MAI 2018

Consulter le SIC papier

Le SIC papier existe également en version numérisé .pdf, à télécharger ci-dessous.

Historique

AddToAny
Share

Gestion des données personnelles et RGPD : les réponses à vos questions

Après avoir fait le point sur la nouvelle règlementation et son application aux cabinets d’expertise comptable dans les numéros précédents, Sic aborde dans ce numéro les questions posées par les cabinets.

Les cabinets d’expertise comptable doivent-ils recueillir le consentement de toutes les personnes physiques dont les données personnelles sont traitées et en particulier des salariés des clients ?


La règlementation sur la protection des données personnelles prévoit que la personne physique dont les données personnelles font l’objet d’un traitement doit donner son consentement préalable. Les traitements ne nécessitent cependant pas tous ce consentement des personnes physiques concernées pour pouvoir être réalisés.


En effet, certains traitements peuvent être réalisés sur d’autres fondements que le consentement tels que l’exécution d’un contrat, d’une obligation légale, pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne, pour une mission d’intérêt public ou officielle, dans un intérêt légitime supérieur aux intérêts ou libertés et droits fondamentaux de la personne concernée etc. Les traitements qui sont réalisés pour des raisons d’archivage dans l’intérêt public, scientifique, statistique ou historique ne nécessitent pas non plus de consentement des personnes physiques concernées.


A noter que les traitements à des fins de prospection commerciale par voie électronique sont fondés en principe sur le consentement (article L 34-5 du code des postes et des communications électroniques), sauf pour les cas où la prospection commerciale est réalisée par courrier électronique et porte sur des produits ou services analogues à ceux déjà acquis par la personne concernée (la personne est déjà client), sur la base de coordonnées recueillies directement et légalement auprès de la personne concernée à l'occasion d'une vente ou d'une prestation de services. Dans ce cas, le traitement a pour fondement l’intérêt légitime du responsable de traitement et le consentement préalable n’est donc pas nécessaire.


Une délibération de la Cnil n°2016-264 du 21 juillet 2016 précise également que les cas de prospection par voie postale ou téléphonique avec intervention humaine (l’intervention humaine s’oppose aux messages pré-enregistrés), la prospection entre professionnels, la cession d’adresses postales et de numéros de téléphone à des fins de prospection avec intervention humaine, et la cession à des partenaires de données relatives à l’identité ou la situation familiale, économique et financière, dès lors que les organismes destinataires ne s’engagent à les exploiter que pour s’adresser aux intéressés à des fins exclusivement commerciales, n’ont également pas pour fondement le consentement.


Il faut néanmoins que la personne concernée soit informée que son adresse électronique sera utilisée à des fins de prospection et qu’elle soit en mesure de s’opposer à cette utilisation de manière simple et gratuite.

 

Les cabinets d’expertise comptable ne sont donc pas obligés de recueillir le consentement de toutes les personnes dont ils traitent les données personnelles

 

Pour les personnes ayant un contrat de travail ou d’entreprise avec le cabinet d’expertise comptable, comme le dispose l’article 7-4° de la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, ce contrat est le fondement pour effectuer le traitement de données à caractère personnel. Il n’est donc pas nécessaire de recueillir un consentement spécifique supplémentaire.


La gestion des données des clients du cabinet ou de leurs salariés intervient également dans le cadre de l’exécution d’un contrat. Il n’est donc pas nécessaire de recueillir un consentement pour l’utilisation des données.

 

Pour les personnes dont les données seraient collectées par le cabinet pour d’autres finalités et hors de toute lettre de mission et donc de contrat, il sera parfois possible de s’appuyer sur un intérêt légitime qui ne porte pas atteinte aux droits et intérêts des personnes concernées pour fonder ce traitement. En dehors de ce cas, il sera nécessaire de recueillir un consentement positif clair qui exprime de façon libre, spécifique, éclairée et univoque l'accord de la personne concernée.


Par ailleurs, si le cabinet traite de données sensibles, le consentement préalable des personnes concernées sera obligatoire sauf si le traitement des données est basé sur les fondements suivants :

  • respect d’une obligation légale ;  
  • sauvegarde de la vie de la personne concernée ;  
  • exécution d’une mission de service public dont est investi le responsable de traitement (RT) ou le destinataire du traitement ; 
  • exécution d’un contrat auquel la personne concernée est partie, soit sur des mesures précontractuelles prises à la demande de celle-ci.

