Accueil Présentation Services Honoraires Contact Partenaires Blog FAQ RGPD

Foire aux questions

Je travaille principalement avec des comptables indépendants. Comment dois-je les impliquer dans ma politique RGPD ?

Vos collaborateurs externes sont vos partenaires commerciaux, vos sous-traitants. Ils doivent se conformer à la nouvelle règlementation européenne. Votre responsabilité est engagée solidairement en cas de manquement, faute, sinistre, etc.

En tant que Fiduciaire, expert-comptable, vous devez veiller à ce que tous vos collaborateurs indépendants soient conformes.

Il faut les conscientiser/responsabiliser (c’est plus que les sensibiliser) mais également exiger qu’ils répondent aux prescrits légaux.

Le règlement indique que le responsable de traitement doit faire uniquement appel à des sous-traitants qui présentent des garanties suffisantes.

Il faut établir un ECRIT.

Le contrat de sous-traitance devra contenir un certain nombre de dispositions impératives et notamment prévoir que le sous-traitant ne traite des données personnelles que sur instruction documentée du responsable de traitement, y compris s’agissant des transferts de données hors Union européenne et qu’il prenne toutes les mesures appropriées en matière de sécurité, qu’il restitue ou supprime toutes les données au terme de la prestation, etc. Le sous-traitant devra en outre répercuter ses obligations sur ses propres sous-traitants.

J’externalise certaines activités d’encodage à l’étranger dont certaines au Maroc. La nouvelle directive permet-elle cela ?

Que ce soit pour un simple besoin d’hébergement de données ou pour une transmission de données à un sous-traitant, les transferts de données personnelles vers un pays tiers (hors U.E.) nécessitent de s’assurer du niveau de protection suffisante tant durant le transport que lors du stockage ou de l’exploitation.

L’article 68 indique comment analyser le degré de suffisance.  Il faut à la fois prendre en considération les dispositions en vigueur dans cet Etat, les mesures de sécurité qui y sont appliquées, les caractéristiques propres au traitement telles que sa fin et sa durée ainsi que la nature, l’origine et la destination des données traitées. 

Les transferts hors Union européenne devront être encadrés par des règles d’entreprises contraignantes approuvées par l’autorité de contrôle compétente (« Binding Corporate Rules »).

La Commission européenne liste les pays tiers considérés comme garantissant un niveau de protection « suffisant ».

Cependant, l’article 69 apporte une exception à l’article 68 : le transfert est autorisé s’il est nécessaire à la sauvegarde de la vie de la personne concernée, à la sauvegarde de l’intérêt public ou au respect de certaines obligations permettant d’assurer la défense d’un droit en justice ou si le pays concerné offre des garanties appropriées qui sont décrites par le règlement, et prévoir que les personnes concernées disposent de droits opposables et de voies de droit effectives.

Mon prestataire informatique me propose une solution de gestion de back-up très bon marché. Comment savoir si cette solution est bien conforme aux nouvelles exigences ?

La solution proposée doit répondre à la règlementation européenne étant entendu que le back-up est un stockage et donc un traitement.  Il faudra, par conséquent, que le fournisseur IT garantisse (par un écrit) que la solution de gestion de back-up est conforme au RGPD.

Je prévois la mise en œuvre d’une solution d’échange de documents comme Skwarel ou ClearFacts. Dois-je prévoir de prendre des mesures particulières ?

L’échange d’informations est un traitement et doit être sécurisé selon la nature et la valeur de l’information. Il est donc essentiel de ‘classifier’ l’information et d’établir une carte d’identité du traitement.

Dans le cadre de loi anti-blanchiment, je me dois de vérifier certaines informations relatives à mes clients et prospects. Quelles précautions prendre ?

Ce sont des données à caractère personnel que vous récoltez.  Leur traitement doit répondre aux exigences du RGPD.

