testez votre conformité
logo_agence
testez votre conformitéDevenir franchisé

Activités comptables : quelles obligations RGPD pour les cabinets et experts-comptables ?

Introduction

Les cabinets d’expertise comptable traitent chaque jour des volumes importants de données à caractère personnel : informations fiscales, sociales, financières, parfois sensibles. Ces données concernent les dirigeants d’entreprises, leurs salariés, voire des tiers. Dans ce contexte, le respect du RGPD est une exigence légale incontournable, mais aussi un levier de confiance pour les clients et un gage de professionnalisme.

Le secret professionnel qui s’impose aux experts-comptables depuis l’ordonnance de 1945 se trouve ainsi renforcé par les exigences du règlement européen.

Des données confidentielles à forte valeur juridique

Types de données traitées par les cabinets comptables étant précieuses et variées : 

  • Données d’identification : identités, coordonnées, statuts juridiques
  • Données financières : comptes bancaires, chiffres d’affaires, résultats, investissements
  • Données fiscales : déclarations TVA, impôt sur les sociétés, taxes diverses
  • Données sociales : bulletins de paie, déclarations sociales, contrats de travail
  • Données sensibles : informations de santé (mutuelle, arrêts maladie), données syndicales, parfois condamnations pénales

Ces données concernent non seulement les dirigeants mais également les salariés des entreprises clientes, voire des tiers. Leur traitement entre pleinement dans le champ du RGPD, qui impose rigueur et transparence.

Secret professionnel et confidentialité renforcée

Les experts-comptables sont soumis à un secret professionnel absolu depuis l’ordonnance du 19 septembre 1945. Cette obligation :

  • Couvre toutes les informations obtenues dans le cadre de la mission
  • S’impose même si le client autorise la divulgation
  • S’étend aux collaborateurs et stagiaires du cabinet
  • Interdit la transmission libre des données financières et fiscales, y compris au sein du cabinet

Cette spécificité renforce les obligations RGPD et impose des mesures de sécurité particulièrement strictes.

Le RGPD dans le secteur comptable : bases légales et spécificités

Identification des bases légales appropriées

L’article 6 du RGPD encadre les bases légales des traitements. Dans le secteur comptable, trois bases légales sont principalement utilisées :

L’exécution d’un contrat (article 6.1.b du RGPD) :

  • Prestations de services comptables convenues avec le client
  • Établissement des comptes annuels
  • Conseil fiscal et social contractualisé

L’obligation légale (article 6.1.c du RGPD) :

  • Déclarations fiscales imposées par le Code général des impôts
  • Déclarations sociales obligatoires (URSSAF, caisses de retraite)
  • Obligations comptables du Code de commerce
  • Conservation légale des documents comptables

L’intérêt légitime (article 6.1.f du RGPD) :

  • Prospection commerciale auprès de clients existants
  • Recouvrement de créances
  • Gestion des litiges ou contentieux

Durées de conservation légales spécifiques

Les cabinets comptables doivent respecter des durées de conservation précises :

Documents comptables :

  • Pièces comptables (factures, bons de livraison, quittances) : 10 ans
  • Livres et registres comptables (livre-journal, grand-livre) : 10 ans
  • Documents de synthèse (bilan, compte de résultat, annexe) : 10 ans à partir de la clôture de l’exercice

Documents sociaux :

  • Bulletins de paie : 5 ans après la fin du contrat de travail
  • Déclarations sociales : 3 ans (5 ans en cas de contrôle)
  • Documents relatifs aux accidents du travail : 40 ans

Documents bancaires :

  • Relevés de comptes, talons de chèque : 5 ans
  • Ordres de virement : 10 ans à compter de la clôture de l’exercice

Un calendrier de conservation documenté doit être établi et respecté par des procédures d’archivage et de suppression sécurisées.

Sécuriser les flux de données dans le cabinet

Encadrer les échanges avec les clients

Les échanges d’informations doivent se faire via des canaux sécurisés. L’Ordre des experts-comptables recommande formellement de ne plus utiliser les emails non sécurisés pour transmettre des données sensibles.

Solutions recommandées :

  • Portails clients sécurisés avec authentification forte
  • Messageries chiffrées de bout en bout
  • Plateformes d’échange sécurisées avec traçabilité des accès
  • Hébergement certifié HDS (Hébergeur de Données de Santé) ou équivalent pour les données sensibles

Mesures techniques obligatoires :

  • Chiffrement des données en transit et au repos[13]
  • Authentification à deux facteurs (2FA) pour les accès distants[20]
  • Utilisation de VPN pour toutes les connexions à distance[20]
  • Protocoles HTTPS pour tous les échanges web[18]

Limiter les accès et tracer les traitements

L’accès aux dossiers doit être limité au strict nécessaire selon le principe de minimisation :

Gestion des habilitations :

  • Politique d’accès par profil utilisateur (senior, junior, assistant)
  • Cloisonnement des données par service ou mission
  • Révision régulière des droits d’accès (notamment en cas de départ)
  • Déconnexion automatique après inactivité

Traçabilité et contrôle :

  • Journaux de connexion et d’accès aux systèmes sensibles
  • Logs des modifications apportées aux données clients
  • Monitoring des téléchargements et transferts de fichiers
  • Alertes en cas d’accès anormal ou de tentative d’intrusion

Ces dispositifs permettent de prouver le respect du principe d’intégrité et de confidentialité en cas de contrôle ou de litige.