De la même façon, avant d'envoyer des messages par courrier électronique, fax ou SMS, ou de céder à des partenaires des adresses électroniques ou numéros de téléphone à des fins de prospection électronique, il est nécessaire d’obtenir le consentement préalable de la personne concernée au moment de la collecte des données sauf dans le cas de prospection pour des produits ou services analogues comme exposé ci-dessus.


Le consentement préalable (opt-in) se matérialise par une case à cocher qui peut se présenter de la façon suivante :

  • « si vous souhaitez recevoir nos propositions commerciales par voie électronique, merci de cocher cette case » ; 
  • « si vous souhaitez recevoir les offres de nos partenaires par voie électronique, merci de cocher cette case ».

Est-ce que les cabinets d’expertise comptable traitent des données sensibles ?


La définition des données sensibles résulte du RGPD. Il s’agit des origines raciales ou ethniques, des opinions politiques, philosophiques ou religieuses, des appartenances syndicales, des données biométriques aux fins d’identifier une personne de manière unique, des données concernant la santé, des données génétiques, des données concernant la vie sexuelle ou l’orientation sexuelle, des données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes (articles 9 et 10 du RGPD).

 

Le traitement de données sensibles est en principe interdit par l’article 9.1 du RGPD. Mais ce principe comporte des exceptions dès lors que :

  • un consentement est donné par la personne physique concernée (article 9.2 a), sauf disposition législative contraire privant d’effet le consentement en présence d’un traitement de données sensibles ; 
  • il s’agit d’un traitement relatif à la santé – traitement nécessaire à la sauvegarde des intérêts vitaux, relatif à la prévention, détection et administration de soins médicaux, relatif à la recherche, aux études et évaluations, nécessaires pour des motifs d’intérêt public dans le domaine de la santé ; 
  • il s’agit d’un traitement réalisé par des associations ou organismes à but non lucratif ; 
  • il s’agit d’un traitement portant sur des données rendues publiques par la personne concernée ;
  • il s’agit d’un traitement nécessaire à la constatation, l’exercice ou la défense d’un droit ;
  • il s’agit d’un traitement à des fins archivistes dans l’intérêt du public, à des fins de recherche scientifique, ou historique, ou à des fins statistiques sur la base du droit de l’Union ou d’un Etat ;
  • il s’agit d’un traitement portant sur des données anonymisées ;
  • il s’agit d’un traitement autorisé ou justifié par l’intérêt public ;
  • il s’agit d’un traitement nécessaire pour des motifs d’intérêt public en matière sociale.

L’article 10 du RGPD prévoit que le traitement de données sensibles relatives aux condamnations pénales, et aux infractions ou aux mesures de sureté connexes ne peut être fait que sous le contrôle de l’autorité publique.


Des règles spéciales s’appliquent par ailleurs à certains traitements qui, en raison de leurs caractéristiques et des techniques qu’ils emploient, sont susceptibles de créer des risques pour les personnes concernées. Certains traitements doivent avec l’entrée en vigueur du RGPD être soumis à une étude d’impact. Il s’agit des traitements tels que les prises de décision automatisées produisant des effets juridiques ou affectant de manière significative la personne concernée ou la surveillance systématique à grande échelle d’une zone accessible au public.


Les cabinets d’expertise comptable traitent en pratique de données sensibles dans le cadre de l’organisation interne des cabinets ou pour la réalisation des missions pour les clients.

 

GESTION DES DONNÉES  PERSONNELLES ET RGPD :  LES RÉPONSES À VOS QUESTIONS

 

Tour d’horizon de ces données sensibles traitées par les cabinets

 

Données relatives aux mineurs


Elles sont présentent dans les fiches d’inscription aux mutuelles réalisées par votre cabinet pour vos salariés ou pour vos clients, les dossiers de vos salariés.

 

Données relatives à la santé


En l’absence de définition dans la loi de 1978, la Cnil a défini les données de santé comme toute information permettant d’identifier la nature d’une affection, d’un handicap ou d’une déficience (catégorie ou codification). La Cnil considère que ne relèvent pas de cette catégorie des informations dont le degré de généralité (présence d’un handicap oui/non) ne révèle pas la pathologie de la personne concernée.


