique avec intervention humaine, de la prospection électronique pour des produits ou services analogues à ceux prévus par le traitement initial, de prospection entre professionnels, de cession à des partenaires de données relatives à l’identité, la situation familiale, économique et financière, pour s’adresser aux intéressés à des fins commerciales :

« Je refuse de recevoir des publicités commerciales en cochant la case suivante : □ »

Exemple de mention d’information pour des candidatures sur le site du cabinet :

Afin de compléter votre candidature, nous vous remercions de bien vouloir accepter la mention légale ci-dessous :

Pour vous fournir des services adaptés, et en particulier des services en lien avec une ou plusieurs offres de postes proposées par notre cabinet, nous pouvons être amenés à vous demander de fournir des informations à caractère personnel.

Notre cabinet s'engage à respecter votre vie privée et à protéger les informations que vous soumettez. En particulier, les informations à caractère personnel collectées lorsque vous postulez à une ou plusieurs offres de postes proposées sont destinées à être utilisées exclusivement par notre cabinet.

Durant la phase de recrutement, il est également possible que vos données à caractère personnel soient transférées/accessibles à/par des cabinets externes au cabinet spécialisés dans le recrutement, ce dont vous

Annexes


103

reconnaissez avoir été informé et que vous déclarez avoir accepté. Dans ce cadre, vos données peuvent être transférées à [compléter le(s) destinataire(s) du transfert] situé [compléter avec le/les pays situés hors Union européenne concerné(s)].

Vos données à caractère personnel pourront être utilisées par un ou plusieurs recruteurs du cabinet ou externes spécifiquement mandatés, dans le but par exemple d'évaluer votre candidature, de vérifier vos références et les informations fournies et de vous contacter.

Tous les cabinets externes mandatés ayant accès à vos données à caractère personnel se sont engagés à mettre en place à notre demande des mesures de sécurité techniques et organisationnelles appropriées contre toute utilisation non autorisée ou illégale, toute perte accidentelle, toute destruction ou tout endommagement de données à caractère personnel.

Vos données à caractère personnel seront conservées aussi longtemps que vous souhaitez rester candidat.

Nous vous rappelons que vous disposez d’un droit à la portabilité de vos données, de droits d’accès, de rectification, de limitation et d'opposition pour motifs légitimes, sous réserve des dispositions légales et réglementaires applicables. Vous avez la possibilité d’introduire une réclamation auprès d’une autorité de contrôle.

2. Exemples de durées de conservation recommandées

Vous trouverez dans le tableau ci-dessous des durées et des conditions de conservation et d’archivage habituellement prévues par les lois ou règlements ou recommandées par la CNIL (pour aller plus loin voir référentiel des durées de conservation de la CNIL).

Annexes


104

Nature du Fichier Durées de conservation et d’archivage

Documents comptables et pièces justificatives du cabinet d’expertise comptable (pas ceux des clients – voir ci-dessous)

Archives pendant 10 ans à compter de la clôture de l’exercice auquel ils se rattachent (article L 123-22 du code de commerce - Norme simplifiée CNIL n°48)

Registre du personnel du cabinet

Archives pendant 5 ans à compter de la date à laquelle le salarié ou le stagiaire a quitté l’établissement (article R 1221-26 code du travail)

Gestion des réunions des instances représentatives du personnel du cabinet

Les données relatives aux sujétions particulières ouvrant droit à des congés spéciaux ou à un crédit d'heures de délégation ne sont pas conservées au-delà de la période de sujétion de l'employé concerné (Norme simplifiée n°46)

Mandats des représentants du personnel du cabinet -nature du mandat et syndicat d'appartenance

6 mois après la fin du mandat (Article L 4251 du Code du travail - Article L 2411-5 du Code du travail)

Bulletins de paie et reçus pour solde de tout compte des salariés du cabinet

Archives pendant 5 ans à compter du versement de la paie (article L 3243-4 du code du travail) 10.

Documents relatifs aux charges sociales pour les salariés du cabinet

Archives pendant 3 ans à compter de la fin de l'année civile au titre de laquelle elles sont dues (article L 244-3 code de la sécurité sociale)

Registre de sécurité, de contrôle et de vérification du cabinet

Archives pendant 5 ans (article D 4711-3 code du travail)

Gestion courante du personnel du cabinet (annuaire interne, dossiers professionnels, formation continue etc.)

Conservation jusqu’au départ du salarié (Norme simplifiée n°46). Archives pendant 5 ans après le départ du salarié (Norme simplifiée : 46). Archives pendant 3 ans pour les sanctions disciplinaires (Article L 1332-5 du Code du travail). Possibilité de conserver le CV pendant 2 ans après le dernier contact avec le candidat (Recommandation : 02 -017 du 21 mars 2002)

Gestion des œuvres sociales et culturelles du cabinet

Les données sont conservées tant que la personne travaille pour l’organisme ou jusqu’à ce qu’elle en demande la suppression

Annexes


105

10 Il peut être dérogé à la conservation des bulletins de paie, pour tenir compte du recours à d'autres moyens, notamment informatiques, dans les conditions prévues au deuxième alinéa de l'article L. 8113-6 du code du travail. 11 Les salariés doivent être informés de la finalité du dispositif de contrôle et de la durée pendant laquelle les données de connexion sont conservées. 12 En règle générale, conserver les images quelques jours suffit à effectuer les vérifications nécessaires en cas d’incident, et permet d’enclencher d’éventuelles procédures disciplinaires ou pénales. Si de telles procédures sont engagées, les images sont alors extraites du dispositif (après consignation de cette opération dans un cahier spécifique) et conservées pour la durée de la procédure. Lorsque c’est techniquement possible, une durée maximale de conservation des images doit être paramétrée dans le système et elle ne doit pas être fixée en fonction de la capacité technique de stockage de l’enregistreur.


Gestion de la téléphonie du cabinet Conservation pendant 1 an (recommandation CNIL)

Gestion de la messagerie internet du cabinet

Conservation pendant 6 mois (recommandation CNIL)11

Vidéo surveillance du cabinet

Archives pendant 1 mois 12 (Loi 95-73 du 21-01-1995)

Contrôle des horaires des salariés du cabinet

Les éléments d'identification ne doivent pas être conservés au-delà de 5 ans après le départ du salarié ou de l'agent de l'entreprise ou de l'administration (Durée de prescription des salaires article L 143-14 Code du travail ; Article L 3245-1 du Code du travail conformément à l’article 2224 du Code civil). Les informations relatives aux horaires des employés peuvent être conservées pendant 5 ans. La conservation des données relatives aux motifs d'absence est limitée à une durée de 5 ans (Prescription des salaires - allongement de la durée au regard de la norme 37 qui prévoyait 2 ans - Norme simplifiée :42 sauf dispositions législatives contraires).

Badges d’accès du cabinet

Archives pendant 3 mois (historique des passages) Les éléments d'identification ne doivent pas être conservés au-delà du temps pendant lequel la personne est habilitée à pénétrer dans les locaux concernés (Délibération 97-04 4 du 10-06-1997 - Norme simplifiée n°42 - AU-008 et AU-007).

Annexes


106

13 A la fin de leurs missions, les experts-comptables se retrouvent en possession de deux types de documents : les documents reçus des clients et établis pour eux, et leurs propres documents de travail. En vertu du contrat accessoire de dépôt (articles


Gestion de la restauration des salariés du cabinet

En cas de paiement direct ou de prépaiement des repas, les données monétiques ne peuvent être conservées plus de 3 mois. En cas de paiement par retenue sur le salaire, la durée de conservation est de 5 ans (Norme simplifiée n°42).

Géolocalisation des salariés du cabinet

2 mois après la fin des déplacements (historique des déplacements pendant 1 an – Norme simplifiée n°51).

Gestion des dossiers clients 13

Conservation pendant le temps nécessaire à la gestion de la relation contractuelle. Archives pendant au minimum 8 ans après la fin de mission ou la fin des travaux, dans la limite du délai butoir de 20 ans pour la prescription civile14. 10 ans après la fin d'un contrat conclu par voie électronique avec un consommateur15 > 120€ pour établir la preuve d’un droit ou d’un contrat (article L 213-1 et R 213-1 et s du code de la consommation). Règles LAB : Conservation pendant cinq ans à compter de la clôture des comptes ou de la cessation des relations des documents et informations, quel qu'en soit le support, relatifs à l'identité des clients habituels ou occasionnels (article L 561-12 du Code monétaire et financier). Conservation pendant cinq ans à compter de leur exécution, quel qu'en soit le support, des documents et informations relatifs aux opérations faites ainsi que des documents consignant les caractéristiques des opérations mentionnées à l'article L. 561-10-2 du CMF. Les experts-comptables doivent également se conformer à la Norme Blanchiment et sont donc vivement invités à s’y référer.

