Pourquoi le RGPD concerne particulièrement les cabinets
Un cabinet d'expertise comptable manipule par nature des données très sensibles : SIREN, comptes bancaires, fiches de paie, identités, chiffres d'affaires confidentiels. La quantité et la sensibilité des données traitées font des cabinets une cible d'attaque privilégiée et une source de risque RGPD majeure.
Et la CNIL ne plaisante pas : sanctions jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial, ce qui s'applique au groupe pas au cabinet seul.
Les 12 actions à cocher
Voici la checklist opérationnelle.
1. Désigner un référent ou un DPO
Pour les cabinets de moins de 10 personnes, un référent suffit. Au-delà, ou si vous traitez des données sensibles à grande échelle, un DPO (interne ou externe mutualisé) est conseillé. Notez son nom, son rôle, ses coordonnées dans un document interne.
2. Tenir un registre des traitements
C'est l'obligation la plus formelle. Vous devez lister chaque traitement de données : paie, comptabilité client, GED, prospection. Pour chacun, préciser la finalité, la base légale (contrat, obligation légale, intérêt légitime), les catégories de données, les destinataires, la durée de conservation, les mesures de sécurité.
Un modèle CNIL existe en open source. Comptez 4 à 6 heures pour le compléter sérieusement.
3. Cartographier les sous-traitants
Chaque outil que vous utilisez et qui traite des données est un sous-traitant. Vous devez avoir un contrat de sous-traitance signé (DPA) avec chacun, qui précise leurs obligations.
Les principaux : votre logiciel comptable, votre messagerie, votre solution de signature, votre cloud. Vérifiez systématiquement la mention DPA dans les CGV.
4. Vérifier la localisation des hébergeurs
Idéalement, hébergement dans l'UE. Si un sous-traitant est aux États-Unis, vérifier son adhésion au Data Privacy Framework. Sinon, c'est une faille majeure.
5. Mettre en place la double authentification
L'authentification par mot de passe seul n'est plus considérée comme suffisante pour des données sensibles. Activez la double authentification (TOTP, clé physique) pour tous les utilisateurs ayant accès aux données clients.
6. Chiffrer les ordinateurs portables
Tout ordinateur du cabinet (et du télétravail) doit avoir le chiffrement de disque activé : BitLocker sur Windows, FileVault sur Mac. Sans ça, un PC volé est une fuite de données massive.
7. Gérer les durées de conservation
Une donnée comptable a une durée légale de conservation (10 ans en général). Au-delà, elle doit être supprimée ou anonymisée. Si vous gardez tout indéfiniment, c'est une violation du principe de minimisation.
Documentez vos durées dans le registre, et automatisez le nettoyage si possible.
8. Formaliser le droit d'accès des clients
Tout client peut demander à voir les données que vous détenez sur lui, à les corriger, à demander leur effacement (sauf obligation légale de conservation). Préparez une procédure et un délai de réponse (1 mois).
9. Préparer la procédure de notification de violation
En cas de fuite ou d'incident de sécurité, vous devez notifier la CNIL sous 72 heures, et les personnes concernées si le risque est élevé. Préparez un modèle, désignez la personne qui pilote l'incident, faites un test annuel.
10. Former vos collaborateurs
Une heure de formation par an, par collaborateur, c'est le minimum. Mots de passe forts, repérage du phishing, gestes interdits (envoyer un fichier avec des données clients par WhatsApp, par exemple).
11. Mettre à jour la politique de confidentialité
Sur votre site, en pied de page : qui collecte quoi, pourquoi, comment exercer ses droits, qui contacter. Mise à jour annuelle.
12. Tester votre plan de reprise
En cas de perte de données (ransomware, panne, erreur humaine), pouvez-vous restaurer vos sauvegardes ? Faites un test réel une fois par an, pas seulement vérifier que les sauvegardes existent.
Les sanctions concrètes prononcées
La CNIL a déjà sanctionné des cabinets et leurs prestataires. En 2023, un cabinet d'expertise comptable parisien a écopé de 50 000 € d'amende pour ne pas avoir notifié une fuite de données dans les délais. En 2024, un éditeur de logiciel comptable a payé 350 000 € pour mauvaise gestion des durées de conservation.
Ce ne sont pas des cas exceptionnels.
Comment Thaelys Ledger vous aide
Hébergement en Europe (IONOS), DPA disponible et signé avec chaque client cabinet, double authentification activable, audit trail complet de toutes les actions, durée de conservation paramétrable par type de donnée, export et suppression sur demande native, chiffrement au repos et en transit.
Vous restez responsable du traitement, mais nous vous fournissons les briques qui permettent d'être en règle sans douleur.
Pour aller plus loin
Lisez le guide RGPD spécifique aux cabinets d'expertise comptable publié par la CNIL et l'Ordre des Experts-Comptables. Téléchargeable gratuitement, il fait 60 pages et reste la référence.