Avant l’entrée en vigueur du RGPD, la Cnil et la jurisprudence ont ainsi considéré que l’indication du fait qu’une personne s’est blessée au pied et est en congé maladie partiel (CJUE 6 novembre 2003 aff C-101/01 pt 51) était une donnée relative à la santé.


La jurisprudence a par ailleurs considéré que le code CLIS (pour Classe d’Intégration Scolaire), identifié par l’un des quatre chiffres codant le type de handicap ou de déficience des élèves inscrits au sein d’une école primaire non spécialisée et dont la seule mention permet d’identifier immédiatement la nature de l’affection ou du handicap propre à l’élève concerné, est également une donnée de santé (CE 19 juillet 2010, n°317182). Par contre, ne relève pas de cette catégorie la mention du taux d’incapacité ou d’invalidité (CE 28 mars 2014 n°361042).


Le RGPD définit la catégorie des données de santé comme l’ensemble des données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne (article 4 15 RGPD). A titre d’exemple, le considérant 35 du RGPD précise que toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique, ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro est une donnée de santé. Cette définition devrait conduire à un élargissement de cette catégorie de données.

 

Au vu de la jurisprudence antérieure au RGPD, la gestion des arrêts maladie pour les salariés des cabinets ou ceux des clients constitue un traitement de données sensibles. Au vu de cette même jurisprudence, le taux d’incapacité des salariés contenu dans la déclaration Agefiph ne constitue pas une donnée sensible de santé. Le RGPD semble cependant modifier cette analyse. La doctrine de la Cnil à venir devrait préciser ce point.

 

Données relatives  à l’appartenance syndicale


Le cabinet dans le cadre de sa gestion interne, pourra traiter dans les dossiers relatifs aux représentants syndicaux du personnel, des données sensibles.


Si le cabinet propose à ses clients une mission d’assistance à l’organisation des élections professionnelles, des données sensibles relatives à l’appartenance syndicale vont également être traitées.

 

Données biométriques


Si le cabinet a mis en place un système de vidéo-surveillance en lien avec des données de biométrie permettant la reconnaissance des personnes physiques (reconnaissance du visage), il y a un traitement de données sensibles. Cependant, les systèmes d’accès aux ordinateurs ou smartphone par l’empreinte digitale ne constituent pas aujourd’hui selon la Cnil des traitements de données sensibles dès lors qu’ils répondent à l’ensemble des critères suivants (article 2 de la loi LIL) :

  • l’utilisateur utilise ce dispositif à titre privé, grâce à ses propres données biométriques, pour déverrouiller son téléphone ou pour accéder à des applications qu’il a téléchargées de son propre chef ;
  • l’utilisateur décide seul d’utiliser l’authentification biométrique intégrée dans son appareil :
    • cela exclut toute authentification biométrique imposée par un employeur, notamment si l’appareil lui a été fourni dans le cadre de ses activités professionnelles,
    • cela implique que les fournisseurs d’application proposent un mode d’authentification alternatif à la biométrie (par exemple la saisie d’un code), sans contrainte additionnelle. Si le fournisseur d’application ne propose que l’authentification biométrique, le traitement de données correspondant relève de la responsabilité du fournisseur ; 
  • le gabarit biométrique est stocké dans l’appareil, dans un environnement cloisonné et n’est pas accessible ou transmis à l’extérieur :
    • cela exclut les dispositifs biométriques envoyant le gabarit dans une base de données distante,
    • il exclut aussi toute possibilité d’intervention d’un organisme extérieur (fournisseur de l’appareil ou d’une application par exemple) sur les données biométriques ;
  • le gabarit biométrique est stocké dans l’appareil de manière chiffrée à l’aide d’un algorithme cryptographique et d’une gestion des clés conformes à l’état de l’art ; 
  • lors du contrôle d’accès, seul un jeton ou une donnée indiquant la réussite ou l’échec de la reconnaissance de la biométrie présentée est transmis.