Gestion des contentieux et réclamations des clients

Archives intermédiaires : conservation pendant le temps nécessaire à la gestion du contentieux (délais de recours inclus) après la connaissance d’un litige, jusqu’à la prescription de l’action.

Annexes


107

1915 et suivants du Code civil), qui le lie à son client, l’expert-comptable doit conserver les documents qu’il reçoit des clients ou qu’il crée pour eux, puis les restituer en totalité après exécution de ses obligations. La question de l’archivage des dossiers de travail ne se pose donc que pour les documents de travail des experts-comptables. 14 A défaut de connaître avec précision le point de départ de la prescription civile (article 2224 du Code civil) et compte tenu des délais de prescription au plan pénal (article 8 code de procédure pénale), au plan fiscal (article L 169 du livre des procédures fiscales) et de l’absence de prescription au plan disciplinaire, la prudence impose donc de conserver les documents au-delà de 5 ans (prescription de l’action en responsabilité civile) – voir article SIC n°366 de septembre 2017« archivage des dossiers par les cabinets d’expertise comptable. 15 La notion de consommateur est entendue comme une personne physique qui agit à des fins qui n'entrent pas dans le cadre de son activité commerciale, industrielle, artisanale ou libérale.


Gestion des prospects du cabinet (emailings, appels téléphoniques, télécopies, SMS, etc.)

Archives pendant 3 ans maximum à compter de la fin de la relation commerciale ou après la collecte des données ou du dernier contact avec le prospect (demande de documentation ou un clic sur un lien hypertexte contenu dans un courriel - (Norme simplifiée n°48). Archives : il faut recontacter le prospect afin d'obtenir un accord explicite pour continuer à être sollicité. Conservation pendant 13 mois des données à des fins de mesure d’audience notamment via des cookies (Norme simplifiée n°48 de la CNIL).

Conservation des numéros de carte bancaire pour des paiements faits au cabinet

Les données relatives aux cartes bancaires doivent être supprimées une fois la transaction réalisée (suppression dès le paiement effectif - Délibération n°03-034 du 19 juin 2003 portant adoption d'une recommandation relative au stockage et à l’utilisation du numéro de carte bancaire dans le secteur de la vente à distance). Archive intermédiaire pour une finalité de preuve en cas d’éventuelle contestation de la transaction pour une durée de 13 mois. Ce délai peut être étendu à 15 mois afin de prendre en compte la possibilité d’utilisation de cartes de paiement à débit différé (Article L 133-24 du Code monétaire et financier).

Annexes


108


Gestion d’une lettre d’information du cabinet

Jusqu’au désabonnement de la personne concernée (Article 6-5° de la loi n°78-17 modifiée).

Gestion des lanceurs d’alerte

Pour les alertes considérées dès leur recueil par le responsable du traitement comme n’entrant pas dans le champ du dispositif, destruction ou archivage sans délai (délibération n°2017-191 du 22 juin 2017 de la CNIL portant modification de la délibération n°2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle ((AU-004) (rectificatif)). Pour les alertes non suivies d’une procédure disciplinaire ou judiciaire, destruction dans les 2 mois ou archivage. En cas de procédure disciplinaire ou de poursuites judiciaires engagées contre la personne mise en cause ou l’auteur d’une alerte abusive, les données relatives à l’alerte sont conservées jusqu’au terme de la procédure. Les données faisant l’objet de mesures d’archivage sont conservées, dans le cadre d’un système d’information distinct à accès restreint, pour une durée n’excédant pas les délais de procédures contentieuses.

Annexes


109

3. Exemple de tableau pour évaluer les risques d’atteinte à la sécurité des données personnelles

Annexes


110

4. Exemple de Charte informatique

Notre cabinet xx met à la disposition de l’ensemble de son personnel des ressources et des systèmes d’information et de communication qui sont nécessaires à l’accomplissement de ses missions.

La présente charte définit les conditions d’accès et les règles d’utilisation des ressources et des systèmes d’information et de communication, pour un usage loyal et responsable, qui ne mette pas en cause la sécurité de ces ressources et systèmes.

L’utilisation de ces ressources doit être exclusivement professionnelle, sauf exceptions prévues par la présente charte.

Ces ressources font partie du patrimoine du cabinet. A cet égard, toute information émise, reçue ou stockée sur le poste de travail ainsi que les moyens de communication mis à disposition du personnel sont et demeurent la propriété du cabinet.

Chaque utilisateur doit être conscient que, d’une part, l’usage de ces ressources obéit à des règles qui s’inscrivent dans le respect de la loi ainsi que dans le respect de la sécurité du cabinet et du bon usage des ressources, gage d’efficacité opérationnelle, et que, d’autre part, sa négligence ou la mauvaise utilisation des ressources fait courir des risques à l’ensemble du cabinet, et donc à lui-même.

Article 1 : Statut de la charte

Champ d’application

Les règles et obligations définies par la présente charte s’appliquent à l’ensemble des utilisateurs des ressources et systèmes d’information et de communication du cabinet ainsi que des ressources extérieures accessibles via les réseaux informatiques, notamment Internet.

Est considéré « utilisateurs » toute personne ayant accès aux données, ressources et système d’information et de communication du cabinet quel que soit son statut, le lieu et les moyens utilisés : salariés, stagiaires, intérimaires, personnels extérieurs, consultants, partenaires, prestataires etc.

Les contrats intervenus entre le cabinet et tout tiers donnant accès à ses données, ressources et systèmes d’information et de communication, doivent prévoir une clause stipulant que les utilisateurs s’engagent à respecter la présente charte par ses propres salariés et éventuels sous-traitants.

Annexes


111

Les ressources et systèmes d’information et de communication de la société regroupent :

• Les équipements informatiques : ensemble des ordinateurs, fixes ou portable, matériel informatique, connectique ou bureautique, serveurs, hubs, switchs, câbles du réseau, photocopieurs, fax etc.

• Les logiciels

• Les moyens de communication : messageries, téléphones, réseaux sociaux, accès internet, accès intranet, Smartphones, tablettes, etc.

Dans le cas où le cabinet dispose d’un Règlement Intérieur

La présente charte a valeur de Règlement Intérieur (ou peut faire l’objet d’une acceptation individuelle).

La charte entre en vigueur le XX/XX/XX [suivant l’accomplissement des formalités de dépôt et de publicité]. Elle a été préalablement affichée conformément aux dispositions du Code du Travail et déposée au secrétariat-greffe du Conseil de Prud’hommes et transmise à l’inspection du travail.

Elle sera annexée au contrat de travail de tous nouveaux embauchés.

Le non-respect des règles et mesures de sécurité figurant dans la présente charte engage la responsabilité personnelle de l’utilisateur dès lors qu’il est prouvé que les faits fautifs lui sont personnellement imputables et l’expose éventuellement et de manière appropriée et proportionnée au manquement commis, aux sanctions disciplinaires définies par le Règlement intérieur. Ce texte est annexé au Règlement intérieur.

Article 2 : Règles générales d’utilisation, de sécurité et de bon usage

Le salarié est responsable de l’usage qu’il fait des ressources du cabinet dans l’exercice de ses fonctions au sein de celui-ci.

L’usage de ces ressources doit être limité au cadre de l’activité professionnelle ; un usage personnel des moyens de communication est toutefois exceptionnellement admis dans les limites ci-dessous.

Cet usage personnel est toléré à la condition :

• qu’il n’affecte pas l’usage professionnel ;

• qu’il ne mette pas en danger le bon fonctionnement et la sécurité ;

• qu’il n’enfreigne pas la loi, les règlements et les dispositions internes.

Annexes


112

Toute donnée est réputée professionnelle à l’exception des données explicitement désignées par l’Utilisateur comme ayant un caractère privé (par exemple en indiquant la mention « privé » ou « personnel » dans le champ « objet » des messages).

L’Utilisateur procède au stockage de ses données à caractère privé dans un espace de données prévu explicitement à cet effet ou en mentionnant le caractère privé sur la ressource utilisée. Cet espace ne doit pas contenir de données à caractère professionnel et il ne doit pas occuper une part excessive des ressources. La protection et la sauvegarde régulière des données à caractère privé incombent à l’Utilisateur.