Protection contre les cyberattaques

Les cabinets comptables sont particulièrement exposés aux cybermenaces[9]. Les mesures de protection doivent inclure :

Sécurité informatique :

  • Antivirus mis à jour régulièrement sur tous les postes
  • Pare-feu (firewall) pour filtrer le trafic réseau
  • Sauvegardes automatiques selon la règle 3-2-1 (3 copies, 2 supports, 1 hors site) 
  • Mises à jour système et logiciels pour corriger les failles de sécurité

Formation et sensibilisation :

  • Formation du personnel aux risques de phishing et ransomware
  • Procédures claires en cas d’incident de sécurité
  • Tests réguliers des procédures de récupération de données
  • Sensibilisation aux bonnes pratiques de sécurité informatique

Le rôle stratégique du DPO dans un cabinet comptable

Quand faut-il nommer un DPO ?

La nomination d’un DPO n’est pas obligatoire dans tous les cabinets. Elle devient nécessaire selon l’article 37 du RGPD si le cabinet :

Critères d’obligation :

  • Traite des données sensibles à grande échelle (santé, condamnations pénales)
  • Effectue un suivi régulier et systématique des personnes à grande échelle
  • Fait partie d’un grand réseau réalisant des analyses complexes sur les données clients

Appréciation de la “grande échelle” :

  • Nombre de clients traités (plusieurs milliers)
  • Volume et variété des données manipulées
  • Étendue géographique du cabinet
  • Utilisation d’outils d’analyse automatisée ou d’intelligence artificielle

DPO recommandé même si non obligatoire :
Même sans obligation légale, la désignation d’un DPO interne ou externe est fortement recommandée car les cabinets manipulent des données personnelles sensibles.

Missions du DPO dans le secteur comptable

Conseil et accompagnement :

  • Tenue et mise à jour du registre des traitements spécifique aux activités comptables
  • Conseil sur les analyses d’impact (AIPD) avant utilisation de nouveaux outils
  • Accompagnement dans l’évaluation des bases légales pour chaque traitement
  • Formation et sensibilisation des équipes aux enjeux RGPD

Interface avec les autorités :

  • Point de contact avec la CNIL lors des contrôles
  • Notification des violations de données dans les 72 heures
  • Coopération lors des enquêtes et contrôles
  • Veille sur l’évolution de la réglementation

Gestion des droits des personnes :

  • Traitement des demandes d’exercice des droits (accès, rectification, effacement)
  • Conseil sur les réponses à apporter selon les spécificités comptables
  • Gestion des réclamations et litiges liés à la protection des données

Le registre des traitements : un outil indispensable

Tout cabinet, quelle que soit sa taille, doit tenir un registre des traitements adapté à ses activités :

  • “Gestion clients” : données d’identification, contractuelles, facturation, archivage
  • “Externalisation paie” : données des salariés des entreprises clientes
  • “Déclarations fiscales” : données fiscales et patrimoniales des clients
  • “Personnel du cabinet” : données RH internes, formation, évaluation
  • “Prospects et marketing” : données commerciales, communication, prospection

Contenu obligatoire pour chaque traitement :

  • Finalités du traitement et base légale correspondante
  • Catégories de personnes concernées et de données traitées
  • Destinataires des données (internes et externes)
  • Durées de conservation ou critères de détermination
  • Mesures de sécurité techniques et organisationnelles
  • Transferts éventuels hors Union européenne

Encadrer les sous-traitants et partenaires

Identification des sous-traitants dans l’écosystème comptable

Les cabinets comptables travaillent avec de nombreux prestataires qui nécessitent un encadrement spécifique :

Prestataires techniques :

  • Éditeurs de logiciels comptables (EBP, Sage, Cegid, etc.)
  • Hébergeurs de données (cloud privé ou public)
  • Prestataires de maintenance informatique et télémaintenance
  • Services d’archivage électronique et de GED (Gestion Électronique de Documents)
  • Plateformes de signature électronique

Partenaires institutionnels :

  • Administrations fiscales (DGFiP, portails professionnels)
  • Organismes sociaux (URSSAF, caisses de retraite, Pôle emploi)
  • Institutions bancaires pour les télédéclarations
  • Greffes des tribunaux de commerce pour les dépôts d’actes

Obligations contractuelles renforcées

Contrats de sous-traitance (article 28 RGPD) obligatoires avec :

  • Définition précise des traitements autorisés et interdits
  • Garanties de sécurité techniques et organisationnelles
  • Interdiction de sous-traiter sans autorisation écrite préalable
  • Obligation d’assistance pour l’exercice des droits des personnes
  • Audit et contrôle possibles par le cabinet responsable
  • Retour ou destruction des données en fin de contrat
  • Notification immédiate des violations de données

Clauses spécifiques au secteur comptable :