En revanche, lorsque les dispositifs d’authentification basés sur la reconnaissance biométrique fonctionnent en interaction avec des serveurs distants maîtrisés par un organisme tiers, quels qu’il soit, l’organisme en question (qu’il s’agisse du fournisseur de l’application, de l’appareil, etc.) doit effectuer aujourd’hui une demande d’autorisation auprès de la Cnil.


Le RGPD confirme cette analyse puisqu’il considère que les données biométriques aux fins d’identifier une personne physique de manière unique sont des données sensibles.


Il faudra donc dans le cas évoqué ci-dessus où les dispositifs d’authentification basés sur la reconnaissance biométrique fonctionnent en interaction avec des serveurs distants maîtrisés par un organisme tiers, recueillir le consentement exprès (signature écrite ou case à cocher opt-in), libre (aucune sanction en cas de refus), spécifique (pour un usage défini) et éclairé (ensemble des informations données) des personnes concernées si votre cabinet est responsable de traitement.


Si le cabinet d’expertise comptable est responsable conjoint ou sous-traitant, il faudra prévoir dans le contrat souscrit avec le responsable de traitement que ce dernier recueille le consentement des personnes concernées.

 

Le numéro NIR


Les déclarations sociales DADS-U ou DSN impliquent l’utilisation du NIR qui est une donnée bénéficiant d’un régime particulier. Le NIR n’entre en effet pas dans la catégorie des données sensibles telle que définie par les textes mais est considéré comme une donnée particulière bénéficiant d’un régime spécifique (article 87 du RGPD).

 

Le projet de loi portant modification de la loi de 1978 prévoit en son article 9 que les traitements utilisant le NIR devront être autorisés par décret par catégorie de responsables de traitement et finalités après avis de la Cnil avec quelques exceptions pour lesquelles une analyse d’impact seule sera nécessaire.

 

Comment les cabinets d’expertise comptable doivent-ils mettre en œuvre l’obligation d’information relative à la protection  des données personnelles ?


A l’instar de la loi Informatique et liberté de 1978, le RGPD prévoit que le responsable de traitement ou le responsable conjoint de traitement ont une obligation d’information vis-à-vis de la personne physique dont les données sont collectées.

 

Les modalités de cette information divergent selon la façon dont la collecte des données personnelles a été réalisée.


En cas de collecte directe, les personnes doivent être informées (article 32 LIL et article 13 du RGPD) au moment de la collecte de leurs données.

En cas de collecte indirecte (par exemple l’achat de fichiers de données auprès de partenaires pour la prospection commerciale), les informations doivent être transmises à la personne concernée (article 14 du RGPD) :

  • dans un délai raisonnable, ne dépassant pas un mois après avoir obtenu les données à caractère personnel ; 
  • si les données doivent être utilisées aux fins de communication avec la personne concernée, au moment de la première communication ; 
  • s’il est envisagé de communiquer les données personnelles à un autre destinataire, au plus tard lorsque ces données sont communiquées pour la première fois.

Dans le cas où les données sont utilisées pour une autre finalité que celle pour laquelle elles ont été collectées, l’article 13 du RGPD prévoit que le responsable de traitement a l’obligation de fournir au préalable, à la personne concernée, des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2 de l’article 13 du RGPD (durée de conservation, les droits des personnes concernées, l’existence d’une prise de décision automatisée y compris le profilage).


Le contenu de l’information doit en outre être complété par le consentement (opt-in ou opt-out) en fonction des traitements envisagés :

  • prospection électronique, collecte ou cession de données sensibles : opt-in (case à cocher si : « je déclare accepter recevoir des publicités commerciales ») ; 
  • prospection par voie postale ou téléphonique avec intervention humaine, prospection électronique pour produits ou services analogues, prospection entre professionnels, données relatives à l’identité ou la situation familiale à des fins commerciales : opt-out (case à cocher si « Je refuse de recevoir des publicités commerciales »).

Le sous-traitant a également une obligation d’information mais vis-à-vis du responsable de traitement.

 

Tout va dépendre en pratique,  pour les cabinets d’expertise comptable, de leur qualité dans le traitement de données


Pour déterminer cette qualité du cabinet d’expertise comptable dans le traitement, le Conseil supérieur a mis à votre disposition un arbre de décision qui a été intégré dans le guide « protection des données personnelles à l’usage des experts-comptables - guide pratique » (voir également l'article Sic d'avril 2018).