Le salarié ne doit se livrer, en aucune circonstance, à l’une des activités suivantes : charger, stocker, publier, diffuser ou distribuer, au moyen des ressources du cabinet, des documents, informations, images …

• à caractère violent, pornographique ou contraire aux bonnes mœurs, ou susceptibles de porter atteinte au respect de la personne humaine et de sa dignité, ainsi qu’à la protection des mineurs ;

• de caractère diffamatoire et de manière générale illicite ;

• portant atteinte aux ressources du cabinet et plus particulièrement à l’intégrité et à la conservation des données de celui-ci ;

• portant atteinte à l’image de marque interne et externe du cabinet et de ses clients et partenaires.

L’utilisateur s’interdit par ailleurs :

• D’utiliser les ressources de l’entreprise à des fins de harcèlement, menace ou injure et de manière générale de violer les droits en vigueur ;

• De charger ou transmettre, sciemment, des fichiers contenant des virus ou des données altérées ;

• De falsifier la source d’éléments contenus dans un fichier ;

• D’utiliser les ressources de l’entreprise de manière à gêner l’accès des autres utilisateurs.

Il est interdit d’accéder à des serveurs Web traitant de ces sujets avec le risque de voir l’adresse e-mail de l’utilisateur reprise par courrier de masse comportant des pièces jointes illicites. Si l’utilisateur est amené à recevoir, à son insu, de tels éléments, il est tenu de les détruire aussitôt.

Annexes


113

D’une façon générale, le salarié doit :

• assurer la protection de ses informations et sauvegarder ses données en utilisant les différents moyens préconisés par le Service informatique interne et suivant les recommandations données par ce dernier ;

• signaler au Service informatique interne toute violation ou tentative de violation suspectée de son compte informatique et de manière générale tout dysfonctionnement ;

• suivre scrupuleusement les règles en vigueur au sein du cabinet pour toute installation de logiciel ;

• mettre en œuvre les mesures de sauvegardes définies par le cabinet ;

• s’engager à ne pas apporter volontairement des perturbations au bon fonctionnement des systèmes informatiques et des réseaux, que ce soit par des manipulations anormales du matériel, la suppression de logiciels, le changement de paramétrages ou par l’introduction de logiciels ou de fichiers personnels non autorisés par le Service informatique ;

• ne pas installer, copier, modifier, détruire des logiciels sans autorisation ; renseigner le mot de passe lorsqu’il lui est demandé ;

• veiller à la confidentialité des codes, mots de passe et clés qui lui sont confiés et notamment à ne ne jamais prêter son identifiant ou mot de passe ;

• veiller à la confidentialité des informations et données auxquels il a accès en utilisant les outils mis sa disposition par le service informatique et protéger spécifiquement ses fichiers confidentiels ;

• verrouiller son ordinateur dès qu’il quitte son poste de travail ;

• utiliser un antivirus sur tout document de provenance externe au cabinet ;

• ne jamais désactiver l’antivirus installé sur les postes, ni introduire de fichiers provenant de l’extérieurs sans contrôle préalable à l’aide de l’antivirus.

Ressources informatiques personnelles

Les ressources informatiques personnelles (ordinateurs, smartphones, tablettes, etc. achetés sur des crédits personnels), lorsqu’elles sont utilisées pour accéder aux serveurs du cabinet, ne doivent pas remettre en cause ou affaiblir, les politiques de sécurité en vigueur par une protection insuffisante ou une utilisation inappropriée.

Lorsque ces ressources informatiques personnelles sont utilisées pour accéder, à distance ou à partir du réseau local aux serveurs informatiques

Annexes


114

ou stocker des données professionnelles, ces ressources sont autorisées et sécurisées suivant les directives issues du service informatique et déclarées au service informatique. Les salariés qui souhaiteraient faire l’acquisition de tels matériels prennent préalablement conseil auprès du service informatique.

Départ du salarié

L’Utilisateur est responsable de son espace de données à caractère privé et il lui appartient de le détruire au moment de son départ. En cas de circonstances exceptionnelles, (départ impromptu ou décès) le cabinet ne conserve les espaces de données à caractère privé présents sur les ressources informatiques que pour une période de 3 mois maximum (délai permettant à l’Utilisateur ou ses ayants droits de récupérer les informations qui s’y trouvent).

Les données professionnelles restent à la disposition de l’employeur.

Article 3 : Respect de la législation concernant la propriété intellectuelle

L’utilisation de moyens informatiques et de communication électronique de la société implique le respect des droits de propriété intellectuelle.

L’utilisation de logiciels informatiques au sein du cabinet est ainsi soumise à l’obtention de licences d’utilisation accordées par des entreprises extérieures. Le cabinet n’est pas propriétaire des droits de ces logiciels ou de la documentation et, sauf autorisation expresse de l’éditeur, ne dispose pas du droit de les reproduire. Seule une copie de sauvegarde effectuée par le responsable informatique est autorisée.

Sans que cette liste soit exhaustive, l’utilisateur s’engage à :

• Utiliser les logiciels, applications, dans les conditions de la licence d’utilisation souscrite par le cabinet et sous contrôle du service informatique ;

• Ne pas effectuer de copie illicite de logiciel, d’applications et, a fortiori, de tenter d’installer des logiciels pour lesquels le cabinet ne possèderait pas un droit d’usage ;

• Ne pas reproduire et utiliser les bases de données, pages web ou autres créations du cabinet ou de tiers protégés par le droit d’auteur ou un droit privatif sans avoir obtenu préalablement l’autorisation du titulaire de ces droits ;

• Ne pas diffuser des textes, des images, des photographies, des œuvres musicales ou audiovisuelles et, plus généralement, toute création copiée sur le réseau internet ;

Annexes


115

• Ne pas copier et remettre à des tiers des créations appartenant à des tiers ou au cabinet sans s’assurer de l’autorisation du titulaire des droits qui s’y rapporte.

Rappel :

Les personnes impliquées dans la reproduction et/ou l’utilisation illicite de logiciels s’exposent à des poursuites judiciaires pouvant entraîner des amendes voire des peines d’emprisonnement. www.hadopi.fr

Article 4 : Respect de législation sur la protection des données personnelles

Si, dans l’accomplissement de ses missions, l’Utilisateur constitue des fichiers contenant des données à caractère personnel soumis aux dispositions de la loi informatique et libertés, il en informe le dirigeant du cabinet afin qu’un suivi puisse être réalisé en conformité avec la législation applicable.

Article 5 : Règles d’utilisation des services internet, de messagerie (web, messageries, forum …)

Le salarié doit se conformer aux principes issus de la législation en vigueur.

Utilisation d’Internet

Seuls ont vocation à être consultés les sites internet présentant un lien direct et nécessaire avec l’activité professionnelle et une utilité au regard des fonctions exercées ou des missions à mener.

Une consultation pour un motif personnel est tolérée, à condition qu’elle reste ponctuelle, ne concerne que des sites Internet dont le contenu n’est pas contraire à l’ordre public et aux bonnes mœurs et ne mette pas en cause l’intérêt et l’organisation du conseil. L’utilisateur s’engage à respecter les règles suivantes dans les activités de navigation sur internet :

• Ne pas consulter de sites à caractère raciste, pornographique, contraires aux bonnes mœurs, portant atteinte à la protection des mineurs, au respect de la personne humaine et de sa dignité, etc. ;

• Ne pas se connecter à des sites d’enchères ou de jeux en ligne par exemple…

• Prendre toutes les précautions permettant d’éviter que ses données (formulaires, adresses, coordonnées) soient utilisées à des fins commerciales ou autres ;

http://www.hadopi.fr/

Annexes


116

• Ne pas consulter de sites contrevenant aux lois et règlements du droit français et/ou de la législation en vigueur dans le pays correspondant au site visité ;

• Ne pas télécharger de fichier sans l’accord de la société ;

• D’une façon générale, veiller à adopter un comportement prudent et avisé.

Le salarié s’interdit de réaliser des pages ou sites personnels avec le matériel informatique appartenant au cabinet.

L’utilisation des réseaux sociaux répond aux mêmes règles de bon usage. En outre, l’utilisateur s’engage, dès que son appartenance au cabinet apparaît, à ne pas porter atteinte à l’image de marque interne et externe du cabinet, de ses clients été ses partenaires. L’utilisateur s’engage ainsi à :

• Veiller au respect de son obligation de réserve (ne pas dénigrer, ne pas divulguer…) ;

• Ne pas créer un profil au nom du cabinet sans autorisation préalable et expresse du cabinet.

Utilisation de services de messagerie à partir du matériel appartenant au cabinet

Le salarié doit faire preuve de la plus grande correction à l’égard de ses interlocuteurs dans les échanges électroniques. Il lui est interdit d’émettre une quelconque opinion personnelle, étrangère à son activité professionnelle et susceptible, par son caractère illicite, de porter préjudice au cabinet.