Plusieurs de mes clients sont établis aux États-Unis. En tant qu’expert-comptable, je gère leur(s) filiale(s) en Belgique. Mes clients me sollicitent régulièrement et exigent de nombreuses informations comme la liste des clients et fournisseurs européens. Est-ce permis ?

Il importe d’abord de s’interroger sur la pertinence de l’envoi de ces listes, sur la proportionnalité par rapport à la finalité du traitement. Par ailleurs, les filiales étant basées en Belgique, il s’agit d’un transfert hors U.E qui doit répondre aux exigences du RGPD.

Mon cabinet gère plusieurs activités comme celles d’audit, de comptabilité, de conseil fiscal, etc., mais sous des structures juridiques différentes. Il y a bien sûr des échanges d’informations entre ces différents « départements ». Comment m’organiser ?

Il faut s’interroger sur la finalité des échanges et exploitations subordonnées. Les clients doivent être mis au courant des échanges intervenant entre les différentes structures et donner leur accord quant à la portabilité de leurs données. Un contrat écrit de traitement de données est à établir à la fois entre les différentes entités juridiques et entre le cabinet et le(s) client(s).

Mon revendeur de solution comptable prétend que le logiciel que j’utilise doit faire l’objet d’un « upgrade » GDPR. Comment puis-je vérifier que cette mise à jour est bien conforme à la nouvelle directive. Dans quelle mesure est-elle vraiment nécessaire ?

Si l’upgrade concerne l’amélioration – la mise en œuvre réelle – du Privacy by design (conformité dès la conception d’outils, services, applications) et du Security by default (conformité des technologies, supports, applications), on va dans la bonne direction. Toute modification d’une solution après le 25/5 doit implémenter ces deux concepts de façon ‘native’. Il faut (faire) identifier et analyser les modifications concernées par l’upgrade afin de vérifier si elles sont 1° pertinentes, 2° correctes et 3° conformes.

Je souhaite développer ma communication via des réseaux sociaux ou encore via des newsletters. Quels sont les éléments à prendre en compte ?

Le Big Data (traitement à grande échelle) et le profilage sont spécialement visés par le RGPD. 

Le RGDP définit le profilage comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

Il va falloir respecter le droit des individus de l’Article 15 du RGPD. Le respect du droit des individus oblige les entreprises à pratiquer une bonne gestion des données et mettre en place les outils nécessaires pour interroger les bases de données afin de trouver toutes les informations qu’elles ont sur un individu afin de procéder à la modification, transfert ou élimination des données. Le volume et la variété des données et la complexité du traitement peuvent rendre cette gestion plus difficile. Une solution est de localiser les données sur un même serveur en appliquant bien sûr les règles de sécurité adéquates (Article 32 du RGPD). 

En ce qui concerne le marketing direct, il convient d’informer et d’obtenir l’autorisation du destinataire préalablement à l’envoi de masse et d’établir une cartographie des données personnelles stockées et utilisées dans l’entreprise.

Est-il vrai que la mise en place d’une politique GDPR peut être onéreuse ? Comment dois-je répercuter ces coûts vers mes clients ? Quels seraient vos conseils ?

Les coûts sont proportionnels aux efforts à produire pour se mettre en règle. Ceux qui respectaient déjà la législation Vie Privée n’ont que peu de frais à prévoir. Il n’est pas décent de répercuter directement sur les clients ce qui aurait déjà dû être mis en place. Cependant une certaine forme de ‘participation’ de leur part n’est pas exclue puisque vous ‘protégez’ leurs DCP et donc leurs intérêts.

A noter que l’entreprise retire de nombreux avantages à sa mise en conformité tels que :

  • Conservation limitée dans le temps, archivage : Gain de place = gain d’argent
  • Sécurisation de l’accès aux DCP : Moins de responsabilité = moins de risques = plus de tranquillité
  • Conformité au RGPD = plus de confiance = plus d’activité = moins de cybercriminalité dans le monde = moins de temps perdu à traiter les prélèvements frauduleux, les usurpations d’identité, les pannes informatiques.