Dans les cas où les cabinets sont responsables de traitement, il leur incombe de réaliser cette information auprès des personnes dont les données sont traitées.


Ainsi, lors de l’informatisation de leurs données, les salariés du cabinet doivent être clairement informés des objectifs poursuivis par le traitement, du caractère obligatoire ou facultatif de leurs réponses, des destinataires des données et des modalités d’exercice de leurs droits (droit d’accès, de rectification, d’opposition etc.). Cette information peut être diffusée par tout moyen approprié : panneaux d’affichage, page « protection des données » ou « informatique et libertés » sur l’intranet du cabinet. De surcroît, l’employeur doit s’assurer du respect des procédures préalables de consultation et d’information obligatoires des instances représentatives du personnel.


En ce qui concerne les données des clients et de leurs salariés, tout dépend du statut du cabinet dans le traitement.


Comme indiqué dans le guide « protection des données personnelles à l’usage des experts-comptables - guide pratique », les cabinets d’expertise comptable sont dans la plupart des cas sous-traitants ou responsables de traitement conjoint. Dans la première hypothèse, il convient donc de prévoir dans la lettre de mission avec le client qu’il assume cette obligation d’information pour ses salariés dès lors qu’il est le responsable de traitement.

 

Si le cabinet est sous-traitant, il n’a pas d’obligation d’information des personnes physiques concernées à sa charge.
Des exemples d’information à insérer dans les supports de collecte des données ou les documents contractuels sont proposés en annexe du guide « protection des données personnelles à l’usage des experts-comptables - guide pratique ».

 

Si le cabinet souhaite réaliser de la prospection commerciale ou du démarchage en utilisant les données personnelles de personnes physiques, il devra informer les personnes concernées selon les conditions évoquées ci-dessus en fonction des modalités de collecte de ces données.

 

Gaëlle Patetta
Secrétaire général adjoint et directeur juridique du Conseil supérieur

 

A noter

Si le cabinet considère être responsable de traitement, il pourra dans les hypothèses de collecte indirecte des données des salariés de ses clients, faire jouer l’exception à l’obligation d’information de ces derniers sur le fondement du secret professionnel (article 14.5 d RGPD).

 

POUR EN SAVOIR PLUS

Le service juridique du Conseil supérieur a rédigé un guide d’accompagnement pour les experts- comptables « protection des données personnelles à l’usage des experts-comptables - guide pratique ». Ce guide fait le point sur les nouvelles règles de protection des données personnelles applicables, précise comment elles peuvent être mises en place par les cabinets d’expertise comptable et propose un plan d’action ainsi que des outils pratiques directement utilisables. Il est téléchargeable gratuitement sur Bibliordre ou accessible sur le Conseil Sup’ Services dédié au RGPD.

Parcourir l'historique du SIC :

ABONNEZ-VOUS AU SIC NUMERIQUE

Le SIC Numérique parait mensuellement, à l’instar de son homologue papier. Pour être averti par mail de la publication d’un nouveau numéro, abonnez-vous !
ABONNEZ-VOUS AU SIC NUMERIQUE
Le SIC Numérique parait mensuellement, à l’instar de son homologue papier. Pour être averti par mail de la publication d’un nouveau numéro, abonnez-vous !

Toutes les parutions

SEPTEMBRE 2018

SIC N° 376

  • 5 questions à Florence Hauducoeur
  • Le projet de loi PACTE examiné en commission spéciale
  • 73e Congrès : Préparez votre parcours thématique

Consulter

JUILLET-AOUT 2018

SIC N° 375

  • Les outils du 73e Congrès
  • Le quiz du 73e Congrès
  • Comptexpert : comment déléguer vos droits ?

Consulter

JUIN 2018

SIC N° 374

  • 73e Congrès : Stratégie et compétences pour la croissance
  • Règlement général sur la protection des données : tenez-vous prêts !
  • Le site internet de l'Ordre fait peau neuve !

Consulter

MAI 2018

SIC N°373

  • Gestion des données personnelles et RGPD
  • 73e Congrès : cabinet, missions et marchés !
  • Déclaration annuelle des papiers : êtes-vous prêts ?

Consulter