Le salarié ne doit jamais écrire un courriel qu’il s’interdirait d’exprimer oralement ou par un autre moyen, car le courriel peut constituer une preuve ou un commencement de preuve par écrit.

Un usage raisonnable et limité dans le cadre des nécessités de la vie courante et familiale est toléré, à condition que l’utilisation du courrier électronique n’affecte pas le trafic normal des messages professionnels.

Article 6 : Contrôle de l’utilisation des ressources informatiques

Pour des nécessités de maintenance, de gestion et de sécurité technique, l’utilisation des ressources matérielles ou logicielles, ainsi que les échanges via le réseau, peuvent être analysés et contrôlés, dans le respect de la législation applicable.

Annexes


117

Contrôle des fichiers enregistrés sur le disque dur

Sauf preuve contraire, tout fichier stocké sur le disque dur d’un ordinateur ou d’un outil informatique propriété du cabinet et mis à la disposition du salarié est présumé professionnel.

Des vérifications et des audits réguliers pourront être effectués, dans les limites prévues par la loi et la jurisprudence.

A titre informatif, l’employeur pourra ouvrir des fichiers identifiés par le salarié comme personnels, dès lors qu’il a connaissance de faits qui permettent de soupçonner un usage personnel abusif de l’ordinateur professionnel et qu’il a contacté le salarié afin qu’il puisse être témoin de la vérification, ou lorsqu’un risque ou évènement particulier nécessite l’ouverture de ce fichier en urgence.

Contrôle des connexions internet

Le service informatique peut mettre en place un système de filtrage des sites internet consultables.

Un contrôle a posteriori des données de connexion à internet, par utilisateur, peut être effectué par le service informatique.

Contrôle de l’utilisation des messageries

Un ordinateur mis à la disposition du salarié dans le cadre de la relation de travail est la propriété du cabinet et ne peut comporter que subsidiairement des informations relevant de l’intimité de la vie privée. Il doit être considéré qu’un message envoyé ou reçu depuis le poste de travail revêt a priori un caractère professionnel.

Néanmoins, tout message où figure le mot « privé » ou « personnel » bénéficiera d’une protection particulière : il sera couvert par le secret des correspondances.

Dans un souci de sécurité ou de contrôle de l’encombrement du réseau, le cabinet peut mettre en place un dispositif de limitation du volume ou de la taille des messages échangés ou du format des pièces jointes.

Des vérifications et des audits réguliers pourront être effectués, dans les limites prévues par la loi et la jurisprudence.

Annexes


118

Dans le cas où le cabinet dispose de représentants du personnel :

Conformément aux dispositions du Code du Travail, ces mesures ont fait l’objet d’une consultation du Comité d’Entreprise (ou à défaut des délégués du personnel), le …

Conformément aux dispositions du Code du Travail, ces mesures ont fait l’objet d’une consultation du Comité d’hygiène, de sécurité et des conditions de travail le …

Dans le cas où le cabinet a mis en place un dispositif de contrôle individuel :

Conformément à la législation en vigueur, le traitement automatisé d’informations nominatives, mis en place pour ce dispositif de contrôle individuel, destiné à produire poste par poste (ou utilisateur par utilisateur), un relevé des messages échangés, a été déclaré à la CNIL.

Les salariés ont été informés de ces contrôles et de leurs modalités par la présente Charte.

Une conservation de ces données pour une période de 6 mois est prévue.

Article 7 : Responsabilité / Sanction

Le cabinet ne pourra être tenu pour responsable des détériorations d’informations ou des infractions commises par un salarié qui ne se serait pas conformé à ces règles.

Tout contrevenant aux principes mentionnés ci-dessus s’exposerait à une sanction déterminée par l’employeur, voire à des poursuites judiciaires, en fonction de la gravité des faits.

5. Exemple de clauses à insérer dans le contrat de travail des salariés

Pour les salariés ne traitant pas de données personnelles :

Le salarié s’engage à considérer comme strictement confidentielles toutes les informations communiquées. Il prendra toutes les précautions utiles en vue de sauvegarder le secret.

Pour les salariés en charge de la gestion de données sensibles (informaticiens, etc.) :

Monsieur/Madame __________, exerçant les fonctions de _______ au sein du cabinet ________, sera à ce titre amené à accéder à des données à caractère personnel, et reconnait la confidentialité desdites données.

Annexes


119

Il s’engage par conséquent, conformément aux articles 34 et 35 de la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ainsi qu’aux articles 32 à 35 du Règlement général sur la protection des données du 27 avril 2016, à prendre toutes précautions conformes aux usages et à l’état de l’art dans le cadre de mes attributions afin de protéger la confidentialité des informations auxquelles il a accès, et en particulier d’empêcher qu’elles ne soient modifiées, endommagées ou communiquées à des personnes non expressément autorisées à recevoir ces informations.

Il s’engage en particulier à :

• ne pas utiliser les données auxquelles il peut accéder à des fins autres que celles prévues par ses attributions ;

• ne divulguer ces données qu’aux personnes dûment autorisées, en raison de leurs fonctions, à en recevoir communication, qu’il s’agisse de personnes privées, publiques, physiques ou morales ;

• ne faire aucune copie de ces données sauf à ce que cela soit nécessaire à l’exécution de ses fonctions ;

• prendre toutes les mesures conformes aux usages et à l’état de l’art dans le cadre de ses attributions afin d’éviter l’utilisation détournée ou frauduleuse de ces données ;

• prendre toutes précautions conformes aux usages et à l’état de l’art pour préserver la sécurité de ces données ;

• s’assurer, dans la limite de ses attributions, que seuls des moyens de communication sécurisés seront utilisés pour transférer ces données ;

• en cas de cessation de ses fonctions, restituer intégralement les données, fichiers informatiques et tout support d’information relatif à ces données.

[Compléter si besoin]

Cet engagement de confidentialité, en vigueur pendant toute la durée de ses fonctions, demeurera effectif, sans limitation de durée après la cessation de ses fonctions, quelle qu’en soit la cause, dès lors que cet engagement concerne l’utilisation et la communication de données à caractère personnel.

Monsieur/Madame __________ a été informé que toute violation du présent engagement l’expose notamment à des actions et sanctions disciplinaires et pénales conformément aux dispositions légales en vigueur.

Annexes


120

6. Exemple de clause de confidentialité à insérer dans le contrat d’un partenaire extérieur au cabinet (notamment sous-traitance) :

ARTICLE x – CONFIDENTIALITE

Définition des informations confidentielles

Dans le cadre du Contrat, sont confidentielles toutes les informations, quelle que soit leur nature, concernant l'une des Partie dont l’autre Partie n'a pu avoir connaissance que dans le cadre de la conclusion ou de l'exécution du Contrat.

Les Parties s’engagent également à traiter de manière confidentielle le Contrat.

Obligations de la Partie destinataire

Les informations confidentielles restent la propriété de la Partie émettrice, sous réserve des droits des tiers. La divulgation d’informations confidentielles par la Partie émettrice ne saurait, en aucun cas, être interprétée comme conférant à la Partie destinataire, de manière expresse ou implicite, un droit quelconque (au terme d’une licence ou par tout autre moyen) sur ces informations confidentielles.

Conformément aux articles 34 et 35 de la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ainsi qu’aux articles 32 à 35 du Règlement général sur la protection des données du 27 avril 2016, le destinataire s’engage à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d’empêcher qu’elles ne soient déformées, endommagées ou communiquées à des personnes non autorisées.

La Partie destinataire des informations confidentielles s'engage à :

a) ne faire usage des informations confidentielles qu’aux seules fins de la réalisation du Contrat ;

b) ne communiquer les informations confidentielles qu’aux seuls membres de son personnel ayant besoin d’en connaître pour l’exécution du Contrat étant précisé que la Partie destinataire s’engage à les alerter sur le caractère confidentiel de ces informations ;

c) ne pas divulguer ou rendre accessibles, en tout ou en partie, des informations confidentielles à des tiers sans l’accord préalable écrit de la Partie émettrice et, dans ce cas, sous réserve que la Partie destinataire obtienne de la part de ces tiers un engagement de confidentialité dans les mêmes termes que ceux des présentes.

Annexes


121

Si la Partie destinataire se trouve dans l'obligation, en application d’une loi ou d’une décision judiciaire ou administrative impérative de divulguer les informations confidentielles de la partie émettrice, elle devra en aviser immédiatement cette dernière et demander aux personnes ou entités auxquelles ces informations doivent être divulguées de les traiter de façon confidentielle.