  • Respect du secret professionnel et de la confidentialité renforcée
  • Localisation des données (préférence UE pour les données sensibles)
  • Certification ou agrément des hébergeurs (HDS si données de santé)
  • Procédures de sauvegarde et de récupération des données
  • Garanties en cas de défaillance du prestataire

Garantir les droits des personnes

Répondre efficacement aux demandes d’exercice de droits

Les cabinets comptables doivent prévoir une procédure claire pour traiter les demandes dans le délai légal d’un mois :

Droits exercés fréquemment :

  • Droit d’accès : communication des données personnelles détenues
  • Droit de rectification : correction des données inexactes ou incomplètes
  • Droit d’opposition : opposition au traitement pour motifs légitimes
  • Droit à l’effacement : suppression des données (limité par les obligations légales)
  • Droit de limitation : gel temporaire du traitement

Spécificités du secteur comptable :

  • Limitations liées aux obligations légales de conservation[6]
  • Impossibilité d’effacement pendant les durées légales minimales
  • Articulation avec le secret professionnel et les relations contractuelles
  • Procédures d’identification renforcées pour éviter les demandes frauduleuses

Information transparente des clients

Les cabinets doivent fournir une information claire et complète dès le début de la relation :

Mentions d’information obligatoires :

  • Identité du responsable de traitement et coordonnées du DPO
  • Finalités des traitements et bases légales correspondantes
  • Destinataires des données (administrations, organismes sociaux)
  • Durées de conservation selon les obligations légales
  • Droits des personnes et modalités d’exercice
  • Droit de réclamation auprès de la CNIL

Modalités pratiques :

  • Intégration dans les lettres de mission
  • Mentions sur le site internet du cabinet
  • Documentation remise lors du premier rendez-vous
  • Mise à jour régulière selon l’évolution des traitements

Gestion des violations de données et incidents

Procédures de notification obligatoires

En cas d’incident de sécurité, les cabinets doivent appliquer des procédures strictes :

Documentation interne (obligatoire dans tous les cas) :

  • Nature de la violation (confidentialité, intégrité, disponibilité)
  • Catégories et nombre de personnes concernées
  • Catégories et volume de données compromises
  • Conséquences probables de la violation
  • Mesures prises pour résoudre l’incident et éviter sa répétition

Notification à la CNIL (dans les 72 heures si risque pour les personnes) :

  • Formulaire de notification en ligne sur le site CNIL
  • Description détaillée de l’incident et de ses causes
  • Évaluation des risques pour les droits et libertés
  • Mesures mises en œuvre pour limiter les conséquences

Information des personnes concernées (si risque élevé) :

  • Communication directe aux clients affectés
  • Description de la nature de la violation
  • Recommandations pour limiter les risques
  • Coordonnées du DPO pour obtenir des informations

Analyse d’impact sur la protection des données (AIPD)

L’AIPD est particulièrement importante pour les cabinets comptables :

Obligation de réaliser une AIPD :

  • Traitement à grande échelle de données sensibles
  • Utilisation d’outils automatisés (intelligence artificielle, scoring)
  • Surveillance systématique des activités financières des clients
  • Nouveaux traitements susceptibles d’engendrer un risque élevé

Contenu de l’analyse :

  • Description du traitement et de ses finalités
  • Évaluation de la nécessité et de la proportionnalité
  • Identification des risques pour les personnes concernées
  • Mesures envisagées pour atténuer les risques identifiés

Points clés à retenir

  • Les cabinets comptables manipulent des données particulièrement sensibles nécessitant une protection renforcée 
  • Le secret professionnel impose des obligations de confidentialité qui se cumulent avec le RGPD
  • Les bases légales doivent être clairement identifiées selon les finalités de traitement
  • Les durées de conservation sont encadrées par des obligations légales spécifiques
  • La sécurisation des échanges avec les clients est indispensable
  • Le DPO joue un rôle central dans la gouvernance des données pour les cabinets de grande taille
  • Tous les partenaires et sous-traitants doivent être contractuellement encadrés
  • Les procédures de gestion des incidents et de notification sont essentielles

Conclusion

Les obligations RGPD ne sont pas un frein à l’activité des cabinets comptables : elles représentent un cadre structurant, rassurant pour les clients et conforme aux exigences déontologiques de la profession. Mettre en place une gouvernance des données solide, documenter les pratiques et encadrer les partenaires permet de sécuriser l’activité et de limiter les risques de contentieux ou de sanctions.

Cette conformité constitue désormais un gage de professionnalisme et de différenciation concurrentielle dans un secteur où la confiance des clients est primordiale.

Restez informé !

Des nouveautés RGPD

Suivez les actualités et les évolutions de la réglementation relative à la protection des données et profitez des conseils de l’Agence RGPD.



    Les informations recueillies sur ce formulaire permettent à l’Agence RGPD de vous transmettre sa Newsletter mensuelle. Les champs « * » sont indispensable à cette fin ; la non-fourniture de ces données entraine l’impossibilité pour nous de vous transmettre notre Newsletter.
    Pour en savoir plus sur la gestion de vos données personnelles et pour exercer vos droits, cliquez ici»