Coaxis : RGPD & Experts-Comptables

Le 25 mai 2018, l’entrée en vigueur du Règlement Général sur la Protection des Données a suscité de nombreuses inquiétudes auprès de la profession comptable.

S’agissant de données personnelles, s’il y a bien une profession « au cœur du réacteur », c’est bien celle des experts-comptables. En effet, le cabinet est responsable des données à caractère personnel internes mais aussi de celles de ses clients.

 

Alors, avant tout, qu’est-ce qu’une donnée à caractère personnel ?

C’est une information relative à une personne physique susceptible d’être identifiée directement ou indirectement. Cela peut donc bien sûr être un nom, une adresse, un code, une photo, un numéro de téléphone ou une adresse mail. Mais attention, cela peut aussi être des données qui ne nous paraissent pas à première vue relever de cette définition. Ainsi, une adresse IP, un identifiant de connexion informatique ou encore un mot de passe sont également des données personnelles. Par ailleurs, sachez que si le recoupement de plusieurs informations (telles que l’âge, le sexe, la ville…) permet d’identifier une personne physique, il s’agira ici aussi de données à caractère personnel.

 

Vous l’aurez compris, la double responsabilité entre les données internes du cabinet et celles de ses clients conduit ce dernier à porter une double-casquette. Il est à la fois « responsable des traitements » pour ses propres données et « sous-traitant » pour les données de ses clients.

De ce fait, le volume conséquent de données manipulées par les cabinets les oblige à nommer un DPO (Data Protection Officer). Celui-ci peut être un employé du cabinet, une personne externalisée ou encore mutualisée avec d’autres cabinets par exemple.

 

Inévitablement, le RGPD impose donc aux cabinets de se pencher très attentivement sur la sécurisation des données. Pour ce qui concerne les données stockées sur des serveurs ou des postes de travail, il est maintenant devenu impossible de continuer comme avant la publication du RGPD.

Ainsi, un serveur local ne peut plus être installé dans un endroit non protégé, dans la mesure où des données peuvent être trop facilement extraites d’un serveur auquel on a un accès physique. De même, un disque dur nomade ayant une capacité de stockage supérieure à la base de données d’un cabinet, en quelques minutes, quelqu’un pourrait « évader » l’intégralité des données, et ce, de manière aisée et rapide. Cela fait donc courir au cabinet un risque important de condamnation.

 

Les cabinets font de ce fait de plus en plus appel à une externalisation de leurs serveurs auprès de sociétés spécialisées qui garantissent un niveau de protection de leur système d’information.

Ces dernières doivent héberger l’infrastructure des cabinets dans des datacenters sécurisés, situés sur le territoire français, et surtout, disposer de personnels hautement qualifié, capables d’infogérer cette infrastructure pour le compte des cabinets.

 

De même, les identifiants et mots de passe doivent être individualisés, sécurisés, et modifiés régulièrement. L’immense majorité des accès non sollicités à des données l’ont été parce que la politique des identifiants et mots de passe était défaillante. Enfin, Cela passe également par une importante sensibilisation des personnels du cabinet à ces risques tous plus accrus chaque jour. Fini le traditionnel post-it sous le clavier de son poste de travail, il doit être absolument banni !