En cas de résiliation du Contrat pour quelque motif que ce soit ou à l’expiration du Contrat, la Partie destinataire s’engage à restituer sans délai à la Partie émettrice ou à détruire les informations confidentielles. Cette restitution ou destruction ne libère pas la Partie destinataire de ses obligations de confidentialité prévues dans le présent article.

En cas de non-respect des dispositions précitées, la responsabilité de la partie destinataire pourra être engagée. La résiliation immédiate du contrat pourra être prononcée sans indemnité en faveur du destinataire.

Durée des obligations de confidentialité

Les obligations prévues au présent article resteront en vigueur pendant toute la durée du Contrat et pendant une durée de deux (2) ans à compter de la fin du dit Contrat, quel qu’en soit le motif (arrivée à échéance ou résiliation).

7. Exemple de clause en cas de maintenance par un tiers

Chaque opération de maintenance devra faire l'objet d'un descriptif précisant les dates, la nature des opérations et les noms des intervenants, transmis à notre cabinet xx.

En cas de télémaintenance permettant l'accès à distance aux fichiers de notre cabinet, Y prendra toutes dispositions afin de permettre à notre cabinet d'identifier la provenance de chaque intervention extérieure.

À cette fin, Y s'engage à obtenir l'accord préalable de notre cabinet avant chaque opération de télémaintenance dont elle prendrait l'initiative.

Des registres seront établis sous les responsabilités respectives de notre cabinet et de Y, mentionnant les dates et la nature détaillée des interventions de télémaintenance ainsi que les noms de leurs auteurs.

Annexes


122

8. Exemple de clauses à insérer dans les contrats avec les sous-traitants

Description du traitement faisant l’objet de la sous-traitance

Le sous-traitant est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir le ou les service(s) suivant(s) [...].

La nature des opérations réalisées sur les données est […].

La ou les finalité(s) du traitement sont [...]. Les données à caractère personnel traitées sont […]. Les catégories de personnes concernées sont […]. Pour l’exécution du service objet du présent contrat, le responsable de traitement met à la disposition du sous-traitant les informations nécessaires suivantes […].

Obligations du sous-traitant vis-à-vis du responsable de traitement

« Le sous-traitant s'engage à :

1. traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la sous-traitance.

2. traiter les données conformément aux instructions documentées du responsable de traitement figurant en annexe du présent contrat. Si le sous-traitant considère qu’une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection des données, il en informe immédiatement le responsable de traitement. En outre, si le sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.

3. garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent contrat.

4. veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent contrat :

- s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

- reçoivent la formation nécessaire en matière de protection des données à caractère personnel.

Annexes


123

5. prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut »

6. Sous-traitance

Choisir l’une des deux options :

Option A (autorisation générale) : Le sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le responsable de traitement de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance. Le responsable de traitement dispose d’un délai minimum de […] à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le responsable de traitement n'a pas émis d'objection pendant le délai convenu.

ou

Option B (autorisation spécifique) : Le sous-traitant est autorisé à faire appel à l’entité […] (ci-après, le « sous-traitant ultérieur ») pour mener les activités de traitement suivantes : […] En cas de recrutement d’autres sous-traitants ultérieurs, le sous-traitant doit recueillir l’autorisation écrite, préalable et spécifique du responsable de traitement.

Exercice des droits des personnes

« Lorsque les personnes concernées exercent auprès du sous-traitant des demandes d’exercice de leurs droits, le sous-traitant doit adresser ces demandes dès réception par courrier électronique au cabinet auprès de (indiquer nom de la personne).

Notification des violations de données personnelles

« Le sous-traitant notifie au responsable de traitement toute violation de données à caractère personnel dans un délai maximum de […] heures après en avoir pris connaissance et par le moyen suivant […].

Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. »

Annexes


124

Mesures de sécurité

« Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité suivantes : Décrire les mesures techniques et organisationnelles garantissant un niveau de sécurité adapté au risque, y compris, entre autres : à adapter en fonction des mesures de sécurité mises en place : exemples :

• la pseudonymisation et le chiffrement des données à caractère personnel ;

• les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

• les moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;

• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement] Le sous-traitant s’engage à mettre en œuvre les mesures de sécurité prévues par [code de conduite, certification]. »

Sort des données

« Au terme de la prestation de services relatifs au traitement de ces données, le sous-traitant s’engage à : Choisir l’une des deux options :

• détruire toutes les données à caractère personnel ou

• à renvoyer toutes les données à caractère personnel au responsable de traitement ou

• à renvoyer les données à caractère personnel au sous-traitant désigné par le responsable de traitement Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information du sous-traitant. Une fois détruites, le sous-traitant doit justifier par écrit de la destruction. »

Délégué à la protection des données

« Le sous-traitant communique au responsable de traitement le nom et les coordonnées de son délégué à la protection des données, s’il en a désigné un conformément à l’article 37 du règlement européen sur la protection des données. »

Obligations du responsable de traitement vis-à-vis du sous-traitant

Le cabinet s’engage à fournir au sous-traitant les données visées à la clause sur la description du traitement et à veiller, au préalable et pendant toute

Annexes


125

la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du sous-traitant ».

9. Exemple de clauses à insérer dans la lettre de mission

Clause à insérer dans le cas où l’expert-comptable est RESPONSABLE CONJOINT DE TRAITEMENT

Lorsque votre cabinet et le client êtes responsables du traitement et donc déterminez conjointement les finalités et/ou les moyens du traitement.

Il faut définir vos obligations de manière précise dans le contrat qui vous lie avec le responsable de traitement.

« La mission confiée par le client à M. [nom du cabinet ou] compter [...] du consiste à [décrire la mission].

Le cabinet xxx est qualifié de responsable conjoint de traitement. Le Client et le cabinet s’engagent à collecter et à traiter toute donnée personnelle en conformité avec toute réglementation en vigueur applicable au traitement de ces données, et notamment la loi n°78-17 du 6 janvier 1978 modifiée et le règlement européen sur la protection des données personnelles.

Le cabinet est autorisé à traiter pour le compte de son client les données personnelles nécessaires pour fournir le ou les service(s) suivant(s) [...].

La nature des opérations réalisées sur les données est […].

Les données personnelles traitées sont […].

Les catégories de personnes concernées sont […].

La ou les finalité(s) partagées totalement ou partiellement entre les responsables conjoints de traitement sont [...].

Le client et le cabinet s’engagent à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment de les protéger contre toute destruction accidentelle ou illicite, perte accidentelle, altération, diffusion ou accès non autorisés. Préciser les mesures de sécurité mise en place par chacun des responsables conjoints pour assurer la protection des données personnelles.

Le cabinet s’engage à communiquer au Client la survenance de toute faille de sécurité ayant des conséquences directes ou indirectes sur le traitement, ainsi que toute plainte qui lui serait adressée par tout individu concerné par

Annexes


126

le traitement réalisé au titre du Contrat. Cette communication devra être effectuée dans les plus brefs délais et au maximum quarante-huit heures (délai à adapter pour permettre au client-responsable de traitement de respecter le délai de 72 heures maximum) après la découverte de la faille de sécurité ou suivant réception d’une plainte. Le client se chargera de la notification éventuelle à l’autorité de contrôle et à la personne concernée.

Pour l’exécution du service objet du présent contrat, les moyens suivants sont mis en place par le cabinet et le client : préciser les mesures techniques et organisationnelles pour effectuer le ou les traitements, fournir une description des moyens logiciels de traitement utilisés par chacun.

Il appartient au client de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données (il faut déterminer la personne en charge d’informer les personnes concernées sur les droits dont ils disposent et les finalités du traitement, destinataires etc. et qui va effectivement répondre et s’assurer du respect effectif de ses droits – il est recommandé que ce soit le client qui se charge de ces obligations).

Le client devra également répondre aux demandes d’exercice des droits exercés par la personne concernée (le cabinet peut offrir au client une assistance pour la mise en place des procédures de traitement des demandes des personnes concernées).

Le cabinet fera appel à des sous-traitants pour réaliser [xxx] (décrire les prestations). Les conditions d’intervention de ce sous-sous-traitant sont les suivantes : (détailler les conditions d’intervention). Le sous-traitant s’est engagé à respecter les obligations mises à sa charge par la règlementation en matière de protection des données personnelles.

Les données sont susceptibles d'être conservées pour une durée de [xxx] (durée des archives intermédiaires à justifier après la fin du contrat le temps par exemple d’engagement de votre responsabilité professionnelle).

En cas de transferts des données personnelles en dehors de l’Union Européenne, ajouter la clause suivante : A des fins de [indiquer la finalité correspondante en cas de transfert de données hors Union européenne], vos données peuvent être transférées à [compléter le(s) destinataire(s) du transfert] situé [compléter avec le/les pays situés hors Union européenne concerné(s)].

Annexes


127

Clause à insérer quand l’expert-comptable est qualifié DE SOUS -TRAITANT dans le cadre de la mission qui lui est confiée par son client

Vous devez recenser les instructions de votre client concernant les traitements de ses données afin de prouver que vous agissez sur instruction documentée de votre client :

La mission confiée par le client à M. [nom du cabinet ou] compter [...] du consiste à [décrire la mission].

Le cabinet xxx est qualifié de sous-traitant et agit uniquement sur instructions de son client et au nom et pour le compte de son client.

Le cabinet est autorisé à traiter pour le compte de son client les données personnelles nécessaires pour fournir le ou les service(s) suivant(s) [...]. La nature des opérations réalisées sur les données est […]. La ou les finalité(s) du traitement sont [...]. Les données personnelles traitées sont […]. Les catégories de personnes concernées sont […]. Pour l’exécution du service objet du présent contrat, le client met à la disposition de l’expert-comptable les informations nécessaires suivantes […].

Il appartient au client de fournir l’information aux personnes concernées par les opérations de traitement au moment de la collecte des données.

Le cabinet s'engage à :

• traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la présente lettre de mission.

• traiter les données conformément aux instructions documentées du client figurant en annexe de la lettre de mission. Si l’expert-comptable est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer le client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.

• garantir la confidentialité des données à caractère personnel traitées dans le cadre de la présente lettre de mission.

• veiller à ce que les personnes autorisées à traiter les données personnelles en vertu de la présente lettre de mission : - s’engagent à respecter la confidentialité ou soient soumises à une

obligation légale appropriée de confidentialité. - reçoivent la formation nécessaire en matière de protection des

données à caractère personnel.

Annexes


128

• prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut.

• notifier au client toute violation de données à caractère personnel. Cette notification est accompagnée de toute documentation utile afin de permettre au responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.

• mettre en œuvre les mesures de sécurité suivantes pour assurer la protection des données personnelles qui lui sont transmises : (à compléter).

• aider le client pour les suites à donner aux demandes d’exercice de leurs droits par les personnes concernées.

• demander l’autorisation écrite du client si, en tant que sous-traitant si le cabinet fait lui-même appel à un sous-traitant.

• mettre à la charge des sous-traitants ultérieurs les mêmes obligations que celles à sa charge prévues par la lettre de mission.

10. Exemple de référentiel pour mener les entretiens pour réaliser l’audit de traitements

Point 1 – Recensement des traitements par finalité

Objectifs : Identifier les traitements, limiter les données personnelles traitées au strict nécessaire au regard de la finalité définie (principe de

proportionnalité), respecter la finalité fixée lors de la collecte

Article 5.1 b RGPD

Quels sont les outils / applications que vous utilisez ? Détail…

Disposez-vous de fichiers papiers comportant des données personnelles ?

Les finalités de ces traitements sont-elles déterminées, explicites et légitimes ? Oui / Non

Les données sont-elles utilisées conformément à la finalité annoncée et déclarée ? Oui / Non

Les données sont-elles traitées pour répondre à un besoin complémentaire ? Dans ce cas nécessité d’une déclaration modificative et d’une nouvelle information des personnes concernées

Oui / Non

Annexes


129

Existe-t-il une interconnexion des traitements ? Il s’agit de la mise en relation automatisée d’informations provenant de traitements qui étaient au préalable distincts (transfert d’un fichier pour alimenter un autre fichier ou pour réaliser la fusion de ces fichiers)

Oui / Non

Point 2 – Catégories de données collectées

Objectif : Identifier, cloisonner et minimiser les données personnelles (principe de minimisation des données)

Article 5.1 c) RGPD

Quelles sont les données personnelles traitées dans ces outils / applications ? est-ce qu’il y a des données relatives à des enfants, des données sensibles ?

Les données correspondent-elles à un usage identifié (opérations marketing, statistiques ou autres ?) Oui / Non

Les données sont-elles adéquates et pertinentes au regard de la finalité poursuivie par le traitement ? Oui / Non

Toutes les données collectées sont-elles nécessaires au traitement ? Oui / Non

Permettent-elles des statistiques ? Oui / Non

Est-ce que le traitement des données sensibles est justifié ? Oui / Non

Est-ce qu’il y a eu consentement express des personnes concernées par ces données sensibles ?

Oui / Non

Ces données sensibles sont-elles sécurisées ? Oui / Non

Existe-t-il des zones de libre commentaire dans les questionnaires ou sur les pages du site ? Attention à ces champs qui sont susceptibles de contenir des données sensibles

Oui / Non

Annexes


130

Point 3 – Destinataire des données collectées

Objectif : Gérer les personnes qui ont accès aux données, réduire les risques d’accès non autorisés et d’atteinte aux libertés et à la vie privée des

personnes concernées

Article 32 RGPD :

Les destinataires internes ou externes sont-ils identifiés ? Oui / Non

Ces destinataires sont-ils sensibilisés (charte informatique, contrats, marquage des documents etc.) ?

Oui / Non

Des règles sont-elles prévues concernant les habilitations des destinataires (privilèges, entrée et sortie du personnel etc.) ?

Oui / Non

Est-ce que les flux sont sécurisés ? Oui / Non

Point 4 – Outils de mise en œuvre des traitements

Objectif : Réduire les vulnérabilités des outils utilisés (logiciels, matériels, canaux informatiques, personnes, documents papier, canaux papier) afin de

ne pas porter atteinte aux données personnelles

Article 32 RGPD :

Les outils informatiques utilisés sont-ils adéquats par rapport aux risques qui pèsent sur les libertés et la vie privée des personnes concernées ?

Oui / Non

Existe-t-il un process de validation des outils utilisés par la DSI ? Oui / Non

Point 5 – Origine des données

Objectif : S’assurer du droit d’exploiter les données collectées

Article 14 RGPD

Existe-t-il une collecte directe ou indirecte de données (inscription sur site ? achat/location de banques de données ? exécution d’un contrat ? transmission par un tiers - agence de recrutement, société d’intérim, prestataire, partenaire du cabinet ?)

Oui / Non

Les fournisseurs de données ont-ils fournis des garanties d’une collecte loyale ? Vérifier s’il y a dans les contrats avec les fournisseurs de données, une clause prévoyant une obligation de loyauté de la collecte

Oui / Non

Annexes


131

Si les données ont été collectées par voie électronique, est-ce que les droits des personnes concernées (accès, rectification, opposition etc.) peuvent être exercées par voie électronique (envoi d’un e-mail, page internet prévue à cet effet) ?

Oui / Non

Dans cette hypothèse, les personnes sont-elles informées de cette possibilité d’exercer leurs droits en ligne ?

Oui / Non

Point 6 – Mise à jour et conservation des données

Objectif : Réduire la gravité des risques en garantissant que les données ne seront pas conservées plus que nécessaire, protéger les archives de données

en définissant les modalités de conservation et de gestion des archives

Articles 5.1 d) et e) RGPD

Une durée de conservation des données est-elle prévue pour chaque traitement ? Oui / Non

Est-ce qu’une politique de durée de conservation et d’archivage a été élaborée ? Certains logiciels prévoient un archivage automatique après un certain délai

Oui / Non

Est-ce qu’une politique de mise à jour des données personnelles a été élaborée ? Oui / Non

Est-ce qu’une procédure d’anonymisation ou de suppression des données est prévue ? Oui / Non

Point 7 – Information et consentement des personnes

Objectif : Garantir l’information des personnes et permettre un choix libre, spécifique et éclairé

Article 5.1 a) RGPD

L’identité et les coordonnées du responsable de traitement et le cas échéant du DPO ont-elles été données ? 16

Oui / Non

Est-ce que la base juridique du traitement est documentée (caractère règlementaire, contractuel ou consentement) ?

Oui / Non

16 Lorsque les données sont recueillies par voir de questionnaire, ces informations peuvent être mentionnées dans les formulaires « contact », « création de compte », « bon de commande »

Annexes


132

Est-ce qu’une information a été donnée sur les finalités poursuivies ? Oui / Non

Est-ce qu’une information a été donnée sur les destinataires des données ? Oui / Non

Est-ce qu’une information a été donnée sur le droit d’accès, de rectification et d’opposition pour des motifs légitimes sauf dans les cas où le traitement répond à une obligation légale et à l’utilisation des données à des fins de prospection, et les coordonnées du service compétent auprès duquel les exercer ?

Oui / Non

Est-ce qu’une information a été donnée sur le caractère obligatoire ou facultatif des réponses, sur les conséquences d’un éventuel refus de réponse ?

Oui / Non

Est-ce qu’une information a été donnée sur la durée de conservation des données ou les critères permettant de la calculer ?

Oui / Non

Le droit d’introduire une réclamation auprès d’une autorité de contrôle est-il indiqué ? Oui / Non

Est-ce qu’une information sur une prise de décision automatisée (profilage) est donnée ? Oui / Non

Est-ce qu’une information a été donnée sur le transfert des données à l’étranger (pays de destination des données, nature des données transférées, finalité du transfert, la ou les catégories de destinataires, le niveau de protection offert par le pays) ?17

Oui / Non

Pour les traitements relatifs à la prospection commerciale, le consentement est-il donné par un système d’opt-in ou d’opt-out, la preuve de ce consentement existe-t-elle ? 18

Oui / Non

17 Cette information peut être faite dans les CGU 18 L’opt-in est nécessaire pour la prospection électronique, la cession à des partenaires des adresses électroniques ou les numéros de téléphone à des fins de prospection électronique, la collecte ou la cession de données sensibles. L’opt-out est nécessaire pour la prospection par voie postale ou téléphonique avec intervention humaine, la prospection électronique pour les produits ou services analogues, la prospection entre professionnels, la cession d’adresse postale et numéros de téléphone à des fins de prospection avec intervention humaine, la cession à des partenaires de données relatives à l’identité, la situation familiale, économique et financière, pour s’adresser aux intéressés à des fins commerciales

Annexes


133

Est-ce que ces informations ont un support (support de collecte ou à défaut sur un document préalablement porté à la connaissance des personnes en caractères lisibles – délivrée oralement en cas de collecte orale ou à distance) ?

Oui / Non

Est-ce que ces informations ont été données au moment de la collecte des données ? Oui / Non

En cas de prospection par voie électronique, un opt-in/opt-out est-il utilisé ? est-il possible de prouver qu’un consentement a été donné ?

Oui / Non

En cas d’utilisation de cookies publicitaires, de mesure d’audience ou de traceur de réseaux sociaux, est-ce qu’un bandeau est présent en page d’accueil du site, l’information de ce bandeau est-elle complète ?

Oui / Non

Les cookies publicitaires se déposent-ils bien après une action positive de l’internaute ? Oui / Non

Est-ce qu’une politique cookies a été élaborée ? Oui / Non

En cas de vidéo-surveillance, une information est-elle visible ? Oui / Non

Point 8 – Droits des personnes

Objectif : Garantir aux personnes la possibilité de faire valoir leurs droits sur leurs données personnelles (droit d’opposition, d’accès, de rectification,

droit à l’oubli des mineurs, portabilité, refus du profilage et de la prise de décision automatisée, à l’effacement (droit à l’oubli)

Articles 15 à 23 RGPD

Un process d’exercice des droits d’opposition / d’accès est-il en place ? Oui / Non

L’exercice des droits est-il effectif ? Il est recommandé de faire un test en exerçant l’un de ces droits

Oui / Non

Le délai de réponse à une demande de droit d’accès est-il de 2 mois maximum et gratuit ? Oui / Non

Est-ce qu’une information est faite aux destinataires des données et aux partenaires ? Oui / Non

Est-ce que les différentes bases tiennent compte de l’exercice des droits par les personnes ?

Oui / Non

Annexes


134

Point 9 – Sécurité des données

Objectif : limiter les risques d’accès par des personnes non autorisées aux données par voie électronique ou physiquement, se protéger contre des

sources de risques non humaines (virus informatiques, phénomènes climatiques, incendie, dégâts des eaux, accidents internes ou externes,

animaux etc.) ainsi que des codes malveillants (anti-virus, filtrage, spyware), être en mesure de détecter et de gérer les incidents

Article 5.1 f) RGPD

Des mesures techniques et organisationnelles appropriées ont-elles été mises en œuvre afin de garantir un niveau de sécurité adapté au risque ?

Oui / Non

Le dispositif de sécurisation permet-il de répondre aux questions : qui a accès, à quoi et pourquoi, qui est responsable ?

Oui / Non

Qui a accès aux données (internes ? externes ?)

Quelles sont les conditions d’accès aux outils (mot de passe, habilitations ?)

Existe-t-il une journalisation des accès ? Oui / Non

Existe-t-il une politique des mots de passe robuste ? Oui / Non

Un flux https est-il mis en place lors de la création d’un compte en ligne ? Oui / Non

Existe-t-il une politique de sécurisation des terminaux mobiles (système de blocage et/ou de suppression des données à distance) ?

Oui / Non

La pseudonymisation ou le chiffrement des données est-il utilisé ? Oui / Non

Des solutions anti-virus ont-elles été mises en place ? Oui / Non

Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ont été mis en place ?

Oui / Non

Des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ont été mis en place (politique de sauvegarde en cas de sinistre) ?

Oui / Non

Annexes


135

Les accès aux locaux sont-ils sécurisés par un système de badge, biométrie ou vidéosurveillance ?

Oui / Non

Existe-t-il un processus d’accueil des visiteurs ?

Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement a-t-elle été créée ?

Oui / Non

Des risques de destruction, de perte, d’altération, de divulgation non autorisées des données transmises, conservées ou traitées ont-ils été identifiés ?

Oui / Non

Des risques d’accès non autorisé de manière accidentelle ou illicite ont-ils été identifiés ? Oui / Non

Des mesures ont-elles été prises afin de s’assurer que les préposés du responsable de traitement ou du sous-traitant ne traite les données que sur instruction de son employeur à moins d’y être obligé par le droit

Oui / Non

Les contrats avec les prestataires obligent-ils ceux-ci au respect des règles de sécurité imposées par la législation ?

Oui / Non

Une charte informatique a-t-elle été adoptée ? Oui / Non

Les supports et les modalités de communication des informations aux tiers excluent-ils l’envoi des données par e-mail ?

Oui / Non

Point 10 – Flux transfrontières

Objectif : Identifier les flux de données personnelles hors UE, vérifier s’ils sont encadrés

Article 44 à 50 RGPD

Des transferts de données personnelles hors UE sont-elles effectuées ? Oui / Non

La base de ces transferts est-elle documentée ? Oui / Non

Un processus permet-il d’identifier systématiquement les transferts de données hors UE ?

Oui / Non

L’autorisation de transfert est-elle systématiquement demandée ? Oui / Non

Annexes


136

Point 11 – Formalités CNIL

Objectif : vérification des formalités réalisées auprès de la CNIL pour les traitements existants

Articles 22 à 31 loi 1978

Des déclarations CNIL ont-elles été réalisées pour chacun des traitements existants 19? Oui / Non

Des dispenses de déclaration ont été utilisées Oui / Non

Point 12 – Accountability (responsabilité)

Objectif : Démontrer la conformité en interne des traitements au RGPD

Article 24 RGPD

Une procédure de Privacy by design est-elle en place ? Oui / Non

Un registre des traitements est tenu ? Oui / Non

Les violations de données personnelles sont-elles documentées, sont-elles notifiées à la CNIL ?

Oui / Non

Un DPO est-il nommé / obligatoire ? Oui / Non

Une procédure permettant de déterminer si une PIA est nécessaire est-elle en place ? Oui / Non

19 Il est possible d’obtenir auprès de la CNIL toutes les déclarations réalisées

Annexes


137

11. Exemple de fiche d’écart

Fiche d’écart n°6 : Durée de conservation des données à caractère personnel

Ecart constaté : absence de gestion des durées de conservation des données à caractère personnel pour les bases de données des clients Risque : modéré Législation concernée : Article 5.1 e) RGPD Actions et délais préconisés : Actions : Définir une politique de gestion de la durée de conservation des données personnelles : • Définir une durée de conservation des données personnelles pour les bases de

données client limitée dans le temps et en adéquation avec la finalité du fichier • Suivre l’expiration des durées de conservation • Supprimer les données sans délai une fois la durée de conservation atteinte Délai : Moyen-terme – le xxxx Difficultés possibles, adaptations nécessaires : ……………

12. Exemple de questionnaire d’audit technique

Gouvernance, politiques internes, procédures Oui/non Commentaires

Rôle et positionnement de l’informatique dans l’organisation

La DSI est-elle rattachée à la DG et présente au CODIR/COMEX

Nombre de personnes employées dans l’équipe informatique

Nombre de personnes employées à la sécurité informatique

Quels sont leurs fonctions et responsabilités ?

Existe-t-il une charte informatique ou un autre document définissant le rôle et le périmètre de la responsabilité de la DSI ?

Existe-t-il des procédures de pilotage et de mise à jour du plan informatique ?

Transfert des données

• Les sauvegardes de données sont-elles conservées en dehors de l’entreprise ?

Annexes


138

Si oui, le processus est-il documenté ? • L’accès aux données pour l’entreprise est-il assuré dans un

laps de temps défini ?

Dans quel pays les données sont-elles transférées ?

Si vous traitez des détails de paiement pour vous-même ou vos clients : • L’entreprise est-elle certifiée conforme PCI ? • Si la conformité PCI est en cours, quel est le délai

d’obtention ?

Gestion des risques et politique de sécurité

• Les risques IT et les exigences de sécurité sont-ils identifiés et vérifiés ? Si oui, cette vérification est-elle faite de manière systématique et à intervalle régulière ?

Existe-t-il une documentation interne ou des standards internes en relation avec la sécurité des données (Sécurité informatique, ordinateurs portables, téléphones mobiles, appareils personnels, etc) ? Si oui, cette documentation et ces standards ont-ils une base normative ? Si oui, précisez laquelle

Votre matériel informatique est-il protégé pour les dommages suivants ? • Perte de courant • Incendie • Inondation

Les accès physiques sont-ils répertoriés, y compris leur date, heure et nom du personnel ?

Des plans de reprise sont-ils prévus ? Si oui, à quelle fréquence sont-ils testés ?

Existe-t-il des accords de continuité de service ?

Existe-t-il une politique de destruction sécurisée des données confidentielles ?

Existe-t-il une assurance pour les infrastructures et les équipements IT (matériel) ? Si oui, existe-t-il des assurance supplémentaires (supports de données etc.) ?

Gestion des utilisateurs

Utilisez-vous des identifiants et mots de passe pour les connexions ? Dans la négative, surveillez-vous l’utilisation de vos systèmes ?

Annexes


139

Si non, passez directement à la section contrôle des accès au réseau

Des comptes utilisateurs impersonnels sont-ils utilisés pour certaines activités IT ?

Imposez-vous des règles de mot de passe minimum ?

Quelle est la longueur minimum du mot de passe ?

Quelle est la complexité minimum du mot de passe ? (Majuscules, minuscules, chiffres…)

Le changement de mot de passe est-il obligatoire après une certaine période de temps ?

Utilisez-vous un historique des mots de passe, de façon à interdire la réutilisation de mots des anciens, Si oui, combien de mots de passe conservez-vous ?

La base de données de mots de passe est-elle hashée ou chiffrée ?

• Combien de mots de passe incorrects autorisez-vous avant de bloquer l’utilisateur ?

• Combien de temps l’utilisateur reste-il bloqué ? • Comment les réinitialisations de mot de passe et blocages de

compte sont -ils gérés ?

Utilisez-vous des questions secondaires, codes, PIN ou encore facteurs biométriques pour renforcer la sécurité du système ?

Protection des accès

Les privilèges administratifs sont-ils contrôlés ou alloués sur demande ?

Existe-il un processus écrit pour l’attribution, la gestion et la révocation des accès aux données ?

Existe-t-il une liste des utilisateurs ?

Les droits d’accès des collaborateurs qui quittent l’entreprise sont-ils supprimés ?

Les utilisateurs ayant accès aux données sont-ils informés et sensibilisés sur les règles de protection de celles-ci et sur l’utilisation correcte des systèmes d’information ?

Contrôle des accès au réseau

Vos serveurs et PC internes sont-ils séparés du web et des autres réseaux externes par des pare-feux et/ou d’autres moyens ?

Annexes


140

Existe-t-il une politique claire concernant les droits d’administration sur les ordinateurs permettant l’installation des logiciels ?

Existe-il une procédure pour répondre aux incidents de sécurité ?

Affichez-vous un avertissement avant connexion indiquant que les systèmes sont réservés au personnel autorisé ?

Des salariés / des tiers ont-ils accès à une partie de votre réseau, directement ou indirectement ? Si oui, précisez si une procédure règle l’octroi des accès à distance, les évalue et les contrôle

Des tiers reçoivent-ils des données collectées de votre part ?

Disposez-vous d’un programme de protection anti-virus mis à jour quotidiennement et installé sur tous les serveurs et places de travail qui ne peut être désactivé par les utilisateurs ?

Appliquez-vous les mises à jour de sécurité des systèmes d’exploitation et des applications pour tous les systèmes ? Ces mises à jour sont-elles appliquées au moins mensuellement ?

Chiffrement des données

Quelles méthodes de chiffrement utilisez-vous pour protéger la transmission et le stockage des données ?

Les clés de chiffrement sont-elles changées à intervalles réguliers ?

Avez-vous défini une politique de rétention et de suppression des données ?

Utilisez-vous des systèmes de détection d’intrusion (IDS) ou des systèmes de prévention d’intrusion (IDP) ?

Si oui, à quelle fréquence la base des règles et des alertes est-elle examinée ?

Utilisez-vous des réseaux sans fil ? Si oui, quels protocoles de chiffrement et d’accès sont utilisés ?

Sites web

Le site web est-il protégé par un pare-feu ?

Vos données sont-elles accessibles via le site web ?

Les parties sensibles du site web sont-elles protégées par un chiffrement renforcé ?

Annexes


141

Réalisez-vous des scans de vulnérabilité au moins chaque trimestre ?

Réalisez-vous des tests de pénétration au moins chaque année ?

13. Procédure de demande d’exercice des droits

Le cabinet a le statut de responsable de traitement -Procédure des demandes d’exercice de leurs droits par les personnes concernées :

• identification des demandes ;

• modalités de traitement des demandes : - service en charge de la réponse : le service opérationnel qui a

collecté les données personnelles. - délais : dans les meilleurs délais et en tout état de cause dans le

délai d’un mois à compter de la réception de la demande. Possibilité de prolongation du délai dans certaines hypothèses mais nécessité d’informer la personne concernée. Si le cabinet ne donne pas suite à la demande, nécessité d’informer la personne concernée dans un délai d’un mois des motifs du refus de réponse ainsi que de la possibilité pour cette dernière d’introduire une réclamation auprès d’une autorité de contrôle ou de former un recours juridictionnel.

• Vérifications : - de l’identité du demandeur et du bien-fondé de la demande en

tenant compte des spécificités de chaque droit et des conséquences et actions en résultant, des diverses typologies de personnes concernées,

- de la cohérence des mentions d’information s’agissant de ces droits.

• formalisme de la réponse à la demande : - information concise, transparente, compréhensible, aisément

accessible, en des termes clairs et simples - par écrit ou par voie électronique ou par oral en fonction de la

modalité de la demande

• déploiement de fonctionnalités d’extraction, notamment pour les réponses aux demandes d’accès et de portabilité (requêteur et formatage / paramétrage des réponses).

• Validation de la réponse par le DPO si vous en avez désigné un (pour la plupart des cabinets, il n’est pas obligatoire).

• Aucun paiement ne peut être exigé. Exceptions :

Annexes


142

- si les demandes sont manifestement infondées ou excessives (il appartient au responsable de traitement de le prouver), notamment en raison de leur caractère répétitif : possibilité de refuser de répondre ou d’exiger le paiement des frais administratifs supportés en conséquence.

- pour le droit d’accès, le cabinet peut exiger le paiement de frais raisonnables sur la base des coûts administratifs supportés pour toute copie complémentaire qui serait demandée (c’est-à-dire pour tout exemplaire supplémentaire demandé en sus de l’exemplaire initial).

14. Procédure de gestion des failles de sécurité

Votre cabinet a la qualité de responsable de traitement (violation des données personnelles relatives aux les bulletins de paie de vos salariés) - Procédure de gestion de failles de sécurité

• identification et correction « technique » de la faille,

• constitution d’un dossier de preuves techniques et juridiques,

• dépôt de plainte,

• déclaration de sinistre auprès de l’assurance,

• notification à l’autorité de contrôle et communication à la personne concernée si nécessaire.

Il est conseillé également de créer un registre documenté des failles de sécurité, assorti de retours d’expérience constructifs.

Il existe un formulaire type sur le site de la CNIL à remplir pour la notification de la violation des données personnelles.

15. Modèle de registre de traitement

Annexes


143

16. Liens utiles

• CNIL : http://www.cnil.fr

• ANSSI : https://www.ssi.gouv.fr/

http://www.cnil.fr/

https://www.ssi.gouv.fr/